• Как построить сеть с нуля в офисе (160+ компьютеров, 20+ IP камер)?

    Jump
    @Jump Куратор тега Системное администрирование
    Системный администратор со стажем.
    хочу ваших советов и поддержки.
    Вы не по адресу, тут не поддержку оказывают, а отвечают на конкретные вопросы.

    Какое оборудование (модели) ставить на уровень доступа, распределения?
    Зависит от бюджета и задач. В общем случае неизвестно.
    По поводу коммутаторов - как удобнее.
    Как нарезать vlan?
    А зачем вам vlan??? Ответите на этот вопрос и сразу станет ясно как нарезать!
    но знаю что никаких свитчей в комнатах, где люди сидят, разумеется, быть не должно.
    Кто вам такую чушь сказал?

    Так и не знаю делать ли интернет розетки или нет)
    Исключительно вопрос удобства и эстетики.

    Думаю строить сеть с нуля, прокладывать новые линии.
    Прежде чем что-то строить неплохо бы план иметь - подробное техзадание на постройку сети.
    А чтобы сделать подробное техзадание нужно знать задачи - что нужно бизнесу, чем бизнес не устраивает текущая схема, какой будет бюджет и.т.д.
    Ответ написан
    4 комментария
  • Как найти возможность в любой момент брать шабашки на 1000-2000 рублей?

    Robur
    @Robur
    Знаю больше чем это необходимо
    Если вы действительно работаете над "хорошими проектами за большие деньги", и видимо что-то из себя представляете, то codementor.
    Рейт начинается от $60 в час, $100-120 - это уже хороший уровень, "шабашки" бывают на почаса - час-два, бывает больше.
    Это конечно не 1000-2000р, как вы хотите, а 3000-5000 но я готов принять от вас все излишки сверх 2тр чтобы вы получили именно то что спрашивали.

    Когда мне хотелось как и вам что-нибудь быстренькое и ненапряжное развеяться - я ходил туда, впечатления положительные.
    Ответ написан
    5 комментариев
  • Как соединить несколько офисов в единую сеть?

    CityCat4
    @CityCat4 Куратор тега Сетевое оборудование
    //COPY01 EXEC PGM=IEBGENER
    Я понятия не имею, что в данном контексте "микрокомпьютер". RB450G с RouterOS на борту размером в две пачки сигарет - под такой критерий пойдет? Ну тогда по одному микротику на филиал, один в центр (помощнее, типа RB1100 или хотя бы RB4011). И соединить именно через IPSec. А тех, кто сказал, что это нехорошая идея - спроси, а что же циска - продвигает нехорошие идеи, да? :)
    Разумеется, IPSec надо уметь готовить :)
    Например, я сейчас сижу дома. Это сообщение набираю на рабочем компе, связанном с домашней сеткой через все тот же RB450G (по RDP). А каталог "Мои документы" находится на сервере, который находится на другом конце города - и подключен он - правильно - тоже через все тот же RB450G. Двумя туннелями на IPSec :)
    Ответ написан
    4 комментария
  • Как правильно вести техническую документацию Системному администратору?

    @leobatura
    network engineer
    С опытом пришло понимание, что должно быть вот так:

    1) Идёшь в бухгалтерию, берешь там список имущества, которое числится на тебе / на отделе, проходишь по всем -- сверяешь, вплоть до старой гарнитуры, всё должно сойтись. Лицензии на ПО точно также. Ты должен в любой момент времени точно сказать -- где, что и сколько у тебя стоит, сколько на складе, что ты заказал, что пришло и то ли пришло. Для бухгалтерии это всё коробочки с лампочками. ОБЯЗАТЕЛЬНО! должны биться серийные номера. Если их нет требуй присвоить инвентарный. Даже на картридже для принтера. Если условная Света из логистики принесла свою мышь, у тебя должно быть это отображено. Всё с парком машин происходить только с твоего ведома.
    Не бойся обращаться к руководству -- оно оценит, что ты экономишь их деньги.
    Всё, что ты выдаешь -- выдавай под роспись. Это дисциплинирует.

