Ответы пользователя по тегу Mikrotik
  • Как переадресовать tcp/udp порт в микротике?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Хотите узнать, есть ли в Вашей конторе СБ? Если это по работе - проще всего написать своему руководителю. Если нет - ну добро, дерзайте. Сейчас как раз руководство премию к НГ планирует - очень вовремя будет :)
    Ответ написан
    Комментировать
  • Посоветуете ipsec IKEv2 клиент для windows?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Родной клиент windows не поддерживает наиболее безопасные методы шифрования.

    Чи-во? AES256-CBC для Вас не слишком безопасный? Ну добро, что для Вас есть "безопасный метод шифрования"?

    Для винды нет никаких IPSec клиентов - ни платных, ни бесплатных. Forticlient работать не будет - он работает исключительно со своим оборудованием. Когда-то были ZyWall, The GreenBow, ShrewSoft - но они все были жутко кривые и потому видимо померли.

    Наоборот стандартному юзеру нужно, чтобы искаропки.

    "Безопасный VPN" не бывает в вакууме. Сначала определяются для чего он нужен. Для стандартного применения - выход в корпоративную сеть с точки выезда в командировку или с дома при работе по удаленке встроенного виндового клиента овердофига, даже при том, что там PFS приходится выключать - а то обновление ключей не проходит, отработает час - и зависает.

    Разумеется работает это все только по сертификатам, никаких там паролей.
    Ответ написан
    1 комментарий
  • Для Mikrotik Hex S необходимо докупать sfp-модуль?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Нужна, конечно. Причем, вовсе не абы какой SFP, лучше всего проконсультироваться в саппорте прова, возможно они же и SFP продадут. Да, это будет дороже, чем на стороне, но будет гарантия, что линк подымется.
    Ответ написан
    Комментировать
  • Правильно ли я сделал выбор для построения сети в организации?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Какая модель совместима с РТК?

    Здесь скорее нужно ставить вопрос - какая модель совместима с микротиком? Потому что микротик жует не любой SFP - гигалинки не жует точно, SNR может зажевать, свой собственный SFP зажует точно (правда цена его выше). Лучше всего связаться с РТК и спросить, какой SFP поставить, чтобы точно заработало, возможно они даже придут со своим, по крайней мере к нам (правда, не РТК) пришли именно так - долго был секас на предмет "почему эта х..ва железка не работает", в итоге пров пришел со своей :)
    Ответ написан
    Комментировать
  • Как запретить всем VPN клиентам доступ друг на друга (изолировать)?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Начать надо с того, какой тип VPN и как назначаются адреса его клиентам. В микротике сто тыщ разных VPN поддерживается, еслиф че.
    Ответ написан
  • Как настроить Ike2+ipsec на Mikrotik с авторизацией по PSK?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Неужели мне одному интересна авторизация по паролю?)

    Видимо, да. Авторизация по паролю имеет некоторые преимущества, конечно (если пароль не запомнен в компе, а запомнен в голове) - например, его украсть невозможно. Если же он запомнен на компе - в режиме авторизации по паролю нет никаких преимуществ.
    В документации на strongswan есть все мыслимые и немыслимые примеры сочетаний - придется конечно попыхтеть, чтобы приспособить их к микротику, но может быть и получится. А может быть и нет - это зависит от того, что там было реализовано в поддержке IKEv2
    Пользователь не должен вообще никак возиться со скачиванием и установкой сертификатов.

    Разумеется. Это за него должен делать админ. Либо вручную, либо наваять скрипт на vbs. Безопасность - она всегда перпердикулярна удобству :)
    Ответ написан
  • MikroTik LTE + Смена ime + изменение TTL + SIM карта, за это можно спросить?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    И получить полноценный иск за попытку взлома сети оператора. Конкретная формулировка может быть другой, но смысл будет примерно таким. Тем более, что иск будет обращен не к Вам (физику), а к конторе (юрику). А с юрика (если только у него не Вы учредитель) взыскать деньги попроще, чем с физика.
    Ответ написан
    Комментировать
  • Как подвязать VCSA к ESXi в разных сетях?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Ну, версия хоста должна быть равна или меньше чем версия сферы - хостов версии выше чем у сферы, она просто не знает.
    Вполне возможно, она ломится к хосту по каким-то портам, и пробиться не может.
    Ответ написан
  • Как присоединить филиал к главной сети через VPN?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Можно ли задать адрес локальной сети в филиале 192.168.1.0?

