AS
достаточно использовать нормальную парольную политику с регулярной сменой паролей, все остальное бред
Size: a a a
2021 June 07
AS
В части почтовых серверов точно
F
Ага, тогда вопрос: имеем статик белый, включен cloud, настроено правило на порт, так обращение из одной подсети происходит, а с внешней нет, в чем загвоздка?
Л
в конфигурации, которую знаете (пока что) только вы
RP
Вы можете отдавать адрес IPSec gateway, как DNS имя, предварительно создав в зоне для этого имени три A записи для каждого WAN IP. Направлять ESP пакеты одной SA через разные WAN плохая идея, поскольку вы можете столкнуться с тем, что будете выходить за пределы anti-replay Window и тогда пакеты будут просто отбрасываться.
F
конфигурация defconf + правило add action=accept chain=input dst-port=8291 log=yes protocol=tcp
Л
такое себе менеджмент на родном порту открывать наружу)
по айпишнику, а не по имени, снаружи доступ есть?
по айпишнику, а не по имени, снаружи доступ есть?
F
да вопрос не в том что открыть этот порт наружу, а в принципе доступ..
так то снаружи доступ есть
так то снаружи доступ есть
Л
вы написали что-то эфемерное
что не работает-то?
что не работает-то?
F
Еще раз: включил cloud, добавил правило на порт, пытаюсь через wibox подключиться по dns name и если подключаюсь из "своей" сети 88.1/24 - то доступ есть, если из любой другое сети - нет
A
Не знаю куда копать. задача поднять отказоустойчивый vpn Секюрность тоже нужна. Были мысли поднять три ikev2 с двух сторон но как это реализовать и заставить работать как единое целое ума не приложу
F
src. Address пустой, т.к. адреса разные..
Л
теперь узнайте, в какой айпишник зарезолвился Cloud (написано в Public Address)
сравните этот айпишник с тем, что у вас на wan-интерфейсе
если совпадает - попробуйте зайти не по доменному имени, а по этому самому айпишнику из "не своей" сети
получается?
добавленное правило, надеюсь, находится выше дропающего?
сравните этот айпишник с тем, что у вас на wan-интерфейсе
если совпадает - попробуйте зайти не по доменному имени, а по этому самому айпишнику из "не своей" сети
получается?
добавленное правило, надеюсь, находится выше дропающего?
F
конечно, выше.
доступ по ip есть, но через winbox - "в подключении отказано"
доступ по ip есть, но через winbox - "в подключении отказано"
E
"доступ есть, но в подключении отказано".
красота)
красота)
Л
а если бы скинули полную конфигурацию (и маршрутизации, и сервисов, и фаерволла), то вопросы не задавались бы...
/export hide-sensitive
/export hide-sensitive
F
скидывал же, удалили..
E
потому что нечего кидать простыни в чат. для этого существует pastebin
Л
потому что надо на pastebin.com
не надо тут простыней
не надо тут простыней