Ответы пользователя по тегу Сетевое администрирование
  • Как в микротике создать site to site между микротиками ipsec в тунельном режиме?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    различие...İpsec а в транспортном и туннельном режиме

    Это в гугл.

    Порядок создания опишу завтра - если кто-то другой не напишет раньше :)

    Берем простейший случай - аутентификация по PSK (Pre-Shared Keys, то бишь простому текстовому паролю). Текст пароля "123456" (понятно, что если реализовывать такой вариант, пароль должен быть посерьезней)

    Внешние интерфейсы, смотрящие в тырнет:
    система А - 170.70.70.1
    система Б - 180.80.80.1
    (обязательно поменяйте их на свои!)

    Внутренние интерфейсы, смотрящие в спариваемые локалки:
    система А - 10.1.1.1
    система Б - 10.2.2.1
    маски у обеих сетей - /24 (255.255.255.0)

    итак погнали.

    RouterOS 6.45.7
    значения по умолчанию не указываются
    Система А (на системе Б будет все тоже, только перевернуто зеркально)

    Шаг 0 - создаем предложение
    Этот шаг необязательный
    /ip ipsec proposal
    add auth-algorithms="" enc-algorithms=aes-256-gcm lifetime=1h name=proposal1

    Самое первое - создаем proposal. Это наше предложение другой стороне о том, какие мы поддерживаем шифры и какие методы подписи пакетов. Выбираем самое сильное шифрование AES256 со счетчиком Галуа, отдельная подпись пакета не потребуется. Здесь же мы задали время жизни туннеля до неполного переустановления - 1 час.
    Этот шаг необязательный, он нужен только для усиления защиты туннеля. Без него будет набор из более простых шифров типа AES128 CBC с SHA1 в качестве алгоритма подписи пакета

    Шаг 1 - создаем профиль соединения
    /ip ipsec profile
    add dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 lifetime=2h name=profile1 \
        nat-traversal=no proposal-check=strict

    Отключаем DPD - от него только проблемы, устанавливаем более мощные чем по умолчанию алгоритмы шифрования и хэширования (default encrypt может быть и 3DES, default hash - SHA1), устанавливаем время жизни туннеля 2 часа (после - полная переустановка соединения со сбросом ключей шифрования), отключаем NAT Travesal, указываем обработку предложений strict (очень важный параметр! Если время жизни туннеля, запрошенное той стороной больше чем задано у нас - послать, если меньше или равно - принять)

    Шаг 2 - создаем напарника (данные об удаленной системе)
    /ip ipsec peer
    add address=170.70.70.1/32 comment="Main VPN" name=RB2011 profile=profile1

    Тут даже пояснять ничего не надо, все самоочевидно

    Шаг 3 - создаем политику
    /ip ipsec policy
    add dst-address=10.2.2.0/24 peer=RB2011 proposal=proposal1 src-address=10.1.1.0/24 tunnel=yes

    Очень важный шаг. Именно здесь указываем микротику, какие пакеты будут шифроваться. И включаем туннельный режим

    Шаг 4 - создаем идентификаторы (identity). Раньше в IPSec у микротика было меньше сущностей и обьяснение было проще...
    /ip ipsec identity
    add peer=RB2011 secret=123456


    Естественно возникает вопрос - а как же микротик узнает, куда девать пакеты? А это записано у него в настройках - все пакеты с сети 10.1.1.0/24 на 10.2.2.0/24 зашифровать и отправить на 170.70.70.1, все пакеты же с 170.70.70.1 протокола ESP нужно расшифровать и обработать повторно.
    Вообще для того, чтобы понять, как ходят пакеты в IPSec - есть отличная схема Packet Flow in Netfilter and General Networking
    Ответ написан
  • Что не так с виртуальной машиной?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    И как, интересно, пакеты с виртуального коммутатора (вы же его создали, да? и IP на интерфейс управления прописали? и виртуальные сетевки присоединили к виртуальному коммутатору?) попадут в тырнет? В хосте должна быть сетевуха, в нее воткнут хвост, который идет к роутеру, раздающему тырнет (или если эта тачка тащит еще и виртуалку-роутер - две сетевухи, присоединенные к ней).
    С виртуалок проверить что пинается допустим 8.8.8.8 - если нет, значит, Вы с сетью что-то намудрили.
    Ответ написан
  • Зачем учить сети?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Занимается ли кто-то сетями, как хобби, имея с этого дополнительный доход?

