• Как настроить Ike2+ipsec на Mikrotik с авторизацией по PSK?

    SunRiser
    @SunRiser
    Насколько знаю ikev2 не умеет по psk. Клиент устанавливает защищенный SSL-тоннель с сервером, и уже внутри него передается логин-пароль. По умолчанию в Windows и macOS для передачи пароля используется алгоритм mschapv2. Таким образом с помощью SSL-сертификата клиент проверяет подлинность сервера, а по логину-паролю сервер проверяет подлинность клиента.

    Подробнее: https://habr.com/ru/company/ruvds/blog/498924/
    Ответ написан
    Комментировать
  • Лицензирование RouterOS?

    SunRiser
    @SunRiser
    Взять на тест CHR Level 1 и спустя 60 дней ее просто нельзя будет обновить, но весь функционал этой версии останется.
    Ответ написан
    Комментировать
  • Как разрешить доступ из локальной сети на веб морду Mikrotik?

    SunRiser
    @SunRiser
    Сбросьте настройки с параметрами "No Default Configuration", "No Backup" и сами настройте те, которые вам нужны.
    Ответ написан
  • ORANGE PI ONE в качестве прокси pfSense?

    SunRiser
    @SunRiser
    Сопутствующие вопросы:
    1) какой трафик у вас в сети ходит и в каком количестве? Мультикаст (например iptv)? Бродкаст (могут генерить различные устройства умного дома)? Это все может существенно загрузить вашу и без того, не особо мощную железку)

    2) Что подразумевается под сетевым экраном? Резать трафик по iptables? Сколько правил планируется использовать? Использовать что-то посерьёзнее типо ips/ids?

    3) какой канал наружу?

    4) сколько одновременных подключений по впн? Он будет использоваться только для подключения к домашней сети или соединять несколько объектов?

    Пока не узнаем - не поймём. На вашем месте я бы купил Mikrotik Hap AC2 и не стал бы заморачиваться. В нем почти все, что вы описали есть изкоробки. Чего нет - всегда можете дописать скриптом. Да, на Linux вы можете реализовать все это, но потратите время куда больше. Лучше покопаться в хорошо задокументированной железке и получить кайф от настройки динамической маршрутизации, чем сидеть и курить лог сервиса linux в надеждах понять "почему же он работает не так как вы от него хотите" а по итогу понять, что поставили лишний пробел в конфиге.

    И последнее: в микротике есть свитч чип который при правильной настройке снимает нагрузку с центрального процессора во время коммутации. А в вашем случае весь трафик будет молотить процессор.
    Ответ написан
    7 комментариев
  • Какую точку выбрать для увеличения покрытия Mikrotik?

    SunRiser
    @SunRiser
    Mikrotik cAP ac и настроить VDS. Если не хотите VDS, то можете любой wifi репитер.
    Ответ написан
  • Как устроена система регистрации в корпоративных сервисах уодной компании?

    SunRiser
    @SunRiser
    В корпоративной среде не должно быть личных аккаунтов. Все организовывается вашими силами на подконтрольных вам машинах (реальных/виртуальных/в облаке). Аутентификацию проводить из Active Directory.
    Замените все онлайн службы с личными акканутами на on-premise решения. Возможно не так удобно, зато на 100% подконтрольно вам.
    Ответ написан
    Комментировать
  • Проброс портов и белый IP для VNC?

    SunRiser
    @SunRiser
    Предлагаю вам использовать LteManager. Управление до 50 ПК бесплатно. Для безопасности отключайте возможность подключения по ID и коннектитесь только по IP.
    В теперь ответы на ваши вопросы:
    1) Желательно подключить белый IP. Есть вариант использовать dyndns (редиррект на ваш динамический), но разные провайдеры не обязательно роутят IP адрес. Скорее всего они его NATят. В таком случае на конечном хосте вам однозначно нужно купить белый IP. Что бы это проверить просто попробуйте подключиться на конечное устройство по IP. Если получится - можете использовать DynDNS, если нет, то белый IP.

