Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
3 минуты назад, r13 сказал:

Авто туннель работает в транспортном 

И как мне быть, что где писать?

Опубликовано
Только что, rert03 сказал:

И как мне быть, что где писать?

Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля,

Или опишите еще раз постановку задачи.

Опубликовано
3 минуты назад, rert03 сказал:

Вообщем interface IPIPx ipsec ikev2  на одном конце сработало, на втором выдало ошибку 7405600

Значит версия прошивки древняя

Опубликовано
4 минуты назад, r13 сказал:

 с l2tp что не так?

Сервер поднимается, клиенты не могут подключиться.

8 минут назад, rert03 сказал:

Меня не интересует транспортный режим, только тунельный.

Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

Опубликовано
13 минуты назад, Кинетиковод сказал:

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо.

Опубликовано (изменено)
5 минут назад, r13 сказал:

Значит версия прошивки древняя

При настройке чистого Ipsec ikev2 присутствует...

 

5 минут назад, Кинетиковод сказал:

Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2

Я не профи, много не понимаю, но стараюсь.

 

6 минут назад, r13 сказал:

Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля,

Или опишите еще раз постановку задачи. 

Нужен IPIP туннель, из-за его свойств, а именно его можно маршрутизировать. Что во что заворачивать, всё равно, нужен максимальный уровень безопасности. И желательно БЕЗ смены ключей в фазах

Изменено пользователем rert03
вот!
Опубликовано
3 минуты назад, Le ecureuil сказал:

Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками

Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт.

Опубликовано
11 минуту назад, rert03 сказал:

Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт.

Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа.

Опубликовано
14 минуты назад, rert03 сказал:

КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2

Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

Опубликовано
1 минуту назад, Le ecureuil сказал:

Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа.

И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас

 

2 минуты назад, r13 сказал:

Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Опубликовано
2 минуты назад, Le ecureuil сказал:

Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо.

IKEv2 я и использую для чистого IPsec, а для автомата в мануале кроме (config-if)> ipsec preshared-key mytestingkey больше ничего нет.

Кроме того, я использую eoip для удалённой дополнительной подсети, а для основной удалённой работает тот же ipsec, через который идёт и eoip. Грубо говоря один Ipsec на две подсети одновременно. А на автомате, когда я бриджую eoip/ipsec с дополнительной удалённой подсетью у основной удалённой сети соединения с основной (серверной) подсетью нет. Тогда для основной удалённой подсети я использую чистый ipsec. Я так понял, что на автомате по умолчанию используется IKEv1 и если я переведу автомат на IKEv2 не будет ли конфликта с IKEv2 чистого ipsec для основной подсети? Да и вообще стоит ли так заморачиваться из-за потери нескольких мегабит на оверхед это вопрос. Хотя если для основной сети в случае перевода eoip на IKEv2 станет доступен L2TP, то в принципе смысл есть.

14 минуты назад, Le ecureuil сказал:

Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками.

Надо будет изучить.

Опубликовано (изменено)
2 минуты назад, rert03 сказал:

И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас

 

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности.

Изменено пользователем r13
Опубликовано
1 минуту назад, rert03 сказал:

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

Опубликовано (изменено)
10 минут назад, r13 сказал:

Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности.

 

9 минут назад, Кинетиковод сказал:

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ?

Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает?

_______________________________________________________________________________________

А! понял, Не совсем это про то, что "IPIP туннель и оба они будут доступны в отдельности.", я просто писал про уровень безопасности такого слияния тунелей.

Изменено пользователем rert03
Дошло!
Опубликовано
1 минуту назад, rert03 сказал:

такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ?

Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает?

Внутри зашифрованного Ipsec будет бегать IPIP. Но в отличии от автомата они не привязаны друг к другу и вы через Ipsec сможете пускать и другие туннели.

Опубликовано

А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ?

Опубликовано (изменено)
11 минуту назад, rert03 сказал:

А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ?

no interface IPIP0

Для просмотра "творений" show interface

Изменено пользователем Кинетиковод
Опубликовано
8 минут назад, Кинетиковод сказал:

no interface IPIP0

Так-же удалятся все сопутствующие настройки этих тунелей?

Опубликовано
3 часа назад, r13 сказал:

Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

На одном конце получаю ошибку 72220686, какой-то конфликт

 

Опубликовано
Только что, rert03 сказал:

На одном конце получаю ошибку 72220686, какой-то конфликт

 

предлагаете угадывать что у вас настроено и как?!

Опубликовано
1 минуту назад, rert03 сказал:

Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно?

Опубликовано
2 минуты назад, rert03 сказал:

Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно?

как настраивать расписано в первом посте, выделяете какую нибудь подсеть, и выдаете из нее разные адреса на обоих концах

Опубликовано
2 минуты назад, r13 сказал:

как настраивать расписано в первом посте,

где?

3 минуты назад, r13 сказал:

выделяете какую нибудь подсеть

Не понятно, создать в домашней сети отдельный сегмент?

Опубликовано

Вы ссылаетесь на стандартное описание настройки IPIP туннеля, но мне советуете указать " указывая концами туннелей локальные адреса из уже настроенных туннелей. " Это не то что в статье, отсюда и вопросы. Ip адреса или левые, или существующие.

Опубликовано
5 минут назад, rert03 сказал:

где?

еще раз, в первом посте данной темы. 

ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно

Опубликовано
Только что, r13 сказал:

ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно 

ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался...

Опубликовано
26 минут назад, rert03 сказал:

ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался...

destination это ip роутера на противоположном конце, но саму подсеть туннеля вы придумываете сами. она никак не связана с другими используемыми сетями

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.