Дѣаволъ: Между портами, которые объединены через свитч, трафик не грузит проц. Если трафик идет из (в) свитч, то уже обрабатывает проц (ситуация с wifi, двумя встроенными свитчами и тд).
ed_milson: редирект заворачивает все пакеты, попадающие под условия, на ip роутера. Результат выполнения команды будет аналогичен dst-nat to-address [router] to-port 53. За полным пониманием работы ната wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
ed_milson: Ну. Норм, если целью было похерить доступ к dns пользователю, прописавшему 8.8.8.8 и 8.8.4.4. А еще есть Яндекс.DNS, другие серваки. По вашей логике вы список будете регулярно дополнять. В предложенном мной варианте задействуется для общения с пользователем только dns-сервак тика. Он обрабатывает все запросы от пользователей. Перехват возможен из-за проблем в самом протоколе dns.
Евгений Твердый: Не, она постоянно отрабатывает. Сам бегал с телефоном тестил. Переключается для телефона (андроид) прозрачно. На капсмане переходы были видны. В моих офисных условиях гипсокартоновых стен для перехода требовалось уйти за 3 стены. В официальном курсе mtcwe учат разруливать вашу ситуацию именно этим параметром.
Ну, управление по внешнему ip не является безусловно необходимым. Например, это можно завернуть в vpn. У меня на vds, на которых крутится routeros, правило дропающее dns идет вторым после поддерживающего установленные соединения. Это позволяет считать этот трафик и не пускать его на обработку дальше в цепочку. Нагрузка небольшая (130mb, 2kk пакетов в неделю), но мне комфортнее снимать ее пораньше.
Сайпутдин Омаров: Не, сейчас такие системы видеонаблюдения строятся следующим образом. На каждом объекте (магазине, если я правильно понимаю из вашего профиля) стоит свой рег, который в нормальном режиме обслуживает камеры этого магазина (онлайн+архив). Объекты связаны с центральным офисом, где идет управление правами. Операторские рабочие места в центральном офисе могут обращаться к каждому магазину и смотреть онлайн и архив по запросу с регистратора, который стоит удаленно. Тянуть весь видеопоток в одно место - дорогое удовольствие, если вы не провайдер. В зависимости от конфигурации системы в центральный офис можно вытягивать интересующие места в архиве (чтобы вредители не затерли).
В принципе, да. Я не знаю какой конкретно у вас зоопарк, но представляю, что может получиться из системы, если задача взаимной интеграции никогда не стояло и размер системы перевалил за 50 точек. Обычно вопрос унификации встает, когда компания дорастает до 5-10 точек. Мне кажется, что может хорошо получиться, если раскидать запрос предложения по вашим местным инсталляторам. Они и на оборудование могут сделать скидку, и с реализацией старого оборудования помогут. Но этот вариант требует административной поддержки внутри вашей компании и коньяка.
Это конкретизация моего понятия "выкинуть". Можно директорам на дачи раздать, в дет. дом пожертвовать, etc. А сколько будет стоить человек, который год будет продавать б.у. оборудование? Как человек, который занимается иногда установкой б.у. (на одном объекте апгрейд, отдали старое оборудование, поставил на другой свой объект. Но это самые бюджетные инсталляции), могу сказать, что сбросить 50 регов будет тяжко.
Вот вы вывесили фотки. А теперь посмотрите каким образом достигается механическая целостность соединений. Ни один зажим пвх-оболочки не задействован. Итоговая система получится после пары лет эксплуатации отличным источником магических историй для it-happens.
P.S. Это не я такой правильный, просто по роду деятельности я регулярно разбираюсь в чужом кабельном хозяйстве.
Хм. ну чтобы видеть-развидеть. В свое время трахался с vpn, пользовался чтобы следить на какие адреса уходит трафик (приходил из vpn-канала, ответ уходил сразу в wan. Проблема была с маршрутами). У тиков старт-стоп стандартный интерфейс, на сканировании wi-fi также реализовано.
Дмитрий Лупонос: В моем случае как раз требовался NAT, но думаю, что выполнить полный переброс трафика будет даже проще. Скорее всего подойдет netmap из iptables.
