Перейти к содержимому

Все о туннелях IPIP, GRE и EoIP


Рекомендуемые сообщения

2 часа назад, Le ecureuil сказал:

Поскольку IPsec разграничивает клиента и сервер, то теперь для настройки клиента (инициатора, той стороны, которая будет пытаться установить соединение) необходимо использовать команду interface tunnel destination

 

2 часа назад, Le ecureuil сказал:

Клиент:


(config)> interface EoIP0
(config-if)> tunnel source ISP

м.б., путаю, но в примере, возможно, перепутаны клиент и сервер

Ссылка на комментарий
Поделиться на других сайтах

- можно разъяснить подробнее weak/normal/strong, какие это proposals?

- насколько я понимаю, чтобы ходить через другой роутер, надо на "сервере" прописать, условно "ip nat IPIP0", а на другом просто маршруты, либо задать ip global, и будет работать в том числе с логикой резервирования?

 

- через EoIP DHCP-трафик ходит, или фильтруется? Можно ли это поведение настроить? Пример желаемой реализации я уже описывал - внутренние IP у роутеров 192.168.0.1/24 (DHCP на свои порты 2-100, def .1) и 192.168.0.101/24 (DHCP на свои порты 102-200, def .101), каждый сегмент в интернет ходит через свой роутер (с возможностью ходить по маршрутам через другой), но есть прозрачная сеть.

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, IgaX сказал:

 

м.б., путаю, но в примере, возможно, перепутаны клиент и сервер

Ога, поправил.

Ссылка на комментарий
Поделиться на других сайтах

1 час назад, KorDen сказал:

- можно разъяснить подробнее weak/normal/strong, какие это proposals?

Насчет proposals примерно вот так:

IPSECURE_IKE_MEDIUM_(
    "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,"
    "aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024");
IPSECURE_SA_MEDIUM_(
    "aes128-sha1,aes256-sha1,3des-sha1,"
    "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,"
    "aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024");
IPSECURE_SA_MEDIUM_3DES_(
    "3des-sha1,aes256-sha1,aes128-sha1,"
    "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,"
    "aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024");
IPSECURE_SA_MEDIUM_PFS_(
    "aes128-sha1-modp1024,aes128-sha1,aes256-sha1,3des-sha1,"
    "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,"
    "aes256-sha1-modp1024,3des-sha1-modp1024");
IPSECURE_SA_MEDIUM_3DES_PFS_(
    "3des-sha1-modp1024,3des-sha1,aes256-sha1,aes128-sha1,"
    "aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,"
    "aes256-sha1-modp1024,aes128-sha1-modp1024");

IPSECURE_IKE_LOW_(
    "aes128-sha1-modp1024,3des-sha1-modp1024,des-sha1-modp1024,"
    "aes128-sha1-modp768,3des-sha1-modp768,des-sha1-modp768,"
    "aes128-md5-modp1024,3des-md5-modp1024,des-md5-modp1024,"
    "aes128-md5-modp768,3des-md5-modp768,des-md5-modp768");
IPSECURE_SA_LOW_(
    "des-md5,aes128-sha1,3des-sha1,des-sha1,aes128-md5,3des-md5,"
    "aes128-sha1-modp1024,3des-sha1-modp1024,des-sha1-modp1024,"
    "aes128-sha1-modp768,3des-sha1-modp768,des-sha1-modp768,"
    "aes128-md5-modp1024,3des-md5-modp1024,des-md5-modp1024,"
    "aes128-md5-modp768,3des-md5-modp768,des-md5-modp768");
IPSECURE_SA_LOW_PFS_(
    "des-md5-modp1024,aes128-sha1,3des-sha1,des-sha1,aes128-md5,3des-md5,"
    "aes128-sha1-modp1024,3des-sha1-modp1024,des-sha1-modp1024,"
    "aes128-sha1-modp768,3des-sha1-modp768,des-sha1-modp768,"
    "aes128-md5-modp1024,3des-md5-modp1024,"
    "aes128-md5-modp768,3des-md5-modp768,des-md5-modp768");

IPSECURE_IKE_STRONG_(
    "aes256-sha1-modp2048,aes128-sha1-modp2048,"
    "aes256-sha1-modp1536,aes128-sha1-modp1536");
IPSECURE_SA_STRONG_(
    "aes256-sha1-modp1536,"
    "aes256-sha1-modp2048,aes128-sha1-modp2048,"
    "aes128-sha1-modp1536");

Поскольку используется IKEv1, то клиент отсылает только первый proposal из списка, а сервер сравнивает proposal из запроса со списоком и принимает любой подходящий.

