Jump to content

kersantinov

Forum Members
  • Content Count

    41
  • Joined

  • Last visited

Community Reputation

0 Neutral

About kersantinov

  • Rank
    Member

Equipment

  • Keenetic
    giga 3, lite 3

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Доброго дня. Хочу вернуться к своим баранам) Поведение все то-же и на 2.15.C.5.0-0 Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет. Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec. Баг\фича?
  2. kersantinov

    Это понятно. Но задачи изолировать диапазоны друг от друга нет)
  3. kersantinov

    Конечно можно. Но хотят клиентов размазать по подсети. мух в один диапазон, котлетки в другой. Фигней страдают в общем, капризы)
  4. kersantinov

    Настроить руками что именно? CLI ругается: ip dhcp pool _WEBADMIN range 192.168.200.0 192.168.202.254 Dhcp::Pool error[983043]: size: "_WEBADMIN": range is too big, the maximum is 250 addresses.
  5. Предлагаю рассмотреть возможность увеличения пула DHCP. 250 хорошо, но иногда хотелось бы использовать 23\22 подсеть.
  6. kersantinov

    Эво как всех забомбило то) Естественно в сети не 250+ девайсов. Но выдавать IP адреса хотелось бы именно из 22 подсети. Всем спасибо за сочувствие, тему можно закрыть)
  7. kersantinov

    Доброго дня. Есть гига 3. Сменилии подсеть с 24 на 22 и рассчитывали увеличить число клиентов в сети. Но наткнулись на ограничение со стороны DHCP сервера. ip dhcp pool _WEBADMIN range 192.168.200.0 192.168.202.254 Dhcp::Pool error[983043]: size: "_WEBADMIN": range is too big, the maximum is 250 addresses. Есть варианты обойти, оставшись на встроенном DHCP?
  8. т.е. описанное мной поведение - не стандартное? Ок, принято. Проверю на 14, 15 боязно ставить - железка далеко физически
  9. Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3 Изменилось поведение firewall. Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта. С давних времени времен есть проброс портов с ограничением по IP В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2 В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2 В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP. В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса. (1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP. (2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса. При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786 После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec. Это баг или фича? Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно?
  10. kersantinov

    Так и оказалось. Настройки веб-морды имеют приоритет над командой option 6 Помогает ip dhcp pool {name} dns-server disable
  11. Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP. Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить)
  12. Я понял, я больше не буду засорять форум своими проблемами с IPSec. Все проблемы из за баб из за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-V По теме: -приходится использовать ikev1 -кроме site-to-site Ipsec никак не используется больше. - число кинетиков в марте превысит 20 штук, страшно а я люблю подольше поспать. На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио. Изучим, подумаем, запланируем переход. Спасибо.
  13. Доброго. Есть Гига 3, которая собирает на себе IPSec VPNs, есть 2 Лайт3 с белыми дин IP (IPoE) Соответсвенно на Гига3 выбрано у обоих тоннелей: Ожидать подключение от удаленного пира. На обоих лайтах впн подымается и горит зеленым. На гиге "первое" соединение горит зеленым и работает, "второе" горит красным, но по факту пинг есть c потерями с постоянными вклиниваниями Destination Unreachable. Везде 2.10.C.1.0-0 Ну и да, при установке галки Ожидать подключение от удаленного пира у меня нет возможности указать идентификатор удаленного шлюза, встает Any. Настройки 1 и 2 фазы одинаковые везде, тоннельный режим. ключи пробовал одинаковые и менять для разных пар ВПН соединений - результат одинаков. пс: пишу по памяти, выбили статический IP на одной из точек. ""
  14. Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков) Спасибо!
  15. Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся честь им и хвала. Да и дофига еще железок, которые кроме IPSec ничего не умеют.
×
×
  • Create New...