Задать вопрос
  • IPSec или L2TP IPSec?

    sizaik
    @sizaik
    сисадмин, Витебск
    Если у вас только два офиса и в каждом только один провайдер, можно и IPSec в туннельном режиме.
    Но я бы делал GRE-туннель с заворачиванием трафика в IPSec. Бонусы - прозрачная маршрутизация в одной таблице (в политики можно не смотреть), возможность подключения динамической маршрутизации, возможность построения отказоустойчивой структуры.
    Например, если у вас в одном из офисов два провайдера, у вас будет два туннеля. Если один из провайдеров сломается, протокол динамической маршрутизации направит трафик в резервный туннель. В результате у вас будет отказоустойчивый канал между офисами с практически незаметным переключением при отказе.
    На чистых туннелях IPSec такое сделать непросто, если вообще возможно.
    А если у вас будет три офиса, это вообще маст хэв :)

    Вот пример конфига.

    router 1:
    ---создаем GRE-туннель
    /interface gre
    add !keepalive local-address=***router 1 WAN IP*** name=gre1 remote-address=***router 2 WAN IP***

    --- и ip-адрес к нему
    /ip address
    add address=10.10.10.1/30 interface=gre1 network=10.10.10.0/30

    ---(политика согласования IKE у меня сделана на сертификатах, у вас может быть на pre-shared key - это каждый выбирает для себя; главное, чтобы с обеих сторон было одинаково)
    /ip ipsec peer
    add address=***router 2 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 1 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    --- политика шифрования трафика GRE от нас в удаленный офис
    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 2 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 2 WAN IP*** sa-src-address=***router 1 WAN IP*** src-address=\
    ***router 1 WAN IP***/32

    --- и прописываем статический маршрут в удаленную сеть
    /ip route add distance=1 dst-address=***подсеть второго офиса*** gateway=10.10.10.2

    ---Еще может понадобиться сделать правило firewall для обмена трафиком GRE между офисами:
    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 1 WAN IP*** src-address=***router 2 WAN IP*** protocol=gre

    router 2 - настройки отображаются зеркально:

    /interface gre
    add !keepalive local-address=***router 2 WAN IP*** name=gre1 remote-address=***router 1 WAN IP***

    /ip address
    add address=10.10.10.2/30 interface=gre1 network=10.10.10.0/30

    /ip ipsec peer
    add address=***router 1 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 2 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 1 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 1 WAN IP*** sa-src-address=***router 2 WAN IP*** src-address=\
    ***router 2 WAN IP***/32

    /ip route add distance=1 dst-address=***подсеть первого офиса*** gateway=10.10.10.1

    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 2 WAN IP*** src-address=***router 1 WAN IP*** protocol=gre
    Ответ написан
  • Взломали пароль от Mikrotik. Как?

    politon
    @politon
    HTML5,CSS3,JS,PHP,SQL,API,canvas,animation...
    Ради интереса linux+aircrack
    4Гб оперативы qwertbhm подобрал за 24 минуты ;)
    Ответ написан
    2 комментария
  • Почта для домена: gmail vs. яндекс

    @psthv2
    У меня есть действующая доменная почта для гугла и яндекса. Если кратко:
    Google Apps Яндекс
    Платно — бесплатно
    Фильтры плохи — хорошие
    Скорость загрузки низкая — высокая
    Возможность пересылать несколько писем отсутсвует — присутсвует
    Удобство гугл аккаунта как единственного аккаунта — нет такой опции
    Интерграция с гугл диском и гугл докуементами есть — жалкое подобие в виде яндекс диска
    Синхоронизация контактов с телефоном отличная — через жопу
    Интерфейс ногу сломаешь — отличный
    Встроенный календарь отличный — говно
    Возможность встраивать приложение для почты (например плагины для систем управления проектами) прямо в веб-морду gmail — нет таких опций (насколько мне известно).
    Возможность отправлять письма с задержкой с помощью сторонних платных приложений — бесплатная встроенная возможность.
    Возможность создавать любое количество псевдонимов для почты — можно использовать в качестве псевдонима формат типа <номертелефона>yandex.ru
    Приятный интерфейс написания нескольких писем без закрытия основного веб-интерфейса — нет такого интерфейса.
    Нет уведомления получателя по СМС — есть такое уведомление.

    Функциональность Gmail огромна, но во многих местах реализована не шибко юзерфрендли.
    Ответ написан
    2 комментария
  • Как повесить на один порт несколько веб сервисов?

