-
Posts
4 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by divinepredecessor
-
-
Добрый день.
KN-2710 (4.0.2).
Подскажите, пожалуйста, по ACL.
Вешаю на интерфейс домашней сети:
access-list _WEBADMIN_Bridge2 permit ip 192.168.1.2 255.255.255.255 0.0.0.0 0.0.0.0 interface Bridge2 ip access-group _WEBADMIN_Bridge2 in
Вешаю на WAN:
access-list WAN_OUT permit tcp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 80 permit tcp 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 443 deny ip 192.168.1.0 255.255.255.0 0.0.0.0 0.0.0.0 interface GigabitEthernet1 rename ISP ip access-group WAN_OUT out
C адреса 192.168.1.2 могу пинговать внешний мир, ходить на FTP и т.д. C других адресов подсети во вне ходит только по портам 80 и 443.
Я несколько другой смысл закладывал.
Так и должно быть?
Спасибо.
-
Добрый день.
Hero (KN-1011) EU.
Кто-нибудь встречался с такой проблемой с NTP.
Заметил недавно галочку SNTP Server. Поставил, на нескольких устройствах настроил. Через какое-то время заметил, что время везде неправильное, в том числе на роутере. Речь идёт про минуты. Поставил на кинетике период синхронизации 1 час.
Стало лучше, но вылезла проблема с разрывом WireGuard каждый час. Видимо он и раньше рвался, но раз в 7 дней.
Лог выглядит примерно вот так:Скрытый текстJun 12 16:44:30
Ntp::Client: time synchronized with "time.euro.apple.com".
Jun 12 16:44:30
Wireguard::Interface: "Wireguard0": triggering peers to reinitiate handshakes.
Jun 12 16:44:30
wireguard: Wireguard0: peer "blablabla=" (439) (ipaddress:port) destroyed
Jun 12 16:44:30
wireguard: Wireguard0: peer "blablabla=" (445) created
Jun 12 16:44:45
wireguard: Wireguard0: receiving handshake initiation from peer "blablabla=" (445) (ipaddress:port)
Jun 12 15:44:45
wireguard: Wireguard0: sending handshake response to peer "blablabla=" (445) (ipaddress:port)
На другом конце (Giga SE (KN-2410) RU):Скрытый текстJun 12 16:44:45
kernelwireguard: Wireguard0: retrying handshake with peer "blablabla2=" (596) (ipaddress2:port2) because we stopped hearing back after 15 seconds
Как-то можно сделать чтобы не рвался туннель при синхронизации времени? Или так и должно быть?Наблюдаю подобное на нескольких девайсах.
-
Добрый день.
Подскажите, пожалуйста.
Поднимаю Gre over IPSec с кинетика, до древней Циски, которая за NAT.
Всё вроде бы поднялось, трафик ходит, но в графе «Время смены ключей, Фаза 2» на кинетике прочерк. Фаза 1 — время показывает.
Судя по логам — всё нормально, на Циске encryted/decrypted счётчик работает, sa timing: remaining key lifetime показывает.
Есть другие кинетики, которые соединены с другими древними Цисками по Gre over IPSec без NAT. Там в phase1 и phase2 Кинетик показывает время смены ключей.
Правильно я понимаю, что когда IPSec идёт через NAT-T по порту 4500, время смены ключей для phase2 не показывается?
Спасибо.
Информация по работе с FireWall
in Обмен опытом
Posted
Добрый день.
4.0.5 тоже самое. Подскажите, пожалуйста, у всех так? И как быть?
Спасибо.