Зачем ipsec помещать в ipip?

@ifaustrue Все завелось, но остановился на ipip в транспорт ipsec. Спасибо за разъяснения.
Единственное пока не понял, в политике по-умолчанию стоит all - это значит что мы шифруем весь трафик с нашего роутера до удаленного, даже если мы к нему по внешке обратимся на ssh. Но наверное это не правильно? Вдруг у нас тут что-то упадем и мы даже пропинговать удаленный роутер не сможем, если у нас ipsec тут не настроено. Соответственно, чтобы шифровать только ipip надо выбрать протокол по которому он работает.

И еще в настройка удаленной точки(пира) в ipsec Метод авторизации везде рассматривается как Pre Shared Key. Но насколько он безопасен? или лучше использовать сертификаты или что-то еще?

Зачем ipsec помещать в ipip?

@ifaustrue т.е. на роутере1 мы не можем к примеру прописать роутер2 шлюзом в нужную подсеть в самой системе, это мы должны указать в полититке ipsec?

По поводу пакетов в ipsec туннеле и правил фаерволла - чтобы правило не применять к пакетам на других интерфейсах мы должны указать интерфейс через который ipsec ходит до другой стороны туннеля или вообще, в случаи с ipsec`ом, указывать интерфейс нельзя?

Тогда, если надо управлять туннелем, лучше использовать ipip туннель внутри ipsec в режиме транспорта? Правильно ли я понимаю, что это еще будет более "правильно" по теории? Нежели такой ipsec туннель, о котором писалось выше, ведь он выглядит как "костыль" - часть конфигурации прописывается в системе, часть непосредственно в настройках ipsec`a.
Т.е. туннель, который не имеет интерфейса и соответственно мы не может повесить на его адрес. В следствии чего, при маршрутизации, мы не может указать ни туннель в который загонять трафик, ни адрес следующего маршрутизатора.

Что по производительности будет лучше ipip туннель внутри ipsec в режиме транспорта или ipsec в режиме туннеля?

Зачем ipsec помещать в ipip?

@ifaustrue
ipsec создает туннель для пакетов, но в системе (MikrotikOS) не создает ни интерфейсов, ни маршрутов, соответственно мы не можем ими фигурировать, правильно я понимаю?
нет возможности настроить гибко фаерволл, нет возможности прописать доп.маршруты, верно?

к примеру есть две сети с поднятым ipsec туннелем:
комп1(192.168.1.2/24)---роутер1---(_ipsec_)---роутер2---комп2(192.168.2.2/24)

Делаем с "комп1" traceroute до "комп2" и видим:

traceroute to 192.168.2.2 (192.168.2.2), 30 hops max, 60 byte packets
1 ntp.dlink.com.tw (192.168.1.1) 1.800 ms 1.759 ms 1.745 ms
2 * * *
3 192.168.14.21 (192.168.2.2) 7.457 ms 9.320 ms 9.328 ms

может поэтому создают ipip туннель (о чем я писал в своем вопросе) и его "оборачивают" ipsec`ом? Что бы им манипулировать как обычным туннелем.

Зачем ipsec помещать в ipip?

@ifaustrue Спасибо, хорошо пишете - кратко и понятно.
Т.е. я правильно понял, что при использовании ipsec в туннельном режиме, дополнительных туннелей создавать не надо?

Как настольное оборудование монтировать в 19" стойку?

ни ложить, ни класть - не есть хорошо) - ни фиксации, ни нормального доступа к оборудованию.

Как использовать почту mail@mydomain.ru на Google?

вопрос же про гугл, вот и ответ про гугл.
будет работать в любом клиенте.
решений? в смысле заменить поле "отправитель"? такое письмо далеко не уйдет.

Как пробросить VOIP трубки из другого офиса?

@lamonteen
Вы обязательно хотите использовать только имеющееся оборудование?
Родные прошивки tp-link имеют впн-клиент, имеют ли vpn-сервер? Посмотрите, но думаю врятли. Как вариант поставить OpenWRT на них.

Как организовать мобильную конференцию?

