AB
там вроде как в настйроках еще нужно указать какие именно слать
стоит info и выше, проверяю, просто отправляя "test" из терминала (log info test), в логах в винбоксе строку вижу, пакетов и строку на syslog - не вижу.
Size: a a a
2020 June 22
B
Добрый день, пытаюсь починить странное - hap2 (6.47) отказывается слать логи на syslog. До него стоял Длинк, все работало, syslogd в LANе настроен, данные точно принимает, порт udp/514. Ставлю logging remote, указываю адрес syslogd в локалке, и тишина. что самое удивительное - packet sniffer пакетов на udp/514 не видит... Никто не сталкивался с подобным? Куда копать-то?
网
Тогда это нормально, если это происходит в рамках IPSec туннеля.
По причине multiwan на сервере хотелось бы от такого поведения избавиться
AB
AB
B
RP
По причине multiwan на сервере хотелось бы от такого поведения избавиться
От какого? Чтобы IKE не направлял клиентам пакеты? Так IPsec Phase 1 и Phase 2 вся и состоит из IKE обмена
网
От какого? Чтобы IKE не направлял клиентам пакеты? Так IPsec Phase 1 и Phase 2 вся и состоит из IKE обмена
Ну, клиенты за натом как-то справляются:)
RP
Ну, клиенты за натом как-то справляются:)
С чем справляются?
网
С чем справляются?
С отсутствием возможности получения IKE сообщений от сервера
RP
С отсутствием возможности получения IKE сообщений от сервера
Ого, вот это сильное заявление
А, как тогда у вас возникает Security Association в SAD?
Хорошо, чтобы вас не мучать, IPsec это не протокол, это фреймворк. Протоколы входящие в IPsec это IKE и AH, ESP. IKE отвечает за создание SA между узлами, AH и ESP за транспорт данных.
Даже, если клиенты находятся за NAT, то до момента когда будет согласован NAT-T механизм, а это где-то второй-третий пакет в IPsec Phase 1 (IKE), обмен будет осуществляться через UDP порт 500, и конечно же для IKE нет не каких проблем в том, чтобы работать через NAT (PAT на самом деле). Вот для ESP есть, ему то и нужен NAT-T механизм, результатом работы которого является смена порта на UDP порт 4500 и инкапсуляцию ESP в UDP пакеты с последующей отправкой их на UDP порт 4500.
А, как тогда у вас возникает Security Association в SAD?
Хорошо, чтобы вас не мучать, IPsec это не протокол, это фреймворк. Протоколы входящие в IPsec это IKE и AH, ESP. IKE отвечает за создание SA между узлами, AH и ESP за транспорт данных.
Даже, если клиенты находятся за NAT, то до момента когда будет согласован NAT-T механизм, а это где-то второй-третий пакет в IPsec Phase 1 (IKE), обмен будет осуществляться через UDP порт 500, и конечно же для IKE нет не каких проблем в том, чтобы работать через NAT (PAT на самом деле). Вот для ESP есть, ему то и нужен NAT-T механизм, результатом работы которого является смена порта на UDP порт 4500 и инкапсуляцию ESP в UDP пакеты с последующей отправкой их на UDP порт 4500.
RP
У меня тоже не отвечает, но именно https сервер, http сервер мне шлёт 307 Internal Redirect
DS
по логу это DPD - он работает
DS
ну все же читали, что они там все перетягивают в help.mikrotik.com ?
но он тоже лежит ... :)
но он тоже лежит ... :)
B
стоит info и выше, проверяю, просто отправляя "test" из терминала (log info test), в логах в винбоксе строку вижу, пакетов и строку на syslog - не вижу.
странно. раньше даже не задумывался шлет или не шлёт. и он ничего не шлет. даже torch не видит исходящие на 514
AB
странно. раньше даже не задумывался шлет или не шлёт. и он ничего не шлет. даже torch не видит исходящие на 514
обана! То есть как минимум я не одинок. Это уже хорошая новость. Я задумывался про файервол, но тут я как свинья в апельсинах разбираюсь, так что прочел, что для трафика с рутера спецом открывать ничо не надо - и успокоился.
AB
странно. раньше даже не задумывался шлет или не шлёт. и он ничего не шлет. даже torch не видит исходящие на 514
Но при этом в сислоге записи от микротика есть? Может у них syslog-conn только реализован?
B
на внешку вообще не шлет. причем при любых варантах bsd type
AB
на внешку вообще не шлет. причем при любых варантах bsd type
на внешку - это в WAN? Или в remote?
R
Павел, приветствуем тебя в профессиональном клубе по интересам. Тема чата – MikroTik и всё с ним связанное.
Соблюдай простые правила, и всё будет хорошо. Прочесть их можно по кнопке ниже.
В целях защиты от спама, ссылки и пересланные сообщения от новых пользователей автоматически удаляются. Ограничение действует первые сутки.
Если вдруг забыл правила, их всегда можно прочитать командой /rules
Незнание правил не освобождает от ответственности.
Соблюдай простые правила, и всё будет хорошо. Прочесть их можно по кнопке ниже.
В целях защиты от спама, ссылки и пересланные сообщения от новых пользователей автоматически удаляются. Ограничение действует первые сутки.
Если вдруг забыл правила, их всегда можно прочитать командой /rules
Незнание правил не освобождает от ответственности.