Jump to content

kersantinov

Forum Members
  • Content Count

    34
  • Joined

  • Last visited

Community Reputation

0 Neutral

About kersantinov

  • Rank
    Member

Equipment

  • Keenetic
    giga 3, lite 3
  1. т.е. описанное мной поведение - не стандартное? Ок, принято. Проверю на 14, 15 боязно ставить - железка далеко физически
  2. Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3 Изменилось поведение firewall. Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта. С давних времени времен есть проброс портов с ограничением по IP В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2 В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2 В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP. В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса. (1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP. (2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса. При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786 После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec. Это баг или фича? Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно?
  3. kersantinov

    Так и оказалось. Настройки веб-морды имеют приоритет над командой option 6 Помогает ip dhcp pool {name} dns-server disable
  4. Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP. Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить)
  5. Я понял, я больше не буду засорять форум своими проблемами с IPSec. Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V По теме: -приходится использовать ikev1 -кроме site-to-site Ipsec никак не используется больше. - число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать. На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио. Изучим, подумаем, запланируем переход. Спасибо.
  6. Доброго. Есть Гига 3, которая собирает на себе IPSec VPNs, есть 2 Лайт3 с белыми дин IP (IPoE) Соответсвенно на Гига3 выбрано у обоих тоннелей: Ожидать подключение от удаленного пира. На обоих лайтах впн подымается и горит зеленым. На гиге "первое" соединение горит зеленым и работает, "второе" горит красным, но по факту пинг есть c потерями с постоянными вклиниваниями Destination Unreachable. Везде 2.10.C.1.0-0 Ну и да, при установке галки Ожидать подключение от удаленного пира у меня нет возможности указать идентификатор удаленного шлюза, встает Any. Настройки 1 и 2 фазы одинаковые везде, тоннельный режим. ключи пробовал одинаковые и менять для разных пар ВПН соединений - результат одинаков. пс: пишу по памяти, выбили статический IP на одной из точек. ""
  7. Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков) Спасибо!
  8. Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся честь им и хвала. Да и дофига еще железок, которые кроме IPSec ничего не умеют.
  9. Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1. Спасибо.
  10. Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN. Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо.
  11. kersantinov

    Коллеги, доброго. Не могу добиться работы 6 опции DHCP сервера - хочу переопределить DNS для клиентов в консоли пишу: ip dhcp pool _WEBADMIN option 6 ascii 192.168.1.3,192.168.1.4,10.10.10.3,10.10.10.7 system configuration save Если в веб-морде прописаны ДНС для клиентов - получаем то, что прописано в веб-морде. Если в веб-морде не прописаны ДНС для клиентов - получаем в качестве DNS сервера - ip маршрутизатора: 10.10.209.1 Куда еще можно посмотреть? Проверял на Lite 3 и Giga 3 на 2.10.C.1.0-0
  12. kersantinov

    да, SNMP walk данные видит, в заббиксе community в макросах хоста переопределен. подопытная железка Keenetic Lite III Версия NDMS 2.10.C.1.0-0 Завтра на Giga III попробую.
  13. kersantinov

    Это то да, я пробовал. Но кроме ICMP Ping шаблоны ничего не обнаружили: ни интерфейсов и статистики интерфейсов, ни cpu\mem, хотя community я переопределял. Буду ковырять дальше. Спасибо.
  14. kersantinov

    Случаем шаблонов для мониторинга кинетикоd по SNMP для zabbix никто не делал? А то чет не растет кокос у меня с этими MIB и OID ами..
  15. kersantinov

    Снял дамп трафика камеры с нормально работающей гиги. И с другой гиги, с коряво работающей камеры . И там и там трафик идентичный. Выглядит примерно так, пакет в 1450 байт + хвостик. 4 0.000249 192.168.202.166 192.168.1.14 IPv4 1450 Fragmented IP protocol (proto=UDP 17, off=0, ID=be11) [Reassembled in #5] 5 0.000268 192.168.202.166 192.168.1.14 UDP 66 8320 → 63750 Len=1440 Вот только сквозь один тоннель Гига-керио он долетает, через другой - нет. UPD Изменение MTU до 1280 на интерфейсе камеры не помогло
×