Цитата

- насколько я понимаю, чтобы ходить через другой роутер, надо на "сервере" прописать, условно "ip nat IPIP0", а на другом просто маршруты, либо задать ip global, и будет работать в том числе с логикой резервирования?

Примерно так, только учтите, что туннель всегда будет в состоянии up, если он не работает поверх IPsec, и потому резервирование с ним будет работать странно, хотя зависит от числа в ip global.

Цитата

- через EoIP DHCP-трафик ходит, или фильтруется? Можно ли это поведение настроить? Пример желаемой реализации я уже описывал - внутренние IP у роутеров 192.168.0.1/24 (DHCP на свои порты 2-100, def .1) и 192.168.0.101/24 (DHCP на свои порты 102-200, def .101), каждый сегмент в интернет ходит через свой роутер (с возможностью ходить по маршрутам через другой), но есть прозрачная сеть.

DHCP проходит насквозь через EoIP, как и любой другой трафик L2. Для фильтрования используйте ebtables из entware или что-то в этом духе, модули ядра все присутствуют в компонентах.

Ссылка на комментарий
Поделиться на других сайтах

18 минут назад, enpa сказал:

@Le ecureuil, а будет манул на счет маршрутов, помните вы писали к моему посту?

 

Насчет маршрутов придумывайте сами или подсматривайте примеры в БЗ для PPTP и адаптируйте. Все механизмы теперь для этого есть. Я все же не технический писатель, и не техподдержка.

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil

Попытался поднять IPIP over IPSec между 1й и 2й ультрами

Лог с ошибкой:

Nov 08 22:30:12ndm
IpSec::Configurator: reconnecting crypto map "IPIP0".
Nov 08 22:30:14ndm
IpSec::Configurator: start shutting down crypto map "IPIP0" task.
Nov 08 22:30:14ipsec
12[CFG] received stroke: unroute 'IPIP0' 
Nov 08 22:30:14ipsec
05[CFG] received stroke: terminate 'IPIP0{*}' 
Nov 08 22:30:14ipsec
05[CFG] no CHILD_SA named 'IPIP0' found 
Nov 08 22:30:14ipsec
14[CFG] received stroke: terminate 'IPIP0[*]' 
Nov 08 22:30:14ipsec
14[CFG] no IKE_SA named 'IPIP0' found 
Nov 08 22:30:14ndm
IpSec::Configurator: shutting down crypto map "IPIP0" task done.
Nov 08 22:30:15ndm
IpSec::Configurator: start initiating crypto map "IPIP0" task.
Nov 08 22:30:15ipsec
15[CFG] received stroke: initiate 'IPIP0' 
Nov 08 22:30:15ndm
IpSec::Configurator: initiating crypto map "IPIP0" task done.
Nov 08 22:30:15ipsec
09[IKE] sending XAuth vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending DPD vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending Cisco Unity vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Nov 08 22:30:15ipsec
09[IKE] initiating Main Mode IKE_SA IPIP0[63] to 176.14.124.109 
Nov 08 22:30:15ipsec
11[IKE] received DPD vendor ID 
Nov 08 22:30:15ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID 
Nov 08 22:30:15ipsec
11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Nov 08 22:30:15ipsec
11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Nov 08 22:30:15ipsec
11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Nov 08 22:30:16upnp
sendto(udp_notify=7, 192.168.1.1): No such device
Nov 08 22:30:16upnp
Core::Syslog: last message repeated 10 times.
Nov 08 22:30:17ipsec
06[IKE] received INVALID_KE_PAYLOAD error notify 
Nov 08 22:30:17ndm
IpSec::Configurator: remote peer of crypto map "IPIP0" returned invalid key notification.
Nov 08 22:30:17ndm
IpSec::Configurator: fallback peer is not defined for crypto map "IPIP0", retry.
Nov 08 22:30:17ndm
IpSec::Configurator: schedule reconnect for crypto map "IPIP0".
Nov 08 22:30:17ndm
Network::Interface::SecureIPTunnel: "IPIP0": IPsec layer is down, shutdown tunnel layer.
Nov 08 22:30:17ndm
Network::Interface::SecureIPTunnel: "IPIP0": secured tunnel is down.

 

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil И вдогонку, если остановить этот интерфейс, (сделать Interface IPIP0 down) то связанный с ним IPSec продолжает попытки подключиться.

UPD Я так понимаю нужно сделать Interface IPIP0 no connect чтоб перестало коннектиться?

