Ответы пользователя по тегу Сетевое администрирование
  • Объединение маршрутизаторов в 1 сеть через интернет?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    //COPY01 EXEC PGM=IEBGENER
    При отсутствии хотя бы с одной стороны статики (причем белой статики) без сторонних средств задача не имеет решения. В этом случае решение только так, как делает TW, AnyDesk иже с ними - берется некий центр, IP адрес которого известен и подключается к нему в обеих точках. Центр обеспечивает маршрутизацию.

    Арендуете VPS, достаточно самый дишман, разворачиваете VPN, который поддерживают узлы, подключаетесь, вперед.
    Ответ написан
    Комментировать
  • Будет ли работать витая пара?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Так очень часто делают говнопровайдеры. Это 100 Мб будет. Максимум.
    Ответ написан
  • Какой сервер лучше выбрать?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Все перечисленное можно было бы держать на домашнем сервере (если он будет именно сервер, а не "нечто-дишманское-из-десктопа" или "крутая китайская тачка с али на ксеоне" - с серверной матерью, ECC памятью, ксеонами, IPMI и пр.)

    НО есть одно НО, которое вполне возможно вынудит Вас ставить это все хозяйство в ДЦ или арендовать дедик. Имя этому НО - вот эта фраза:
    Интернет стабильный 500-600мб, а оплачиваю за 1000мб.

    Вот в ней Вы ошибаетесь и ошибаетесь люто. Нет у Вас 500-600. У Вас до 1000. В любом диапазоне.

    То есть 1Мб - это тоже не нарушение договора - с физиками SLA не составляют и физикам flat rate не дают (а если дают - дерут как с юрика). Как только Вы начнете топить соседей своим исходящим трафиком (а в стандартной модели сохо входящий намнооооого больше исходящего) - Вас сразу спросят - Вы тут хоум офис открыли? Хорошо, но тогда давайте платите, как юрик.

    К себе однозначно стоит забрать почту - если хотите конечно поипаца с доменом, почтовиком, SPF, DKIM и прочими умными и не очень вещами. А так - смотрите ответ AntHTML - он все правильно написал.
    Ответ написан
    2 комментария
  • Чем мониторить трафик копроративной сети?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    squid - стандартное решение для такой вещи. Ставится в локалке, прописывается политиками (для FF/WF иже с ними - руками), на микротике банится выход на 80/443 (хотя вообще говоря нормально - банить все, что не разрешено, потому что есть множество хитровыделанных юзеров).
    Можно использовать бампинг, можно нет. Без бампинга статистика будет кривенькая, потому что основана будет только на первоначальном запросе (например https://mail.ru). Потом, уже находясь на mail.ru юзер перейдет на "Знакомства" (если они там есть) - и все, ты видишь, что он на почтовике, а он на самом деле деффок шшупает.
    У бампинга есть правда и оборотные стороны - в бухгалтерии могут быть проблемы (сайты клиент-банков обычно защищают посильнее, чем обычные, QUIK опять же), да и сертификаты разворачивать надо, но если нужна относительно точная статистика - без него никак.
    Ответ написан
    Комментировать
  • Чем удобно производить контроль/логирование производимых изменений в конфигах/инфраструктуре?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Сейчас существует тикетная система

