Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

Да я знаю, только он у них периодически с обновлениями начинает вставать в позу.
И вообще с PKI для SOHO вообще как-то грустно или разворачивать хрен знает чего или вон, скрипты есть и не выпендривайся.

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

Мне хватает всего, а вот людям нужен простой gui.
Писать GUI скрипты к скриптам, что-то как то совсем overkill.

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

А потом тут:

One thing here caught my attention: «ROS 7 will remove the restriction for having more than one L2TP/IPSEC user behind the same NATed network».
My understanding is that the router on the client side (road warrior) side of the equation is the one that cannot distinguish the traffic, not the server side router. Therefore, nothing can be done on the server side to remedy the situation.

https://support.microsoft.com/en-us/help/2028625/only-one-of-the-clients-that-are-behind-the-same-nat-device-can-create-l2tp-vpn-connections-to-a-vpn-server-that-is-running-windows-server-2008-r2

В общем пока будем использовать недо openvpn :/
Или использовать только ios и android.

>Mikrotik — No it will not work. We will not focus on l2tp/ipsec since mostly all vendors are switching to ike2 and l2tp/ipsec becomes deprecated.

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

Нашел в записях по изменениям

>added support unique policy generation which will allow multiple peers behind the same NAT (cli only)

Но честно говоря, я не понял как это использовать :/

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

Нет, ну я не полный извините дятел. Но easy-rsa не очень удобен, особенно когда у вас несколько разных организаций и люди далеки от этого, а иногда надо.
Да много вопросов по безопасности сразу, поэтому вариант с l2tp самый оптимальный.

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

Просто в небольшой офис ставится mikrotik и ставить еще linux для l2tp как-то ненужно.
Openvpn конечно спасает, но вот это вечная генерация ключей на разные организации и отсутствие бесплатного PKI для всего этого, делает печальным котиком.

10 мини-лайфхаков в Bash

Вспомнилось

dd if=/dev/zero of=/dev/null

или

cat /dev/urandom | gzip > /dev/null

Еще так

tail /dev/urandom | cat — | grep something

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

>, VPN ом пользуются немного сотрудников и крайне маловероятно, что два сотрудника из дома с одного НАТа пойдут в VPN на работу :)

Может быть два устройства у одного сотрудника.

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

А можно выложить более подробно с конфигами?
И в такой связки есть подключение с ios и android?

Mikrotik L2TP/IPSec за NAT: ipsec,error failed to pre-process ph2 packet

Кстати, кто скажет они починили баг, когда нельзя было поднять больше 1 соединение по l2tp из одной локальной сети за NAT?

Роскомнадзор просит VPN-сервисы и анонимайзеры блокировать запрещенный контент

Если Роскомнадзор будет платить vpn сервисам, можно и блокировать :)
За дополнительную плату снимать с пользователя блокировку.
История напоминает Аон, антиан, супер аон и супер анти аон :D

Корпорация Microsoft завершила поддержку ОС Windows Vista

Про win 8.1 согласен.

Что не так со светодиодными лентами?

>и даже в идеальных условиях на столе лента не выдаёт своих заявленных характеристик если запитать её ровно 12-ю вольтами.

Тогда это повод обратится туда где брали ну или больше там их не покупать.

Что не так со светодиодными лентами?

Ты под нагрузкой замерь, сколько у тебя выдает БП.
Вот о чем.

rssh, или Как разрешить SCP, но запретить SSH

/*
2  
3  #include <unistd.h>
4  #include <stdio.h>
5  #include <stdlib.h>
6  
7  #define SS_SLEEPTIME 10
8  
9  main() {
10   char *ssh_connection;
11   char *ssh_client;
12   char *ssh_tty;
13   
14   ssh_connection = getenv ("SSH_CONNECTION");
15   ssh_client = getenv ("SSH_CLIENT");
16   ssh_tty = getenv ("SSH_TTY");
17   printf ("\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n");
18   if (ssh_connection && ssh_client) {
19     printf ("Connection: %s\nClient: %s\nTerminal: %s\n\n", ssh_connection, ssh_client, ssh_tty);
20   }
21   while (1) {
22     sleep (SS_SLEEPTIME);
23     printf ("*");
24     fflush (NULL);
25   }
26 }
27 
28 

rssh, или Как разрешить SCP, но запретить SSH

Можно заменить /bin/false на Sleep Dummy Shell
Что в общем еще лучше

https://www.mariovaldez.net/software/sleepshell/

Почтовый сервер на Linux

Да все это мне знакомо прекрасно.
Сейчас уже деталей не скажу, но подключали в режим RO ящик человеку.
Dovecot все же имеет прекрасный ACL

Почтовый сервер на Linux

>Из-за этих его недостатков я выбрал Cyrus-IMAP. Он чуть сложнее управляется, зато даёт широчайшие возможности, в том числе элементарно даётся доступ одного сотрудника к почте другого в том же домене. Например, сотрудник, подменяющий заболевшего коллегу, видит его почту и отвечает на письма от своего имени.

Мне кажется, такого человек просто не должен хотеть делать.
Минимум, некие публичные папки или пересылка новой почты.

Ну а Cyrus надо будет попробовать 3 версию что там и как. Да и кстати mbox — это один из форматов, который dovecot умеет использовать.

Что не так со светодиодными лентами?

>2 дня работы и половина перегорели. И так много у кого.

Ну так Икея вполне брак меняет. У меня только одна лампа перегорела из Икеи.
Правда я целенаправленно брал проверенные и протестированные модели.
Обменяли без проблем и да, я сохраняю чеки :) Да же если уже гарантия почти закончилась.

Почтовый сервер на Linux

alpine — неплохо минимизирован. Считаю годнотой, но когда есть понимание зачем оно надо.
Это вообще одно из главных условий. Другой момент, что у меня так и не сложилась любовь с докером. Обхожусь kvm и lxc. lxc пришел на замену openvz.

Вендер, вендору рознь и надо смотреть. Недавно, что-то смотрел и волосы шевелились во всех местах.