AK
этих дух правил достаточно
Size: a a a
2021 March 25
AK
хотя с фаерволом может и цепочка форвард))
K
Не знаю, "у меня всё работает" (c) :))
можешь дамп esp трафика с клиента прислать в момент подключения и еще /ip ipsec installed-sa print detail с респондера
A
Alexey Kravchenko
action=accept замени на netmap
Шта?...
AK
Шта?...
не тудой глянул)
A
Alexey Kravchenko
не тудой глянул)
netmap хоть что делает понимаете?
AK
netmap хоть что делает понимаете?
с утра да, к вечеру пофигу уже)
A
Alexey Kravchenko
с утра да, к вечеру пофигу уже)
Тогда вечером не давайте советов
EP
Alexey Kravchenko
ip firewall add action=accept chain=input connection-state=!invalid dst-port=11945 in-interface=ether1 protocol=tcp
ip firewall
такое есть, счётчик по нулям.
filter add ?такое есть, счётчик по нулям.
A
ip firewall
такое есть, счётчик по нулям.
filter add ?такое есть, счётчик по нулям.
Не слушай его
А
Alexey Kravchenko
И в фаерволе кажись надо разрешить входящие на порт 11945
нет, нужен диапазон портов 1941-1945 это если в СНГ, на западе надо 1939-1945
EP
можешь дамп esp трафика с клиента прислать в момент подключения и еще /ip ipsec installed-sa print detail с респондера
попробую
AK
правильно. не слушай меня)
EP
нет, нужен диапазон портов 1941-1945 это если в СНГ, на западе надо 1939-1945
😊
заметили-таки! :))
заметили-таки! :))
EP
Не слушай его
А кого слушать? Больше никто не советует. :)
А
вот никого и не слушай
K
попробую
только когда будешь снимать дамп, то sa надо успеть посмотреть до смены ключей
EP
можешь дамп esp трафика с клиента прислать в момент подключения и еще /ip ipsec installed-sa print detail с респондера
wireshark'ом?
A
А кого слушать? Больше никто не советует. :)
1) у тебя какой IP-адрес у внутреннего сервера?
2) его ип должен быть в правиле дст-нат
3) в фильтре в цепочке форвард должен быть разрешен шибо 3389, либо 11945, в зависимости от того, что раньше срабатывает, фаер или нат (я не помню). Можешь проверить методом проб.
4) не вижу для этого правила у тебя белого списка адресов. Открывать со всего интернета даже нестандартный порт рдп - плохая идея.
2) его ип должен быть в правиле дст-нат
3) в фильтре в цепочке форвард должен быть разрешен шибо 3389, либо 11945, в зависимости от того, что раньше срабатывает, фаер или нат (я не помню). Можешь проверить методом проб.
4) не вижу для этого правила у тебя белого списка адресов. Открывать со всего интернета даже нестандартный порт рдп - плохая идея.
K
wireshark'ом?
да