    Привязать к ней VCS, который и будет показывать, что было что стало. Поскольку вас несколько, вообще стоит завести отдельный трекер-сервис - чем меньше народу знает про внутриадминскую кухню, тем лучше.
    У меня такое реализовано на redmine + svn
    Ответ написан
    Комментировать
  • GPON роутер или GPON Оптический абонентский терминал?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    //COPY01 EXEC PGM=IEBGENER
    Начать надо с вопроса - а даст ли тебе пров заменить его роутер? РТК и МТС запросто не дадут. Поэтому обычно решение тут - роутер прова переводится в режим моста - провом! тебе только заявку подать и получить реквизиты подключения, за ним ставится твой роутер, на котором настраивается подключение к сети прова. Таким образом, роутер прова первращается в тупую железку, а вся раздача идет с твоего роутера.
    Ответ написан
    Комментировать
  • Как реализовать VPN-соединение до удалённого сервера с установленным Vipnet?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Уже двадцать раз было сказано - машина с Vipnet - только для vipnet. Во-первых, потому что при работающем випе вся остальная сеть глохнет нахрен (глушится випом), а во-вторых, конторы, которые используют вип для подключения к себе - способы причинить немало неприятностей, если от тебя к ним что-то проползет.
    Поэтому виртуалка с випнетом - только для випнета. А работать с нее - через консоль, которую обеспечивает хостер - по-другому никак.
    Ответ написан
    Комментировать
  • Как мне настроить VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Как обойти Endpoint Security подключиться к клиенту не из сети РФ?

    Никак. И об этом уже писали - если на компе работает VPN такого класса, который отрубает все (в режиме - либо VPN, либо Сеть), то пытаясь каким-то образом устроить подключение в режиме VPN - ты запросто привлечешь внимание безопасников той сети, в которую VPN, обычно это "большие ребята" типа РЖД. Точно есть желание с ними бодаться?
    Ответ написан
    Комментировать
  • Pritunl OpenVPN почему не работает?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Год работал без проблем

    ...а потом РКН научился его блокировать. И все. И то же будет с другими VPN - пройдет время, РКН научится их блокировать (а может быть вообще ему все надоест и будет белый список)
    Ответ написан
    Комментировать
  • Чем пробросить порт если закрытый контур?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Если випнет - значит, что-то серьезное, ибо это мерзкий клиент от ребят типа РЖД. Вам точно нужны проблемы такого уровня? Никогда не используйте випнет на рабочих машинах, потому что эта штука отрубает нахрен все, кроме себя, когда работает.
    Ответ написан
    Комментировать
  • Как заблокировать сайты на Linux?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Сам себя? Не, от себя не убежать, только хардкор
    Почему прокрастинаторы прокрастинируют
    Ответ написан
  • Как правильно выбрать способ работы с ГИС через туннель?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    VipNet сам настроит себе все адреса, сам поломает тебе всю маршрутизацию. Для него недаром рекомендуется отдельная машина - потому что у него два режима работы - "внешняя" и "внутренняя" сети.
    "Внешняя" - все, кроме ресурсов "внутренней" сети
    "Внутренняя" - только она сама, болльше ничего

    Как он работает - одно большое ХЗ
    Ответ написан
    Комментировать
  • Как обеспечивается уникальность IPv4 адресов?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    //COPY01 EXEC PGM=IEBGENER
    кто-то со своим ПК подключается к магистральному маршрутизатору, назначая своей машине белый IP-адрес. Маршрутизатор же

    ...отбросит пакет с этого адреса, поскольку фильтрует трафик, отбрасывая все, что не является его адресами, поскольку адресу в заголовке пакета доверия нет.

    Я так полагаю, хотите себе белый IP, но не хотите за него платить и рассматриваете варианты сбацать самому? Не проканает.
    Ответ написан
    Комментировать
  • Что имеют в виду, когда говорят "смотрит в интернет"?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Это от контекста зависит. Устройство смотрит в тырнет - может означать, что устройство имеет подключение к тырнету, которое вовсе не обязательно прямое, а может означать именно прямое подключение к нему. Приложение смотрит - обращается куда-то и ищет какие-то данные где-то. Порт смотрит - скорее всего означает, что он проброшен через NAT и к нему есть доступ извне.

