- 14
- 145 693
ИТ Эксперт
Kazakhstan
เข้าร่วมเมื่อ 2 ก.พ. 2020
Учимся админить.
Ссылка на канал в telegram t.me/itexpertspbru
Ссылка на канал в telegram t.me/itexpertspbru
Настройка IKEv2-EAP на Mikrotik
В данном конфиге пользователю передаётся только адрес подключения, логин и пароль, всё остальное автоматизировано.
Ссылка на статью с реализацией данного конфига будет в закреплённом комментарии, скрипт будет там же.
Ссылка на статью с реализацией данного конфига будет в закреплённом комментарии, скрипт будет там же.
มุมมอง: 1 573
วีดีโอ
Урок 12. Групповые политики Active Directory
มุมมอง 29K4 ปีที่แล้ว
Урок 12. Групповые политики Active Directory
Урок 9. Виртуализация практика. Часть четвёртая.
มุมมอง 2.4K4 ปีที่แล้ว
Урок 9. Виртуализация практика. Часть четвёртая.
Урок 8. Виртуализация практика. Часть Третья.
มุมมอง 3.5K4 ปีที่แล้ว
Урок 8. Виртуализация практика. Часть Третья.
Урок 7. Виртуализация практика. Часть Вторая.
มุมมอง 3.2K4 ปีที่แล้ว
Урок 7. Виртуализация практика. Часть Вторая.
Урок 6. Виртуализация практика. Часть Первая.
มุมมอง 7K4 ปีที่แล้ว
Урок 6. Виртуализация практика. Часть Первая.
Урок 2 Дисковая подсистема
มุมมอง 7K4 ปีที่แล้ว
Устройство дисковой подсистемы компьютера и сервера. RAID.
прошел все шаги, но при попытке подключения выдает ошибку Неприемлемые учетные данные проверки IKE. В микротике видно соединение в ActivePeears которое пропадает через 20 секунд. Куда копать?
Рекомендую зайти в наш ТГ чатик, там подобные проблемы уже разбирали. Ну и решать проблемы там оперативнее. Но я бы внимательно перепроверил все галки на типах шифрования и цепочку сертификатов. В любом случае, логами можно в чате поделиться, совместно найдём проблему.
Мне 57, и , чёрт побери, я врубилась:):):)
это капец , столько гемора ))) Раньше с l2tp делал всё за 20 минут , сейчас надо два дня )))
Современные проблемы требуют современных решений!xD
У кого выдает ошибку got fatal error: AUTHENTICATION_FAILED нужно сначала импортировать в микротик сертификаты r10.pem_0 и isrgrootx1.pem_0 и потом генерировать сертификат для роутрера (/certificate/enable-ssl-certificate dns-name=****) после этого в identities выставляем сгенерированный сертификат-r10.pem_0-isrgrootx1.pem_0
Ребята я наконец-то настроил протокол так как надо! я опишу то что мне помогло. Для начала! как на видео у меня протокол не заработал и вот с чем я столкнулся и что я сделал. 1) что бы я смог подключиться на windows к ВПН и не получил ошибку неприемлемые учетные данные проверки подлинности ike Мне реально пришлось использовать СВОИ личные сертификаты! у меня не работало с LetsEncrypt. как только я добавил свои bundle сертификаты, то windows у меня сразу заработал. 2) Со своими сертификатами я так и не смог подключится через ANDROID 13 и для телефонов мне пришлось сделать вход обычный по PSK секретному ключу, я просто в identity добавил еще одну настройку вход по PSK и вместо сертификатов я прописал ключ, тогда я смог зайти на ВПН и через андроид. НО по PSK не зайти на Windwos. НО я столкнулся со следующей проблемой как на Win так и на ANDROID у меня скорость интернета была 100 раз меньше, пинги есть, а сайты не грузяться - РЕШЕНИЕ я создал Interface bridge и назво его ikev2, далее я в ip-address прописал 100.100.100.1/24 network 100.100.100.0 interface свеже созданный ikev2 и тогда проблема со скоростью пропала! так же у меня настроен NAT обычный маскарад и ВСЁ! больше я ничего не делал. Если я кому-то помог то пишите, если есть вопросы тоже пишите, моя телега - t.me/routetoroot там мозг на аве
address прописал 100.100.100.1/24 network 100.100.100.0 interface забыл дописать что это является моим пулом адресов для ikev2 мой пул 100.100.100.10-100.100.100.20
Привет еще раз! У меня не заработало с LetsEncrypt, но заработало с моими сертификатими и только на windows, на Android к сожалению AUTH FAILED, но вопрос в другом, я делал IKEv2 и по PSK и так же сталкивался с одной и той же проблемой, я подключаюсь к к своему рутеру и получаю IP, но я не получаю Gateway и маску подсети, Вы случайно не знаете как это можно исправить? Я сделал всё как на вашем видео, только использовал свои сертификаты.
