Александр Рублев, ну вот если рассматривать сеть на существующей инфраструктуре и учитывать экономическую целесообразность, то отдельные серверные VLANы нужно создавать при уверенности, что роутер вытянет нагрузку.
athacker, Конечно вы опять правы. Прикольно быть всегда правым?
Вектор атаки - компьютер пользователя. Далее - вся сеть.
У Вас в сети пользователи друг друга видят? Внутри одного пользовательского VLANа?
У нас - нет.
А данные пользователи хранят только на серверах или и на станциях тоже?
У нас - только на серверах. Данных на станциях нет.
А на файл-сервера патчи Микрософта пролиты? SMBv1 запрещен на административном уровне?
У нас - да.
Бэкапы?
У нас - да.
Сегментация - не панацея и спасает только в комплексе с остальными мерами.
Если ваши ответы хоть чуть-чуть отличаются - предлагаю закончить дискуссию.
athacker, не могу не согласиться.
Вы без сомнения правы.
Но...
Вы говорите о больших сетях, а в этой сети возможно около 100 человек сидит и сетевая инфраструктура уже есть.
akimdi, Это самый простой способ. И он будет работать.
Маршрут по умолчанию должен стоять на той сетевухе, которая смотрит в интернет, а на второй, которая смотрит в локалку шлюз не нужен.
Сложный способ состоит в объединении двух провайдеров на одном роутере, например Микротик наверняка может работать с двумя провайдерами, но не уверен, что оно того стоит.
Сразу не было понятно про двух провайдеров и то что сетей фактически уже две.
Тогда да, без изменения архитектуры самый простой способ - вторая сетевуха на сервере.
akimdi, ну самый простой вариант: NextCloud в той же сети, что и остальная локалка. Когда дома - пользуетесь по домашнему ИП-адресу из локалки.
А из интернета вовнутрь пробросить порт на роутере.
И когда не дома - пользуетесь по внешнему адресу роутера, роутер прокинет до NextCloud.
Единственно, нужно сделать статический IP на сервере, а не получать его автоматически.
Какой у вас роутер?
Для TP-Link это делается вот так: techsuphelper.blogspot.com/2016/12/probros-port-vi...
Сделать можно почти на всех роутерах.
Не нужно двух сетевух и двух роутеров.
Нет, конечно можно, но не вижу причин, зачем.
В больших корпоративных сетях сервера с доступом извне выделяют в отдельный DMZ-сегмент, но на мой взгляд такие замуты не оправданы в маленькой домашней сети.
А про сетки 100.64.0.0 и 203.0.113.0 я уже писал, причины разные, но они также запрещены для использования пользователями. Правда вы не прочитали, посчитали ахинеей.
Удачи. Разговор окончен.
АртемЪ, может потому, что я читаю первоисточники, а вы - нет? https://tools.ietf.org/html/rfc1918 https://tools.ietf.org/html/rfc5735
А 100.64.0.0/16 я не включил, потому что он зарезервирован IANA, вполне себе маршрутизируется в BGP и не может быть использован никем кроме сервис-провайдеров. https://www.nic.ru/whois/?searchWord=100.64.1.1
Comment: Shared Address Space can only be used in Service Provider networks or on routing equipment that is able to do address translation across router interfaces when addresses are identical on two different interfaces.
Точно также, никто никогда не видел сетку 203.0.113.0, ее даже в BGP нет. https://www.nic.ru/whois/?searchWord=203.0.113.0
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This block is reserved for use in documentation and
remarks: should not be used in any real networks.
remarks: Please see more details at
remarks: www.iana.org/go/rfc5737
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Пользователям такие адреса раздавать запрещено.
Соответственно, пользователь может столкнуться только с приватными адресами, APIPA и лупбэком. (ну и мультикастом, но мультикастовый адрес тоже не может висеть на интерфейсе, он может быть только в поле дестинейшн)
Неправильные диапазоны серых адресов.
Вот правильные:
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16 - адрес автоконфигурации
127.0.0.0/8 - адреса лупбэка.
Насколько я понял, проблема в том, что роутер - домашнего типа, на нем ничего наскриптить не удается, нужно заходить через SSH|SNMP|WEB на роутер с сервера и парсить вывод в поисках IP адреса из вышеперечисленного списка.
Если роутер умеет SNMP, то опрашивать его интерфейсы вообще как два байта переслать. SSH чуть сложнее.
Боюсь, что никак. В строгой задаче так или иначе понадобится время на переключение физики и перестроение BGP. Ну или выпрашивать у провайдера второй линк, поднимать второе соседство. Переводить на него трафик (local-preference, as-path prepend), гасить старый линк.
Евгений Гладков, канал 20 Мегагерц и есть рекомендованный на 2.4. Больше можно ставить, если в эфире _вообще_ никого нет. У вас же подозрение на то, что наоборот много народу в эфире.
На телефончик не ставили WiFi Analyzer?
Нужно найти самый свободный канал из трех 1,6,11.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.