    Можно. Но не нужно. Единственная известная мне причина, когда сеть настоятельно пытаются растянуть на L2 - это наличие софта с артефактами, например поиска компьютера сугубо по Netbios-имени (которое не работает ни через что, а работает только в пределах L2-сети). Попытка упростить себе администрирование приведет к его фантастическому усложнению.

    Обычная схема построения VPN - это центр, к которому подключаются удаленные узлы. Маршрутизацию осуществляет центр. У центра своя подсеть, у узлов своя - у каждого узла своя. dhcp раздается узлом (теоретически dhcp можно пробрасывать с помощью dhcp realy, но при этом заметно страдает надежность - упал туннель - в филиале пропала сеть). Локальный DNS раздается центром, хотя при приличной нагрузке на узле обычно на узел ставят подчиненный сервер, на котором подымают дубли сервисов - dns, ad и прочее - чтобы не бегали юзера за аутентификацией на каждый чих в центр.
    Ответ написан
    3 комментария
  • Продолжаю долбится с Hotspot mikrotik финальная битва. Почему нет пути сертификации?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Потому что в корневых нет сертификата издателя. Винда проверяет сертификат издателя проверяемого сертификата на наличие в хранилище корневых. Если он сам не корневой (то есть у него есть свой издатель) - то проверяет и его и так далее пока не дойдет до сертификата, который сам себе издатель :)

    И все сертификаты в цепочке должны присутствовать либо в "Доверенные корневые центры" либо в "Доверенные промежуточные центры". На каждом устройстве. Для винды обычно такое делают политиками.
    Ответ написан
    1 комментарий
  • Есть ли возможность полностью пркрыть доступ к соцсетям средствами Микротика?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Полностью - нет. Потому что существует стопицот "шлюзов" для соцсетей, которые перенаправляют трафик. Нужен прокси с бампингом, нужно настроить всю сеть так, чтобы все ходили только через него и пара показательных выдач люлей тем, что ходить не будет.

    В общем как всегда - если решать административно-техническую проблему только каким-то одним способом - получится ровно то, что получится - половина решения :)
    Ответ написан
    Комментировать
  • Можно ли установить Windows на роутер Mikrotik?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Даня, ты ли это? :)

    Чисто теоретически - на те модели, которые на arm (rb4011, например) - можно. Но поскольку исходных кодов винды нет - собрать ядро кросс-компилером и поместить его на загрузочный носитель (как это обычно делается для устройств на arm для линуха - малинки все возможные etc) - невозможно.
    Ответ написан
    Комментировать
  • Как правильно создать правила в микротик?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    Внимание! Изменился адрес почты!
    Да можно конечно
    Ответ написан
    Комментировать
  • Как настроить правильно VPN (ipsec) клиент на Mikrotik?

    CityCat4
    @CityCat4 Куратор тега VPN
    Внимание! Изменился адрес почты!
    Первое - это для настройки профиля (закладка Profiles)
    Второе - для предложения (закладка Proposals)
    SA ... - это тайминги в секундах

    С той стороны скорее всего циска, причем видимо не самая новая, раз md5 включили в proposal. Ну или какая-то еще другая не больно новая железка, похоже sha1 - ее максимум
    Ответ написан
    Комментировать
  • Как пробросить порт для RDP от ПК из одной локальной подсети к серверу в другой локальной подсети по MAC-адресу?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Никак.