Если не завелось на андроиде, значит где-то какую-то опцию упустили. Перепроверьте всё ещё раз, т.к. у многих всё получилось и работает как надо. Шлюз на винде может не прилетать, если в свойствах VPN соединения снята галка "Использовать шлюз в удалённой сети", в противном случае, весь трафик по-умолчанию заворачивается в VPN интерфейс.
А вместо LE возможно использовать встроеный выпущеный сертификат микротика? Или понадобиться устанавливать вручную сертификат у каждого клиента отдельно в этом случае?
Возможно, но нужно будет CA сертификат на каждое клиентское устройство ставить.
@@it-expert-spb пизд........
Вот можешь же без пиздежа! Дайк!
Вот это поворот!
Ну что там айти експерт?
Переименуй канал!ты ля не эксперт!
Ты стороны отсчета не попутал? Или тебе таймкод отправить?
Ну, раз видео лежит уже столько лет и никто помидорами не закидал, значит не попутал) Кидай таймкод)
@@it-expert-spb ты мой комент удалил? На счет перевернутой патчпанели?
@@it-expert-spb на кого рассчитан контент?
А еще про память! Завтра выдерну линейку с hpe ml350p и воткну на простую материнку и проверим ту дичь что она не будет работать на простом компе!
Таймкод тоже скину 😂
Буду надеяться, что в сервере стоит ECC память!;)
@@it-expert-spb ты надейся на то что она не заведется! Просто ели в слух произносишь дичь то поправляй сам себя! То что серверная память за счет алгоритма коррекции ошибок на простом пк будет слегка медленнее!
Что там с ресурсом?
Ля автор дебил! Зачем в датацентре закрытая стойка? Туда доступ ограничен!
Tower снижает ресурс? Ты гонишь!
Можно подробнее? Что не так? С таймкодом, желательно)
@@it-expert-spb так слушай видео
@@it-expert-spbдля дурачка 1:21 про ресурс сервера связанный с типом корпуса
А теперь задумайся о ресурсе что помрет быстрее . Куллера 5см на 5 мс или куллера в два раза больше и сколько те или иные прокачают воздуха. И какова будет разница в производительности. Бери калькулятор и считай!
Приветствую! Видео недавнее, однако на сайте с сертификатами, среди промежуточных нет R3, есть только E5, E6, R10, R11 - какой следует взять вместо R3?
Приветствую, да, есть такое, совсем забыл, при записи, о ротации сертификатов у LE. На странице letsencrypt.org/certificates/ наверху всегда есть актуальная картинка сертификатов. По состоянию на сейчас актуальная цепочка: X1 -> R10/R11. Я бы брал R10.
Вероятно из-за того, что я взял сертификат R10 вместо R3, при попытке подключения я получаю ошибку "Неприемлемые учетные данные проверки подлинности IKEv2"
Выполнение скрипта так же не помогло решить проблему к сожалению. ipsec error: got fatal error: AUTHENTICATION_FAILED
@@RenamonMaxie У меня так-же что-только не пробовал ....
топ
Подскажите как настроить или получить "публичное-имя-вашего-роутера" для chr ? ip-cloud недоступно в бесплатной версии.
В видео показан процесс настройки при условии, что у вас куплено доменное имя и есть доступ к управлению DNS-зоной, где вы должны сделать A-запись с именем, указывающим на публичный белый IP вашего роутера.
что то у меня не получилось
Рекомендую вопросы задавать в чате в телеграмме. В комментариях не удобно разбирать каждый отдельный случай)
Привет! огромное спасибо за видео! но я вот не могу догнать, если у меня куплет multi-domain ssl у меня есть .crt .key я могу это так же настроить, его обновлять надо раз в год. Как это сделать? буду безумно благодарен за помощь.
