AS
Sergey R.
что говорит? в журналах виндовс что?
Size: a a a
2020 March 17
AS
ipsec? если да, то - 3des в proposal/peer
это где
AS
я айписек настраивал не руками, просто в л2тп укащал ключ
AS
кто то блочил рекламу ютуба через днс сервер? не выходит что то https://i.imgur.com/5YR6ZOR.png https://i.imgur.com/mv6r6q7.png
может попробуй PiHole?
SR
а не 10 подключается?
AS
Sergey R.
а не 10 подключается?
нет, я к тому что только на одном компе с 10 ткой
такие проблемы. на остальных все норм
такие проблемы. на остальных все норм
DS
это где
примерно так:
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1024 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \
nat-traversal=yes proposal-check=obey
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1024 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \
nat-traversal=yes proposal-check=obey
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024
AT
примерно так:
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1024 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \
nat-traversal=yes proposal-check=obey
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1024 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \
nat-traversal=yes proposal-check=obey
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024
Винда в pfs умеет? Для макоси, точно знаю, нужно пфс выключать
DS
Винда в pfs умеет? Для макоси, точно знаю, нужно пфс выключать
pfs - согласуется к момент во время подъема IPSEC;
винда умеет, если включить политикой - в default, мне кажется нет
винда умеет, если включить политикой - в default, мне кажется нет
AS
примерно так:
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1024 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \
nat-traversal=yes proposal-check=obey
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048,modp1024 dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=aes-128,3des hash-algorithm=sha1 lifetime=1d name=default \
nat-traversal=yes proposal-check=obey
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha1 disabled=no enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc,3des lifetime=30m name=default pfs-group=modp1024
так а почему другие винды конектятся без этих шаманств. тут дело в винде
SR
другие 10-ки?
DS
так а почему другие винды конектятся без этих шаманств. тут дело в винде
я как-то писал, что windows 10 бывают несколько разными в зависимости от сборки и да, вам ответили проще всего включить на MT:
/system logging add topics=ipsec,!debug
и смотреть что реально происходит, а не гадать на кофейной гуще в чате, с просьбой объяснить: "почему у меня работает"
/system logging add topics=ipsec,!debug
и смотреть что реально происходит, а не гадать на кофейной гуще в чате, с просьбой объяснить: "почему у меня работает"
C
Винда в pfs умеет? Для макоси, точно знаю, нужно пфс выключать
Нет. Мак ос умеет pfs
EY
я бы не сказал, что сложно и я не супер знаток BGP, но ИМХО:
- поведение такое же как у любого маршрутизатора с софтовым bgp-демоном ala quagga;
- у цисок тоже не сразу применяются изменения, при редактировании route-map-ов - нужно дергать пиров;
- с любыми мультивендорными решениями будут такие тонкости;
- routing filter для BGP - в MT это темная магия.
- с OSPF - все нормально, даже с routing filter
- поведение такое же как у любого маршрутизатора с софтовым bgp-демоном ala quagga;
- у цисок тоже не сразу применяются изменения, при редактировании route-map-ов - нужно дергать пиров;
- с любыми мультивендорными решениями будут такие тонкости;
- routing filter для BGP - в MT это темная магия.
- с OSPF - все нормально, даже с routing filter
Спасибо, это решение мне досталось по наследству, в планах как раз перелезть на OSPF.
DS
Спасибо, это решение мне досталось по наследству, в планах как раз перелезть на OSPF.
если есть BGP -то оно не просто так, посмотрите внимательно, а лучше предварительно соберите в любом эмуляторе
AS
я как-то писал, что windows 10 бывают несколько разными в зависимости от сборки и да, вам ответили проще всего включить на MT:
/system logging add topics=ipsec,!debug
и смотреть что реально происходит, а не гадать на кофейной гуще в чате, с просьбой объяснить: "почему у меня работает"
/system logging add topics=ipsec,!debug
и смотреть что реально происходит, а не гадать на кофейной гуще в чате, с просьбой объяснить: "почему у меня работает"
AS
как то не особо информативно
EY
если есть BGP -то оно не просто так, посмотрите внимательно, а лучше предварительно соберите в любом эмуляторе
Предыдущий одмин тренировался на котятах: файловер тунелей, дин маршрутизация(зоопарк из EIGRP, OSPF, BGP), вот разгребаю... В данном случае R1 - голова, R2 - один десятков из доп офисов, думаю OSPF лучше будет смотреться, особенно в конфигурациях когда некоторые региональные ДО имеют резерв в голову через друг друга. 😳
DS
как то не особо информативно
как раз информативно: no suitable proposal found - добавьте 3des
AS
