Ответы пользователя по тегу Системное администрирование
  • Как на микротике-сервере посмотреть пароль входящего клиента l2tp при ошибке авторизации?

    HawK3D
    @HawK3D
    При использовании клиентом MS-CHAP v.2 однозначно - никак. Там реализована двусторонняя проверка подлинности, как раз для таких случаев, чтобы нельзя было определить пароль, подменив сервер.
    Ответ написан
    Комментировать
  • Почему не работает доступ к общим папкам в Windows через VPN?

    HawK3D
    @HawK3D
    В общем виде это должно быть организовано примерно так:
    - Поднят и функционирует туннель между роутерами;
    - Поверх туннеля на обоих концах поднят EoIP-туннель;
    - Локальные интерейсы и EoIP туннели объединяются в bridge на каждом роутере;
    - Настраивается 2 DHCP-сервера на обоих роутерах, в качестве интерфейса DHCP нужно указать ваш bridge-интерфейс. DHCP network должна быть единой 192.168.0.0/16 в вашем случае указана в настройках обоих DHCP-серверов, а вот диапазоны (pool) выдачи адресов должны быть непересекающимися, входящие в обозначенную подсеть. Например, 192.168.0.2-192.168.0.255 на одном роутере и 192.168.1.2-192.168.1.255 на втором, в вашем случае.
    - Создавать один DHCP на локальную и удаленную подсеть неправильно и опрометчиво - в случае разрыва туннеля между роутерами - на стороне, где нет DHCP истекут сроки аренды, со всеми вытекающими.
    - Лишний broadcast можно заблокировать с помощью /interface bridge filter.
    - Обязательно нужно создать правило, блокирующее DHCP-запросы между удаленными сетями, например так:
    /interface bribge filter
    add action=drop chain=forward comment="Drop DHCP requests over EoIP bridge" disabled=no in-interface=eoip-tunnel1 ip-protocol=udp mac-protocol=ip src-port=68

    Таким способом можно объединить и больше чем две удаленные сети, выстраивая оптимальную топологию. Работает без проблем, щироковещательный трафик незначительный.

    P.S. Вместо EoIP-туннеля предпочтительнее использовать VPLS. В своих настройках отталкивался от презентации Дмитрия Кузнецова, на деле все оказалось немного проще, приведу отличия моих настроек:
    - Необходимо настроить маршрутизацию между удаленными интерфейсами lo, при этом в качестве шлюза на стороне впн-сервера предпочтительнее указать remote address впн-клиента, а не сам впн-интерфейс, либо создать bind для впн-клиента, чтобы в маршруте интерфейс не заменялся на unknow при переподключении.
    - В список LDP-интерфейсов достаточно добавить только "пустые" bridge, впн-интерфейсы добавлять не нужно.

    После перехода на VPLS заметил некоторое "оживление" сети и прирост максимальной скорости при скачивании файлов.
    Ответ написан
    Комментировать
  • Как работает mikrotik netwatch?

    HawK3D
    @HawK3D
    Можно написать отдельный скрипт, но проще в netwatch настроить дополнительную проверку. Для повышения точности проверки доступности интернета, для исключения ложных переключений, например, при возможных проблемах на опрашиваемой стороне или кратковременных сбоях в сети, потерянных пакетах и т.п. — используется 2 независимых проверочных адреса (можно использовать адреса различных публичных dns, например Google и Yandex) — x.x.x.x и y.y.y.y Адрес x.x.x.x — указывается в настройках хоста Netwatch, если пинга нет — начинает работать «down», который делает 5 попыток пинга к y.y.y.y и если все 5 попыток также неудачны — скрипт продолжает работу и активирует/деактивирует маршруты в соответствии с comments в таблицах маршрутизации. Первая удачная попытка прерывает дальнейшее выполнение скрипта, при этом никаких изменений маршрутов или других действий не происходит. К этим проверочным ип-адресам прописаны статические маршруты через шлюзы соответствующих провайдеров, а в фаерволе добавлены правила, запрещающие исходящий пинг на эти адреса через другие интерфейсы.
    В скрипт добавлен вывод сообщений в лог, а также отправка СМС с информацией о том с каким провайдером и в какое время возникла проблема. Отправка СМС реализована с помощью сайта sms.ru.
    api_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX — уникальный id — выдаваемый при регистрации на sms.ru
    to=79********* — номер телефона, на который осуществляется отправка СМС. Если в качестве номера указывается тот же, что и при регистрации на сайте — 5 СМС в сутки бесплатно.
    Вот мой вариант конфига:

    «down»:
    /log warning "server x.x.x.x fail…"
    :local time [/sys clock get time]
    :local checkip [/ping y.y.y.y count=5]
    :if (checkip = 0) do={
    /log error «ISP1 IS DOWN»
    /ip route set [find comment="main"] disabled=yes
    /ip route set [find comment="reserve"] disabled=no
    :delay 1
    /tool fetch url="http://sms.ru/sms/send?api_id=XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX&to=79*********&text=ISP1_IS_DOWN_$time" keep-result=no
    }


    «up»:
    /log warning «ISP1 IS UP»
    /ip route set [find comment="main"] disabled=no
    /ip route set [find comment="reserve"] disabled=yes
    Ответ написан
    8 комментариев
  • Как впустить конкретную машину через конкретный шлюз в Mikrotik?

    HawK3D
    @HawK3D
    Добавьте правило маршрутизации:
    /ip route rule
    add action=lookup disabled=no src-address=192.168.88.100 table=tv
    RouterOS умеет маршрутизировать на основе source-адресов и интерфейсов, это предпочтительнее, чем mangle.
    Если основной шлюз окажется недоступен - весь трафик пойдет через reserve с более высоким значением distanse. Такое резервирование вполне работоспособно без дополнительных скриптов. Однако бывает так, что провайдерский шлюз доступен, а дальше него трафик не ходит из-за каких-либо проблем у провайдера. Я когда-то давно реализовал через netwatch, который периодически пингует "безотказные" ип-адреса в интернете (8.8.8.8, 8.8.4.4 и т.п.) через определенные шлюзы и в случае отсутствия или появления отклика - активирует и деактивирует нужные маршруты, меняет адреса днс-серверов, отправляет СМС о том что доступ в интернет через такого-то провайдера исчез или появился в такое-то время и т.д. При этом необходимо создать для этих проверочных адресов отдельные маршруты и в фаерволе запретить исходящий пинг к этим адресам через другие шлюзы.
    Ответ написан
    Комментировать
  • Чем удалить удаленные данные на HDD?

    HawK3D
    @HawK3D
    Самый простой способ - сделать полное форматирование раздела. Гарантированно удалит все данные в разделе, а не только записи файловой системы, как в случае с быстрым форматированием.
    Ответ написан