    На самом деле это безграмотное выражение, примерно как описание неисправности автомобиля - "аккумулятор крутится, а газу нет" :D
    Ответ написан
    5 комментариев
  • Аппаратный брандмауэр - нужен или нет в моём случае?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    //COPY01 EXEC PGM=IEBGENER
    Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

    Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?
    если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

    Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...
    Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

    Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
    Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.
    если в организации отсутствует отдел ИБ

    На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.
    Ответ написан
    2 комментария
  • Как обеспечить отказоустойчивость сервиса независимо от провайдера?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Ну елы-палы, замерли в одном шаге от решения проблемы! Конечно же AS! Для чего еще берется два провайдерских канала? Я тем же занимаюсь и проблемы те же.

    Какие тут проблемы:
    - дааааааааааааааалеко не всякий, даже вроде бы как толстый пров - LIR, а только LIR имеет право регить AS, соответственно сначала нужно узнать, есть ли среди ваших LIR.
    - МТС (через которого мы может быть будем работать - сказал так:

    1) Только PA и только аренда
    2) Все так – регистрируем AS на клиента через запрос от нас в RIPE так как мы LIR
    3) Настройка BGP идет как обязательная услуга при аренде PA и регистрации AS
    4) А BGP мы настраиваем только с нашим каналом - при аренде PA и регистрации AS мы юридически обязаны протащить трафик через нашу сеть. (фактически клиент может наш канал и не использовать под BGP, но на бумаге он должен быть)


    То есть МТС делится своими запасами, которые и прописывает в AS.

    UPD: Важно! После получения AS контора получает статус "организатора распространения информации" и ей надлежит зарегиться в РКН, написать там кучу разной бюрократии и - пока еще не подтверждено, но скорее всего - поставить у себя "черный ящик" имени РКН, который будет рулить блокировками (причем за свои деньги :) )

    Приказ РКН #221 от 31.07.2019

    По большей части это все касается конечно же трансграничной передачи
    Ответ написан
    Комментировать
  • Почему не получается попасть на веб сервер по ip, ip взят с сайта ip2?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Значит нельзя входить через ip c ip2 без белого ip?

    Совершенно непонятно, почему ты считал что можно ;) Это вообще не твой адрес, а адрес какого-то NAT сервера, через который ты (и еще толпа таких же) выходишь в тырнет.
    Адрес 10.119... - это ненастоящий адрес. Таких адресов существует неопределенное количество, но они действуют только в пределах твоей локалки.
    Ответ написан
  • Как подключиться через ftp к удаленному серверу?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    FTP - протокол очень старый, он ровесник самого тырнета. И он рассчитан на тырнет, в котором нет файрволлов :) Кроме управляюих портов 20-21, нужно еще обеспечить проброс порта данных. Для того, чтобы это работало в ipfilter, например специальные модули подгружаются.

    Забей на FTP, используй sftp
    Ответ написан
    Комментировать
  • Что нужно знать начинающему системному администратору?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    Видимо, других кандидатов или не было, или они не согласились. Для первого места работы вполне ничего.

    1. Доступ. У Вас должен быть админский доступ ко всем устройствам. Не поленитесь, проверьте на каждом устройстве.
    2. Карта сети. Разберитесь, что к чему подключено, что через что и как приходит, нарисуйте карту сети с указанием адресов, промаркируйте провода (по возможности), поставьте номера проводов на схеме
    3. Разберитесь с подключением к тырнету - кто провайдер, как подключено, найдите контакты, спишитесь с саппортом. На админа обычно возлагается отслеживание оплаты за тырнет.
    4. АТС. Если это типа астериска - обязательно бэкап настроек до того, как полезли копаться. Если панас/самсунг - проверьте наличие работающей программы управления (панас просто так ее не дает!)
    5. Видеонаблюдение. Мониторинг подключения камер и места на сервере хранения, контакты поставщика решения
    Ответ написан
  • Какой поставить прокси на предприятие?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    squid это единственный вариант. Отчеты правда, самому колхозить придется. И разумеется бампинг нужен будет. Без него можно - я вот до сих пор не внедрил, но с ним проще.
    Ответ написан