Артем Кайбагоров

Есть ли способ создать не самоподписанный https сертификат для ip адреса в локальной сети (или заставить capacitor+эмулятор+fcm работать с самоподписанными сертификатами или вообще по http)? Или есть другой способ решения проблемы?

Другой способ: на своем домене blabla.com добавляете А запись субдомена dev со значением 192.168.56.2, теперь условно в любом окружении (дома, на работе, в метро) dev.blabla.com резволится в IP 192.168.56.2 - первая часть решена. Дальше еще проще получаете сертификат для dev.blabla.com у Letsencrypt подтверждением по ДНС Профит!
P.S. При получении сертификата, держите в памяти, что TXT записи могут добавляться по пол часа - часу. Это важно для успешного получения с 1го раза. Ибо новая попытка - новая TXT запись. (тут на 100% не уверен, может и есть варианты в документации со старым _acme-challenge)

системному диску присваивается почему то буква H

все остальные проблемы от сюда, так как в реестре библиотеки ожидают C:

Топать в реестр: HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices там искать элемент \DosDevices\H и переименовать соответственно в C (значение не трогать)

Если это недосутпно из сломаной установки, то загрузись в рабочую систему (какой-нибудь liveusb/livecd их тьма было на основе winpe) и от туда штатным regedit32 загрузи реестр \Windows\System32\config\SYSTEM (спросит имя - дай любое это только на текущий момент для отображения типа XXX) и редактируй уже XXX\HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

p.s. надеюсь бакап из того что восстановили СДЕЛАЛ? все манипуляции проводить только после бакапа, и позже, когда починишь, сделай бакап еще раз

Advanced-> Dst.Address List: gpt

Ты не можеш заблокировать ресурс который находиться за CDN используя подход блокировки по dst.address.

В твоем случае единственный способ это блокировать по DNS. Чтобы люди не обходили DNS блокировки так же надо заблокировать DOH.

## Включаем DNS на микротике
/ip dns
set allow-remote-requests=yes


## Создаем записи для gpt домена
/ip dns static
add name="openai.com" address=127.0.0.1
add name="chat.openai.com" address=127.0.0.1
add name="platform.openai.com" address=127.0.0.1
add name="auth0.openai.com" address=127.0.0.1
add name="cdn.openai.com" address=127.0.0.1
add name="api.openai.com" address=127.0.0.1
add name="status.openai.com" address=127.0.0.1
add name="auth.openai.com" address=127.0.0.1
add name="help.openai.com" address=127.0.0.1
add name="chatgpt.com" address=127.0.0.1
add name="sora.com" address=127.0.0.1
add name="android.chat.openai.com" address=127.0.0.1
add name="operator.chatgpt.com" address=127.0.0.1
add name="ab.chatgpt.com" address=127.0.0.1


## Перехватываем запросы DNS от клиентов
/ip firewall nat
add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Redirect all DNS to MikroTik"
add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="Redirect TCP DNS to MikroTik"


## Создаем записи для популярных DOH доменов
/ip dns static
add name="dns.google" address=127.0.0.1
add name="cloudflare-dns.com" address=127.0.0.1
add name="mozilla.cloudflare-dns.com" address=127.0.0.1
add name="dns.quad9.net" address=127.0.0.1
add name="doh.opendns.com" address=127.0.0.1
add name="dns.adguard.com" address=127.0.0.1

## Создаем адрес лист с популярными DOH доменами
/ip firewall address-list
add list=doh-block address=1.1.1.1 comment="Cloudflare"
add list=doh-block address=1.0.0.1
add list=doh-block address=8.8.8.8 comment="Google"
add list=doh-block address=8.8.4.4
add list=doh-block address=9.9.9.9 comment="Quad9"
add list=doh-block address=149.112.112.112
add list=doh-block address=94.140.14.14 comment="AdGuard"
add list=doh-block address=94.140.15.15

## Блокируем DOH по dst address
/ip firewall filter
add action=drop chain=forward dst-address-list=doh-block protocol=tcp dst-port=443 comment="Block DoH Providers"

## Блокируем DOH по SNI, не идеально но пуcть будет
/ip firewall layer7-protocol
add name=doh-https pattern="(dns\\.google|cloudflare-dns\\.com|dns\\.adguard\\.com|doh\\.opendns\\.com)"

/ip firewall filter
add action=drop chain=forward layer7-protocol=doh-https protocol=tcp dst-port=443 comment="Drop DoH via L7"

Если у тебя 2 точки в одной локальной сети, не должно влиять никак
если ты создал для ТВ отдельный ВИФИ со своим DHCP сервером - то это неправильно...

надо было в одной сети просто сделать разные имена, ну и снять галочки "изоляция клиентов"

Обсудим оплату разработки архитектуры в которой такого вопроса не будет?

проверьте mtu, mss...