    2) Схема сети. Видеонаблюдение и телефония. Как нарисованная, так и WeatherMap в Cacti. Многие ей пренебрегают, почем зря. Ты всегда должен знать что у тебя происходит с каналами связи. Все вланы, все адреса, местоположение должно быть отражено и подписано. Все стойки и шкафы должны быть сфотографированы, так чтобы было чёткое понимание, что-куда-зачем.
    Поверь, в случае аварии тебе это очень сократит время на восстановление.
    aid1284150-v4-900px-Create-a-Network-Doc

    3) Маркировка оборудования. Всё, нет не так -- ВСЁ!!! должно быть подписано. Все розетки, все патчи. Вообще всё!

    4) Делаешь себе локальную вики, пох на чем и пишешь туда АБСОЛЮТНО всё. Как настроить порт на коммутаторе, набор основных команд, диагностика, версия прошивки, какая-то основная конфигурация. Бэкапы конфигурации храни в текстовом виде, не доверяй всяким .cfg, как настроить vlan на микроте, как поднять VPN до соседнего офиса.
    Тебе это очень сильно сократит время, особенно некоторые операции надо проводить довольно редко.

    5) Пиши скрипты для рутины. Скрипты тоже должны быть в вики.
    Допустим обновить 5 коммутаторов или поправить ACL ненапряжно. А если их 50? 150?

    6) В вики не должно быть ни одной ссылки на сторонние ресурсы. Завтра страница переедет, а ты на нее надеялся.

    7) У тебя должны быть контакты всех поставщиков услуг, что касается твоего отдела: провайдеров, заправщиков, инженеров, горсетей, номера договоров, и прочая херня Если что-то случилось, ты должен очень быстро получить ответы, а не ждать на горячей линии. Держи контакты актуальными.

    8) Чтобы это всё имело хоть какой-то смысл -- трать 1 час в день, чтобы заняться документацией. Иначе всё это херня.
    Ответ написан
    2 комментария
  • Как грамотно раздать траффик на 500 человек в своей квартире?

    Jump
    @Jump
    Системный администратор со стажем.
    На каждом ПК запущен софт, который работает в 60 потоков. Практически, это 500 офисных сотрудников, которые одновременно и без остановок серфят веб.
    Нет, офисные сотрудники не могут одновременно и без остановок серфить веб.

    Я предполагаю, что либо свитчер либо роутер просто не успевают обрабатывать все пакеты.
    Вполне вероятно но далеко не факт, вероятнее, что тупо не хватает ширины канала.

    Помогите понять, что требует замены: роутер или коммутатор (свитчер) ?
    Замены требует роутер, провайдер, тариф или админ - надо смотреть по месту
    Ответ написан
    3 комментария
  • Как одновременно управлять несколькими Mikrotik`ами?

    siferdj
    @siferdj Автор вопроса
    Люблю учиться
    В общем решение я нашел. Как по мне, так оно идеально со всех сторон. Начну сначала.
    • База данных
    • Веб сервер
    • Дополнительные библиотеки

    А теперь подробнее.

    База данных
    Поднял MySQL сервер. Внес все необходимые данные. Всё надежно, быстро и доступно.

    Веб сервер
    Тут всё тривиально как и с остальными пунктами.

    Дополнительные библиотеки
    php*-snmp, php*-ssh2

    Началось всё с того, что необходимо было управлять большим количеством роутеров, а также следить за их "самочувствием" и многими другими параметрами.

    Не получив подходящего и правильного решения по удаленному администрированию роутеров, я занялся изучением zabbix. Настроив, я начал вникать в тонкости мониторинга. Это, я Вам скажу тот еще подарок. Попытался извратиться при помощи этого продукта и хотел добиться того злополучного удаленного управления. Получилось, но с костылями.

    А теперь вся соль.
    Заполнил данные в базу. Ну, как заполнил. Парсингом на php перенес всё необходимое. После чего пару дней мучений и что мы получаем по итогу?
    • Удаленное администрирование каждый или всеми разу роутерами
    • Мониторинг. Строго функциональный.
    • Email, sms, jabber оповещения. (был старенький gsm шлюз)

    По сути, мы имеем тот-же zabbix, только ко всему узко специализированный. Как я понял, использовал 2% от всех возможностей самого zabbix. Он сильно нагружает как базу данных и как следствие систему.

