• Вылетаю из сервисов Google каждый раз после закрытия браузера. Что делать, как исправить?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Никаких расширейний, меняющих геолокацию, не стоит? Гугл болезненно на это реагирует.
    Если нет - попробуйте сбросить полностью настройки браузера и все закешированные данные.
    Ответ написан
  • Какие порты нужно открыть в файрволе, чтобы работал EoIP на микротике?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    The EoIP protocol encapsulates Ethernet frames in GRE (IP protocol number 47) packets (just like PPTP) and sends them to the remote side of the EoIP tunnel.

    В отличие от PPTP EoIP не использует tcp порты, udp тоже.
    Ответ написан
    Комментировать
  • Как выключить встроенную видеокарту на ноутбуке и использовать только дискретную?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Кратко: никак.
    Не знаю как у красных, но технология зелёных подразумевает обязательное использование интегрированной видеокарты. У красных скорее всего так же.
    При этом технология зелёных ещё и несколько корявая - отдает приложениям идентификационные данные интеграшки, хотя на самом деле используется дискретка (когда используется, т.е в 3D приложениях)
    На счёт памяти - в некоторых биосах есть возможность урезать память, выделяемую под нужды интеграшки, в том числе в ноутбуках. Если в вашем случае такого нет - значит только грызть кактус и плакать.
    Ответ написан
    Комментировать
  • Cамоподписанный ssl extended validation сертификат внутри корпоративной сети?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Механизм описан на английской википедии. Все не просто.
    https://en.m.wikipedia.org/wiki/Extended_Validatio...
    + следующий раздел про OCSP
    Ответ написан
    Комментировать
  • Правильно ли настроен firewall mikrotik?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    "всё запрещенно что не разрешено" делается следующим образом:
    1) разрешающее правило для административного input трафика для доверенных интерфейсов
    2) разрешающее правило для административного output трафика для доверенных интерфейсов
    3) запрещающее правило для всего forward трафика
    4) запрещающее правило для всего input трафика
    5) запрещающее правило для всего output трафика

    Все остальные правила помещаются перед этими правилами.
    Актуально в равной степени для mikrotik firewall и iptables.
    Ответ написан
    2 комментария
  • Как написать правильно NAT правило в iptables в такой конфигурации?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Я, наверное, тупой, но я не очень понимаю чего Вы хотите.
    У Вас X.X.X.X - внешний айпишник VPS и Вы хотите, чтобы запросы внутрь тунеля посылались от этого адреса? Это невозможно.
    При этом суть проблемы неясна. Почему когда Вы подлючаетесь из сети за роутером к внешнему IP VPS - у вас ответы терминатятся на тике? У Вас запросы через роутер висят в цепочке forward, а не в input/output. Ответы тоже будут попадать в forward.
    Вообще, поясните откуда вы пытаетесь подключиться к X.X.X.X.
    Ответ написан
  • Как защитить vpn mikrotik сертификатами?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Verify client certificate работает только при соединении через sstp двух микротиков. Windows для проверки подлинности клиенским сертификатом (для sstp) должен использовать EAP, который микротик не поддерживает ни в каком виде (для vpn).

    Вариантов с проверкой клиентского сертификата в тиках при сочленении с виндовым клиентом только два: openvpn и ikev2

    UPD: впрочем, может я и не прав на счёт eap для vpn. Народ в интеретах пишет, что возможно. Но это нужно или иметь radius сервер, или городить его на микротике.
    Года два-три назад это точно не работало.
    Ответ написан
    Комментировать
  • Как ограничить ширину канала на Mikrotik, если активна IP-телефония?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Ответ написан
    Комментировать
  • Сервер отзыва сертификата SSL возможно ли убрать?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Во-первых, микротик для каждого установленного сертификата пытается проверить не отозван ли он, и, соответсвенно, пытается получить crl. Обычно, если микротик не может получить доступ к списку отзывов для сертификата сервера, который он использует - это никак не препятствует работе его сервисов.
    Во-вторых, для sstp - клиенты пытаются проверить сертификат сервера, в том числе не отозван ли этот сертификат, и самостоятельно пытаются получить доступ к crl, без участия сервера.
    Так какой провайдер блокирует доступ к crl? Провайдер клиентов? В любом случае блокировка доступа к crl RapidSSL является ни много ни мало нарушением сетевой связности, если блокировку осуществляет провайдер, поэтому пинайте его.
    Что касается непосредственно вопроса - нет, данные в сертификате не подлежат изменению.

    Далее, в функционале микротиковского SSTP есть настройка "verify client certificate". Она предназначена для установки sstp-соединения исключительно между двумя микротиками. Если эта опция включена - выключите.
    Ответ написан
    Комментировать
  • Как решить проблему с Mikrotik OpenVPN сервером?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    >duplicate packet, dropping
    Ожидаемое поведение, никак на работу не влияет.

