Интересно, какие законодательные нормы регламентируют наказание за доступ пользователей к запрещенным сайтам? Насколько мне известно, наказание предусматривается лишь для официальных поставщиков услуг доступа в интернет. Г-н Ампелонский из Роскомпозора подтверждает, что обход блокировок не запрещается. Были прецеденты со стороны отдельных госрыл из региональных прокуратур, не особо искушенных даже в примитивных сетевых технологиях, связанные с блокировкой ресурсов, содержащих информацию о средствах и способах обхода блокировок, но это, опять же, не предусматривает ответственности за пользование запрещенными сайтами) Даже если, например, ввести тотальный запрет на информацию о впн и других способах - в головных мозгах миллионов людей эту информацию им никак не запретить)
На старых версиях RouterOS, можно воспользоваться цепочкой mangle, непринципиально, но вопрос остается актуальным - как сравнить нужные байты в пакете с образцом для дальнейших действий с пакетом?
Скачивается список рекламных сервисов и добавляется в /ip dns static. Задача решена с помощью создания rsc-файла, копированием его на маршрутизатор и запуска с помощью команды import. Вопрос по поводу различия синтаксиса в версиях ROS остался.
И, кстати, В поле "ВАШ ОТВЕТ НА ВОПРОС" судя по всему нужно отвечать на вопросы, а уточнить какие-либо детали заданного вопроса можно в комментариях.
Каким образом бесперебойность связана с плановыми работами? Есть работающий пример на ROS 5.26 c аптаймом более 2-х лет. Если железка настраивается под определенные задачи и прекрасно с ними справляется - нет никакой необходимости в обновлении. Что же касается корпоративного уровня, тот факт, что ТТК в некоторых регионах перешел на CCR-ы в качестве BRAS и объективно улучшил качество услуг связи, используя оборудование на порядок дешевле и безопаснее аналогичных устройств от Cisco - говорит сам за себя.
Антон: Передача больших файлов, или, например, фильмы 4к с медиасервера по WiFI даже на одном ТВ не посмотреть в принципе, на линковке 300 Мбит с обеих сторон постоянные зависания. Теоретическая скорость - 300/2=150 Мбит/сек - это вроде бы неплохо, в реальности при подключении нескольких устройств - WiFI просто вешается. В домашней сети около 30 устройств, igmp-роутинг и еще много того, чего мыльницы не вывезут не только по воздуху, но и по кабелю)
Леонид: Использовать кабели электросети вместо сетевых кабелей идея не новая, для дома это возможное решение, как и много других возможных решений. Но лично мне мое решение кажется более надежным и универсальным, да и в профессиональных решениях по покрытию WiFi в зданиях используются подобные решения. Антон: А как же насчет пропускной способности домашней сети? И без того низкая становится еще меньше в WDS. Вообще, там где есть возможность использовать кабели - считаю лучше не использовать WiFi, ну а там где без него не обойтись - нужно обеспечить качественное покрытие. Есть еще тонкости с настройками сегментации сети, броадкаст и мультикаст трафика - значительно снижающими полезную пропускную способность сети и уменьшающую время работы мобильных устройств по WiFi и вот здесь домашние устройства от говнолинков в полной *опе.
Dark Hole: На мой взгляд вы переоцениваете безопасность NAT. Здесь описано как можно получить доcтуп к устройствам сквозь NAT. но это не совсем по теме. Касаемо деанонимизации, скажите, каким образом NAT может мешать осям устройств соединяться с серверами разработчиков для передачи информации о своих владельцах? Безусловно, имея понимание как работают современные системы глобальной безопасности, можно остаться незамеченными для них, но просто спрятаться за NAT явно недостаточно.
Dark Hole: Вопрос лишь в необходимости и возможностях. Вспомнился старый анекдот на эту тему:
Городок в западно-американской степи. Салун. За столом сидят два ковбоя, местный и приезжий, и пьют виски. Вдруг по улице кто-то проносится на огромной скорости, паля во все стороны из револьверов. В салуне никто и ухом не ведёт. Приезжий местному:
— Билли?
— Да, Гарри?
