kersantinov
-
Posts
42 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by kersantinov
-
-
В 07.12.2018 в 14:35, Le ecureuil сказал:
Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем
Потому лучше сразу это решить на актуальном ПО.
Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.
Доброго дня. Хочу вернуться к своим баранам)
Поведение все то-же и на 2.15.C.5.0-0
Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет.
Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec.
Баг\фича?
-
16 часов назад, MDP сказал:
Погодите..сеть то вы можете сделать хоть наверное класса А... 10.0.0.0/8 ... а диапазон выдаваемых адресов 150 штук... нет?
Это понятно. Но задачи изолировать диапазоны друг от друга нет)
-
12 часа назад, MDP сказал:
Погодите..сеть то вы можете сделать хоть наверное класса А... 10.0.0.0/8 ... а диапазон выдаваемых адресов 150 штук... нет?
Конечно можно. Но хотят клиентов размазать по подсети. мух в один диапазон, котлетки в другой. Фигней страдают в общем, капризы)
-
10 часов назад, Le ecureuil сказал:
А почему сами руками не хотите настроить, раз нужно так много?
Настроить руками что именно?
CLI ругается:
ip dhcp pool _WEBADMIN range 192.168.200.0 192.168.202.254
Dhcp::Pool error[983043]: size: "_WEBADMIN": range is too big, the maximum is 250 addresses.
-
Предлагаю рассмотреть возможность увеличения пула DHCP.
250 хорошо, но иногда хотелось бы использовать 23\22 подсеть.
-
Эво как всех забомбило то)
Естественно в сети не 250+ девайсов. Но выдавать IP адреса хотелось бы именно из 22 подсети.
Всем спасибо за сочувствие, тему можно закрыть)
-
1
-
-
Доброго дня. Есть гига 3.
Сменилии подсеть с 24 на 22 и рассчитывали увеличить число клиентов в сети. Но наткнулись на ограничение со стороны DHCP сервера.
ip dhcp pool _WEBADMIN range 192.168.200.0 192.168.202.254
Dhcp::Pool error[983043]: size: "_WEBADMIN": range is too big, the maximum is 250 addresses.
Есть варианты обойти, оставшись на встроенном DHCP? -
т.е. описанное мной поведение - не стандартное? Ок, принято.
Проверю на 14, 15 боязно ставить - железка далеко физически
-
Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3
Изменилось поведение firewall.Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec
ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта.С давних времени времен есть проброс портов с ограничением по IP
В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2
В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP.
В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса.(1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP.
(2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса.При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786
После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec.
Это баг или фича?
Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно? -
Так и оказалось. Настройки веб-морды имеют приоритет над командой option 6
Помогает
- ip dhcp pool {name} dns-server disable
-
Где можно использовать IPSec с IP в качестве идентификаторов - там успешно их и используем. Проблема возникла когда появилась вторая точка с динамическим IP, поэтому и небыло там возможности использовать в качестве идентификатора IP.
Селф-тест с конкретно той ситуации уже не смогу выложить, так как выбили статический IP и все успешно перенастроили. Попробую все сломать перенастроить)
-
Я понял, я больше не буду засорять форум своими проблемами с IPSec.
Все проблемы
из за бабиз за керио, который умеет только ikev1 в качестве site-to-site, а выбор пал в его пользу из за необходимости иметь user-friendly шлюз в среде Hyper-VПо теме:
-приходится использовать ikev1
-кроме site-to-site Ipsec никак не используется больше.
- число кинетиков в марте превысит 20 штук,
страшноа я люблю подольше поспать.На самом деле ясно что в моей ситуации надо отказываться от IPSec между кинетиками и переходить на другой тип тоннелей, оставив ипсек только для керио.
Изучим, подумаем, запланируем переход. Спасибо.
-
Доброго.
Есть Гига 3, которая собирает на себе IPSec VPNs, есть 2 Лайт3 с белыми дин IP (IPoE)
Соответсвенно на Гига3 выбрано у обоих тоннелей: Ожидать подключение от удаленного пира.
На обоих лайтах впн подымается и горит зеленым.
На гиге "первое" соединение горит зеленым и работает, "второе" горит красным, но по факту пинг есть c потерями с постоянными вклиниваниями Destination Unreachable.
Везде 2.10.C.1.0-0
Ну и да, при установке галки Ожидать подключение от удаленного пира у меня нет возможности указать идентификатор удаленного шлюза, встает Any.