Изменено пользователем r13
Ссылка на комментарий
Поделиться на других сайтах

14 часа назад, r13 сказал:

@Le ecureuil

Попытался поднять IPIP over IPSec между 1й и 2й ультрами

Лог с ошибкой:


Nov 08 22:30:12ndm
IpSec::Configurator: reconnecting crypto map "IPIP0".
Nov 08 22:30:14ndm
IpSec::Configurator: start shutting down crypto map "IPIP0" task.
Nov 08 22:30:14ipsec
12[CFG] received stroke: unroute 'IPIP0' 
Nov 08 22:30:14ipsec
05[CFG] received stroke: terminate 'IPIP0{*}' 
Nov 08 22:30:14ipsec
05[CFG] no CHILD_SA named 'IPIP0' found 
Nov 08 22:30:14ipsec
14[CFG] received stroke: terminate 'IPIP0[*]' 
Nov 08 22:30:14ipsec
14[CFG] no IKE_SA named 'IPIP0' found 
Nov 08 22:30:14ndm
IpSec::Configurator: shutting down crypto map "IPIP0" task done.
Nov 08 22:30:15ndm
IpSec::Configurator: start initiating crypto map "IPIP0" task.
Nov 08 22:30:15ipsec
15[CFG] received stroke: initiate 'IPIP0' 
Nov 08 22:30:15ndm
IpSec::Configurator: initiating crypto map "IPIP0" task done.
Nov 08 22:30:15ipsec
09[IKE] sending XAuth vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending DPD vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending Cisco Unity vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending NAT-T (RFC 3947) vendor ID 
Nov 08 22:30:15ipsec
09[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Nov 08 22:30:15ipsec
09[IKE] initiating Main Mode IKE_SA IPIP0[63] to 176.14.124.109 
Nov 08 22:30:15ipsec
11[IKE] received DPD vendor ID 
Nov 08 22:30:15ipsec
11[IKE] received NAT-T (RFC 3947) vendor ID 
Nov 08 22:30:15ipsec
11[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Nov 08 22:30:15ipsec
11[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/# 
Nov 08 22:30:15ipsec
11[CFG] selected proposal: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048/# 
Nov 08 22:30:16upnp
sendto(udp_notify=7, 192.168.1.1): No such device
Nov 08 22:30:16upnp
Core::Syslog: last message repeated 10 times.
Nov 08 22:30:17ipsec
06[IKE] received INVALID_KE_PAYLOAD error notify 
Nov 08 22:30:17ndm
IpSec::Configurator: remote peer of crypto map "IPIP0" returned invalid key notification.
Nov 08 22:30:17ndm
IpSec::Configurator: fallback peer is not defined for crypto map "IPIP0", retry.
Nov 08 22:30:17ndm
IpSec::Configurator: schedule reconnect for crypto map "IPIP0".
Nov 08 22:30:17ndm
Network::Interface::SecureIPTunnel: "IPIP0": IPsec layer is down, shutdown tunnel layer.
Nov 08 22:30:17ndm
Network::Interface::SecureIPTunnel: "IPIP0": secured tunnel is down.

 

Судя по логу у вас на разных концах задан разный PSK, проверьте внимательно (а лучше вбейте заново).

Ссылка на комментарий
Поделиться на других сайтах

13 часа назад, r13 сказал:

@Le ecureuil И вдогонку, если остановить этот интерфейс, (сделать Interface IPIP0 down) то связанный с ним IPSec продолжает попытки подключиться.

Ок, принято в работу.

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuilПодскажите пожалуйста, в логах постоянно лезет:

 

Nov 09 18:43:07ndm

Network::Interface::EoIP: "EoIP0": tunnel is down: retry to resolve remote endpoint.

Nov 09 18:43:07ndm

Network::Interface::Tunnel: "EoIP0": resolved destination 31.41.245.221.

Nov 09 18:43:07ndm

Network::Interface::Tunnel: "EoIP0": resolved source 10.77.140.133.

 

что-то не правильно прописал? IPsec включен и коннект есть, с IPsec клиента на IPsec сервер.

 

Изменено пользователем enpa
Ссылка на комментарий
Поделиться на других сайтах

33 минуты назад, enpa сказал:

@Le ecureuilПодскажите пожалуйста, в логах постоянно лезет:

 

Nov 09 18:43:07ndm

Network::Interface::EoIP: "EoIP0": tunnel is down: retry to resolve remote endpoint.

Nov 09 18:43:07ndm

Network::Interface::Tunnel: "EoIP0": resolved destination 31.41.245.221.