— Что это было, Билли?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билли?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билли?
— Потому что он нафиг никому не нужен, Гарри.
Dark Hole: Пусть вы спрятались хоть за тысячей NAT, всю ответственность за ваши действия будет нести лицо, заключившее договор с оператором связи. Но если вас нужно будет кому-то найти всерьез - есть куда более простые и эффективные способы у соответствующих служб, ваши устройства все о вас раскажут из под тысячи натов)
"стоит поставить галочку в свойствах VPN использовать шлюз удалённого филиала, всё работает" - когда вы ставите галочку добавляется дефолтный маршрут через VPN, здесь непринципиально как именно назначаются маршруты - динамически или статически. Если работает с галочкой - будет работать и со статическим маршрутом. Добавлять маршрут нужно в таблицу маршрутизации на стороне впн-клиента. Судя по-всему, речь идет о Windows, в командной строке запущенной с правами администратора нужно ввести:
route add 192.168.0.0 mask 255.255.248.0 192.168.1.1
Для того, чтобы маршрут оставался в системе после перезагрузки нужно запустить эту команду с ключом -p
Если не будет работать - поставьте галочку "использовать шлюз в удаленной сети", установите впн-подключение, посмотрите в таблице маршрутизации какой шлюз назначается в новом дефолтном динамическом маршруте и укажите его в качестве шлюза в статическом маршруте. Возможно, для впн-адресации используется отдельная подсеть, хотя судя по вашей конфигурации - это 192.168.1.1
Евгений Быченко: Александр Романов: Раньше как-то не придавал значения тому, что локалки у меня через NAT взаимодействуют, так исторически сложилось, зато никаких проблем с доступностью сетей не было) Впрочем, оно и не мешает, хотя, конечно, нужно все перенастраивать, в соответствии с вашими рекомендациями.
Спасибо за ваши исчерпывающие ответы, помогли разобраться в этих тонкостях.
С другой стороны, здесь можно часто увидеть вопросы на тему недоступности удаленных сетей через туннели из-за недостаточности правил маскировки. Нагрузка процесса firewall при 60000 p/s одинаковая в обоих случаях, пакеты в пределах одной сети не обрабатываются правилами NAT. ИМХО, если различий больше нет, это скорее вопрос предпочтений в конкретных ситуациях и оба варианта, как и другие имеют свои области применения. В моем случае WAN-интерфейсов много и они часто меняются, а локальные и впн-подсети постоянные, поэтому удобнее осуществлять трансляцию на основе src. address, а производительности железа более чем достаточно, чтобы разруливать доступность одних сетей для других с помощью /ip firewall filter.
Александр Романов: Разобрался с рекурсивной маршрутизацией, не нашел принципиальных отличий от моих "костылей". Те же пинги, те же изменения маршрутов. Однако, время не было потрачено даром, механизм был усовершенствован - резервные маршруты теперь всегда enable, но значение distance установлено большее чем у основных , а скрипт только disable/enable основные маршруты. Таким образом, при падении интерфейсов провайдеров, соответствующие маршруты становятся неактивными и переключения происходят мгновенно и не нужно ждать интервала опроса netwatch. В итоге, результат достигается точно такой же как и в случае использования рекурсивной маршрутизации, плюс в моем случае происходит более точная проверка доступности интернета, за счет использования двух независимых адресов (у гугла или, скорее, на каком-нибудь транзитном узле тоже могут быть проблемы). Не нашел для себя аргументов менять настройки, ради достижения того же результата. Спасибо Вам, узнал для себя много нового.
Александр Романов: У меня не получалось настроить надежное переключение между провайдерами этими сложными способами, поэтому на костылях все работает, но надежно. А рекурсивную маршрутизацию, опробую на досуге на стенде, попытки ранее были безуспешные)
Рассматривал и опробовал этот вариант и другие, замечательно и молниеносно отрабатывает при потере доступности шлюза, Но он бесполезен в случае если шлюз доступен, а интернета за этим шлюзом нет, из-за каких либо проблем у провайдера. У нас это очень частая ситуация, поэтому используется менее изящное, но более надежное решение на все случаи жизни.