Да, всё делается аналогично. Просто импортятся все имеющиеся сертификаты, включая рута.
Мега полезный урок, спасибо
Добрый день. Помогите, пожалуйста, в чем может быть ошибка? Все сделал по инструкции, но при подключении с телефона через Strongswan в логах Jul 11 22:09:56 15[IKE] received end entity cert "CN=chr.3333.ru" Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Let's Encrypt, CN=R10" Jul 11 22:09:56 15[IKE] received issuer cert "C=US, O=Internet Security Research Group, CN=ISRG Root X1" Jul 11 22:09:56 15[CFG] using certificate "CN=chr.3333.ru" Jul 11 22:09:56 15[CFG] no issuer certificate found for "CN=chr.3333.ru" Jul 11 22:09:56 15[CFG] issuer is "C=US, O=(STAGING) Let's Encrypt, CN=(STAGING) Counterfeit Cashew R10" Jul 11 22:09:56 15[IKE] no trusted RSA public key found for 'CN=chr.3333.ru' Jul 11 22:09:56 15[ENC] generating INFORMATIONAL request 2 [ N(AUTH_FAILED) ] не могу понять, в чем ошибка. Пробовал устанавливать сертификаты корневого и R10 сервера на телефон, не помогает. И вообще изначально хотелось избежать возни с сертификатами.
Чтобы не было возни с сертификатами, в инструкции мы и устанавливаем х1 и r3 на роутер и пушим клиенту. Кстати, а почему у вас R10?!) Рекомендую перепроверить. Если не поможет, то в комментариях разбирать проблему не удобно, продублируйте вопрос в чат в телеграм, пожалуйста. Там и разберёмся и другие, если что, почитают решение)
@@it-expert-spb Сертификаты х1 и r10 установлены на Mikrotik и оба Trusted. А R10 потому что у Let's Encrypt есть ротация серверов. Сейчас выдаются сертификаты именно R10 и R11. В общем переустановил chr, настроил все с нуля и подключаться стал. Теперь надо донастроить, чтобы сам VPN заработал. Пока что-то не получается.
@@MrSezius век живи - век учись!) Никогда не обращал внимание, что ротация сертификатов LE происходит не по сроку действия. Ну, раз переустановка и настройка с нуля помогла, значит, где-то ошибка в конфиге, всё же, была. С настройкой рекомендация та же, если нужна помощь, вэлкам в чат в ТГ)
@@it-expert-spb а что за чат в ТГ? Ссылки не нашел. Клиент IP адрес получает, но не пойму, на какой интерфейс в самом Микротике повесить адрес из этой же подсети для теста и как настроить NAT. Вернее я пробовал вешать IP на lo интерфейс + пробовал стандартный NAT masquarade, но ни Микротик не пингуется, ни дальше в сеть не выходит.
@@MrSezius t.me/itexpertspbru
Круто, спасибо за контент!
Аттрибуты AD users еще нужны как для интеграции с другими системами )
DNS нужна будет лицензия и ресурсы для этого)
Bind9 вы используете или только MS DNS?)
Круто, спасибо, полезно, на скорость 2.0 залетело)
Приветствую Вас. Получается, в продуктивной среде использовать external но с другого net ethernet верно?)
Дефрагментацию на ssd же не делается же?)
Виртуалка не знает, что она на ссд)
Такой вопрос: при добавления илм изсения раздела диска, эио модет влиять на содержимое? К примерц файлы пользовательские?
Крутой контент.
Крутой ролик, полезно излагаете. Спасибо
Круто, очень суперски изложили прл Hyper-V!!!
Круто, спасибо. Нужно было уточнить, что это штатное средство ОС и доступно только Администратора, а не для прльщователя. Хорошо излагаете! Спасибо
Контрольная точка супер, но как мне известно для DC не пойдет же?))) Этот метод удобне для разработки, тестов, или других операций) вродн по лицензиии на клиенской ОС тот же ключ нельзя использовать, а также больше одной вм нельзя создавать на базе ms win client
Переделайте или пересоздайте ролик на базе версии evalution периода версии )) а также ссылку на лиц.сонлашения) было бы круто! Если кряканную почтавмте, ждите проблем шифрования и утечки
Нельзя нарушать авиорские права!!! ) home не модет использоватьчя в корпоративной среде)
Добоый день, Крутой контент, информативно. Единственное, что не рассказали про основы лицензирования и лиц. ОС по CPU). А также компания А не может размешать сервера компании Б ) если это на основе VMware,HyperV)
Супер, спасибо, информативно. Непоказали от патч панели подключить порт розетку для клиенского подключения? Было было раскрыто до конца)
Прочитал комментарий, понял, что процесс покупки кабеля в магазине тоже не заснял!))
