Как организовать VPN на Mikrotik с доступом к локальной сети клиента с Windows 7?

Евгений Матвеев, финиш.

На рабочем компе - home edition. Домена, я правильно понимаю нет. Тогда Вам не страшен ни TeamViewer, ни AmmyAdmin ни вообще сам черт :) с таким отношением к ИТ. Уж простите...

Как организовать VPN на Mikrotik с доступом к локальной сети клиента с Windows 7?

В ваших условиях - "защищенное подключение" - это максимум RDP по сертификатам с сильным шифрованием. А руководству Вашей жены жирную двойку за организацию работы :)

Какой роутер нынче хорош дома для гика?

Immortal_pony, У Вас есть реальная статистическая выборка, что дистриб А не падает ни в каком случае, как бы его не старались уронить разнообразными выключениями? Тут понимаете дело в чем? Когда ты сидишь на работе на одном конце города, а дома - на другом конце города - пропадает питание и потом связь не восстанавливается, а у тебя из ресурсов только десятилетний ребенок и жена, которая в компе смыслит еще меньше ребенка :D - не до статистики :D

Squid4+HTTPS — Как отключить сообщения предупреждений системы безопасности на клиентах?

Jordan-CG, ну у меня как раз и используются и подменяются.

Конфиг там несложный - ну, то что к бампингу относится.

http_port 10.87.1.39:8080 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=/etc/pki/tls/certs/logsrv_subca-sha256.crt key=/etc/pki/tls/private/logsrv_subca-sha256.key cafile=/etc/pki/tls/certs/squid-cafile.pem capath=/etc/ssl/certs cipher=kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2 options=NO_SSLv2,NO_SSLv3,SINGLE_DH_USE,SINGLE_ECDH_USE dhparams=/etc/pki/tls/private/dhparams.pem tls-dh=prime256v1:/etc/pki/tls/private/dhparams.pem

Это основной конфиг собственно прокси. Здесь указывается куча параметров, они все описаны в документации

sslproxy_client_certificate /etc/pki/tls/certs/logsrv_client-sha256.crt
sslproxy_client_key /etc/pki/tls/private/logsrv_client-sha256.key
sslproxy_options NO_SSLv2,NO_SSLv3,SINGLE_DH_USE
sslproxy_cipher kEECDH+AES:kEDH+AES:kRSA+AES:!aNULL:!DSS:!SSLv2
sslproxy_cafile /etc/pki/tls/certs/squid-cafile.pem
sslproxy_capath /etc/ssl/certs

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3

acl nobumpSites ssl::server_name "/etc/squid/policy/ssl_nobump.url"

ssl_bump peek step1 all
ssl_bump peek step2 nobumpSites
ssl_bump splice step3 nobumpSites
ssl_bump bump all

acl domainMismatchList dstdom_regex -i "/etc/squid/policy/domain_mismatch.url"
acl certMismatch all-of domainMismatchList ssl::certDomainMismatch

sslproxy_cert_error allow certMismatch
sslproxy_cert_error deny all

Это клиентская сторона, а также собственно бампинг. Если адрес попал в список ssl_nobump.url (это текстовый файл), бампинга не происходит. Это нужно для банк-клиентов и прочей бухгалтерской шушары. Если адрес попал в список domain_mismatch.url (это текстовый файл), то игнорируется ошибка несовпадения домена в сертфиикате.

Хочу настроить сервер для офиса с redmine. Какую ОС выбрать?

AVKor, Это не болван, а человек, который учится. Древо познания произрастает исключительно из шишек на лбу :D
Я пока осваивал генту, раза четыре систему доводил до состояния "проще переставить" не меньше :)

Какой роутер нынче хорош дома для гика?

Immortal_pony, FreeBSD из-за гребаного softupdate рушился постояно. Дома лежала бумажка с логином, паролем и командами, которые нужно было ввести, чтобы его поднять. Однажды это зае..ло и в доме появился микротик. И чудо - с тех пор пропадание питания - это просто пропадание питания :)

Squid4+HTTPS — Как отключить сообщения предупреждений системы безопасности на клиентах?

Jordan-CG, на CDP внимание не обращают многие и совершенно зря. Особенно такие проблемы характерны для корпоративных сертификатов выпущенных в CA на базе винды. Потому что винда по умолчанию ставит CDP - но ссылается на внутрикорпоративный ресурс, который "снаружи" недоступен.
Как работает бампинг - неплохо написано в сквидовом вики.
Еще могу собственный конфиг привести

Какой роутер нынче хорош дома для гика?