Мало деталей.
Провайдер предоставляет вам серый айпи? А заббикс в другой подсети? Где именно заббикс? Или заббикс в другой серой подсети того же провайдера? Или еще как-то?
Так или иначе суть в маршрутизации между "LAN"-микротикми и заббиском.

Domain computers должны иметь доступ к шаре, где лежат дистрибутивы устанавливаемого ПО. Проверьте.
АПД: я настраивал такую штуку несколько лет назад, там требовался ещё один ключ в политике, https://serverfault.com/questions/44257/group-poli... Always wait for network at computer startup and logon - нужен, чтобы ПК обработал политику до того, как выдавать приглашение на вход. Кроме того, понадобится отключить Fast Logon optimization политику https://docs.microsoft.com/en-us/previous-versions... которая запрещает синхронную обработку GPO, необходимую для корректной установки ПО через политики.

Скрин политик покажите

Они выполняются сверну вниз, причём сортировка не по имени, а по номерам

При данном замере идет нагрузка на CPU самого микрота на генерацию трафика и его обработку. Все упирается в ресурсы CPU.

Правильный замер - это ставить ПК/Сервер в количестве 2 штук и мерить между ними через iperf

1. Удаленно настройками раскладки клавиатуры можно управлять только через реестр. В групповых политиках даже Windows 2008 r2 нет параметров для управления этим. Тогда есть два варианта: использовать скрипты (Visual Basik или PowerShell) или просто создать файл реестра. Я выбрал файл реестра, так как с VBS не дружу а PS еще не на всех машинах есть.

2. Пишу .reg файл, который потом нужно будет импортировать на все машины в домене. В принципе даже не столько пишу, сколько собираю информацию из разных веток реестра правильно настроенной машины. Получаю такой файл:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки пользователя, вошедшего в систему. (1- по умолчанию)
"1"="00000409" //английский
"2"="00000419" //русский
"3"="00000422"//украинский

[HKEY_CURRENT_USER\Keyboard Layout\Toggle] //ветка реестра, отвечающая за сочетания клавиш при переключениии языков
"Language Hotkey"="2" //Смeнa coчeтания клaвиш пepeключeния мeжду языкaми ввoдa. (2-CTRL+SHIFT; 1-ALT(слева)+SHIFT; 3-отключен)
"Hotkey"="2" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы и переключения между языками
"Layout Hotkey"="3" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы.


[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки при входе в систему (ввод логина\пароля)
"2"="00000419" //русский
"3"="00000422" //украинский
"1"="d0010409" //английский

Вот такой файлик получился. Обзываю его как нибудь test.reg. Дальше надо заставить все компьютеры в домене добавлять информацию из этого файла в реестры.

3. На контроллере домена идем по адресу %systemroot%\SYSVOL\domain\Policies\{GUID Policy}\USER\Scripts\Logon и кладем туда test.reg. Я применял этот сценарий к Default Domain Policy.

4. Октрываем редактор управления групповыми политиками нужной групповой политики. Идем Конфигурация пользователя\Политики\Конфигурация Windows\Сценарии\Вход в систему Жмем кнопку "Добавить". В поле "Имя сценария" пишем regedit.exe, в поле "Параметры сценария" пишем /s test.reg. и сохраняем данные. Все готово.

Пока есть возможность - заложите в каждую комнату по минимум 2 кабеля максимальной категории, причем с соблюдением всех правил прокладки. Оконцуйте розетками над плинтусом. Никогда не знаешь, где они впоследствии понадобятся, пусть лежат.
Пару кабелей приведите к точке входа кабеля провайдера в квартиру. Там оконцуйте розетками и в одну из них вставьте кабель провайдера или патчкорд от оборудования провайдера.

Вероятно вам захочется организовать домашний NAS или даже сервачок свой. Прикиньте, где его разместить (лучше не в шкафу по ряду причин). Например, на застекленной лоджии. Туда тоже проложите минимум два кабеля. И питание.

Все кабели с комнат сведите в одну точку, там повесьте небольшой шкаф на 5-6 юнитов. Заведите все кабели в него, там разместите патч-панель, ИБП, полку для роутера, возможно свитч на нужное количество портов, дин-рейку с розетками и автоматом.



Важный момент - дверцу берите глухую, иначе мигание светодиодов ночью достанет.

Приобретите 2-3 точки доступа Wi-Fi mesh. В идеале найти поддерживающие стандарт EasyMesh.
Все точки доступа Wi-Fi собрать в mesh на 5ггц, одну из точек как главную настроить в режиме моста (bridge) и включить в общую сеть.

Маршрутизатор я бы рекомендовал отдельный, без Wi-Fi, по ряду причин. К примеру, что-то из серии Ubiquiti Edge Router. Или тот же Keenetic помощнее, отключив в нем Wi-Fi и спрятав в шкаф на полочку.