Спасибо за информцию, круто. Вопрос: как узнать, чио диск выходит из строя в raid массиве 1+0 к примеру?
Прикольно, спасибо) не рассаазано про системв охлаждения)😊
Предложение: если ли видео у вам, как узнать срок службы raid массива ?) Это же самое главное является? Если ли тпм badblocks?) Бцду рад ответу
ИМХО, ответ на такой запрос слишком короткий для целого видео. В RAID-контроллерах, будь то LSI (Broadcom) или Adaptec (Microsemi) всегда есть программа управления и мониторинга. Там, у каждого диска есть параметр Disk Errors или что-то подобное, если параметр начинает расти, диск лучше заблаговременно поменять. Если RAID софтовый, то можно воспользоваться программами типа Hard Disk Sentinel или CrystalDiskInfo и там увидеть параметр в Bad Sectors.
@@it-expert-spb супер, спасибо, было бы не плохо, если бы как пример засняли) как будет время. Это же сердце системы))
@@abit2ip я сейчас уже несколько отошёл от хардверных рейдов в сторону вендорных СХД NetApp и софтовых на базе TrueNAS Scale)) А запись видео - это целый ритуал с парой дней подготовки))
@@it-expert-spb как с вами нв контакте быть?)) В телеге есть вы?)
Супер, спасибо. Вопрос: это стратегия для випутального сервера? А для клиентских устройств тоже самое?
Смотря что называть стратегией)) Софтина, в первую очередь, создана для бэкапа физических серверов, для виртуальных, если их много, лучше использовать отдельный продукт Veeam Backup&Replication.
Просто прекрасно. Покупаешь шкаф, покупаешь сервер, а когда всё приходит уже до сборки начинаешь что-то подозревать. Да, потому что сервер глубиной 600мм, а шкаф 450мм. В видео ни слова об этом...
А ещё стойки бывают однорамные, у них вообще глубины нет) А если серьёзно, то я ни в одном обучающем видео не говорил, что в ИТ главное - это логика, здравый смысл и живой ум, чтобы постоянно собирать и анализировать информацию. А если человек покупает сервер и шкаф просто потому, что они называются сервер и шкаф и не смотрит на характеристики, возможно, такому человеку не место в ИТ.
Не мог понять, почему у меня скрипт не отрабатывает.... Всё дело в кавычках! Автор, поправь, а то люди мучаются)
В комментарии поправил) Спасибо)
Добрый! Всё получилось по вашей инструкции. Подключаюсь без проблем с win10, win11 и ios, а вот с win7 никак не могу. На микротике: no proposal chosen, на win7: 13868 Ошибка сопоставления групповой политики
Приятно слышать!) К сожалению, windows 7 перестала поддерживаться с 14 января 2020 года. В ней нет поддержки необходимых типов шифрования. Если пробовать понижать уровень шифрования со стороны Mikrotik, то тогда перестанут подключаться ios)
А что такое сервер наполнения?
Честно говоря, первый раз про такой слышу)) Возможно, имелось в виду кэширующий сервер?
С Mac OS не работает. Даже не подключается
Рекомендую перепроверить все ли галки выставлены верно. Данный конфиг был проверен на Windows, Mac OS, iPhone и Android (StrongSwan). Если по-прежнему возникают проблемы, можете написать в наш ТГ чатик, там более детально разберёмся.
При подключении с винды, пишет "неприемлемые учетные данные проверки подлинности ike" , хотя с андроида всё ок
Надо перепроверить все галки в Proposals и Profiles. Андроиды менее капризные к типам шифрования, нежели винда. Даже 1 не там поставленная галка может привести к ошибкам подключения.
Приятно смотреть, без воды - всё ясно, речь грамотная. Жаль, что больше нет видео по AD
Спасибо за лестный отзыв. А что конкретно интересует по AD? В видео дал базу.
@@it-expert-spb групповые политики. Архивация стандартными средствами, профили пользователей сетевые и локальные