    Если это вариант вопроса "Как мне быстро и много заработать в ИТ, ведь говорят тут зиллионные доходы, да?" - то нет
    Хобби обычно доходов не приносит, а наоборот их проедает :) Вот у меня хобби - компьютерные игры. Но я на них не зарабатываю, а только трачу (время, деньги...)
    Какие плюсы? Ну... знать будете, как это работает :) Зачем нужен роутер, почему VPN - это не страшно, и почему провайдерская блокировка сайтов рассчитана на лохов и лентяев...
    Ответ написан
  • Как правильно ораганизовать доступ?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    А что Вы собственно хотите-то? Ну сделайте три обезличенных учетки - admin1, admin2, admin3 и закрепите за каждой конкретного Иванова, Петрова и Щварцмана. Здесь не придумать других вариантов, кроме как: одна учетка на всех, обезличенные учетки у каждого, персональные учетки у каждого.
    Ответ написан
  • Отказоустойчивый удаленный доступ, возможен ли при следующих условиях?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Отказоустойчивость обеспечивается не количеством каналов, а передачей в мир информации о том, что сейчас такие-то адреса доступны через такие-то. Своевременной передачей. Как правило для этого покупают/арендуют AS и настраивают с каждым из провайдеров BGP. И тогда каждый провайдер будет передавать далее по цепочке эту информацию всем другим провайдерам.
    Без такого финта ушами отказоустойчивое подключение можно обеспечить только для локальной сети, внешние сервисы так подключить невозможно.
    Ответ написан
  • Какую ОС выбрать для корпоративного сервера?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Вот присоединюсь к вопросу Владимир Коротенко - а задача-то какова? "Обасучить" (как говорили когда-то) то есть компьютеризировать контору Х? И чем она занимается, сколько денег готова потратить, сколько людей у нее есть для админской работы, бухгалтерия опять же на чем (вопрос не праздный - 1С - это как правило либо отдельный сервер либо очень жирный кусман достаточно мощного хоста)
    Ответ написан
  • Свой DNS сервер?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    - Оплатить домен и secondary (если лениво ставить DNS - можно и primary там же оплатить)
    - Поднять свой DNS сервер и указать его как primary, если не лениво
    - Настроить проброс портов на роутере
    - Наделать записей в DNS типа
    nichego.net.     IN      A       1.2.3.4
                    IN      MX      50      mail
    www             IN      CNAME   nichego.net.
    mail              IN       CNAME   nichego.net.

    (и так далее - можно до семи CNAME по-моему)
    Ответ написан
  • Так кто же грузит сеть?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Если свитчи вменяемые, зайти к ним на морду и посмотреть по какому порту идет наибольший трафик. Если дишманские - только методом последовательного отключения ;)
    Еще можно зайти на микротик и посмотреть от кого идет максимальный трафик с внутреннего порта - это если идет загрузка изнутри наружу. Если же грузят сеть между внутренними компами - только на свитчах ловить.
    Ответ написан
  • Где можно купить "белый" IPv4 адрес "навсегда"?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Где можно купить «белый» IPv4 адрес «навсегда»?

    Нигде.

