А
Зато у руководителя мак работает. Что важнее? 😁
Важнее советовать в чате сетап под вашего странного начальника
Size: a a a
2019 November 26
E
Ну, кроме меня особо никто не советовал, а я скинул рабочие параметры, от которых можно отталкиваться
E
)
k)
отлично айфоны не видят сеть на 5 ггц
П
kino )))
отлично айфоны не видят сеть на 5 ггц
Какие настройки стоят сейчас?
k)
```add channel.band=5ghz-a/n/ac country=russia datapath.local-forwarding=yes \
keepalive-frames=enabled mode=ap name=cfg2 rx-chains=0,1,2 security=\
security1 ssid=nest5 tx-chains=0,1,2
keepalive-frames=enabled mode=ap name=cfg2 rx-chains=0,1,2 security=\
security1 ssid=nest5 tx-chains=0,1,2
k)
ЮГ
Доброго вечера суток всем! )
Прошу помощи...
Есть CHR на AWS (vpn.grib69.ru) cо статик-IP.
Есть два MT дома - ([gw01,gw02].grib69.ru) с динамическими внешними адресами и внутренними сетями за ними (192.168.1.0/24 и 192.168.2.0/24)
Для начала пытаюсь их связать между собой по L3, в последствии собираюсь часть трафика заворачивать на CHR.
По l2tp/ipsec и sstp всё получается без проблем.
В целях самообразования решил попробовать IKEv2 и тут у меня затык. Вроде всё делаю как завещал уважаемый Тарикин с поправкой на свои хотелки, а не выходит...
Туннель поднимается, на стороне клиента появляется новый IP, на стороне сервера не появляется (а должен?). Пинг на CHR из сети за gw02 по тоннелю идёт, до второй сети нет.
Как клиента пока мучаю gw02, gw01 подключен по SSTP.
Прошу помощи...
Есть CHR на AWS (vpn.grib69.ru) cо статик-IP.
Есть два MT дома - ([gw01,gw02].grib69.ru) с динамическими внешними адресами и внутренними сетями за ними (192.168.1.0/24 и 192.168.2.0/24)
Для начала пытаюсь их связать между собой по L3, в последствии собираюсь часть трафика заворачивать на CHR.
По l2tp/ipsec и sstp всё получается без проблем.
В целях самообразования решил попробовать IKEv2 и тут у меня затык. Вроде всё делаю как завещал уважаемый Тарикин с поправкой на свои хотелки, а не выходит...
Туннель поднимается, на стороне клиента появляется новый IP, на стороне сервера не появляется (а должен?). Пинг на CHR из сети за gw02 по тоннелю идёт, до второй сети нет.
Как клиента пока мучаю gw02, gw01 подключен по SSTP.
ЮГ
Конфиг сервера:
/ip ipsec mode-config
add name=cfg_vpn.grib69.ru system-dns=no
add address=192.168.254.250 name=cfg_gw02.grib69.ru split-include=192.168.254.0/24,192.168.1.0/24 static-dns=1.1.1.1 system-dns=no
/ip ipsec policy group
add name=routers
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=vpn.grib69.ru nat-traversal=no
/ip ipsec peer
add exchange-mode=ike2 name=peer_VPN passive=yes profile=vpn.grib69.ru
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm \
name=vpn.grib69.ru pfs-group=none
/ip ipsec identity
add auth-method=rsa-signature certificate=vpn.grib69.ru generate-policy=port-strict match-by=certificate mode-config=cfg_gw02.grib69.ru my-id=\
fqdn:vpn.grib69.ru peer=peer_VPN policy-template-group=routers remote-certificate=gw02@vpn.grib69.ru remote-id=user-fqdn:gw02@vpn.grib69.ru
/ip ipsec policy
add dst-address=0.0.0.0/0 group=routers proposal=vpn.grib69.ru src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config
add name=cfg_vpn.grib69.ru system-dns=no
add address=192.168.254.250 name=cfg_gw02.grib69.ru split-include=192.168.254.0/24,192.168.1.0/24 static-dns=1.1.1.1 system-dns=no
/ip ipsec policy group
add name=routers
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=vpn.grib69.ru nat-traversal=no
/ip ipsec peer
add exchange-mode=ike2 name=peer_VPN passive=yes profile=vpn.grib69.ru