    Кстати лайфхак. Если хотите бесплатный домен для динамического адреса и у вас роутер Mikrotik, можете попробовать воспользоваться ихним сервисом
    Ddns-winbox-step1.png

    2) Проброс сделать нужно. В этом нет ничего сложного. Берете вашу модель роутера и гуглите "Проброс порта на ...."

    3)Попробуйте LiteManager или Radmin (с сайтов неотделанных), не мучайтесь с VNC
    Ответ написан
    Комментировать
  • Как связать локальный файл /etc/hosts с виртуальной машиной?

    SunRiser
    @SunRiser
    Поднимите DNS сервер (pi-hole например) или пропишите DNS записи на маршрутизаторе если позволяет. (Mikrotik - позволяет)
    Ответ написан
    Комментировать
  • Как защитить TeamSpeak сервер от DDOS?

    SunRiser
    @SunRiser
    В вашем случае посоветовал поменять внешний белый IP и приобрести домен .ru
    Далее подключайте CloudFlare (сервис по защите от DoS атак) бесплатный, создаете субдомен (например: ts.example.com) и А записью ссылайтесь на ваш белый IP. Потом даете всем вместо вашего внешнего белого IP адреса домен ts.example.com. Если и после такого ваш сервер будет падать, в CloudFlare есть галка "under attack". Включайте ее и проблема должна полностью исчезнуть.
    Ответ написан
    Комментировать
  • Как удаленно подключиться к wi-fi сети не имея доступа к wifi роутеру?

    SunRiser
    @SunRiser
    Берете 2 маршрутизатора, Mikrotik Hap-Lite например. 1й располагайте дома и настраивайте VPN server. Нужен белый статический IP. 2й располагайте в офисе и подключайтесь им к wifi, далее настраивайте на нем VPN клиента до дома.
    Далее на домашнем роутере прописывайте маршруты к вашему RDP серверу и теперь у вас есть круглосуточный доступ в офис. Самое приятное, что не нужно постоянно ничего делать. Открывайте RDP, прописывайте IP RDP и логинитесь.
    Ответ написан
    Комментировать
  • Какую коммутатор мало известного вендора считаете надежным?

    SunRiser
    @SunRiser
    Мне нравятся гигабитные SNR. Если сеть не провайдерская, как коммутатор уровня доступа самое-то. Цена-качество полностью соответствует. SNR-S2985G-24T-UPS. Есть вариации по количеству портов. Оснащен разъемом для подключения АКБ для обеспечения бесперебойного питания коммутатора. Он автоматически контролирует процесс заряда и разряда АКБ. Т.е. там встроенный ИБП. Так же трапом может оповещать систему мониторинга об отключении электропитания. И это довольстве за 16000руб. Альтернативой можно взять только DES3200 со стомегабитными портами.
    Ответ написан
    Комментировать
  • На чём лучше поднять домашний сервер?

    SunRiser
    @SunRiser
    Настоятельно советую обратить внимание на Xpenology. Отличная стабильная система. Та самая волшебная пуля о которой говорили выше. У меня например крутится: торрент качалка, облако (Synology Drive), VPN Server, WebDAV, Docker, Мультимедиа сервер. Настраивается это все удовольствие за час максимум неспешно жмякая на кнопки. Так же есть очень полезная функция синхронизации с облачными аккаунтами. Например есть у меня OneDrive, на NAS настроена односторонняя синхронизация и сохранение версий файлов. Т.е. если даже на основном облаке что-то удалится или нападет шифровальщик, у меня останутся 32 предыдущие версии файлов. Почти для всего софта есть мобильные приложения, в общем сказка. Правда первоначальная установка и настройка может потребовать определенного времени. Ставил по этому гайду, все взлетело на ура. Главное сразу отключить автоапдейты и не обновляться т.к. есть вероятность, что может что-то умереть. Без обновлений в локалке за FW и NATом может жить годами. Кстати, что бы всем не открывать доступ, можно сделать port knocking.
    Ответ написан
  • Зачем нужна таблица маршрутизации?