    Теоретически можно выкупить диапазон некой конторы, которая когда-то его получила, но такие диапазоны по-моему скупают специальные скупщики для сдачи в аренду - читайте специализированные форумы. Да и в аренду Вам один-два IP не сдадут - там блоки идут, начиная от /24, а это довольно накладно выйдет.
    Ответ написан
  • Чем грозит серверу HP ProLiant DL160 Gen9 аварийное вуключение?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Ну, самое страшное - это то, что аппаратный рейд не успел записать блок, о котором уже отрепортил как о записанном :) Ось может перестать грузиться. А может и нет.
    Ответ написан
  • Как достучаться до внешнего адреса tele2?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Ну, тут вариантов три:

    - синхронизация регистратора в облако.
    Плюсы:
    Простая настройка
    На tele2 ложим болт, работает и ладно
    Ничего больше не покупать
    Минусы:
    Данные будут храниться хрен знает где и попадут хрен знает к кому

    - купить роутер, настроить VPN, заходить через IP VPS
    Плюсы:
    Данные не уходят никуда
    На tele2 опять ложим болт
    Минусы:
    Сложная настройка
    Покупать роутер, ехать, ставить

    - стать юрлицом
    Плюсы:
    Простая настройка
    Ничего не покупать
    Данные никуда не уходят
    Минусы:
    Все прелести оформления и обслуживания юрлица :)
    Ответ написан
  • Какие тенденции в компьютерных сетях?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Что нас ждет? Развал тырнета на локальные "неты" и вход в него по паспорту :)
    Ответ написан
  • Файловый сервер на Linux с разграничением прав - в сети Windows?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    На линух ставится самба. Теоретически взгромоздив поверх нее какой-нибудь webmin можно даже рулить всем этим через веб-морду. Ну или можно попробовать поставить туда пиленую Synology - там тоже есть веб-морда для самбы.
    Ответ написан
  • Как узнать адрес ip-адрес коммутатора в настроенной немаленькой сети?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Пожалуй самый простой способ - консоль, если шнурок есть.
    Ответ написан
  • Что лучше для защиты сети: OpenWRT или pfSense?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Что круче - феррари или ламборджини? :)

    Комбинировать смысла нет :)
    OpenWRT - это "Linux для слабых устройств". Его шьют в зиллион самых разных соховских роутеров и точек доступа, превращая их в относительно полноценный линух. По крайней мере, netfilter там будет более-менее.
    pfSense - FreeBSD-based роутер, у которого внутри pf. Если хотите похоливарить на тему Linux vs FreeBSD - почитайте обзоры того и того...

    Ну то есть - два разных, примерно одинаковых по эффективности набора инструментов. А как Вы ими воспольузетесь - это уж Вам решать...
    Ответ написан
  • Есть ли у кого то опыт покупки Б\У серверов?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Ну у меня есть :)

    Есть конторы, которые барыжат серверами, снятыми с датацентров пяти-семилетней давности. Они разумеется, далеко не новые, но для сохо вполне подойдут. У них там техника уже и ТО прошла и проверена, что работает и с документами проблем не будет - контора же.

    Далее реклама :)
    Вот, например
    Ответ написан
  • Как сделать перенаправление на определенную страницу через hosts?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Никак это не сделать без бампинга https да и с бампингом будет не так просто. Тут недавно было обсуждение - чел хотел при заходе на гугло перенаправлять на бинг.
    Еслиф че - SSL-сертификаты были придуманы специально чтобы противодействовать таким вот перенаправлениям.
    Ответ написан
  • Как зашифровать трафик с рабочей машины Windows 10?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    как можно защититься или скрыть свой трафик и данные с сайтов?

    Никак. Можно нарваться на неприятности и это будет вовсе не админ. Это может оказаться например директор по безопасности :)
    Ответ написан
  • Как сделать wifi стабильным как через кабель?

    CityCat4
    @CityCat4
    У тролля даже мозги - и то каменные!
    Никак. Другой OSI 1 уровень. Другие принципы передачи. Даже в собственной квартире - за стенкой новый сосед, который купил новую точку и поставил ее прямо возле смежной стены, например. Что уж говорить об производстве, например.
    Ответ написан