Добрый день коллеги.
Хотел обратится к вам с вопросом.
Поднял тунель gre + ikev2. Между 2 точками mikrotik x.x.x.1  и centos x.x.x.2.
Все поднялось и работает, но после поднятия туннеля нет возможности зайти по ssh по белому ip на другой конец тунеля (centos). Как только отколючаю политику на микротик то подключение проходит.... в чем может быть дело?

по белому GRE? iptables смотрите

centos за NAT или с белым IP?

Белый ip

Есть подозрение, что вы айписекром не гре шифруете а все протоколы и порты полностью. Потому и проблема.

Спасибо. Указал только gre и все завелось)

Вероятно у меня совсем кривые руки, и как следствие, ни один способ не работает

Наверное, многие их вас видели эту таблицу
Можете мне объяснить, что означает последний пункт во втором столбце и 3 и 5 пункты в третьем столбце?

Последний пункт второго столбца это не юзать 3389 порт, а юзать нестандартный типа 33389 и т.д.

разве это не 5-ый пункт?

Хз, я как понял, так и понял)

последний пункт не использовать тупой порт маппинг, для всех, надо фильтровать либо по дст либо порткнокинг если входящие неизвестны

3 - как минимум авторизация с routing peers / filter-list + distribute-list-ы (не принимать и тем более не анонсить, что-то лишнее)
5 - краткий пример есть даже на MT-wiki состоит в подглядывании в ответы локальных и опубликованных сервисов и если там password incorrect блокирование источника, с которого происходят попытки авторизации (крайне параноидальный конфиг, но желателен для сервисов, которые не умеют собственного шифрования, например FTP)

пункт 6-ть второго столбца - это ни что иное как использование DMZ в классическом виде, т.е. port-forward идет не к сервису напрямую, а к некому промежуточному хосту, который уже обеспечивает контроль доступа в сервису и, если возможно, шифрование соединения (всякие реверс proxy или firewall-ы)

Спасибо

Спасибо большое

Т.е. 3-ий пункт- это типа белых списков для авторизации?

нет - смотрите конкретный routing protocol и умеет ли он авторизацию пиров
ospf interface authentication
routing bgp peer tcp-md5-key

ну и да, я веду список пиров с которыми разрешен обмен маршрутной информации в FW

Понял, спасибо большое

Help. Сервер vpn l2tp mikrotik настройка для клиента local 10.10.10.1 remote 10.10.10.4. Во все стороны работает но не знаю как сделать что бы на сервере рдп клиенты были под своими ip. У всех кто по этому vpn 10.10.10.4