AK
Да тот же пинг. Он не может обратно вернуться. Ну дойдет он до лупбека, а дальше ему куда?
в каком смысле не может? обратно ему на адрес который нарисован в полиси
Size: a a a
2020 December 21
AK
если бы не было связности - не было бы смысла вообще делать икев2 впн ...
AK
вы в мод конфиге делаете адрес клиентам (пул)
оттуда адрес выдавется,
оттуда адрес выдавется,
@
ага .... а когда таких скажем миллион то мировой интернет забит бродкастом уже на 200 гигабит ... :D
Да в общем в провайдерской сети тоже много мусора бродит. Вот тот же айфон почему-то ломится наружу в поисках богон сетей. Спрашивается, зачем? А сколько таких айфонов? Им в аду гореть не надо?
AK
и все прекрасно бегает - проблема икев2 в том, что нет тоннеля и нельзя допустим поднять динамический роутинг (оспф)
AK
Да в общем в провайдерской сети тоже много мусора бродит. Вот тот же айфон почему-то ломится наружу в поисках богон сетей. Спрашивается, зачем? А сколько таких айфонов? Им в аду гореть не надо?
"айфон ломится наружу в поисках богон сетей" это сильно.
он пытается обратиться к этим сетям может быть. но если оно ломится наружу через ваш роутер - то это ваш косяк а не айфона, имхо )
он пытается обратиться к этим сетям может быть. но если оно ломится наружу через ваш роутер - то это ваш косяк а не айфона, имхо )
EM
вот вам лишь бы кого-нибудь в аду пожарить, а
AK
Да в общем в провайдерской сети тоже много мусора бродит. Вот тот же айфон почему-то ломится наружу в поисках богон сетей. Спрашивается, зачем? А сколько таких айфонов? Им в аду гореть не надо?
приличные люди делают как минимум вот так вот на роутере:
/ip route add distance=254 dst-address=10.0.0.0/8 type=prohibit
/ip route add distance=254 dst-address=172.16.0.0/12 type=prohibit
/ip route add distance=254 dst-address=192.168.0.0/16 type=prohibit
/ip route add distance=254 dst-address=10.0.0.0/8 type=prohibit
/ip route add distance=254 dst-address=172.16.0.0/12 type=prohibit
/ip route add distance=254 dst-address=192.168.0.0/16 type=prohibit
@
если бы не было связности - не было бы смысла вообще делать икев2 впн ...
Ну хорошо. Если я пингую адрес мобильника, который по ikev2 подключился, то нет ответа. Пинги от телефона возвращаются в телефон. А вот из локалки в телефон нет. Почему так не понятно. Маршруты прописаны.
A
Всем привет, может кто сталкивался
ни в Winbox ни в /ip firewall connection print не отображаются конекшены, хотя
tracking выставлен на yes
ни в Winbox ни в /ip firewall connection print не отображаются конекшены, хотя
tracking выставлен на yes
AK
Ну хорошо. Если я пингую адрес мобильника, который по ikev2 подключился, то нет ответа. Пинги от телефона возвращаются в телефон. А вот из локалки в телефон нет. Почему так не понятно. Маршруты прописаны.
потому что у вас криво настроен нат, указан интерфейс аутпут - но не указано что - дст адрес не сетка впн
@
приличные люди делают как минимум вот так вот на роутере:
/ip route add distance=254 dst-address=10.0.0.0/8 type=prohibit
/ip route add distance=254 dst-address=172.16.0.0/12 type=prohibit
/ip route add distance=254 dst-address=192.168.0.0/16 type=prohibit
/ip route add distance=254 dst-address=10.0.0.0/8 type=prohibit
/ip route add distance=254 dst-address=172.16.0.0/12 type=prohibit
/ip route add distance=254 dst-address=192.168.0.0/16 type=prohibit
Да, это есть. Поэтому я и отловил этот айфон. А у людей там кинетики, сяоми, в которых такого не запретишь. Они даже не знают, что мусор в сеть выпускают
AK
Да, это есть. Поэтому я и отловил этот айфон. А у людей там кинетики, сяоми, в которых такого не запретишь. Они даже не знают, что мусор в сеть выпускают
роутить богоны не запрещено, в чем вопрос не понятно )
более того у некоторых провов внутренние ресурсы как раз на богонах )
более того у некоторых провов внутренние ресурсы как раз на богонах )
@
потому что у вас криво настроен нат, указан интерфейс аутпут - но не указано что - дст адрес не сетка впн
Во. Наверное. Надо будет посмотреть.
AK
Во. Наверное. Надо будет посмотреть.
98%
AK
вот вам лишь бы кого-нибудь в аду пожарить, а
поклёп )
AK
Всем привет, может кто сталкивался
ни в Winbox ни в /ip firewall connection print не отображаются конекшены, хотя
tracking выставлен на yes
ни в Winbox ни в /ip firewall connection print не отображаются конекшены, хотя
tracking выставлен на yes
так может коннекшенов нет?
AK
или в рав стоит одно прапвило - просто говорящее - не трекать
A
так роутинг работает, клиенты в инет выходят
A
в raw никаких правил