    В общем вся эта эпопея с микротиками обошлась мне до 100 строк кода на php. Получен необходимый функционал. Удаленное управление по регионам, по моделям, по штукам. Мониторинг всего что необходимо. Оповещения. Плюс всё лежит в базе данных. Можно использовать для любых задач в дальнейшем.
    Веб интерфейс который подходит только Вам. Как нарисуете, таким и будет. Сбор информации только тот, который нужен. Удаленное управление только то, что Вам необходимо.
    Итог:
    Учите php и html+css. Если хотите интерактивности, то можно еще javascript выучить. Задача кажется не простой, но по факту тривиальна. К примеру, для того, чтобы управлять всеми роутерами необходима информация для входа и 10 строк кода. Обновить, сделать резервное копирование, поменять пароль на wi-fi, удалить, дописать. Всё что душе угодно. Все надежно и быстро. 1 минута на обновление всех 80 штук. Как Вам? Вот и думайте)))
    Ответ написан
    1 комментарий
  • Как корректно сообщить клиенту о высокой цене?

    @ehs
    Architect / 3d designer
    Для вас высокая, а для него может и подарок. Все по ситуации и не надо перед ним хвостом вилять.
    Ответ написан
    1 комментарий
  • Mikrotik L2TP: филиалы не видят друг друга (без IPSec)?

    @Wexter
    если филиалов только 2 то достаточно статических маршрутов. хотите ospf - гуглите и изучайте
    Ответ написан
    6 комментариев
  • Как защитить код от воровства в крупной компании?

    edinorog
    @edinorog
    Троллей не кормить!
    Физически изъять порты из системников. Никаких вай-фай и блютуз. Камеры к каждом кабинете. Полное логирование набора на компе. Изъятие мобильных на проходной. Только корпоративный внутренний почтовик. Выкрученные на максимум политики безопасности. Мыш и Клава кругляшами втыкаются. Системники опечатанные замками. С пломбами. Сервер кода выбирается индивидуально. Но с четкими правами на объём и доступ. Сетевые провода с замками на обеих концах. Глушилка мобильной связи и анализатор частот круглосуточно. Досмотр на входе. Начальник охраны с мордой как будто пил 2 года подряд. Желательно слегка больной на голову. Его ж потом не посадят ... у него справка есть)

    Это на разминку. Можно внедрить терминалы. Сеть однозначно изолированная от внешки. На должность берутся штатный наблюдатель с камер и плюс ещё один ведущий специалист по безопасности. Попытка экономить на любом этапе ... обнуляет все вышеперечисленное.
    Ответ написан
    2 комментария
  • Минимальные настройки безопасности Linux на VPS?

    Tyranron
    @Tyranron
    Ряд моментов Вы уже сделали, но я все равно их опишу для полноты списка.

    1. Создать отдельного пользователя и хороший пароль на sudo. Не использовать больше root напрямую. Совсем.

    2. SSH. Отключаем метод аутентификации по паролю. Если Вам не нужны другие методы, то их тоже можно отключить, оставив только publickey. Отключаем возможность аутентификации root'ом. Включаем использование только 2й версии SSH протокола.

    3. Устанавливаем Fail2Ban и настраиваем чтобы после нескольких неуспешных попыток подключения по SSH банило по IP на длительное время. Кол-во попыток и время бана можно тюнить в меру своей паранойи. У меня, например, банит на час после 2х неуспешных попыток.

    4. Iptables. Действуем по принципу "запрещено все, что не разрешено". Запрещаем по умолчанию весь INPUT и FORWARD трафик снаружи. Открываем на INPUT'е 22 порт. В дальнейшем открываем порты/forwarding по мере необходимости. Если у нас предполагаются сервисы на соседних серверах нужные только для внутренней коммуникации (Memcached, Redis, и т.д.), то открываем для них порты только для определенных IP. Просто так торчать наружу для всех они не должны.

    5. Настраиваем автоматические обновления apt-пакетов. Уровень security. То есть так, чтобы обновления безопасности накатывались автоматически, но при этом не выполнялись обновления со сменой мажорной версии (дабы обезопасить себя от "само сломалось").

