Jump to content

divinepredecessor

Forum Members
 View Profile  See their activity

  • Posts

    4

  • Joined

  • Last visited

 Content Type 

Posts posted by divinepredecessor

    Информация по работе с FireWall

    in Обмен опытом

    Posted · Edited by divinepredecessor

    Добрый день.

    KN-2710 (4.0.2).

    Подскажите, пожалуйста, по ACL.

    Вешаю на интерфейс домашней сети:
      

    access-list _WEBADMIN_Bridge2
permit ip 192.168.1.2 255.255.255.255 0.0.0.0 0.0.0.0

interface Bridge2
ip access-group _WEBADMIN_Bridge2 in

     

    Вешаю на WAN:
      

    access-list WAN_OUT
    permit tcp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 80
    permit tcp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 443
    deny ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0

interface GigabitEthernet1
    rename ISP
    ip access-group WAN_OUT out

    C адреса 192.168.1.2 могу пинговать внешний мир, ходить на FTP и т.д. C других адресов подсети во вне ходит только по портам 80 и 443.

    Я несколько другой смысл закладывал.

    Так и должно быть?

    Спасибо.

    Периодически отваливается VPN‐соединение через Wireguard

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by divinepredecessor

    Добрый день.

    Hero (KN-1011) EU.
    Кто-нибудь встречался с такой проблемой с NTP.
    Заметил недавно галочку SNTP Server. Поставил, на нескольких устройствах настроил. Через какое-то время заметил, что время везде неправильное, в том числе на роутере. Речь идёт про минуты. Поставил на кинетике период синхронизации 1 час.
    Стало лучше, но вылезла проблема с разрывом WireGuard каждый час. Видимо он и раньше рвался, но раз в 7 дней.
    Лог выглядит примерно вот так:

    Скрытый текст

    Jun 12 16:44:30
    Ntp::Client: time synchronized with "time.euro.apple.com".
    Jun 12 16:44:30
    Wireguard::Interface: "Wireguard0": triggering peers to reinitiate handshakes.
    Jun 12 16:44:30
    wireguard: Wireguard0: peer "blablabla=" (439) (ipaddress:port) destroyed
    Jun 12 16:44:30
    wireguard: Wireguard0: peer "blablabla=" (445) created
    Jun 12 16:44:45
    wireguard: Wireguard0: receiving handshake initiation from peer "blablabla=" (445) (ipaddress:port)
    Jun 12 15:44:45
    wireguard: Wireguard0: sending handshake response to peer "blablabla=" (445) (ipaddress:port)



    На другом конце (Giga SE (KN-2410) RU):

    Скрытый текст

    Jun 12 16:44:45
    kernelwireguard: Wireguard0: retrying handshake with peer "blablabla2=" (596) (ipaddress2:port2) because we stopped hearing back after 15 seconds


    Как-то можно сделать чтобы не рвался туннель при синхронизации времени? Или так и должно быть?

    Наблюдаю подобное на нескольких девайсах.

    Все о туннелях IPIP, GRE и EoIP

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    Добрый день.

    Подскажите, пожалуйста.

    Поднимаю Gre over IPSec с кинетика, до древней Циски, которая за NAT.

    Всё вроде бы поднялось, трафик ходит, но в графе «Время смены ключей, Фаза 2» на кинетике прочерк. Фаза 1 — время показывает.

    Судя по логам всё нормально, на Циске encryted/decrypted счётчик работает, sa timing: remaining key lifetime показывает.

    Есть другие кинетики, которые соединены с другими древними Цисками по Gre over IPSec без NAT. Там в phase1 и phase2 Кинетик показывает время смены ключей.

    Правильно я понимаю, что когда IPSec идёт через NAT-T по порту 4500, время смены ключей для phase2 не показывается?

    Спасибо.

     

×
×
  • Create New...