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm \
name=vpn.grib69.ru pfs-group=none
/ip ipsec identity
add auth-method=rsa-signature certificate=vpn.grib69.ru generate-policy=port-strict match-by=certificate mode-config=cfg_gw02.grib69.ru my-id=\
fqdn:vpn.grib69.ru peer=peer_VPN policy-template-group=routers remote-certificate=gw02@vpn.grib69.ru remote-id=user-fqdn:gw02@vpn.grib69.ru
/ip ipsec policy
add dst-address=0.0.0.0/0 group=routers proposal=vpn.grib69.ru src-address=0.0.0.0/0 template=yes
N
Конфиг сервера:
/ip ipsec mode-config
add name=cfg_vpn.grib69.ru system-dns=no
add address=192.168.254.250 name=cfg_gw02.grib69.ru split-include=192.168.254.0/24,192.168.1.0/24 static-dns=1.1.1.1 system-dns=no
/ip ipsec policy group
add name=routers
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=vpn.grib69.ru nat-traversal=no
/ip ipsec peer
add exchange-mode=ike2 name=peer_VPN passive=yes profile=vpn.grib69.ru
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm \
name=vpn.grib69.ru pfs-group=none
/ip ipsec identity
add auth-method=rsa-signature certificate=vpn.grib69.ru generate-policy=port-strict match-by=certificate mode-config=cfg_gw02.grib69.ru my-id=\
fqdn:vpn.grib69.ru peer=peer_VPN policy-template-group=routers remote-certificate=gw02@vpn.grib69.ru remote-id=user-fqdn:gw02@vpn.grib69.ru
/ip ipsec policy
add dst-address=0.0.0.0/0 group=routers proposal=vpn.grib69.ru src-address=0.0.0.0/0 template=yes
/ip ipsec mode-config
add name=cfg_vpn.grib69.ru system-dns=no
add address=192.168.254.250 name=cfg_gw02.grib69.ru split-include=192.168.254.0/24,192.168.1.0/24 static-dns=1.1.1.1 system-dns=no
/ip ipsec policy group
add name=routers
/ip ipsec profile
add dh-group=modp2048,modp1536,modp1024 enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256 name=vpn.grib69.ru nat-traversal=no
/ip ipsec peer
add exchange-mode=ike2 name=peer_VPN passive=yes profile=vpn.grib69.ru
/ip ipsec proposal
add auth-algorithms=sha512,sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm \
name=vpn.grib69.ru pfs-group=none
/ip ipsec identity
add auth-method=rsa-signature certificate=vpn.grib69.ru generate-policy=port-strict match-by=certificate mode-config=cfg_gw02.grib69.ru my-id=\
fqdn:vpn.grib69.ru peer=peer_VPN policy-template-group=routers remote-certificate=gw02@vpn.grib69.ru remote-id=user-fqdn:gw02@vpn.grib69.ru
/ip ipsec policy
add dst-address=0.0.0.0/0 group=routers proposal=vpn.grib69.ru src-address=0.0.0.0/0 template=yes
У меня подозрение на политики, пропишите явно, из сети в сеть.
N
Пингуйте с указанием src адреса, чтобы пинг попадал под политику.
IO
Внезапно, андроидное приложение микротика оказалось удобнее, чем tmux+ssh, когда, сидя в толкане,хочешь включить гостевой вифи
ЮГ
У меня подозрение на политики, пропишите явно, из сети в сеть.
Извиняюсь за глупый вопрос - а это как? )) Только пару дней как начал осваивать ipsec...
Сейчас попробую
Сейчас попробую
ЮГ
С указанием соурс адреса тоже пинги с gw02 на gw01 не идут
N
Извиняюсь за глупый вопрос - а это как? )) Только пару дней как начал осваивать ipsec...
Сейчас попробую
Сейчас попробую
Давайте в личку, а то это надолго наверное :)
ЮГ
Давайте в личку, а то это надолго наверное :)
👌
E
Внезапно, андроидное приложение микротика оказалось удобнее, чем tmux+ssh, когда, сидя в толкане,хочешь включить гостевой вифи
это всё аура толкана
А
Внезапно, андроидное приложение микротика оказалось удобнее, чем tmux+ssh, когда, сидя в толкане,хочешь включить гостевой вифи
раньше с толкана сидел по ссш?
IO
Ага
IO
Как задрот