Jump to content

Alexander Eerie

Forum Members
  • Content Count

    26
  • Joined

  • Last visited

Everything posted by Alexander Eerie

  1. 2.14.C.0.0-4 Start (KN-1110) Работает редирект на сервер, но на сам сервер не пускает. Если включить-выключить Captive portal, то перестает работать дхчп на сегменте. Хотя летом работало на этих настройках. Что-то обновили - сломалось.
  2. Alexander Eerie

    это тунель внутри айписека... всеже айписек не роутится)
  3. Alexander Eerie

    айписек не роутится по своему дизайну. этого не будет никогда. переходите на pptp/l2tp - если нельзя на чистые тунели
  4. я поднимаю камеры через впн на хостинге. или нужен ещё один роутер с белым ип. сстп слишком тормозной для камер... на хостинг ставится сервер впн, на роутере клиент.
  5. Сталкивался с таким! Вива отвечает не с того ип адреса. Лечится просто: добавьте маршрут 192.168.10.0.24 на интерфейс LAN. Если не поможет, то укажите "виртуальный адрес" в сети 0.0/24 (например 192.168.0.254 или адрес самого роутера 192.168.0.1) Я плохо разбираюсь какие маршруты генерирует кинетик из конфига так что надо проверять) Метод отрабатывает на опенврт и микротиках. Звучит немного не логично, но это айписек - на нем не срабатывают маршруты, но данное правило помогает роутеру понять что отвечать нужно с адреса 0.1
  6. Пробовал настроить l2tp сервер. не вышло добавить маршрут от сервера к подсети клиента. морда не принимает.
  7. а если нет усб?) да наверное надо свой мод прошивки делать... квага привычней.. ну можно и бёрд.) насчёт белых.. для gre нужен удаленный адрес на обоих концах знать для transport mode, а туннель внутри тунеля - опять вручную прописывать айпишники на сервере и на клиенте. В этом случае проще l2tp гонять - там все настройки в одном месте
  8. был бы пакетик с квагой в комплекте и белые адреса....
  9. да не, надо просто пару костылей воткнуть...) займусь потом может
  10. access-list 117_117 deny ip 192.168.117.0 255.255.255.0 192.168.117.0 255.255.255.0 permit ip 192.168.0.0 255.255.0.0 192.168.117.0 255.255.255.0 ! Было бы классно, если crypto map принял такой лист как nocrypt для первой строчки, crypt для второй.. В микротиках такое правило добавляем и можно гонять до 10.0.0.0/8
  11. Alexander Eerie

    Не могу найти в вэб интерфейсе как отключить NAT. В синей версии была одна галочка, которая отключала нат на всех интерфейсах и включала на всех. Хочется иметь возможность отключать НАТ на интерфейсах VPN (на данный момент) и но на интерфейсах Эзернет тоже не помешает. У меня сейчас Всё работает с включенным в обе стороны трафик ходит, но иногда важно иметь представление с какого хоста пришел запрос из локалки.
  12. Дошли руки попробовать. Политики загрузились не в том порядке и соответственно я потерял локалку) как же мне звезду сделать....
  13. Alexander Eerie

    тяжелая логика... можно пример? отключить снат из локальной сети в пптп-впн (без дефолт гейтвэя). Это можно сделать в 2.08?
  14. Alexander Eerie

    ip static??? в жизни бы не подумал что раздел с таким именем может быть связан с натом. (config)> ip static ISP ISP Network::StaticNat: Static NAT rule has been added. и что оно сделало? вообще не понял) да черт с ним с вэбом - через консоль понятно бы делалось... так вот судя по темплейту - это DSTNAT. Мне SRCNAT нужен...
  15. Странно как-то всё работает. домашний роутер нормально держит, другой подключается, но нет трафика по айписеку, третий не подключается совсем))
  16. Через match-address - жестяка то какая) еле нашел
  17. Обленился на старости лет... попробую! новые кинетики только начал изучать считай. избавился от пары тплинков с опенврт и настал стабильный впн, да и плюшки
  18. Имя IPsec-подключения я указываю как ipsec://example.com и тогда при сохранинии получаю фигу, никаких ошибок, просто нет подключния.
  19. Так давайте просить %any, 0.0.0.0/0 или несколько подсетей хотябы в cli. Проблема рересечения подсетей лечится тем что сначала ставится политика не применять айписек в локальную сеть, а вслед за ней политика применить айписек для удаленной сети. На голом стронгсване пробовал: там вылезла одна ошибулечка при неправильныйх подсетях - похоже разработчики её вылечили таким запретом...
  20. Дело то в том что сервер дать не может. тут в админк какая прописал ту и завернули. Возможности нет принять ту что дал сервер У меня на сервере вот так и хочу их все как 192.168.0.0/16 192.168.76.0/24 via 192.168.12.76 dev ppp8 metric 10 192.168.76.0/24 via 192.168.12.38 dev ppp9 metric 30 192.168.125.0/24 via 192.168.12.125 dev ppp5 metric 10 192.168.125.0/24 via 192.168.12.35 dev ppp2 metric 30 192.168.151.0/24 via 192.168.12.40 dev ppp10 metric 30 192.168.167.0/24 via 192.168.12.167 dev ppp0 metric 10 192.168.167.0/24 via 192.168.12.33 dev ppp1 metric 30 192.168.172.0/24 via 192.168.12.172 dev ppp12 metric 10 192.168.200.0/24 via 192.168.12.200 dev ppp4 metric 10 192.168.204.0/24 via 192.168.12.204 dev ppp6 metric 20 192.168.244.0/24 via 192.168.12.244 dev ppp3 metric 10 192.168.245.0/24 via 192.168.12.245 dev ppp7 metric 20 На компе у меня вообще сеть не прописана и поэтому я получаю от пира ту что пир анонсирует как leftsubnet.
  21. IKE2 PSK Хочу вот так, на компе могу получить любую подсеть, указанную в leftsubnet. А тут только непересекающуюся с локальной. Хотел бы написать тут %any чтоб какую сервер дал, тут и цеплять.
  22. У меня есть хотспот, который неплохо продается по стране. С новой прошивкой Кинетика можно далеко и надолго послать Микротики в половине случаев. В редиректе на микротиках использую параметры called и nasid. Очень удобно смешивать их для установки нескольких разных профилей (внешний вид, текст, способы входа) на одном роутере и наборот одного профиля на многих роутерах. Разница в том что в Микротике nasid беру из hostname и он же передается в аккаунтинге. Called же берется из имени сервера, по нему и определяю внешний вид странички. Поменять их местами на сервере можно, но тогда поменяются и параметры аккаунтинга. Просьба у меня такая: вынесите опцию nasmac="server_name" в вэб интерфейс. Если она не пустая, то она передается в called, если пустая, то в called передается mac. Т.к. портал похоже на основе coova-chilli - это будет работать как надо и ничего не сломает у других.
  23. Круто! А что с мелочью типа Start, Lite?
  24. Alexander Eerie

    Нашел в cli, но (config-if)> chilli nasmac server1 Command::Base error[7405602]: mac: argument parse error. Можно чтоб там вбивалось что-то вроде "server1"? Обычная чили принимает тут любое имя
  25. Alexander Eerie

    802.11r включал на юбиках - всё стало настолько плохо с вайфаем, что решил подождать пару лет, пока все телефоны не поменяют на новые)
×