alekssmak

Вот access-list из конфига: ntp server 3.pool.ntp.org access-list LIST_TEST_D deny ip 192.168.64.0 255.255.240.0 192.168.1.63 255.255.255.255 ! access-list _WEBADMIN_IPSEC_TEST permit ip 192.168.1.0 255.255.255.0 192.168.64.0 255.255.240.0 ! isolate-private но доступ к узлу 192.168.1.63 из подсети 192.168.64.0/20 есть. сам полный startup ниже:

Уф, не получается что-то. Добавляется он командой crypto map match-address ? Добавил access-list access-list LIST_TEST_D deny ip 192.168.64.0 255.255.240.0 192.168.1.63 255.255.255.255 при добавлении через CLI (config)> crypto map TEST (config-crypto-map)> match-address LIST_TEST_D IpSec::Manager: Crypto map "TEST" match-address set to "LIST_TEST_D". он благополучно "затирает" дефолтный _WEBADMIN_IPSEC_TEST crypto map TEST set-peer xx.xx.xx.xx set-profile TEST set-transform TEST match-address LIST_TEST_D set-tcpmss pmtu connect nail-up virtual-ip no enable enable Туннель после перезагрузки соответственно не стартует.

Подскажите, что-то не получается: Keenetic 4G III v2.08(AAUR.0)A11 Туннель до Kerio Control: crypto ike key TEST ns3 vQtaxm8bcfBL dn kcontrol.domen.by crypto ike proposal TEST encryption aes-cbc-128 encryption 3des dh-group 15 dh-group 14 integrity sha1 integrity md5 ! crypto ike policy TEST proposal TEST lifetime 3600 mode ikev1 negotiation-mode main ! crypto ipsec transform-set TEST cypher esp-3des cypher esp-aes-128 hmac esp-sha1-hmac lifetime 3600 ! crypto ipsec profile TEST dpd-interval 30 identity-local dn zip.domen.by match-identity-remote dn kcontrol.domen.by authentication-local pre-share mode tunnel policy TEST ! crypto map TEST set-peer xx.xx.xx.xx set-profile TEST set-transform TEST match-address _WEBADMIN_IPSEC_TEST set-tcpmss pmtu connect nail-up virtual-ip no enable enable access-list: access-list _WEBADMIN_IPSEC_TEST permit ip 192.168.1.0 255.255.255.0 192.168.64.0 255.255.240.0 deny ip 192.168.64.0 255.255.240.0 192.168.1.63 255.255.255.255 добавил в него второй строкой запрет доступа на IP 192.168.1.63 Первая, по мануалу, используется для фазы 2 IPSec. Доступ из 192.168.64.0/20 на 192.168.1.63 не блокируется. Или необходимо еще один access-list?

Сорри за настойчивость, а можно сориентировать как-то по срокам, когда это может быть? p.s. просто готовим пачку роутеров на объекты, и пока по старому (OpenVPN + iptables)

Спасибо, все получилось. Вдогонку вопрос по фильтрацию IPSec отсюда: Это пока еще не реализовано?

Раньше пробовал, но это подключение по терминологии Kerio "клиентское" - доступ только со стороны кинетика в локальную сеть Kerio. Обратно - только до кинетика, сеть за ним недоступна.

сорри, туплю. Можно подробнее?

В том-то и дело, что нет там интерфейса IPSec:

Маршрутизатор в локалке, 192.168.170.3 Доступ с Keenetic (в домашней сети) есть.

Форумчане, подскажите: Настроен IPSec tunnel к Kerio Control (как тут). В настройках IPSec локальная сеть роутера - 192.168.1.0/24, удаленная (за Kerio) - 192.168.170.0/24 Вопрос: можно ли добавить маршрут до сети 192.168.171.0/24 - (находится за Kerio) через установленный канал IPSec. Пробовал расширением маски - не получилось.

Замечательно, ждемс...

Было бы здорово, спасибо. Я готов и дольше ждать. Но тут еще одна хотелка всплыла (пересмотрел конфиг OpenVPN + iptables) - запрет доступа по 137-139/TCP,UDP (NETBIOS) 445/TCP,UDP (MICROSOFT-DS) В идеале бы, конечно, настраиваемый список портов для блокировки узла.

Это какой-то уже реализованный функционал (ткните, если не сложно), или необходима разработка?

В связи с тестированием IPSec (пока используется OpenVPN) возник вопрос - можно ли штатными средствами MCЭ ограничивать доступ в туннеле? Собственно, необходимо закрывать HTTP/HTTPS доступ к некоторым узлам подключенных по IPSec сегментов.

Да, внести бы в WishList. Я и от etherwake не откажусь, но часто "смартфонный" интерфейс так жизнь упрощает... Особенно, если не себе...

А есть возможность использовать WOL c помощью пакетов OPKG (коммандной строкой)? Когда-то на V1 пользовался etherwake, а для DSL что-то ничего похожего не нашел.