751g-2hnd - IPSec - NAT - DLink DFL-800

Обсуждение оборудования и его настройки
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

динамическими не пользовался - ни разу
Add route FOR remote network - это автоматом добавит маршшрут исходя из данный которые вы ввели в параметрах туннеля , но я всегда поднимаю IPSEC на Dlink с параметром All-Nets помогает избежать многих недоразумений, а затем правила и маршруты руками , знаю что творю .


slaver
Сообщения: 25
Зарегистрирован: 14 мар 2013, 12:39

Так вот как раз, исходя из данных, введённых в настройках IPSec и создаётся тот "динамический" маршрут. Больше неоткуда ему взять параметры. А параметр "All nets" - это вы что имеете ввиду? Используете в настройках IPSec или файервола? Хммм... Тогда по-моему как раз "недоразумений" проще избежать, явно прописывая все параметры. Да и все правила файервола тоже не "динамические", я их вручную естественно прописываю, поэтому "самодеятельности" нет. Хотя у меня есть и правила для подключений по IPSec от клиентов, не имеющих статического IP. А вот такая "динамическая" маршрутизация мне как раз нравится :) удобно, не нужно себе мозг забивать, а на безопасность не влияет по-моему - это же не в файерволе "дырки" открываются сами по себе ;) Есть подключение - есть маршрут, нет подключения - и маршрут собственно не нужен ;)


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

я совсем запамятовал на 800 м есть OSPF от сюда и динамические туннели .

а ALLНЕТ у меня в параметрах туннеля там где remoteNet И LocalNet $-) и маршруты создаю руками


slaver
Сообщения: 25
Зарегистрирован: 14 мар 2013, 12:39

Вот "all nets" как раз для клиентов без статического IP и нужен. А если таковых нет, то и смысла оставлять возможность пытаться с любого адреса подключиться по IPSec, честно говоря, не вижу. И прописывать для динамических клиентов маршруты по-моему весьма печальное действо, особенно, если их много, адреса меняются, и им нужен доступ в LAN, а не только к самому роутеру. Вот как раз для таких случаев динамически создаваемые при подключении маршруты и спасают. Хотел ещё заметить, что на DFL-800 у меня не задана конфигурация OSPF. Он сам по себе что ли всё делает? :) И на микротике тоже OSPF не сконфигурирован. По умолчанию в конфигурации есть магистральная зона и instance:

0 * name="default" router-id=0.0.0.0 distribute-default=never redistribute-connected=no
redistribute-static=no redistribute-rip=no redistribute-bgp=no
redistribute-other-ospf=no metric-default=1 metric-connected=20 metric-static=20
metric-rip=20 metric-bgp=auto metric-other-ospf=auto in-filter=ospf-in
out-filter=ospf-out


Ответить