Jump to content

SerjioS

Forum Members
  • Content Count

    8
  • Joined

  • Last visited

Community Reputation

0 Neutral

About SerjioS

  • Rank
    Newbie

Equipment

  • Keenetic
    Keenetic 4G III

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Да, вроде то, что надо, спасибо! Т.е. получается, что для работы split nat надо прописать на каждом Keenetic ip nat ISP ip nat LTE ip static Home ISP ip static Home LTE Плюс для каждого конкретного хоста что-то вроде. ip route 185.15.172.18 ISP auto !OFD.RU ip route 185.15.172.18 LTE auto !OFD.RU Жаль, конечно, что не получается централизовано, через OpenVPN, раздавать маршруты. И/или что нельзя использовать группы IP-адресов/подсетей при настройке маршрутизации и фаервола. А то, ведь, то у Сбера адрес эквайринга изменится, то новый ОФД начнут использовать...
  2. Доброго дня, Есть работающий OpenVPN сервер (pfSense). Используется в режиме Remote Access TLS для доступа из нескольких магазинов (Keenetic 4G) к серверам в офисе (пусть будет 192.168.2.0/24). Типовая конфигурация магазина: Keenetic 4G (KN-1210) ver. 3.5.6; Настройки OpenVPN - TUN, subnet, 10.11.12.0/24; Домашняя сеть магазина - 192.168.172.0/24; Весь трафик из домашней сети магазина заворачивается в OpenVPN - redirect-gateway def1,route-gateway 10.11.12.1; Хосты в офисе и в магазинах видят друг-друга; Локальный NAT на Keenetic отключен (no ip nat
  3. Согласен, у меня возникли те же подозрения. Хотя в данном случае у меня не работают обе редакции IKE. Я в самом начале этой эпопеи спрашивал нескольких разных специалистов Мегафона на этот счёт. Ни один не подтвердил. Но с другой стороны, это может быть их внутренняя инфа, не для разглашения, или они сами не в курсе нововведений.
  4. Пробовал я и IKEv1 и IKEv2. Никаких изменений. Сейчас менеджер из Мегафона, с которым я общаюсь, в отпуске. Так что - пока пауза. По техническим вопросам идти на контакт их служба отказывается напрочь. Периодически продолжают изображать кипучую деятельность, н-р последний раз спросили настройки DMVPN. На вопрос - чего они там рассчитывают найти ТАКОГО - ответа я не получил (хотя я и писал изначально - конфигурация рабочая, её никто не менял несколько лет и "сломалось" всё в один день). Менеджером был предложен вариант некоей тарифной опции, как я понял - разновидность "белого" IP-адреса,
  5. Про UDP/500 - соединение инициируется со стороны удалённой площадки. И на Cisco и на Zyxel дампы трафика это показывают. Раньше пакеты спокойно доходили до DMVPN Hub'а в центре. Сейчас до него пакеты просто не доходят. Только вот, ДО Апреля всё прекрасно работало. Сама схема отлажена и используется уже несколько лет - все необходимые NAT-T за это время были включены. Соответствующие опции присутствуют в пакетах, что видно при анализе дампов трафика. Про ip nat udp-port-preserve - да, помогает всегда. Или так или подключать на SIM фиксированный IP (и прописывать соответствующую APN). Я про
  6. Добрый день, я ещё с начала Апреля нахожусь в контакте и с техподдержкой (есть активная заявка) и с корпоративным менеджером. Пока что воз и ныне там.
  7. МегаФон это. Регионы, где столкнулись с этим: СПб, Москва, Московская, Ленинградская, Мурманская и Ярославская области. Кстати, про их тех. поддержку - раньше у них такой "упёртости" не замечал. До этого возникали пару раз серьёзные вопросы - решилась оперативно. Хз, что на них нашло в этот раз.
  8. Дня! Для связи удалённых площадок с центром использую связку Cisco 881 + Keenetic 4G III (rev.B, release: 2.15.C.4.0-1) c USB-LTE модемом, поверх этого бегает IPSec (DMVPN). Однако, с Апреля начались "чудеса" с одним из операторов сотовой связи - перестал проходить IPSec (DMVPN). Как показал анализ трафика - пакеты (UDP/500) просто не доходят до центра. "Зачем и почему" - техподдержка оператора реагирует в высшей степени неторопливо и занимается какой-то дурью типа "почему у вас на динамическом(!) подключении... меняется IP-адрес" (я серьёзно, это практически цитата).
×
×
  • Create New...