    6. Устанавливаем ntpd. Серверное время должно быть точным. Также временную зону сервера лучше всего установить в UTC.

    7. TLS (не SSL) используем везде где можем. Через Let's Encrypt получаем бесплатные валидные сертификаты. В конфигах веб-серверов, mail-серверов, и других приложений торчащих наружу (в том числе и OpenVPN), запрещаем/убираем использование слабых шифров. Все ключи/параметры генерируем не менее 2048 бит. Самоподписные сертификаты подписываем с помощью SHA-256 (не SHA-1). Diffie-Hellman параметры (dh.pem) под каждый сервис лучше сгенерить отдельно. Проверяем TLS сервисов через Nmap. Минимальный grade должен быть A, не должно быть warning'ов.

    8. Правильный менеджмент пользователей/групп. Приложения/сервисы не должны запускаться под root'ом (разве что они действительно этого требуют и иначе никак). Для каждого сервиса создается свой пользователь.

    9. Если предполагается upload файлов через PHP (либо другие скриптовые языки), в директории, куда эти файлы загружаются (и которая доступна снаружи), должно быть жестко отключено любое выполнение скриптов/бинарников, что на уровне ОС (x права), что на уровне веб-сервера.

    Это была база.
    Дальше, в меру своей паранойи можно за'harden'ить сервер ещё следующими моментами:
    - SELinux, chroot
    - доступ к SSH только с определенных IP (нужно иметь 3-4 VPN-сервера под рукой)

    UPD И да, все это помнить/настраивать руками каждый раз может быть запарно. Используйте Ansible и автоматизируйте процесс (там родные и YAML, Jinja2 и Python).
    Ответ написан
    10 комментариев
  • Насколько этично ходить на собеседования, если нет цели найти работу?

    @HellWalk
    Ваши бы рассуждения, да работодателям привить...

    Из свеженького:
    https://hh.ru/vacancy/19557940

    В самом начале:
    "Мы ищем активных, инициативных, ответственных сотрудников, а не «планктон», который в 18:00 выключает компьютер и уходит на «заслуженный отдых»"

    Т.е. работодатель совершенно спокойно переходит на оскорбления по отношению к тем, кто работает по трудовому кодексу РФ (пришел вовремя, ушел вовремя). Это просто феерическая наглость и хамство.
    Ответ написан
    2 комментария
  • Насколько этично ходить на собеседования, если нет цели найти работу?

    fedorez
    @fedorez
    Хатуль мадан
    1)нет, не чревато.
    2)нет, не раскроют.
    3)это их работа, фильтровать рынок, как кит усами фильтрует планктон. более того, хватает случаев, когда они зовут собеседоваться заведомо нежелающих, устроенных и прямым текстом про это говорящих - по принципу "а вдруг". да и вы сами не знаете - вот пойдёте потренироваться, а потом, на месте, вдруг заинтересуетесь (проектами, видом из окна, атмосферой предприятия)
    4)избавляйтесь от этой романтической муры в голове. правда. это рынок. это жизнь. все хотят своего. это нормально. никто никому не делает одолжений. иначе вас будут цинично и неоднократно иметь всяким буллшитом вроде "патриотизма родного завода", "великой миссии компании" или "работа в нашем банке - огромная честь"
    Ответ написан
    2 комментария
  • Насколько этично ходить на собеседования, если нет цели найти работу?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Насколько этична конкурентная разведка, говорите?!)))
    Она не знает такого понятия!
    Ответ написан
    Комментировать
  • Насколько этично ходить на собеседования, если нет цели найти работу?

    riky
    @riky
    Laravel
    ходите почаще и побольше.
    если таких как вы будет много, то рынок в ответ должен эволюционировать. т.к. работодатели должны будут оптимизировать этот процесс:
    = тратить меньше времени
    = если отказов много - то возможно поднимать зп