    Для микрота:
    /system logging add topics=ovpn,debug

    И, собственно, логи в студию.
    Ответ написан
  • Почему RDP нестабильно(отключается) работает при подключении через PPTP? Как определить где именно проблема?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Для RDP подключений стоит выбирать те виды vpn, которые умеют работать через udp. Для микротов это ipsec / ikev2.
    Ответ написан
    Комментировать
  • Как настроить Mikrotik, VPN?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Настраиваете vpn-сервер, назначаете диапазон адресов для vpn-клиентов, далее рулите доступом через фаервол опираясь на этот диапазон и "all ppp" в качестве интерфейса; никакой проброс портов не нужен.
    С маршрутизацией роутер сам разрулит, ситуация, судя по всему, простейшая. Единственное что - надо запретить vpn-клиентам ходить в интернет через ваш основной канал; и на клиентах отключить использование vpn-поключение в качестве шлюза, если речь идёт о win-клиентах.

    Касательно того, что лучше: pptp небезопасен, равно как и l2tp без ipsec, ipsec сложен для новичков, openvpn в реализации тика неудобен и тоже сложен для новичков; самый простой и надёжный вариант для win-клиентов - sstp. В последнем случае вся "сложность" заключается в генерации самоподписанного сертификата для сервера и добавление его в доверенные на клиентах; ну или если есть свой домен - просто выписать сертификат через let's encrypt.
    Ответ написан
    Комментировать
  • Как забанить ip-адреса, как работает netstat -npla?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Ну вообще говоря там есть fail2ban, пользуйтесь им для таких целей. Вручную банить всех, кто пытается подобрать пароль к админке - с ума сойдёте.
    Ответ написан
    Комментировать
  • Как настроить такую маршрутизацию?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    1. На виндовом сервере отключить у pptp-клиента использование в качестве шлюза по-умолчанию
    2. На виндовом сервере в качестве шлюза по-умолчанию использовать его собственный выход в интернет
    3. На виндовом сервере для подсети или подсетей к которым принадлежат pptp-клиенты прописать статический маршрут через pptp-сервер.
    Ответ написан
  • SmartCardLogon via RDP ругается EventID 5. Почему?

    Ziptar
    @Ziptar Автор вопроса
    Дилетант широкого профиля
    Отвечаю на свой же вопрос:
    При выпуске сертификата использовалась генерация закрытого ключа самим токеном -> eToken Base Cryptographic Provider
    Станция, с которой осуществлялся вход, ничего не знала об этом криптопровайдере, а сервер знал.
    Соответственно, установка eToken PKI Client на станцию решила проблему.
    Ответ написан
  • Openvpn, открываются сайты на ip сервера, но другие не открываются?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Курите настройку NAT в iptables.
    Ответ написан
    Комментировать
  • Как подключиться к домашнему пк по ssh из вне?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    error: bind to port 2220 on some.ip.adress failed : Caanot assign requested adress

    Само собой. ОС ничего не знает о Вашем внешнем IP, который присвоен wan-интерфейсу роутера.
    В sshd_conf нужно оставить прослушивание только на локальном адресе, а на роутере пробросить входящие со стороны провайдера соединения по соответствующему порту на этот самый адрес.
    Ответ написан
    Комментировать
  • Почемутв Микротике не работает проброс портов?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Не могли бы Вы дать пояснения к правилам mangle? На мой взгляд там царит какой-то хаос.
    Ответ написан
  • Маршрутизация по доменному имени, как сделать?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Напрямую - никак.
    И Layer7 тут не помощник, т.к. DNS-запрос посылается только при первом обращении к ресурсу, всё остальное время (пока жив днс-кэш) софт работает с ip.

    Можно лишь попытаться составить список доменных имён, обновлять периодически их ip-адреса на маршрутизаторе, составляя списки, и уже с этими списками работать. Для клиентов в локальной сети перехватывать через L7 запросы к DNS, и подменять на те адреса, что есть у роутера. Хотя стоит учитывать, что в случае использования клиентами DNSCrypt - перехватить не получится.
    На микротиках реализуемо, хотя и нетривиально.
    Ответ написан
    Комментировать
  • Как проверить на Mikrotik какие dns сервера он использует?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Каким образом проверить какие dns сервера использует микротик

    /ip dns print

    и подключенные к нему устройства, и в чем собствено проблема ?

    Проверяйте фаервол.
    Микротик должен иметь возможность послать запрос (output chain) на 53-ий порт udp (dst-port) в сторону провайдера, и, соответственно, получить ответ (input chain) с 53-его udp порта (src-port) с той же стороны.
    Ответ написан