Почему не доступна подcеть через IPsec туннель между linux и MikroTik?

Instaled SA's появились 2 строчки
imageshack.com/a/img921/5485/VX8qnh.png

Поставил на INPUT accept all
добавил в NAT обратное правило

перезапустил IPsec на тике и на linux'e ситуация таже. туннель и пинг есть SSH / WEB нет

tcpdump -i any -nn host 10.21.21.5

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
14:02:31.330563 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [S], seq 55736560, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
14:02:31.330684 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [S], seq 55736560, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
14:02:31.331164 IP 10.21.21.5.22 > 192.168.1.44.49372: Flags [S.], seq 2983147480, ack 55736561, win 29200, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
14:02:31.332921 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [.], ack 1, win 16425, length 0
14:02:31.332987 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [.], ack 1, win 16425, length 0
14:02:31.344630 IP 10.21.21.5.22 > 192.168.1.44.49372: Flags [P.], seq 1:24, ack 1, win 229, length 23
14:02:31.346981 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [P.], seq 22:694, ack 24, win 16419, length 672
14:02:31.347059 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [P.], seq 22:694, ack 24, win 16419, length 672
14:02:31.347520 IP 10.21.21.5.22 > 192.168.1.44.49372: Flags [.], ack 1, win 239, options [nop,nop,sack 1 {22:694}], length 0
14:02:36.335403 ARP, Request who-has 10.21.21.5 tell 10.21.21.6, length 28
14:02:36.335856 ARP, Reply 10.21.21.5 is-at 3a:34:65:39:61:61, length 46
14:02:52.635136 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [R.], seq 694, ack 24, win 0, length 0
14:02:52.635229 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [R.], seq 694, ack 24, win 0, length 0
14:02:52.635641 IP 10.21.21.5.22 > 192.168.1.44.49372: Flags [.], ack 1, win 239, options [nop,nop,sack 1 {22:694}], length 0
14:02:52.637296 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [R], seq 55736561, win 0, length 0
14:02:52.637362 IP 192.168.1.44.49372 > 10.21.21.5.22: Flags [R], seq 55736561, win 0, length 0

Почему не доступна подcеть через IPsec туннель между linux и MikroTik?

Добавил

/ip ipsec policy add src-address=192.168.1.0/24 dst-address=10.21.21.0/24 protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2 proposal=default

Никаких изменений

Со стороны микротика никакие правила файрвола не мешают?
Минимальный набор правил

Input accpt 500, 4500 UDP остальное drop
Mascard WAN и над ним

/ip firewall nat add chain=srcnat dst-address=10.21.21.0/24 src-address=192.168.1.0/24  place-before=0

Какой выбрать мониторинг серверов?

На Win Zabbix Appliance (www.zabbix.com/download.php) из под VM

Как проксировать HTTPS в Nginx?

Да, вы правы. Моя ошибка была в том что я был уверен что в когде проекта нигде нет статических ссылко с http и не посмотрел консоль

Как проксировать HTTPS в Nginx?

proxy_set_header Host content.progect.com
Так как 1.1.1.1:443 и 2.2.2.2:443 отдаст контент только в Header HOST:content.progect.com

Сервера
1.1.1.1
2.2.2.2
[...]

Могу располагаться где угодно.

Почему Iptables не открывает 80 порт?

это не очень хорошая идея, открывая первому попавшемуся доступ, не стоит удивляться потом неприятно бэкдору в системе.

я бы проверил что отдает curl при запущенной ноде
curl 127.0.0.1 на самом сервере и curl IP от туда от куда должен быть конект

По разворачиванию node под centOS7 нашел такое еще материальчик
https://www.digitalocean.com/community/tutorials/h...
возможно в нем есть полезная информация
но проблема явно не в iptables в списке правил нет ни одного запрещающего правила.

Почему Iptables не открывает 80 порт?

тогда возвращаемся к тому что в выводе netstat -plant нет приложения которое слушало бы 80 порт, значит оно не запущенно.

Почему Iptables не открывает 80 порт?

iptables пускает
скорее всего SElinux блокирует
sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/selinux/config
и после ребут

Почему не работает редирект с www?

/var/www/coolfinance/logs/error.log загляните

Почему не работает редирект с www?

А у вас cool-fin.ru (без www) работает вообще?
unix:///var/run/uwsgi/app/coolfin/socket на месте? процесс который его создается настроен нормально?

Почему не работает редирект с www?

возможно что ваше приложение редиректит обратно на адрес с WWW или дальше есть строчки перенаправляющее на WWW

Почему не работает редирект с www?

попробуйте return 302 google.com
или return 503
Если нормально отрабатывается то проблема не в этой части конфига.

Как помощью Ansible модуля lineinfile, заменить первое совпадение после заданной строки?

понял, вот так решил

- command: "sed -i '/^\[abc\]/,/\[.*\]/ { s/^enabled=.*/enabled=1/g }; /^\[abc-2\]]/,/\[.*\]/ { s/^enabled=.*/enabled=1/g }'  /path/to/file"

правда получаю
"warnings": ["Consider using template or lineinfile module rather than running sed"]}

Как помощью Ansible модуля lineinfile, заменить первое совпадение после заданной строки?

В документации не нашел ничего кроме yum/apt enablerepo.

Как помощью Ansible модуля lineinfile, заменить первое совпадение после заданной строки?

Вы имеете ввиду модуль yum c параметром enablerepo?
Или есть способ включить репозиторий так чтобы в конфиге параметр Enablede принял значение 1 у нужного репозитория?
Интересует именно второе поведение.

Как разрешить доступ к ssh только через vpn?

с порядком правил все правильно:
При добавлении правил IPTables важно помнить о том, что их порядок имеет значение. Например, если правило отбрасывает все пакеты из локальной подсети 192.168.100.0/24, и добавляется (-A) ещё одно правило, пропускающее пакеты от узла 192.168.100.13 (расположенного в запрещённой локальной подсети), добавленное правило не будет работать. Сначала вы должны добавить правило, пропускающее 192.168.100.13, а затем правило, блокирующее подсеть.
Источник www.rhd.ru/docs/manuals/enterprise/RHEL-3-Manual/r...

Как установить Xhprof, если его не устраивает версия php5-common?

если вот так настраивать habrahabr.ru/post/78210 то можно использовать и в продакшене

Что почитать для мотивации?

странный совет, что бы пойти вперед надо уйти как можно дальше назад.
Дна то нет, опускаться можно бесконечно и это точно не путь вверх

Чтобы идти вверх надо смотреть вверх, видеть там цель, двигаясь сравнить себя сегодня с собой вчера и оценить ближе ли ты стал к цели которой шел? Если нет, то ты сделал что то не так, сделай по другому, если да то сделало ли это приближение тебя счастливее? Если нет то цель неверная, ищи другую.