Nov 09 18:43:07ndm

Network::Interface::Tunnel: "EoIP0": resolved source 10.77.140.133.

 

что-то не правильно прописал? IPsec включен и коннект есть, с IPsec клиента на IPsec сервер.

 

self-test с обоих сторон где?

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil

Пока удалось поднять GRE over IPsec и IPIP over IPsec но чисто номинально, по логам все ок поднялось, но трафик не ходит.

Попутно вылезла несовместимость GRE туннеля и штатного PPTP клиента:

создал туннель, клиент отвалился и покругу пытается безуспешно подключиться. Грохнул туннель и клиент сразу же подключился.

селф тест в следующем посте.

 

UPD пинги из под ентвари до  удаленного роутера работают, а пинги с компьютера не идут, не понятно....

Изменено пользователем r13
Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil не успел вчера скинуть. Заметил, что после того, как прописываю:

Сервер:

interface EoIP0
tunnel source ISP
tunnel eoip id 1500
ipsec preshared-key mytestingkey
ip address 192.168.100.1 255.255.255.0
security-level private
up

Со стороны клиента прописываю:

interface EoIP0
tunnel destination 31.41.245.221 - ip сервера
tunnel eoip id 1500
ipsec preshared-key mytestingkey
ip address 192.168.100.2 255.255.255.0
security-level private
up

 

PPTP VPN , как основное подключение провайдера, перестает коннектиться. Скидываю селф ниже.

Изменено пользователем enpa
Ссылка на комментарий
Поделиться на других сайтах

В 11/8/2016 в 23:52, r13 сказал:

UPD Я так понимаю нужно сделать Interface IPIP0 no connect чтоб перестало коннектиться?

Нет, должно работать с просто "down". Команда "connect" есть только у интерфейсов на базе PPP.

Это баг, будем чинить.

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil В дальнейшем планируете реализовать для клиент серверного режима указывать не конкретный интерфейс а использовать интерфейс текущего подключения к Интернет?

что-то вроде tunnel source default 

что бы работало в том числе в схеме с резервированием интернета

Ссылка на комментарий
Поделиться на других сайтах

5 часов назад, r13 сказал:

@Le ecureuil В дальнейшем планируете реализовать для клиент серверного режима указывать не конкретный интерфейс а использовать интерфейс текущего подключения к Интернет?

что-то вроде tunnel source default 

что бы работало в том числе в схеме с резервированием интернета

Да, когда все более крупные проблемы будут решены - возможно так и сделаем.

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil Если на момент запуска не возможно отресолвить dns имя endpoint туннеля (доступ в интернет еще не поднялся после перезагрузки) то туннель IPSec больше не поднимается.

down/ up на интерфейсе не помогает,

помогает пересоздание endpoint адреса

селфтест ниже.

Ссылка на комментарий
Поделиться на других сайтах

В 11/8/2016 в 23:52, r13 сказал:

@Le ecureuil И вдогонку, если остановить этот интерфейс, (сделать Interface IPIP0 down) то связанный с ним IPSec продолжает попытки подключиться.

UPD Я так понимаю нужно сделать Interface IPIP0 no connect чтоб перестало коннектиться?

Реакция на команды interface up/down поправлена, войдет в ближайший релиз.

Ссылка на комментарий
Поделиться на других сайтах

@enpa, @r13 - туннели на базе EoIP/IPsec и GRE/IPsec концептуально несовместимы с PPTP-подключениями из-за того, что PPTP тоже использует протокол GRE. У вас есть всего лишь один вариант - использовать IPIP/IPsec.

Занесу инфу в шапку.

 

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil эх, жаль ;( тогда попробуем IPIP0.

у меня на одном роутере серый айпи, IPsec - клиент который, вопрос такой, тут указано

Настройка GRE/IPIP туннеля очень проста:

(config)> interface IPIP0

(config-if)> tunnel destination router1.example.com

(config-if)> ip address 192.168.100.1 255.255.255.0

(config-if)> security-level private (config-if)> up

(config-if)> tunnel destination router1.example.com  --- тут указываем айпи IPsec клиента? Правильно? 

 

и можно добавить к этому туннелю команду (config-if)> tunnel source ISP? чтобы сразу использовался реальный айпи ISP, очень удобно было бы.

Изменено пользователем enpa
Ссылка на комментарий
Поделиться на других сайтах

10 минут назад, enpa сказал:

@Le ecureuil эх, жаль ;( тогда попробуем IPIP0.

