@pigbrother

Спасибо!

Добрый.
@Kowex said in Маршрутизация клиента OpenVPN в две сети IPSec:

Выполнено?

На Сервере №1 подключающимся овпн-клиентам пушить 192.168.1.0/24 (push "route 192.168.1.0 255.255.255.0";), а не 192.168.192.0/24

Покажите таблицу марш-ции на клиенте при поднятом овпн.
Вкл. логирование и смотрите, что происходит в логах fw.

В общем, обновил 2 машины ... туннель между ними и доступ сотрудников по openvpn к другой машине работает.

Проброс 80 и 443 порта - помогла и мне. Долго мучился.

@logdog

https://dropmefiles.com.ua/ru/aKHE
https://dropmefiles.com.ua/ru/ANPHYB

@werter split-dns не подходит абсолютно, равно как и использование hosts

а проблема решилась сама Т_Т просто заработало с указанным выше конфигом через сутки

@ChudoBrychkin
Здр.
Самое простое , это отключить на время проверку шлюза , который физически отключен . Именно на это и указывает ошибка 64.

@randreevich Вероятно, только задать пул\несколько пулов в которые не входят желаемые адреса.

@Konstanti это здорово!, честно говоря не пробовал, надо бы попробовать, у всех тех, у кого Mac,на Ovpn работают)

Добрый.

@pigbrother said in Проблема с пробросом портов:

На локальном ПК что мешает шифровальщику без админ. прав установится в папку в профиле пользователя и зашифровать его документы?

Не хранить важное в папке профиля - как минимум хранить на др. локальном диске и настроить Теневое копирование (англ. Volume Shadow Copy) на этом диске. Сам был свидетелем как шифровальщик "пытался" удалить теневые копии не имея прав локального Адм-ра.
Про внешние копии важного я уже писал.

@Konstanti что-то не найду где изменить MSS.. не подскажете? Планирую погонять iperf завтра/послезавтра когда активность пользователей будет минимальная.

@CrazyMax Настраиваете L2TP клиент и IPsec в транспортном режиме

Но, как было сказано ранее, лучше IPsec IKEv2 конечно

@svjat-orb
Не совсем понял написанное
Давайте еще раз по пунктам
Вам нужен доступ снаружи во внутрь сети к определенному хосту на портах 80 и 443 ?
Или изнутри по доменному имени ?
Если верен первый вопрос , то покажите вывод tcpdump на lan интерфейсе при попытке соединения
Если верен второй вопрос , то смотрите сообщение ув. pigbrother

P.S
И уже даже MaxMind GeoIP требует лицензионный ключ

Об этом я писал зачем повторятся

Самое интерестное GeoIP у конкурентов работает без регистрации и ключа как и блокировка рекламы без танцев с бубном ☺ ☺

@ufd начиная с 2.4.5 можно отключить эту блокировку на странице System / Advanced / Firewall & NAT:
Screenshot from 2020-05-01 12-40-26.png

есть какие-то еще идеи? при установке по умолчанию получаеться пробросить 80 порт на внешку? из Вашего опыта?

@Konstanti said in 2 Внутренних сайта на одном ip:

Сделай нат на обратный прокси nginx. а от туда раскидай на разные web сервера

@codriver said in (РЕШЕНО)Отваливаются маршруты на VPN клиенто&:

l2tp

Здр

Не знаю , поможет ли Вам это
Там же mpd используется для l2tp ? Если да , то есть вот такая настройка у mpd

set iface up-script script set iface down-script script Mpd can optionally run a user program every time one of network protocols (IPCP/IPv6CP) at the interface is brought up or down. The up-script is called like this: script interface proto local-ip remote-ip authname [ dns1 server-ip ] [ dns2 server-ip ] peer-address If up-script exit status is not 0, mpd will kill respective protocol. The down-script is called like this script interface proto local-ip remote-ip authname peer-address

Те можно выполнять некие действия при поднятии/падении интерфейса
вот параметры , которые передаются при вызове скрипта

$0 - script name $1 - if name (ng0...) $2 - proto $3 - local-ip $4 - remote-ip $5 - authname $6 - [ dns1 server-ip ] $7 - [ dns2 server-ip ] $8 - peer-address

Ответ:

Под VMware свитч, который включён в OPT порт должен иметь в настройках включенный флажки:

Promiscuous mode Accept
MAC address changes Accept
Forged transmits Accept

Тогда мост работает