Настройки 1 и 2 фазы одинаковые везде, тоннельный режим. ключи пробовал одинаковые и менять для разных пар ВПН соединений - результат одинаков.
пс: пишу по памяти, выбили статический IP на одной из точек.
""
-
8 часов назад, Le ecureuil сказал:
Zywall больше не наши, и вообще они умеют GRE/IPsec (насколько я помню из их настроек). Неужто Juniper SRX не умеет GRE/IPsec?
Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков)
Спасибо!
-
1 час назад, Le ecureuil сказал:
Судя по опыту прошлых лет, скорее всего мы не будем лепить костыли под чужое вендороспецифичное решение.
Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся
честь им и хвала.
Да и дофига еще железок, которые кроме IPSec ничего не умеют.
-
4 минуты назад, Le ecureuil сказал:
Смысла нет абсолютно, особенно после появления автотуннелей и L2TP/IPsec всех видов. Берите и используйте, а не костыли лепите.
Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1.
Спасибо.
-
Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN.
Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо.
-
Коллеги, доброго. Не могу добиться работы 6 опции DHCP сервера - хочу переопределить DNS для клиентов
в консоли пишу:
ip dhcp pool _WEBADMIN option 6 ascii 192.168.1.3,192.168.1.4,10.10.10.3,10.10.10.7
system configuration saveЕсли в веб-морде прописаны ДНС для клиентов - получаем то, что прописано в веб-морде.
Если в веб-морде не прописаны ДНС для клиентов - получаем в качестве DNS сервера - ip маршрутизатора: 10.10.209.1
Куда еще можно посмотреть? Проверял на Lite 3 и Giga 3 на 2.10.C.1.0-0
-
6 часов назад, dexter сказал:
А вы "service snmp" в консоли писали?
да, SNMP walk данные видит, в заббиксе community в макросах хоста переопределен.
подопытная железка Keenetic Lite III Версия NDMS 2.10.C.1.0-0
Завтра на Giga III попробую.
-
Это то да, я пробовал.
Но кроме ICMP Ping шаблоны ничего не обнаружили: ни интерфейсов и статистики интерфейсов, ни cpu\mem, хотя community я переопределял.
Буду ковырять дальше. Спасибо.
-
Случаем шаблонов для мониторинга кинетикоd по SNMP для zabbix никто не делал? А то чет не растет кокос у меня с этими MIB и OID ами..
-
Снял дамп трафика камеры с нормально работающей гиги.
И с другой гиги, с коряво работающей камеры .
И там и там трафик идентичный. Выглядит примерно так, пакет в 1450 байт + хвостик.
4 0.000249 192.168.202.166 192.168.1.14 IPv4 1450 Fragmented IP protocol (proto=UDP 17, off=0, ID=be11) [Reassembled in #5]
5 0.000268 192.168.202.166 192.168.1.14 UDP 66 8320 → 63750 Len=1440
Вот только сквозь один тоннель Гига-керио он долетает, через другой - нет.
UPD Изменение MTU до 1280 на интерфейсе камеры не помогло
-
4 минуты назад, KorDen сказал:
это при пинге через туннель?
Нет, через тоннель ограничние 1410 байт.
-
1 час назад, KorDen сказал:
Это когда только одна камера шлет уже проблема, или суммарно когда с каждой по 700 летит? Перестает проходить - вообще ничего не приходит, или же поток начинает сыпаться?
Речь об одной камере, а не о суммарном потоке с камер. Видео-поток вообще не воспроизводится, даже не пытается. Аудио кстати идет, только-что случайно заметил.
На машине в локали - все ок.
За ВПН - глухо. Причем попробовал с другого филилала зацепиться к камере - тоже видео нет, это я к тому что керио не при делах...
Как проверяю - VLC.
rtsp://auth@10.10.11.51:554/Streaming/Channels/1 - воспроизводит только звук
rtsp://auth@10.10.11.51:554/Streaming/Channels/2 - звук и видео, все ок.
upd: кстати в обратную сторону - из офиса в филиал, жирный поток проходит.
И еще один момент. Ipsec же в любом случае фрагментирует большие пакеты. Значит дело не в провайдере?
Потому лучше сразу это решить на актуальном ПО.
Route-based IPSec
in Развитие
Posted
Дико плюсую, просил еще года два назад...