Дмитрий Беляев, а кто поднимет сам systemd? Я имел в виду ситуацию, когда система не стартует из-за ошибок, колторые возникли из-за неверного выключения. Не надо только говорить, что такого никогда не было, что там стоит упс с автомобильным аккумулятором на сутки работы ... У Вас - может и не было. У других, кто возможно захочет повторить такое решение - возможно будет.

Какой протокол VPN максимально безопасный для сохранения конфиденциальности в сети?

lezgiman, Не поверите - провайдеру это до вот такого барабана. Его обязали исполнять решения, далеко не всегда умные - он и исполняет. В СОРМ уйдут данные о том, что Вы постоянно пасетесь на IP таком-то и если возникнут вопросы...ну сами знаете...

Какой роутер нынче хорош дома для гика?

Проблема любого линуха/FreeBSD/еще чего угодно в качестве роутера одна - если тебя дома нет, а было пропадание питания - то хрен кто его сможет поднять до твоего появления в доме. Плавализнаем. Восемь лет в качестве роутера стояла FreeBSD. Столкнувшись пару раз с необходимостью по телефону диктовать команды, сменил на микротик.

Какой роутер нынче хорош дома для гика?

У микротика есть pure IPSec, причем наконец-то с IKEv2, то есть strongswan спаривается с ним только в путь.

Можно ли зарегистрировать домен без электронной почты?

kekoz, Ну, мне кроме моего почтового сервера не известно больше людей, кто бы его держал :) поэтому тут я ничего сказать не могу. Я не знаю такого хоста, на который можно было бы положиться в процессе доставки почты.

Как зайти в графическую оболочку в linux?

pfg21, глупостей можно и там и там натворить будь здоров :) Если голову не применять :) Их можно даже в винде натворить, что периодически и делает ребенок :D

Стоит ли использовать бесплатный https letsencrypt?

rgz, да он автоматом продляется

VPN от Kaspersky + роутер, реально-ли?

OMG.

Запрещения использовать клиентов VPN - пока не было. То есть можно пользоваться любым VPN, который еще работает :) Ограничения касались сервисов VPN, йопт. То есть сервис либо блокирует доступ к ресурсам по списку РКН, либо его самого блокируют.

Сервис от каспера по определению будет придерживаться списка РКН - он российский, он по-другому просто не может. Поэтому я понятия не имею, как работает сеть PS4 (и видимо никогда иметь не буду), но обойти какую угодно блокировку РКН с помощью сервиса Каспера не получится. От слова совсем.

Как правильно настроить multipath в Astra Linux?

vreitech, у астры нет версий, у них только "самоназвания".

Как зайти в графическую оболочку в linux?

pfg21, нифига. Я ратую за то, чтобы всегда помнить, что за свои действия будучи рутом несешь ответственность только ты. И если ты нечаянно хлопнул свою домашку только потому что тебе на палец села мошка - то вину свалить будет не на кого...
ТС, понятное дело из тех, кто в винде работает под учеткой administrator с паролем 123456

Как зайти в графическую оболочку в linux?

pfg21, от рута не надо отвыкать, но нужно всегда помнить, что ССЗБ

Как поднять туннель на CentOS?

Сергей, чи-во? ракун, еслиф че - это IKE демон, вспомогательная тулза для обеспечения автоматического переподьема туннелей. Можно вообще без ракуна/свана - руками все прописать и оно будет работать. Другое дело, что как только окончится фаза2 - придется все снова руками...IKE демон как раз это и решает ну и до кучи еще много работы делает.
strongswan никаким боком с ракуном по кодовой базе не пересекается - и работает в стопицот раз лучше его (это я как пользователь ракуна с многолетним стажем говорю :) ) А еще у свана замечательная документация. Там конечно не сразу все можно найти, но гугл решает...

Инструмент для синхронизации учетных записей ubuntu?

Денис Сечин, Хорошие инструменты, но не для этого. Вы беретесь за задачу не с того края. Задача централизованного хранения единой учетной базы для всех компьютеров возникла еще в чудовищно лохматые годы. Первой ее решила Novell в Netware, потом M$ в Windows Server. Не нужно кроить велосипеды. Обьедините все компы в домен и храните учетки в домене.
Все вышеизложенное - IMHO. Вы можете как воспользоваться советом, так и забить на него :)