Comments 21
Хорошо бы кроме картинок winbox, дублировать настройки в консольном варианте. Как минимум, это будет читабельней.
+3
Мне кажется было бы неплохо добавить процесс генерации сертификатов для стронгсвана.
0
И небольшой оффтоп: сам strongswan считает настройку через ipsec.conf устаревшей, и рекомендует переходить на swanctl.
Убедиться в этом можно на сайте в разделе примеров.
Убедиться в этом можно на сайте в разделе примеров.
0
UFO just landed and posted this here
Зачем импортировать ключ сервера в микротик? Он, по идее, никогда не должен покидать сервер. Да и рутовый сертификат импортировать не обязателено кмк
+1
UFO just landed and posted this here
Вот был 2.5 лет назад пост про микротик и bgp от товарища Furriest (https://habr.com/ru/post/413049/).
Ищу и не могу понять, как мне из списка, полученного по BGP загнать траффик в ikev2. Вот если есть отдельный интерфейс, то все он, но тут он не создаётся.
Может подскажет кто, более знающий? Вариант генерить списки адресов рассматриваем как запасной.
Ищу и не могу понять, как мне из списка, полученного по BGP загнать траффик в ikev2. Вот если есть отдельный интерфейс, то все он, но тут он не создаётся.
Может подскажет кто, более знающий? Вариант генерить списки адресов рассматриваем как запасной.
0
Можно костылить псевдоинтерфейсы (например дополнительные bridge), весь трафик через которые политикой заворачивать в ikev2. Можно сделать отдельный VRF, из которого в ikev2 будет смотреть дефолт, а полученный по bgp список использовать как раутлик. Мало ли как еще можно извратиться :)
Но, честно говоря, для такой конфигурации гораздо проще не генерить, а просто регулярно дергать с antifilter списки адресов в формате микротика — antifilter.download/list/allyouneed.rsc
Но, честно говоря, для такой конфигурации гораздо проще не генерить, а просто регулярно дергать с antifilter списки адресов в формате микротика — antifilter.download/list/allyouneed.rsc
0
открытый ключ корневого сертификата
Сертификат — это и есть открытый ключ + дополнительная информация.
0
Почему не сделать поще, например микротик<==>микротик, и какой нибудь l2tp ipsec
0
Попробовал. У меня не работает. Туннель поднимается, но Микротик не получает адрес от StrongSwan. И как этот адрес может появиться на ether1, когда там уже адрес есть?
Интересуют также и связанные с IPsec настройки файрвола на Микротике.
Интересуют также и связанные с IPsec настройки файрвола на Микротике.
+1
MikroTik — конструктор для мазохистов! то что стоит нормальных денег может работать только как свич… чтоб построить нормальную конфигурацию, у них стоит уже других денег!
а домохозяйки, по прежнему пытаются на железяку за 30$ напихать сервис на штуку…
жду от модератора отклонения…
а домохозяйки, по прежнему пытаются на железяку за 30$ напихать сервис на штуку…
жду от модератора отклонения…
-1
Sign up to leave a comment.
IKEv2 туннель между MikroTik и StrongSwan: EAP ms-chapv2 и доступ к сайтам