    SunRiser
    @SunRiser
    Например вы решили подключить себе 2 провайдера. Купили сетевую карту и воткнули 2 шнурка в ПК.
    Когда вы пытайтесь выйти в интернет, через какого провайдера вы попадете в сеть? Это как раз и диктует таблица маршрутизации.

    Пример по ващей выгрузке:
    1) Вы пытайтесь зайти на yandex.ru,
    2) ваш ПК разрешает имя в IP 77.88.8.8
    3) Ваш ПК ищет, куда отправить трафик. И не находит, т.к. маршрута до 77.88.8.8 нет
    4) Раз подходящий маршрут не был найден, все уходит на маршрут по умолчанию 0.0.0.0/0

    Если бы у вас было 2 провайдера, вы бы могли жестко задавать, через какого именно выходить в сеть. Т.е. первого могли бы использовать для яндекса, а второй для всего остального.

    Теперь разберем колонки которые у вас в примере:
    Сетевой адрес - Это сам IP,или подсеть. Т.е. вы можете указывать сразу пул адресов.

    Маска сети - определяет количество IP адресов которые попадают под правило. Например 255.255.255.0 - это 254 адреса. Т.е. если указать 77.88.8.0 255.255.255.0, это будет значить что под правило попадут адреса с 77.88.8.0-254. Если указать 255.255.255.255, то будет выбрн только один адрес.

    Адрес шлюза - говорит через какой конкретно канал пойдет трафик. Вместо провайдера может быть VPN, и весь трафик яндекса будете заворачивать на VPN. А на все остальные сайты ходить из под вашего внешнего IP.

    Интерфейс - откуда будет идти трафик.

    Метрика - задает приоритет маршруту. Например у вас 2 провайдера и VPN. Обычно вы выходите на яндекс через VPN, но если он уадет, вы будете выходить через 2го проавйдера.Для этого нужно создать 2 одинаковых маршрута с разной метрикой. Чем меньше метрика, тем больший приоритет отдается маршруту. Так же приоритет должен выдаваться на основе маски, т.е. чем больше маска тем она весомее. Например 77.88.8.8/32 будет приоритетнее чем 77.88.8.0/24. Но если упадет и VPN и 2й провайдер, трафик просто начнет отбрасываться. Да, сервис станет недоступный, но вы не "спалите" IP адрес первого провайдера
    Ответ написан
    Комментировать
  • Как вы переносите свою годами настроенную ОС на новый купленный компьютер? Ваши любимые программы?

    SunRiser
    @SunRiser
    1,2) Переткнуть HDD, базовые драйвера подтянутся сами. А потом переустановить их на чипсет и нужные устройства. Ну или сделать образ диска и отвязать от железа. Хотя у меня все файлы лежат на моем облаке (NextCloud), а настройки программ не так важны.
    3) WhireShark, Putty, winSCP, MS Visio, viktoria HDD, 3cxphone for windows, Mozilla, Far Manager, Total Uninstall Professional, Telegram, teamviewer, notepad++
    4) AddBlock, FriGate
    5) Нет такой флешки, я не параноик. Если надо поработать - есть ноут. Если за чужим компьютером в браузере, обычно просто инкогнито открываю. По поводу создания "таких" флешек, то тебе на любой трекер. Там подробно описывается как создать LiveCD. Но их настолько много, что выбери себе подходящий и пользуйся.
    Ответ написан
    Комментировать
  • Как быстро развернуть настроенную ОС с Линукс на новые компьютеры по сети?

    SunRiser
    @SunRiser
    Ставишь систему и настраиваешь на один тазик, далее берешь Acronis True Image создаешь образ и закидываешь его на ftp. А потом с помощью того же True Image разворачиваешь. У нас на 300+ ПК ушло примерно 2 дня.
    Ответ написан
    Комментировать
  • Какое оборудование выбрать для wi-fi связи двух домов?