    это похоже на вопрос "стоит ли ходить на свидания со многими девушками чтобы получше узнать их, если я пока не хочу жениться? или же я должен ходить на свидания только если готов?". зы подразумеваются свидания без интима (только знакомство), потому что с интимом это уже другой вопрос "этично ли пройти собеседование, устроится на работу, войти в доверие и за первые дни слить весь их код и исчезнуть...?".
    Ответ написан
    Комментировать
  • "Большой Брат" в офисе, за интернет-трафиком следят. Как можно обойти эту систему?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Может. Я не в курсе, как там у вас построена сеть, как организован мониторинг юзеров, но я точно могу сказать, что есть возможность мониторинга всего, что происходит на рабочем компе - вплоть до нажатий клавиш (поэтому не стоит с него ходить в личные ящики) и скринов экрана. И никакой https Вас не спасет, никакие торы не закроют - только внимание к себе привлечете. Погуглите на досуге "Стахановец" :)
    То, что Вы воткнули ноут в свободную розетку и через десять-пятнадцать минут никто не прибежал и не спросил - это что такое нарисовалось в сети, это конечно, отрицательно характеризует местного админа. Но не слишком обольщайтесь - например у нас на любую внезапно возникшую в сети тачку будет автоматически установлен агент СМП. Который исправно будет сливать все на сервер - ну как только до него достучится :)
    Обойти - ну, наверное можно. Если знать о сети больше. Но предпринимая любые такие действия, Вы только помогаете местному админу :) найти незакрытые дыры, причем благодарности за это не ждите (хотя я всегда таких "инициативных" благодарю - у меня может не найтись времени проверить - а можно ли извернуться вот так)
    ЗЫ: Любопытно, что больше всего о приватности и трудовом кодексе беспокоятся бездельники. Люди, которые ходят на работу работать - обычно на ней работают.
    ЗЗЫ: Специально для ТС, чтобы он вдруг не посчитал меня "юзером, раздувающим байку" - админом я проработал с 1990 по 2013 год :) да и сейчас "почти админ", с отличием на одну буковку :)
    Ответ написан
  • "Большой Брат" в офисе, за интернет-трафиком следят. Как можно обойти эту систему?

    martin74ua
    @martin74ua Куратор тега Компьютерные сети
    Linux administrator
    Как администратор - могу дать только такой совет. Или работайте по установленным правилам, или не работайте там совсем. Если вы будете обходить систему - тем самым вы привлечете к себе внимание, и если возникнут какие то вопросы и проблемы - вы будете одним из первых подозреваемых. Если вы все шифруете - аналогично. На работе - работать.
    Ответ написан
    3 комментария
  • "Большой Брат" в офисе, за интернет-трафиком следят. Как можно обойти эту систему?

    @yaror
    10 лет в мобильном телекоме
    Ребята, а давайте зайдём с другой стороны!

    Автор вопроса интересуется, как бы втихаря подсосать интернета у работодателя - у него же не убудет, правда?

    Со всей ответственностью заявляю: не надо так делать.
    И дело не в том, что у конторы интернета убудет.
    Да не убудет, конечно!

    Это вопрос личной гигиены.
    Втыкаться личным ноутбуком непойми в какую сеть - то же самое, что и спать непойми с кем без презерватива. Для обоих участников, кстати.

    Админ сети тоже хорош, конечно: то ли ленив, то ли недалёк, ибо включенный без санкции левый ноутбук в сеть войти не должен был бы. Кстати, средства для контроля трафика сотрудников у него-то есть, но он ими, судя по всему, не пользуется.

    Мои рекомендации автору вопроса:
    - купить 3G/LTE-свисток для торрентов
    - купить планшет/смартфон для соцсетей, и на работе (все ж свои, всё понимаем ) ) держать его в ящике стола
    - на рабочем месте дождаться выдачи _рабочего_ компьютера, и с него заниматься только работой
    Ответ написан
    33 комментария
  • Возможно ли настроить 1 vlan на нескольких портах Mikrotik?

    edinorog
    @edinorog
    Троллей не кормить!
    Плаваемс в определении что такое виланы!) существуют ли сетевуху с поддержками нескольких виланов?). Уйма! Хотя костыли вы городить мастер!)
    Ответ написан
  • Доступ к сети Mikrotik из сети ASUS?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Первый порт на микротике в бридж с вайфаем, DHCP и NAT отключить.
    Ну или в Quick set выбрать пункт Home AP и настроить bridge
    Ответ написан
    6 комментариев