@pigbrother Спасибо!

Добрый. @Kowex said in Маршрутизация клиента OpenVPN в две сети IPSec: Выполнено? На Сервере №1 подключающимся овпн-клиентам пушить 192.168.1.0/24 (push "route 192.168.1.0 255.255.255.0";), а не 192.168.192.0/24 Покажите таблицу марш-ции на клиенте при поднятом овпн. Вкл. логирование и смотрите, что происходит в логах fw.

В общем, обновил 2 машины ... туннель между ними и доступ сотрудников по openvpn к другой машине работает.

Проброс 80 и 443 порта - помогла и мне. Долго мучился.

@logdog https://dropmefiles.com.ua/ru/aKHE https://dropmefiles.com.ua/ru/ANPHYB

@werter split-dns не подходит абсолютно, равно как и использование hosts а проблема решилась сама Т_Т просто заработало с указанным выше конфигом через сутки

@ChudoBrychkin Здр. Самое простое , это отключить на время проверку шлюза , который физически отключен . Именно на это и указывает ошибка 64.

@randreevich Вероятно, только задать пул\несколько пулов в которые не входят желаемые адреса.

@Konstanti это здорово!, честно говоря не пробовал, надо бы попробовать, у всех тех, у кого Mac,на Ovpn работают)

Добрый. @pigbrother said in Проблема с пробросом портов: На локальном ПК что мешает шифровальщику без админ. прав установится в папку в профиле пользователя и зашифровать его документы? Не хранить важное в папке профиля - как минимум хранить на др. локальном диске и настроить Теневое копирование (англ. Volume Shadow Copy) на этом диске. Сам был свидетелем как шифровальщик "пытался" удалить теневые копии не имея прав локального Адм-ра. Про внешние копии важного я уже писал.

@Konstanti что-то не найду где изменить MSS.. не подскажете? Планирую погонять iperf завтра/послезавтра когда активность пользователей будет минимальная.

@CrazyMax Настраиваете L2TP клиент и IPsec в транспортном режиме Но, как было сказано ранее, лучше IPsec IKEv2 конечно

@svjat-orb Не совсем понял написанное Давайте еще раз по пунктам Вам нужен доступ снаружи во внутрь сети к определенному хосту на портах 80 и 443 ? Или изнутри по доменному имени ? Если верен первый вопрос , то покажите вывод tcpdump на lan интерфейсе при попытке соединения Если верен второй вопрос , то смотрите сообщение ув. pigbrother

P.S И уже даже MaxMind GeoIP требует лицензионный ключ Об этом я писал зачем повторятся Самое интерестное GeoIP у конкурентов работает без регистрации и ключа как и блокировка рекламы без танцев с бубном

@ufd начиная с 2.4.5 можно отключить эту блокировку на странице System / Advanced / Firewall & NAT: [image: 1588326100084-screenshot-from-2020-05-01-12-40-26.png]

есть какие-то еще идеи? при установке по умолчанию получаеться пробросить 80 порт на внешку? из Вашего опыта?

@Konstanti said in 2 Внутренних сайта на одном ip: Сделай нат на обратный прокси nginx. а от туда раскидай на разные web сервера

@codriver said in (РЕШЕНО)Отваливаются маршруты на VPN клиенто&: l2tp Здр Не знаю , поможет ли Вам это Там же mpd используется для l2tp ? Если да , то есть вот такая настройка у mpd set iface up-script script set iface down-script script Mpd can optionally run a user program every time one of network protocols (IPCP/IPv6CP) at the interface is brought up or down. The up-script is called like this: script interface proto local-ip remote-ip authname [ dns1 server-ip ] [ dns2 server-ip ] peer-address If up-script exit status is not 0, mpd will kill respective protocol. The down-script is called like this script interface proto local-ip remote-ip authname peer-address Те можно выполнять некие действия при поднятии/падении интерфейса вот параметры , которые передаются при вызове скрипта $0 - script name $1 - if name (ng0...) $2 - proto $3 - local-ip $4 - remote-ip $5 - authname $6 - [ dns1 server-ip ] $7 - [ dns2 server-ip ] $8 - peer-address

Ответ: Под VMware свитч, который включён в OPT порт должен иметь в настройках включенный флажки: Promiscuous mode Accept MAC address changes Accept Forged transmits Accept Тогда мост работает