    SunRiser
    @SunRiser
    Витую пару можно тянуть не более чем на 120м, потом затухание.
    По теории - 100 Мб - 100 м.
    Ответ написан
    Комментировать
  • Можно ли работать в IT без диплома?

    SunRiser
    @SunRiser
    Удаленно - да, но в офисе маловероятно держать кто-то будет. Особенно за границей. Но это не скажется на твоей заработной плате. А вообще если так тянет, пойди на заочку и получи джуниора, а там дальше думай. Не стоит отказываться от вуза без достойной на то причины или запасного варианта.
    Ответ написан
    Комментировать
  • Можно ли изменить приветствие при запуске Windows 7 ?

    SunRiser
    @SunRiser
    1) Используя Windows 7 Logon Background Changer. Офф сайт: www.julien-manici.com
    2) Через реестр
    Пуск → Regedit в строке поиска → Enter. Если включен Контроль учетных записей (User Account Control) подтвердите действие нажав → Да.
    Нас интересует параметр HKEY_LOCAL_MACHINE щелкаем по нему правой клавишей мыши → Найти. В окне поиска вводим OEMBackground (снять флажки со всех опций, кроме имена параметров).
    Откроется раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\Background. Нас интересует OEMBackground → откройте его дважды щелкнув левой клавишей мыши. В окне «Изменение параметра DWORD» поменяйте значение с 0 на 1.
    Теперь создадим пару папок. Пройдите по адресу: C:\Windows\System32\Oobe и создайте папку с именем «info» (без кавычек), в этой папке создаем еще одну с именем «backgrounds» (без кавычек).
    Поместите ваше изображение в папку. Можно использовать любое изображение в формате JPG. Выберете фон и присвойте ему имя «backgroundDefault.jpg», размер не более 256 Кбайт. Разрешение изображения должно соответствовать разрешению вашего экрана, иначе фон получится растянутым.

    P.S лучше пользуйтесь программой. У меня с ней проблем не возникало.
    Ответ написан
    Комментировать
  • Организация домашнего сервера на HP ProLiant ML150 G3?

    SunRiser
    @SunRiser
    1) На балкон водружать не советую. Зимой - холодно, а сильный холод не всегда полезен железу. В ЦОДах температура около 20 градусов. И этого вполне хватает.
    2) Систему советую поставить UbuntuServer. Она хороша, и заморачиваться особо с ней не приходится.
    3) Файлообменник сделайте через расшаренную папку (для форточек, если требуется) с помощью samb'ы. + у меня стоит ownCloud. Очень удобная штука. Не буду перечислять всех плюсов собственного облачного хранилища в нынешние дни, но держать информацию у себя, зная что ее никто не украдет, прочитает и.т.п. бесценно.
    4) По поводу ОЗУ скажу так: У меня HP Proliant Microserver как домашний сервер. Там стоит DualCore от AMD с частотой 1,5GHz и 2ГБ ОЗУ. И под этим крутится WinServer 2008R2? файлообименник, торрент качала, VPN + Hyper-V с Ubuntu server к которому прикручена система мониторинга. И пока все работает на ура, пожирая не более 1 ГБ ОЗУ.
    5) По поводу торрент качалки под Linux: forum.ubuntu.ru/index.php?topic=29576.0
    обязательно устанавливайте web-интерфейс. Штука удобнейшая. У меня стоит Transmission, но он не консольный.

    Вроде и все.
    Ответ написан
    Комментировать
  • Как решить проблему с установкой винды?

    SunRiser
    @SunRiser
    Попробуйте использовать Windows 7 USB/DVD Download Tool. Официальная программа от Microsoft которая записывает бутабельные образы в пару кликов. Пользуюсь с момента ее появления и никогда проблем не возникало. Единственная беда этой программки, если записывать образ х64 на флешку из под х32, то она будет не бутабельна. Но это исправляется довольно быстро. Подходит как к Win7, так и Win8, Win8.1, WinServer и т.п.
    Собственно ссылка на сам ресурс Microsoft:
    www.microsoftstore.com/store/msusa/html/pbPage.Hel...
    Ответ написан
    Комментировать