    @Tabletko
    никого не трогаю, починяю примус
    Ответ написан
    Комментировать
  • Как создать отказоустойчивую локальную сеть за счет физического дублирования оборудования, но избегая "петли\зацикленности "?

    @DDwrt100
    Ответ на вопрос. При использовании свича тоже можно создавать петли.
    Если мы говорим о резервировании на уровне L2 то:
    Есть протокол STP, он служит как раз для того чтобы петли не образовывались. STP старый, а вот его реализации MSTP, RSTP вполне рабочие.
    Специфичная вещь, однако его можно использовать в том числе для резервирования линков по схеме Standby-Active.
    Ответ написан
    Комментировать
  • Почему возникает конфликт MAC адресов?

    @Mercury13
    Программист на «си с крестами» и не только
    MAC-адрес принадлежит LG Electronics. Вероятно, на «янчуде» MAC-адрес был скопирован с ноутбука LG, а потом сам этот ноутбук подключился к этой сети.
    Ответ написан
    2 комментария
  • Mikrotik проброс VLAN?

    @Wundarshular
    Если я правильно вас понял, то на RB260GS в разделе vlan вам следует установить значения:
    для sfp: здесь вы обмениваетесь трафиком с RB1100x, поэтому он уже должен быть тэгирован
    vlan mode = enabled,
    vlan recieve = only tagged (если вы планируете получать не только тегированный трафик - выставьте any)
    default vlan id = 1
    vlan header = leave as is
    для eth1-4:
    vlan mode = enabled (также попробуйте strict)
    vlan reiceve = only untagged
    default vlan id = 4
    vlan header = always strip
    для eth5:
    vlan mode = enabled (также попробуйте strict)
    vlan reiceve = only untagged
    default vlan id = 5
    vlan header = always strip
    В разделе vlans установите:
    vlan4:
    spf - leave as is
    eth1-4 add if missing (неточно)
    eth5 - not a member
    vlan5:
    spf - leave as is
    eth1-4 - not a member
    eth5 - add if missing(неточно)

    Что вы в итоге получите, если я правильно понял документацию на свитч: порты 1-4 будут принимать нетегированный трафик, давать тег 4 влана и отправлять на коммутацию, порт 5 будет делать то же самое для влан 5, а sfp будет пропускать через себя весь тегированный трафик. У меня есть некоторые подозрения касательно коммутации кадров, но ничего по этому поводу я не нашёл в викии.

    Для RB1100x (который, как я понял, управляется RouterOS) переместитесь в раздел /interface ethernet switch port:
    set 2 vlan-mode = fallback
    set 3 vlan-mode = fallback
    set 4 vlan-mode = fallback
    set 5 vlan-mode = fallback
    В это режиме все указанные порты rb1100x будут просто передавать тегированный трафик далее, не внося изменений. Как я понял, на портах 2,3 и 5 у вас продолжаются вланы. Если же оттуда тоже приходит нетегированный трафик, то
    set X vlan-mode=secure default-vlan-id=Y vlan-header=always-strip, где Х и Y это номер порта и влан-тег соответственно. Таким образом приходящий трафик будет тегироваться, а с исходящего - сниматься теги.
    В разделе /interface ethernet switch vlan:
    add vlan-id=4 ports=p2,p3,p4,switchX, switch=switchX
    add vlan-id=5 ports=p5,p4,switchX, switch=switchX
    Здесь вы задаёте "проброс" вланов через коммутатор. Переводя на русский: теперь влан4 сможет ходить по портам 2,3,4 через чип коммутации switchX и то же самое для влан5. Обратите внимание, что switchX - это не точно название вашего чипа коммутации, содержащееся в нотации RouterOS.

    Надеюсь ответ хотя бы направит вас в нужную сторону.
    Ответ написан
    Комментировать
  • Как работает качественный php сайт?

    Lillipup
    @Lillipup
    Allons-y, Алонсо!
    Я думаю вам нужно сначала прочитать это
    getjump.github.io/ru-php-the-right-way
    Ответ написан
    Комментировать
  • Как устранить ошибку windows?

