rert03 Posted November 23, 2018 Share Posted November 23, 2018 3 минуты назад, r13 сказал: Авто туннель работает в транспортном И как мне быть, что где писать? Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 Только что, rert03 сказал: И как мне быть, что где писать? Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля, Или опишите еще раз постановку задачи. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 3 минуты назад, rert03 сказал: Вообщем interface IPIPx ipsec ikev2 на одном конце сработало, на втором выдало ошибку 7405600 Значит версия прошивки древняя Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 4 минуты назад, r13 сказал: с l2tp что не так? Сервер поднимается, клиенты не могут подключиться. 8 минут назад, rert03 сказал: Меня не интересует транспортный режим, только тунельный. Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 23, 2018 Author Share Posted November 23, 2018 13 минуты назад, Кинетиковод сказал: Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно. Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 23, 2018 Author Share Posted November 23, 2018 Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 (edited) 5 минут назад, r13 сказал: Значит версия прошивки древняя При настройке чистого Ipsec ikev2 присутствует... 5 минут назад, Кинетиковод сказал: Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP. КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2 Я не профи, много не понимаю, но стараюсь. 6 минут назад, r13 сказал: Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля, Или опишите еще раз постановку задачи. Нужен IPIP туннель, из-за его свойств, а именно его можно маршрутизировать. Что во что заворачивать, всё равно, нужен максимальный уровень безопасности. И желательно БЕЗ смены ключей в фазах Edited November 23, 2018 by rert03 вот! Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 3 минуты назад, Le ecureuil сказал: Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 23, 2018 Author Share Posted November 23, 2018 11 минуту назад, rert03 сказал: Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт. Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 14 минуты назад, rert03 сказал: КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2 Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 1 минуту назад, Le ecureuil сказал: Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа. И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас 2 минуты назад, r13 сказал: Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей. То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ? Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 2 минуты назад, Le ecureuil сказал: Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо. IKEv2 я и использую для чистого IPsec, а для автомата в мануале кроме (config-if)> ipsec preshared-key mytestingkey больше ничего нет. Кроме того, я использую eoip для удалённой дополнительной подсети, а для основной удалённой работает тот же ipsec, через который идёт и eoip. Грубо говоря один Ipsec на две подсети одновременно. А на автомате, когда я бриджую eoip/ipsec с дополнительной удалённой подсетью у основной удалённой сети соединения с основной (серверной) подсетью нет. Тогда для основной удалённой подсети я использую чистый ipsec. Я так понял, что на автомате по умолчанию используется IKEv1 и если я переведу автомат на IKEv2 не будет ли конфликта с IKEv2 чистого ipsec для основной подсети? Да и вообще стоит ли так заморачиваться из-за потери нескольких мегабит на оверхед это вопрос. Хотя если для основной сети в случае перевода eoip на IKEv2 станет доступен L2TP, то в принципе смысл есть. 14 минуты назад, Le ecureuil сказал: Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками. Надо будет изучить. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 (edited) 2 минуты назад, rert03 сказал: И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ? Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности. Edited November 23, 2018 by r13 Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 1 минуту назад, rert03 сказал: То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ? Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 (edited) 10 минут назад, r13 сказал: Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности. 9 минут назад, Кинетиковод сказал: Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты. такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ? Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает? _______________________________________________________________________________________ А! понял, Не совсем это про то, что "IPIP туннель и оба они будут доступны в отдельности.", я просто писал про уровень безопасности такого слияния тунелей. Edited November 23, 2018 by rert03 Дошло! Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 1 минуту назад, rert03 сказал: такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ? Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает? Внутри зашифрованного Ipsec будет бегать IPIP. Но в отличии от автомата они не привязаны друг к другу и вы через Ipsec сможете пускать и другие туннели. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ? Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 (edited) 11 минуту назад, rert03 сказал: А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ? no interface IPIP0 Для просмотра "творений" show interface Edited November 23, 2018 by Кинетиковод Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 8 минут назад, Кинетиковод сказал: no interface IPIP0 Так-же удалятся все сопутствующие настройки этих тунелей? Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 11 минуту назад, rert03 сказал: Так-же удалятся все сопутствующие настройки этих тунелей? Полностью весь интерфейс. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 На одном конце получаю ошибку 72220686, какой-то конфликт Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 3 часа назад, r13 сказал: Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей. На одном конце получаю ошибку 72220686, какой-то конфликт Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 Только что, rert03 сказал: На одном конце получаю ошибку 72220686, какой-то конфликт предлагаете угадывать что у вас настроено и как?! Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 1 минуту назад, rert03 сказал: Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей. Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно? Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 2 минуты назад, rert03 сказал: Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно? как настраивать расписано в первом посте, выделяете какую нибудь подсеть, и выдаете из нее разные адреса на обоих концах Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 2 минуты назад, r13 сказал: как настраивать расписано в первом посте, где? 3 минуты назад, r13 сказал: выделяете какую нибудь подсеть Не понятно, создать в домашней сети отдельный сегмент? Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 Вы ссылаетесь на стандартное описание настройки IPIP туннеля, но мне советуете указать " указывая концами туннелей локальные адреса из уже настроенных туннелей. " Это не то что в статье, отсюда и вопросы. Ip адреса или левые, или существующие. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 5 минут назад, rert03 сказал: где? еще раз, в первом посте данной темы. ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 Только что, r13 сказал: ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался... Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 26 минут назад, rert03 сказал: ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался... destination это ip роутера на противоположном конце, но саму подсеть туннеля вы придумываете сами. она никак не связана с другими используемыми сетями Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.