How to become an author
Search
Write a publication
Pull to refresh

Comments 12

UFO just landed and posted this here
Да, действительно про Wireguard так и есть. Спасибо.
Для xfrm еще нужен Strongswan более свежий (от 5.8.0). С Centos 7 идет 5.7.2
This comment wasn’t rated yet0
А раз у нас используется протокол динамической маршрутизации, то должен быть и сетевой интерфейс, через который нужно роутить трафик.

Можно роутить трафик на конкретный IP по nexthop, например, 10.0.0.1 без всяких интерфейсов, хотя в некоторых случаях это не особо удобно, так как роутер считает, что IPSec-трафик уходит через стандартный интерфейс к провайдеру, потому нужен mangle, дополнительные настройки firewall, вмешательство в таблицу маршрутизации.
This comment wasn’t rated yet0
Не согласен относительно OpenVPN
платная версия умеет:
1) push route (что не умеют встроенные в разные железки сервера openvpn – микрот и.т.д);
И кстати это не умеют многие… нужно делать add rout на виндовых машинах (что грабли для многих юзеров)

2) парой галок можно разрулить трафик, и определить какие IP и сети доступны юзеру;
3) функция autologin
This comment wasn’t rated yet0
Спасибо за замечание.
1. Пушить маршруты, насколько помню, умела и бесплатная версия.
2. Аналогично в IPSec, надо в ipsec.conf прописать правильные left/rightsubnets. Можно указывать несколько сетей через запятую.
3. В Win-командлете Add-VpnConnection можно добавить в конце параметр RememberCredential, и после успешного подключения учетные данные будут сохранены.
This comment wasn’t rated yet0
Внешний IP 1.1.1.1.
cloudflare dns ?)))
This comment wasn’t rated yet0
Почти, импортозамещение:)
This comment wasn’t rated yet0

Начинаем разбираться и натыкаемся на одну неприятную особенность прекрасного во всём остальном Let's Encrypt — при любом перевыпуске сертификата меняется так же ассоциированный с ним закрытый ключ.

Во-первых, Let's Encrypt тут ни при чем.
Во-вторых, за это отвечает ACME-client и, скорее всего, вами использовался certbot, у которого эта умолчательность отключается параметром:
--reuse-key When renewing, use the same private key as the existing certificate. (default: False)
Для acme.sh все наоборот - умолчательно ключ не трогает, для пересоздания ключа при обновлении серта используется параметр:
--always-force-new-domain-key Generate new domain key on renewal. Otherwise, the domain key is not changed by default.

Total votes 1: ↑1 and ↓0+1

Жаль что статью по переходу с BIRD на BIRD2 так и не написали...

This comment wasn’t rated yet0

Это блин просто? Да нарисуйте вы схему сети правильно и увидите, что ваш роутер будет оказываться то слева, то справа, в зависимости от кейса. Именно по этому в ипсеке такая терминология. Скоко гайдов не читаю переводных или на них основанных, все время в этом они спотыкаются.

Слева приватные сети, в центре ваш ГЕЙТ, справа удаленные/интернет. Вот так будет просто и понятно.

Прошу прощения за некрокоммент

Total votes 1: ↑1 and ↓0+1

Подскажите пожалуйста, если вы настраивали полную поддержку IPv6?

This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time
Change theme settings

Your account

Sections

Information

Services

Support
© 2006–2024, Habr