    HemulGM
    @HemulGM Куратор тега Windows
    Delphi Developer, сис. админ
    Исправить ты вероятнее всего не сможешь. Но вот ход действий, которые помогут решить:
    1. Проверить жесткий диск "Викторией" из под загрузчика (например, сборка hiren's);
    2. Если всё ок, то необходимо восстановить загрузочную область на диске (инструкцию в много много строк можно найти в первой же ссылке в гугле. Нужно будет пользоваться командной строкой в режиме восстановления)
    Готово.
    Ответ написан
    Комментировать
  • Как защитить от копирования по прямой ссылке?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Был когда-то такой сервис, который музыку в каком-то из лохматых форматов проигрывал (дело было давно, в конце 90-х) без сохранения на диск. И что? Правильно, написали клиента, который имитировал проигрывание, а на деле сохранял на диск :)

    О чем это я? О том, что как только сервис начинает представлять хоть какой-то интерес - напишут Вам любую имитацию, которая будет прикидываться плеером, а сама делать то, что пожелает автор.
    Ответ написан
    Комментировать
  • Какой взять блок питания на 650 ватт до 5200 тыс. руб.?

    @lonelymyp
    Хочу вылезти из минуса по карме.
    Учитывая что нет никаких требований к блоку питания то очевидно можно брать любой.
    Ответ написан
    Комментировать
  • Какой сервер хранения данных выбрать?

    leahch
    @leahch
    3D специалист. Dолго, Dорого, Dерьмово.
    Рекомендую посмотреть в сторону распределенных хранилищ, в частности - собрать CEPH-кластер. Серверов у вас много. Вы их свяжете между собой 10G сетью, поставите iSCSI на раздачу, а в некоторых случаях, если клиенты будут под linux, то и напрямую подключите. Будет у вас распределенное хранилище на все диски сразу. Можно будет сделать и кеширование на SSD, и прозрачное добавление дисковых ресурсов, и прозрачное восстановление и кучу всего хорошего.
    Есть, правда, небольшие требования к серверам, по гигабайту RAM на терабайт диска. Если втыкаете 24 диска по терабайту, то ставите 24 гига памяти. Но это не проблема. При этом вам совсем будут не нужны RAID-карты, достаточно обыкновенных HBA и экстендеров. За каждым диском отдельно будет следить и администрировать сам CEPH. Он же будет делать дублирование и распределение данных по дискам и серверам кластера. Производительность будет заведомо лучше, чем при записи на отдельный сервер, так как запись.чтение происходит параллельно на несколько серверов кластера.
    Дополнительно получите снапшоты, гибкость управления и очень хорошую отказоустойчивость.
    Ответ написан
    Комментировать
  • Что делать с оборудованием (сервера HP)?

    продать на юле
    Ответ написан
    Комментировать
  • Какие сервера были и есть у Xiaomi?

    DevMan
    @DevMan
    никакие.
    Ответ написан
    Комментировать
  • Как собрать тихий сервер?

    @rPman
    Тихий компьютер, не важно, сервер это или игровой (это роль а не физический выбор железа, хотя зачастую бывает что задачи ограничивают выбор именно серверным) - реален.

    Чтобы сделать компьютер бесшумным, нужно исключить компоненты, которые шумят (я прямо КО). На текущий момент это два основных источника - воздушная система охлаждения и жесткие диски.

    Воздушная система охлаждения меняется на жидкостную. Причем все до чего дотягиваетесь - материнскую плату, оперативную память, диски, даже ssd и конечно же процессор и видеокарты. Будут некоторые проблемы с блоками питания, ценники на пассивные системы или с возможностью охлаждения водой какие то ну совсем не адекватные, но можно заниматься колхозом...

    Отводить тепло можно в пассиве, используя дешевые и доступные батареи отопления.. с ценами порядка 300р за 100ват (одна секция), а то некоторые бегут покупают дорогущие корпуса... ну кому как.

    С дисками, если есть деньги, все просто - заменяйте на ssd, иначе, если hdd - это безальтернативно, запихивайте их в герметичный тяжелый корпус (буквально, каменная плита, значительно тяжелее самих дисков), обитый звукопоглощающим материалом (тряпки, вата, паролон, специализированные материаллы) либо городить дорогую многоуровневую звукоизоляцию (на самом деле очень сложно, так как низкочастотные вибрации сложно экранировать легкими материаллами). Плита отразит звук и поглотит низкочастотные вибрации а герметичный корпус и звукоизолирующие материалы погасят звуки в ноль.