@TagerW
Варианта два:
1.поднять Asterisk, завести внешние номера, настроить конференцию, входящие звонки заворачивать в конференцию напрямую или через disa
2. использовать облачную атс. Включить конференцию, подключить внешний номер.
Первый вариант более гибкий, но требует знаний Asterisk'а. Второй вариант не требует знаний.

Как настроить маршрутизацию VPN-соединений?

@Falseclock удачи, обращайтесь.

Вещание аудиопотока с icecast на openwrt - потянет ли роутер?

@v_prom я Вас понял, спасибо. Буду дальше копать.

Как настроить маршрутизацию VPN-соединений?

@Falseclock
т.е. с 192.168.100.102 пингует 172.16.0.4, а наоборот нет?
фаерволлы включены?
про PUSH Вы пишите, это OpenVPN? Это к чему?

Как настроить маршрутизацию VPN-соединений?

@Falseclock ааа, т.е. тогда все верно. какая ОС там?
сделайте tracert или traceroute на 172.16.0.4 до 192.168.100.102 и покажите результат

Вещание аудиопотока с icecast на openwrt - потянет ли роутер?

@v_prom буферизация на стрим-сервере?
как думаете, по ресурсам кодирование и декодирование аудиопотока одинаковы? ведь на этих железках с openwrt собирают сетевые медиа плееры.

Как настроить маршрутизацию VPN-соединений?

@Falseclock попытайтесь все же ответить на поставленный ранее мною вопрос "на Share машинах VPN-server прописан в качестве основного шлюза или нет?"

Как настроить маршрутизацию VPN-соединений?

@Falseclock Вы так и не ответили на вопрос про основной шлюз.

>"мне не нужно чтобы SHARE видела клиентскую сеть. "
Это и есть Ваша базовая ошибка, если Share не будет видеть клиентскую сеть, то как она будет ей отвечать? ;) У Вас как раз и получается, что пакеты в одну сторону ходят, а обратно нет. Результат - нет связи.

Вещание аудиопотока с icecast на openwrt - потянет ли роутер?

@v_prom icecast
или у него какой то стандартный протокол?

OpenWrt redirect url - как осуществить?

@DarkDemon Не в ветке ответили.
Проксю можно и на openwrt поднять.
Вам всех всегда надо перенапрявлять на свою страницу или при условии?

Вещание аудиопотока с icecast на openwrt - потянет ли роутер?

@v_prom

root@OpenWrt:~# cat /etc/ices.xml
<?xml version="1.0"?>
<ices>
<background>0</background>
<logpath>/var/log/ices</logpath>
<logfile>ices.log</logfile>
<loglevel>4</loglevel>
<consolelog>1</consolelog>
<stream>
<metadata>
        <name>Example stream name</name>
        <genre>Example genre</genre>
        <description>A short description of your stream</description>
</metadata>
<input>
        <module>oss</module>
        <param name="rate">8000</param>
        <param name="channels">1</param>
        <param name="device">/dev/dsp</param>
        <param name="metadata">1</param>
</input>
<instance>
        <hostname>192.168.1.2</hostname>
        <port>8002</port>
        <password>pass</password>
        <mount>/test1.ogg</mount>
        <reconnectdelay>2</reconnectdelay>
        <reconnectattempts>5</reconnectattempts>
        <maxqueuelength>80</maxqueuelength>
        <encode>
                <nominal-bitrate>32000</nominal-bitrate>
                <samplerate>8000</samplerate>
                <channels>1</channels>
        </encode>
</instance>
</stream>
</ices>

Получается поток - 1 канал с частотой дискретизации 8000 Гц и битрейтом 32 Кбит/с, кодек ogg.
Считаете должно нормально работать?
Железо я дописал в вопросе.

Вещание аудиопотока с icecast на openwrt - потянет ли роутер?

@v_prom практически - это реализовано. Но глючит - показывает полную загрузку. Одна что-то подсказывает, что процессор должен справится с захватом звука и отправкой его на стрим-сервер. Может с конфигами что перемудрил. Поэтому и хотел услышать знатоков по железу, как оно в теории, способно или нет на такое?

Как пустить траффик в обход VPN клиента на DD-WRT роутере?

@joseph2 тогда НАТ настраивать. по dd-wrt не подскажу, там вроде iptables.