kprohorow, Согласен
Именно поэтому я в микротике каждому VPN юзеру сразу прописывал его статичный IP адрес из пула, который в огромной вероятностью не может у него дома быть (например 172.19.81.11) За 2 года ни разу проблем не было
С номером интерфейса не все так гладко. Если пользователь его нечаянно удалит и потом создаст новый по инструкции - номер поменяется
Goold,
Если RDP сервер находится в той же локальной сети или сеть пользователя соединена VPN-ном с пробросом маршрутов с сетью где находится RDP-сервер то никаких проблем - локального адреса для ККМ достаточно - только сделать его статическим (чтобы прописать в настройках например 1С).
У меня например это сделано, чтобы полтора десятка сотрудников могли пробить чек с одного ККМ со своих ноутбуков даже находясь за пределами офиса (и прислать его клиенту в электронном виде) Так что IP адрес пользователя непринципиален, а вот самой ККМ - да
Из уличных микротиков только парочку GROOVE лет пять назад ставил. Да SXTsq
С остальными просто не было возможности ознакомиться
А так для информации
15 лет назад ставил D-Link уличные на столбы освещения в одном коттедже. Работают до сих пор
Допустим:
Офис А 192.168.11.0/24
Офис Б 192.168.12.0/24 роутер 192.168.12.1
1. Объединяем офисы VPNом и прописываем маршруты
2. В офисе А поднимаем КД (допустим 192.168.11.2)
3. В офисе Б в роутере в настройках DHCP ставим DNS 192.168.11.2 первым, 192.168.12.1 вторым (чтобы интернет на компах продолжал работать если пропадет связь с офисом А)
В идеале в офисе Б поднимаем вторичный КД и в офисе А в настройках DNS указываем его
Тогда в случае выхода из строя одного из КД сеть будет устойчиво работать
Уважаемый kprohorow!
Спасибо большое за подсказку - буду знать, но у меня половина сотрудников до сих пор дома "сидит" на Win7
И когда нас массово загоняли на удалёнку - мне проще было скинуть всем готовый батник
Снять о галочку в настройках VPN клиентах - "Использовать основной шлюз в удаленной сети"
в командной строке Windows у клиента
route /p add 192.168.88.0 mask 255.255.255.0 [IP адрес VPN шлюза]
ключ /p прописывает его в постоянные маршруты
Перехват может быть осуществлен и на оборудовании провайдера в Вашу сторону
Дальше, в сторону от провайдера до его канала в Интернет также может быть теоретически осуществлен, но там ТАКОЕ оборудование нужно чтобы Ваши пакеты из сотен других клиентов вычленять...
Тем кто это может проще маски-шоу под надуманным предлогом к Вам послать и компы изъять. Через месяц вернуть. (Я проходил такой вариант)
Конкурентам гораздо проще и дешевле внедрить инсайдера в Вашу компанию или "купить" сотрудника
Говорю простыми словами.
Кому нафиг твоя контора нужна?
Перехват трафика - это как минимум надо подсесть на твой физический канал в Интернет
Про L2TP без шифрования - Я пару лет юзал примерно лет 8 назад пока на более серьёзные железки не перешли. Именно из-за просадки трафика.
Что касается подключения к серверу наружи - пользую до сих пор - только айпишник клиента попадает в Белый лист только после ПортКноккинга.
Drno, не знаю про камеры RT, а мои Imou например опознают человека в кадре. Т.е. такой "шум" как шевеление занавесок и движение робота-пылесоса не считаются тревогой
Дмитрий, Мне объяснили что так как я сделал - правильно
Если сотрудник уволится и нужно другому давать - проще это через КД делать чем каждый раз на тот сервер залазить. А если таких серверов будет несколько? А если надо дать группе сотрудников или одному временно?
1й вариант не подойдет - тогда у пользователя будут две учетки - локальная и доменная
2й вариант я усложнил: Создал в домене новую группу и добавил в нее пользователя
И уже на том сервере эту группу добавил в локальные админы.
Спасибо
Данного уточнения нет в заданном вопросе
Лично я не понимаю зачем именно "московский"? Для онлайн-магазина это ТАК принципиально?
Воспользуйтесь нескольким VPN сервисами, имеющие сервера в Москве например https://freevpnplanet.com/ru/change-ip/
И переключайтесь между ними
Как вариант
У Вас есть вообще сотрудник в Москве? Если да - настройте VPN на его домашнем роутере и пробросьте маршрут. Ну и периодически перезагружайте его роутер
Владимир Иржебицкий При таком количестве компьютеров нет смысла городить 4 сети - максимум две - (если есть WiFi одна гостевая изолированная)
Проблемы с тормозами в сети неплохо разруливает грамотно настроенный QoS - а в микротиках он ну очень уж тонко настраивается - (QoS не позволит одному компу "сожрать" весь трафик)
Что касается АД - любой древний комп, даже на атоме-селероне с 1-2 Гб оперативы плюс Win 2008 или если у вас есть NAS Synology или QNAP - они также умеют быть контроллерами домена
Но лично я рекомендую (сам так сделал на всех своих подконтрольных фирмах) делать КД виртуальным - так проще восстанавливать или перемещать на новое железо. Что касается надежности десктопного а не серверного железа... - у меня в одной фирме самосборный сервер на Core2 Duo работает уже лет 15 - со своей задачей справляется - вот и не меняют.
Про коммутаторы - если есть возможность поменять - то забудь про 100 Мбит - неуправляемые гигабиты стоят недорого, но если хочешь видеть статистику и загрузку портов - то с SNMP, (а если умеют VLAN - то вообще замечательно) Конкретные модели советовать не могу так как в основном пользую коммутаторы только TP-LINK и Mikrotik - возможно что-то есть лучше и дешевле
Могу предположить что у Вас в каждую аудиторию заходит только один кабель
Общее количество компов какое? больше 200?
Бюджет примерно какой? (и маленький совет - чем больше тормозит сеть у декана - тем легче выбить денег на новые железки)
Микротик рекомендую всё-таки серии RB например RB3011UiAS-RM
коммутаторы можно любые гигабитные, но знающие SNMP - тогда можно все контролировать через zabbix или The Dude
А если интересно - тут глянь