у меня на одном роутере серый айпи, IPsec - клиент который, вопрос такой, тут указано

Настройка GRE/IPIP туннеля очень проста:

(config)> interface IPIP0

(config-if)> tunnel destination router1.example.com

(config-if)> ip address 192.168.100.1 255.255.255.0

(config-if)> security-level private (config-if)> up

(config-if)> tunnel destination router1.example.com  --- тут указываем айпи IPsec клиента? Правильно? 

 

и можно добавить к этому туннелю команду (config-if)> tunnel source ISP? чтобы сразу использовался реальный айпи ISP, очень удобно было бы.

Нет, IP-адрес или FQDN сервера (он должен быть глобальным, или это должен быть проброшенные порты 500/4500 UDP на этом адресе до сервера).

Локальный адрес вычислится автоматом на основе роутинга, так что tunnel source тут лишний. Плюс IPsec сам создаст все настройки для прохода сквозь NAT до реального адреса сервера, ему не нужно в этом помогать.

Ссылка на комментарий
Поделиться на других сайтах

13 часа назад, r13 сказал:

@Le ecureuil Если на момент запуска не возможно отресолвить dns имя endpoint туннеля (доступ в интернет еще не поднялся после перезагрузки) то туннель IPSec больше не поднимается.

down/ up на интерфейсе не помогает,

помогает пересоздание endpoint адреса

селфтест ниже.

Спасибо за репорт, исправлено. Войдет в ближайший релиз.

Ссылка на комментарий
Поделиться на других сайтах

@Le ecureuil сейчас прописал:

 

interface IPIP0
tunnel destination 31.41.245.221
ip address 192.168.100.1 255.255.255.0
security-level private
up


interface IPIP0
tunnel destination 31.41.245.221
ip address 192.168.100.2 255.255.255.0
security-level private
up

 

как и в предыдущий раз, отвалился PPTP VPN и более не подключается. 

селф в облаке

 

 

Изменено пользователем enpa
Ссылка на комментарий
Поделиться на других сайтах

1 час назад, enpa сказал:

@Le ecureuil сейчас прописал:

 

interface IPIP0
tunnel destination 31.41.245.221
ip address 192.168.100.1 255.255.255.0
security-level private
up


interface IPIP0
tunnel destination 31.41.245.221
ip address 192.168.100.2 255.255.255.0
security-level private
up

 

как и в предыдущий раз, отвалился PPTP VPN и более не подключается. 

селф в облаке

 

 

Ага, затесалась еще одна мелочевка.

Поправлено, будет как обычно в сегодняшней сборке. :)

Ссылка на комментарий
Поделиться на других сайтах

В 11/9/2016 в 18:44, enpa сказал:

@Le ecureuilПодскажите пожалуйста, в логах постоянно лезет:

 

Nov 09 18:43:07ndm

Network::Interface::EoIP: "EoIP0": tunnel is down: retry to resolve remote endpoint.

Nov 09 18:43:07ndm

Network::Interface::Tunnel: "EoIP0": resolved destination 31.41.245.221.

Nov 09 18:43:07ndm

Network::Interface::Tunnel: "EoIP0": resolved source 10.77.140.133.

Исправлено, будет в следующей сборке.

Ссылка на комментарий
Поделиться на других сайтах

Поднял IPIPoverIPsec между Ultra 2 - Giga 2 на v2.08(AAUX.0)A11 (до этого был IPsec 2.08-2.06) с настройками из шапки..

Долго гадал, почему трафик от компов не ходит, потом, увидев что пакеты даже не уходят с home на ipip0, вспомнил про isolate-private - надо бы напомнить о нем в шапке, IMO.

Роутинг в обе стороны после ip nat ipip0 работает корректно [вроде бы]..

Теперь вопрос - как запретить трафик guest->home / guest->ipip, но разрешить home-ipip? В простом случае можно поставить security-level protected для Guest, но если надо к одному Ipip доступ дать, а к другому не давать?

 

Еще вопрос до кучи - туннели идут в лимит двух IPsec или как?

Изменено пользователем KorDen
Ссылка на комментарий
Поделиться на других сайтах

34 минуты назад, KorDen сказал:

Теперь вопрос - как запретить трафик guest->home / guest->ipip, но разрешить home-ipip? В простом случае можно поставить security-level protected для Guest, но если надо к одному Ipip доступ дать, а к другому не давать?

ACL / Межсетевой экран

34 минуты назад, KorDen сказал:

Еще вопрос до кучи - туннели идут в лимит двух IPsec или как?

Для туннелей нет ограничения.

Ссылка на комментарий
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

  • Сейчас на странице   0 пользователей

    • Нет пользователей, просматривающих эту страницу
×
×
  • Создать...