    На практике абсолютно гасить весь шум не требуется, для маломощного железа блоки питания практически бесшумные, диски спокойно висят на вибропоглощающих прокладках, да и компоненты на материнской плате охлаждать воздухом все равно придется, хоть какой то слабенький кулер, нужна минимальная циркуляция воздуха... достаточно запихнуть все хозяйство в закрытый шкаф, а батарею охлаждения повесить сзади (оставив по 10-20см пространство до стены и под шкафом, для естественной циркуляции воздуха.

    p.s. если у вас нагрузка выше 1квт/ч, то можно вывести жидкость по трубам на улицу, оставив там же батареи, это чуть хардкорнее но все еще дешево, 3 и выше квт/ч нужна уже система по лучше, например поставить кондиционерный уличный блок от сплит систем... в общем дальше на выбор сложнее и дороже, так как в потребительском секторе готовых решений по отводу тепла нет

    для примера я обсуждал конструкцию по отводу 4квт/ч тепла на улицу, уличный блок на 7квтч (фреон, поэтому мощность системы удваивается от постоянной нагрузки, оно рассчитано только на пиковую и постоянные остановки), теплообменник из бака с водой (чистый или смесь с тосолом из системы охлаждения компьютеров) и опущенным в нее намотоанной спиралью из медной трубки. Мне оценивали стоимость системы - порядка 15т.р. работа + 20т.р. теплообменник с управляющей электроникой + 50-70т.р. за уличный блок.
    Ответ написан
  • Как правильно собрать локальную сеть с Active Directory и Cisco?

    hint000
    @hint000
    у админа три руки
    Заходите на 192.168.4.3
    5dd5fbdf61240369768688.png
    5dd5fbe82a9c5317612722.png
    В пункте 3 прописываете 192.168.4.1 или\и 8.8.8.8, галку в 3.2 убираете (она не позволит прописать forwarders).
    Теперь о смысле. Если так не настроено, то:
    Клиент хочет узнать адрес yandex.ru, видит 192.168.4.3 в списке DNS, делает запрос у 192.168.4.3 о адресе yandex.ru, но 192.168.4.3 знает только о своём домене, он не знает про yandex.ru и отвечает клиенту отказом. По-хорошему клиент должен сразу задать тот же вопрос следующему DNS в списке (192.168.4.1) и получить нормальный ответ. Но в windows работа с DNS всегда была корявой, неадекватной. Винда как бы говорит вам "если я не получу правильный ответ от DNS с первой попытки, то вы у меня помучаетесь!"
    Если вы добавите forwarders, то 192.168.4.3 при запросе yandex.ru скажет (сам себе) "Так, про yandex.ru я ничего не знаю, значит спрошу у 192.168.4.1", и он спрашивает у 192.168.4.1, получает ответ, и затем передаёт этот ответ (от своего имени) клиенту. Т.е. клиент с первой попытки получит то, что ему нужно.

    Есть ещё один вариант. Будет ли он работать лучше - зависит от роутера Cisco. Прописываете на роутере два DNS: 192.168.4.3, 8.8.8.8. При этом в DHCP убираете 192.168.4.3 из списка DNS. Т.е. клиенты получают DNS 192.168.4.1, 8.8.8.8. При запросе имён из AD роутер должен переслать запрос на 192.168.4.3. При этом уже не нужно (и даже немножко вредно) прописывать forwarders на 192.168.4.3. В теории должно работать не хуже, чем первый вариант, но нужно проверять на практике, т.к. в каждой конкретной сети и с каждой железкой могут быть свои заморочки.
    Ответ написан
    3 комментария
  • Миграция гостя (Linux) из Hyper-v Gen2 в Proxmox VE 5, как?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Попробуйте конвертер от Starwind
    Ответ написан
    Комментировать
  • Где вести вики по проекту?

    @iddqda
    network engineer, netdevops
    сейчас модно доку вести в sphinx
    писать можно в их собственной разметке reStructuredText либо в markDown
    можно добивать плагинами
    например с плагином nbsphinx оно кушает .ipynb (jupiter-notebooks)

    sphinx можно использовать и как self-hosted, а можно, совершенно нахаляву, все то же самое делать в облаке readthedocs.io
    Ответ написан
    Комментировать
  • Где вести вики по проекту?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    dokuwiki Есть всё, что нужно! (включая html-разметку и загрузку своих страниц в iframe / popup window)
    Ответ написан
    Комментировать
  • Файловый сервер на Linux с разграничением прав - в сети Windows?

    alhray
    @alhray
    freenas
    openmediavault (попроще, но тоже имеет право на жизнь. работает 3+ года 24/7 на 200-250 юзверей)
    https://www.freenas.org/freenas-vs-openmediavault/ - сравнение по функционалу
    Ответ написан
    1 комментарий