Задать вопрос
  • Cloudflare proxy, full (strict) с доступом из внутренней сети, как?

    @NAI Автор вопроса
    Выпуск сертификата к тому, кто обслуживает домен, прямого отношения не имеет.

    Так как бы речи то про обслуживание домена не идет.

    Вы не поняли проблематику - в схеме есть CF proxy, который САМ выпускает сертификаты для домена, но ставит их на _свои_ проксирующе сервера.
    Написано
  • Cloudflare proxy, full (strict) с доступом из внутренней сети, как?

    @NAI Автор вопроса
    Сертификат - какой хотите

    Так в этом то и вопрос - какой? Выпустится ли LE-серт если домен отдает CF-серт? Про self-sig вроде писал что это самый плохой вариант (в целом ,как и PKI)

    никакого издевательства. В локальной сети - локальные DNS-серверы, отдающие локальный IP

    и? Сертификат привязывается к доменному имени, а не IP
    Написано
  • Cloudflare proxy, full (strict) с доступом из внутренней сети, как?

    @NAI Автор вопроса
    Из внутренней сети делаете доступ либо по локальному доменному имени,

    Этож издевательство над пользователями в особо извращенной форме. Люди должны в голове постоянно держать в какой сети они находятся - если ты в интернете то или на service.company.com, если в локалке то на service.local.com, если включен VPN то тоже на service.local.com. И хорошо если это браузерный сервис, а если у нас клиент это приложение, то надо каждый раз в настройки ползать. Ну и для локального сервиса все равно потребуется сертификат - самоподписанный, т.к. LE его не выдаст. Т.е. получим п.1
    либо по тому же имени, но резолвящемуся в локальный IP - и обрабатываемому другим конфигом веб-сервера, без mTLS.

    Не осознал идею. Другой конфиг, допустим, а сертификат то чей(какой) ставить - LE или Self-signed?
    Написано
  • Куда класть soho/стартап бэкапы?

    @NAI Автор вопроса
    Выглядит как- то не сильно продуктово

    В целом с тем же успехом могли затолкать наши данные в ipfs и раздать себе же =) но это все както-то опять таки не тянет на нормальный бэкап
    Написано
  • Куда класть soho/стартап бэкапы?

    @NAI Автор вопроса
    что вам мешает добавить в ту же кладовку локальную железку?

    Бэкап лежащий в том же месте не бэкап, а так... копия. Отключение интернета\ЭЭ превращает все в тыкву. Ну и если кофаундер вдруг решит что-ндь учудить (маловероятно, но не ноль).

    Нормальным провайдерам на локацию клиента плевать от слова совсем.

    Тут такое дело, что с одной стороны РКН может начать банить всех направо и налево, как это было с сетями клудфларе. Что им помешает долбануть, скажем AWS\Hetzner? С другой санкции и шанс попасть в SDN-лист, всякие вагранты и докер.хабы взяли и забанили всю страну. Тот же хетснер, кажется тоже от греха подальше решил дистанцироваться. Как-то не очень хочется через полгода заново все переделывать =)

    Немало кто так наоборот, обрадуется, если криптой платить будете.

    Вот с чем точно никто не хочет связваться так это с криптой. У нас есть физик в штатах с картой.
    Написано
  • Куда класть soho/стартап бэкапы?

    @NAI Автор вопроса
    Спасибо за ссылки, посмотрю. В целом да, по сути способ не принципиален, хотелось бы скорости побольше чтобы не ждать неделю полного синка (rsync.net через 2 суток дропает сессию)
    Написано
  • Как происходит перехват трафика?

    @NAI
    Everything_is_bad, очевидно что интерфейс должен быть к чему то подключен на физ. уровне, драйвера установлены, компьютер включен, в розетке должно быть ~220 В, а кот накормлен
    Написано
  • Как происходит перехват трафика?

    @NAI
    Everything_is_bad, нифига. Можно ловить беспроводные протоколы без подключений, вспомнить хотя бы ту же спутниковую "рыбалку". То же с wi-fi сырой траффик ловится без каких либо проблем, вообще никуда подключаться не надо, полностью пассивный режим. Причем можно ловить Тх клиента не слыша ТД (ну и наоборот).
    Написано
  • Как происходит перехват трафика?

    @NAI
    никаким

    Это не совсем так, вернее совсем не так.
    Во-первых, траффик на порт может прилетать при использовании хабов. Да, они считаются устаревшими, но в узкоспециализированных (и legacy) системах используются до сих пор. Я встречал их пару лет назад когда требовалось без потери времени зеркалировать LLC-протокол. Стоят, кстати, как крыло от самолета.

    Второе, мы можем увидеть весь трафф если на коммуте включено зеркалирование портов.

    Третье - если в магистральную линию ткнуться двумя адаптерами в режиме моста. Ну и всякими TAP-девайсами(ответвителями траффика), той же звездочкой (TAP LAN-Star)

    Четвертое, при использовании беспроводных стандартов, перехват возможен, но нужны ключи шифрования (хэндшейки и вот это все) иначе толку от перехвата ноль

    базовые знания можно получить в гугле

    Тут должен быть токсичный комментарий ;)
    Написано
  • Что почитать по IPv6?

    @NAI Автор вопроса
    Юрий MikroTik, это где-это можно пройти MTCNA+MTCIPv6E за десяточку? яб с радостью
    Написано
  • Что почитать по IPv6?

    @NAI Автор вопроса
    Zettabyte, ну, внутренние сервисы вполне могут работать на ipv6, чисто теоретически можно обходиться без костылей вида vpn\jump-хостов
    Написано
  • Что почитать по IPv6?

    @NAI Автор вопроса
    ValdikSS, спасибо
    Написано
  • Что почитать по IPv6?

    @NAI Автор вопроса
    Спасибо, но за 50к (MTCNA+MTCIPv6E) я лучше книги почитаю не привязываясь к вендору
    Написано
  • Что почитать по IPv6?

    @NAI Автор вопроса
    Adamos, меня больше интересует с точки зрения корпративно-домашнего администрирования. С сайтами и сервисами в целом и так все понятно - ipv6 нет у мобильных операторов => отказ от ipv6 приведет к недоступности
    Написано