Игорь Кривинцов: если работает только одна сеть, из двух, скорее всего проблема с генерацией IPSec правил, нужно бы их проверить со стороны тика. Ну или сделать со стороны керио общее правило для подсети большего размера, например 172.16.0.0/16 и попробовать так (само собой если это не конфликтует с картой сети)
Игорь Кривинцов: такс, если это не помогло, нужно копать дальше =) Так как моего внимания нехватило найти ошибку в конфигах, предлагаю продолжить локализацию проблемы. Для начала, попробуйте отключить сеть 3.0 на керио и проверить заработает ли 2.0, возможно проблема там. Дальше нужно сравнить все настройки для обоих сетей и трасировать с обоих сторон. Понять где рвётся трасерт.
я может не в тему, но action=netmap установить только одну связь внутри NAT, и сработает только один раз (в смысле это как DST нат, но он работает быстрее для ситуации 1:1, для ситуации Множество внешних ПК:1 он не работает). Поменяйте на dst-nat, возможно это решит вашу проблему, возможно нет, но сделать это нужно точно, иначе отхватите граблей. wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Кирилл Васильев: коллега, я не спорю с вами, а лишь дополняю ваш ответ. Некорректно говорить, что предел скорости для Hex-lite 10 мегабит, так как в реальности он упирается в потолок порядка 40 мегабит и скорость деградирует в зависимости от другой нагрузки (что логично). Ещё раз повторю, это может быть важно для топик стартера.
xmoonlight: не выйдет у вас ничего, на радиус сервер не приходит пароль в открытом или обратно расшифровываемом виде. Никакого MiTM в данном случае не выйдет, это раз, ну и подмена обычной вайфай сети на сеть с радиусом для устройства, так же, не пройдёт бесследно, минимум будет неподключение, как максимум ещё и варнинг
xmoonlight: опять же нет, там и протокол шифрования канала связи другой, и опять же - пароль не передаётся на радиус, лишь его Хеш. Точно так же поступают операионные системы, когда идут на удалённый сервер по файловой шаре, пользователь не передаёт свои данные - он передаёт ХЕШ своего пароль, и если ХЕШ совпал на удалённой системе - происходит авторизация и аутентификация (и акаунтинг, раз уж мы про радиус и всё семейство AAA разговорились).
В общем, Хабр, конечно, не торт, но вам бы почитать не помешало.
Я откланиваюсь спать. Завтра если что отвечу дальше по треду.
xmoonlight: и как бы что? Из того что обе стороны использую пароль, не означает что 1) он передаётся по сети \ в сеть хоть каким-то способом 2) точка доступа сможет узнать неправильно введённый пароль пользователем.
Не путайте веб сервер (который может творить с введёнными данными пользователя всё что захочет) и беспроводную сеть (где стандарты куда более строгие в плане безопастности).
Даже WEP не передаёт пароль который ввёл пользователь в сеть и\или точке доступа. Да его можно подобрать, но как бы это не кейс топик стартера, в кейсе нужно сделать так, чтобы пользователь ввёл неверный пароль к его точке, а точка его узнала - это сделать в WiFi невозможно.
xmoonlight: с некоторой долей допущения возьмём за основу этот список: wep, wpa-personal, wpa-enterprise. Хотя лучше их называть стандартами, чем протоколами. Протоколов там чуть больше.
Кирилл Васильев: 3des, вообще не самый лёгкий в плане утилизации CPU алгоритм. Вот тут есть табличка производительности forum.mikrotik.com/viewtopic.php?t=102571 для устройства с CPU 700 MHz в пике вижу 38 мегабит, у HEx-lite стандартно 850 MHz, что как бы намекает на не меньшую производительность.
Будь у меня доме ещё один hex lite и больше времени - я бы поднял стенд, но мне лень =)
Кирилл Васильев: потому и пишу про тип шифрования, на самом слабом может до 40 мегабит. На aes, разумеется, меньше. Для топик стартера это может быть важной инфой.