    MAC-адрес уникален только в пределах локального сегмента. После выхода за него в пакете MAC роутера. Если стоит задача ограничить возможность RDP одним компьютером, то придется сделать несколько вещей:
    - забинднить MAC на порту свитча, чтобы невозможно было подключиться в данный порт другим устройством
    - настроить два правила: первое - пропускать на данный порт трафик с данного MAC, второе - запретить трафик на данный порт
    - включить дополнительную аутентификацию по сертификатам на RDP, чтобы защититься от "положительной подмены" MAC (когда меняют MAC на MAC разрешенного устройства)

    Не так все просто, как кажется...
    Ответ написан
    Комментировать
  • Двойной NAT в другой стране, как преодолеть?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    Внимание! Изменился адрес почты!
    Без содействия или с явным противодействием оператора микротика 2 - никак. При содействии - VPN на микротик 1, причем микротик 2 должен устанавливать соединение, а микротик 1 - его только принимать, потому как микротик 1 сам к микротику 2 не пробьется никак от слова совсем.
    Ответ написан
    Комментировать
  • Помощь с выбором оборудования?

    CityCat4
    @CityCat4
    Внимание! Изменился адрес почты!
    Hex S не бери. Эта хрень теряет данные на встроенном накопителе - закинул туда что-то или бэкап сделал - захожу через месяц - а там пусто!
    Если совсем по дишману - брать 951-й, если с бюджетом не особо напряг - 450G или аналог (модель не новая, но хорошая, шустрая, 5 гигабитных портов)
    У нас в качестве "башки" стоит CCR1016-12S-1S+
    Ответ написан
    4 комментария
  • Как запретить микротику поднимать vpn туннель по порту 4500?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    Внимание! Изменился адрес почты!
    Если звезды зажигают - значит это кому-нибудь нужно (С) В.В. Маяковский

    Если IKE переходит на 4500 - значит где-то есть NAT-T. Запретите его (если удастся) - и туннеля не будет :)
    Ответ написан
  • Отслеживание трафика пользователей локальной сети: каким путём лучше пойти?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    Внимание! Изменился адрес почты!
    Стандартная схема:
    - весь тафик пускается через прокси (в данном случае прокси - это машина, а не сервис)
    либо
    - весь трафик идет через роутер, веб-трафик - через прокси
    - прокси с бампингом для того, чтобы видеть что внутри https
    - прокси формирует логи, которые парсятся анализаторами
    - весь "прямой" трафик через роутер с рабочих станций отрубается, чтобы исключить умников, которые начнут использовать веб-vpn, сторонние прокси, пробросы на домашние компы и еще сто тыщ мильенов способов "обмануть админа" (на самом деле обмануть его нельзя)

    В качестве прокси (сервиса) обычно используется squid.
    Ответ написан
    1 комментарий
  • Создание прокси сервера для парсинга сайта?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    Внимание! Изменился адрес почты!
    Интересно. Чел, который понимает, что делает что-то "околозаконное" приходит и просит "дяденьки, научите меня плохому" :)
    Плохому, чувак, учатся сами :)
    Можно ли, имея динамический ип от провайдера - на mikrotik настроить прокси сервер, что бы, через него шли запросы от парсера?

    Можно, конечно. В том случае, если динамика - белая. Если она серая - не имеет смысла, потому что она "белеет" где-то там у провайдера.
    Впрочем финал у этой истории будет примерно одинаков, только если динамика серая, он наступит гораздо быстрее, если магазин, который парсят - толстый.
    В саппорт поступт заявка о непонятно откуда взявшейся капче на сайте магазина, куда "я сто лет хожу". Одна, вторая, сотая... Саппорт выяснит (либо у магазина, либо сам), откуда идет поток запросов и просто забанит Вас за нарушение договора. Если динамика белая и пул у прова большой, какое-то время так будет работать (в зависимости от скорости удаления банов на сайте магазина).
    (я вроде где-то читал, что как раз OpenVPN - для этого подходит?

    А я где-то читал, что в Австралии люди ходят на головах и зовутся "антиподы" :) VPN - это Virtual Private Network. Какое из этих слов можно применить к парсингу - я не знаю :) (в свете "а не арендовать на стороне", так-то конечно имеет отношение)
    а ЗАЧЕМ И КОГДА их применяют.

    Когда есть необходимость - тогда и применяют. Это тема на солидную книжку
    Ответ написан
    2 комментария