Задать вопрос
  • Как отделить сеть IP-видеонаблюдения от сети компьютеров?

    @koronabora
    Человек
    ИМХО, ставьте модифицированную схему сети, Dlink'и в режим "неуправляемых" коммутаторов.
    Сеть не очень большая, проблем не должно возникать и при текущем варианта. Проверьте, скорее всего на камерах или регистраторах включен multicast, который забивает коммутаторы мусором.

    З.Ы. коммутаторы к TpLinkу подключайте через транковые порты (26-28), камеры в юзерские. После этого траффик между регистраторами и остальной сетью будет только рабочий, в пределах 2-4 мегабит на подключенного пользователя.
    Ответ написан
    Комментировать
  • Mikrotik проблема с дистанциями маршрутов, в чем я ошибся?

    vasilevkirill
    @vasilevkirill
    Сертифицированный тренер MikroTik TR0417
    ваша задача решается совершенно по другому ловите решение https://www.vasilevkirill.com/MikroTik/1/
    Ответ написан
    Комментировать
  • Как следить за трафиком в локальной сети?

    Smithson
    @Smithson
    20+ лет админю
    Ключевые слова - netflow, mirroring port, sniffer.
    Что из этого умеет твое оборудование - смотри сам. Снифера есть бесплатные (wireshark как пример).
    Ответ написан
    Комментировать
  • Как настроить 2х Mikrotik ipsec в разных филиалах?

    CityCat4
    @CityCat4 Куратор тега Сетевое администрирование
    //COPY01 EXEC PGM=IEBGENER
    На самом деле дока по IPSec у микротика довольно бестолковая - например того, что хэш SHA256 не работает ни с чем кроме другого микротика, там не отражено.
    Подьем туннелей на IPSec - имеется в виду "чистный" IPSec, а не L2TP/IPSec - их обычно путают состоит из нескольких этапов.
    1. Создание "предложения" на каждом микротике - это такой корявый перевод термина proposal. В proposal указываются методы шифрования, хэши и группы Диффи-Хеллмана, которые могу применяться при согласовании параметров. Крайне важно, чтобы оба микротика нашли хотя бы один общий алгоритм шифрования и хэш, и чтобы группы Диффи-Хеллмана совпадали! Здесь же указывается время жизни второй фазы, после чего будет повторный "быстрый" обмен ключами.
    2. Создание политики на каждом микротике, которая определяет, что собственно говоря будет шифроваться и что с этим шифрованным контентом делать. Здесь указываются виртуальные маршрутизируемые подсетки, адреса реальных концов туннеля, метод шифрования, используемый proposal
    3. Создание удаленного подключения (peer), которое задает многое множество параметров. Здесь указывается IP и порт удаленной стороны, метод аутентификации, метод первичного обмена ключами - базовый или агрессивный, необходимость NAT Travesal (если один из микротиков за натом), проверку proposal, алгоритмы хэша и шифрования, группы Диффи-Хеллмана, время жизни первой фазы, необходимость DPD. Если аутентификация по сертификатам - указывают имена сертификатов, которые должны быть к этому времени уже импортированы. Если аутентификация по ключам - указывают значение ключа.

    Если устройство само не инициирует установление туннеля, ставится флаг пассивности, иначе сразу после создания Peer-а, микротик начинает к нему долбиться. Если что-то не так - включите логирование. В микротике используется racoon, поэтому лог там ракуновский, strongswan-а нет, поддержки IKEv2 нет.
    Ответ написан
    Комментировать
  • Как настроить 2х Mikrotik ipsec в разных филиалах?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Вы хотите слишком много телепатии.

    Покажите ваши конфиги, поправить их будет куда проще. Если у вас есть в схеме NAT включите соотв опцию nat-traversal=yes, а из вашей статьи ориентируйтесь на часть под названием "Ipsec/L2TP behind NAT" там всё очень просто.

    *Если роутер провайдерский, он может блокировать туннели или ipsec. Такое редко, но случается.
    Ответ написан
    Комментировать
  • Как достучаться к локальной сети за pptp?

    insiki
    @insiki
    broken pipe
    Нужно:
    а) Поменять подсеть адресов для подключенных по pptp, например 192.168.10.0/24.
    б) Добавить маршрут в подсеть удаленного офиса на вашей железке. В Linux'ах это выглядит так:
    ip ro add 192.168.0.0/24 dev $IFACE
    где $IFACE - интерфейс pptp.
    Ответ написан
    3 комментария
  • Как подключить удаленный офис через VPN?

    alsopub
    @alsopub
    Вам, возможно, нужно что-то типа этого - https://habrahabr.ru/sandbox/57753/
    460109d95023ae3c6e72996aa5098716.png
    Ответ написан
    Комментировать