Ответы пользователя по тегу Сетевое администрирование
  • Проброс с внутреннего айпи адреса на внешний, как осуществить?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Исходя из заголовка вам надо src-nat'ить, а не dst-nat'ить, только всё равно не очень ясно зачем.
    Чтобы достучаться из интернета до узла за вашим nat - вам надо dst-nat'ить с внешнего адреса на внутренний, а не наоборот.
    Ответ написан
  • Чем подключение по прокси отличается от USB-адаптера?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    >как это работает
    Согласно модели OSI это работает. USB модем - обычно L2 (NDIS-адаптер) (хотя фактическая коммуникация по L3 - IP, NAT, все дела). Proxy - как правило подразумевается L7, хотя есть варианты L4

    >можно ли как нибудь сделать так, что бы при использовании прокси компьютер думаю что это USB-модем, и работал без всяких прокси-настроек?
    Нет, нельзя. Прокси не оперирует протоколами (в основном это IP), характерными для L3. А на L3 нет никакого представления о том, для чего его используют L4-7. VPN же, как раз таки, предназначен для работы на L3.
    Можно лишь соорудить прокладку между целевым прокси и взаимодействием с операционной системой, реализующую L2-L3 взаимодействие (те же самые NDIS адаптеры передают привет - это и есть такая прокладка, по большому счёту, только в тех же USB 3g/lte модемах она используется несколько по-другому - в сторону L1 и L2 в сотовых сетях, а не в сторону L7) - но смысла в этом... только в определённых коммерческих целях, разве что. Не для персонального использования точно - мороки и человеко-часов много, толку мало.
    Ответ написан
    Комментировать
  • Можно ли заменить стандартные исходящие порты 80,53,443 на другие?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Послушай, уважаемый, ты не тем занимаешься. Во-первых, интернет, на усреднённом роутере на базе лини, мало связан с доступом к роутеру и доступом роутера куда-либо. Цепочка forward не пересекается с цепочками input и output. Кроме того, само оперирование понятиями "входящие" и "исходящие" требует осознания того, к чему ты эти понятия применяешь - к пакетам, или к соединениям, потому что это разные вещи, и на разных роутерах эти разные вещи могут называться одинаково.
    Что касается "можно ли заменить" - да, принципиально можно. Да, на большинстве роутеров можно. Нет, не на всех роутерах это можно сделать предусмотренным производителем путём. И интернет тут, как правило, вообще ни при чём. Но самое главное - это не нужно. Безопасности это не добавляет.
    Ответ написан
    8 комментариев
  • Как вывести в интернет клиентов одной подсети, если шлюз в другой подсети?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    >два адаптера на одном физическом сервере Windows!
    Вариант номер раз: включить шаринг vpn интерфеса через его параметры
    Вариант номер два: установить роль маршрутизации и удалённого доступа
    Вариант номер три: включить ип форвардинг в реестре
    Нормальный вариант: не использовать win в качестве роутера
    Ответ написан
    Комментировать
  • Видимость Samba сервера на линуксе в сетевом окружении Windows 10?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Краем уха слышал, что год назад была проблема, заключающаяся в том, что после обновления в винде отваливался netbios. И, соответственно, могло отваливаться сетевое обнаружение. Есть подозрение, что копать туда.
    Ответ написан
    4 комментария
  • Как пробросить порты на Микротике?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Исходя из конфига, на который дана ссылка в комментариях к посту, могу сказать следующее:
    Переделывайте правила mangle. Они у нас просто напросто не работают. Вы пытаетесь ловить транзитный трафик на input цепочке - это бессмысленно. dst-nat трафик, если он не заворачивается на локальный айпишник микрота, в input цепочку не попадает. Это транзитный трафик, он у вас должен уйти на forward цепочку. При этом ловить вы его можете на форварде, но когда он уже пойдёт в обратную сторону, поскольку маршрут определяется сразу после prerouting цепочки, до попадания в forward или input. Ознакомьтесь с packet flow диаграмами, включая routing diagram и packet flow chains.
    В итоге, по всей вероятности, микрот ответы от сервера попросту маршрутизирует не туда, куда вы ожидаете, согласно main routing table.
    Ответ написан
  • Как настроить мост ethernetVPN на raspberry pi?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    1. Не употреблять слово "мост" в данном контексте.
    2. Разобраться с маршрутизацией на малине.
    Ответ написан
    Комментировать
  • Как правильно сделать порт аксесом на определённом vlan е в микротик?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Если речь идёт о роутере с RouterOS на борту, то не оперирует она такими понятиями, как транк или аксес порты. Если у вас на порте есть несколько вланов - он транковый, если один - аксес. Причём настроить всё это можно аж тремя разными способами.
    Ответ написан
    Комментировать
  • Как в MikroTik зашифровать соединение между двум узлами в одной сети?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Соединение между хостом и микротиком можно шифровать с помощью IPSec. Микротик поддерживает IPSec из коробки. Форточки поддерживают IPSec из коробки - настройка через GPO. Никсы поддержаивают IPSec после небольших манипуляций.
    На практике сам не пробовал - потребности не было. В теории никаких особых проблем быть не должно.
    И не читай что тебе тут пишут в комментариях, IPSec не является VPN-решением, хотя используется для шифрования трафика в некоторых из них.
    Едиственно что - а действительно ли оно надо? Если отдельный vlan в теории рассматривается как альтернатива, но поднять его почему-то нельзя, то значит, что шифрование как таковое не требуется. Может стоит рассмотреть QinQ?
    Ответ написан
    1 комментарий
  • Как в Mikrotik поменять DNS после поднятия туннеля?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Можно отлавливать скриптом поднятие l2tp подключения и прописывать статику в настройки днс. Но я не уверен, что статически прописанные серверы имеют для микротика приоритет над динамическими.
    В таком случае можно скриптом отлавливать поднятие l2tp подключения и включать правило для ридиректа запросов на 53/UDP на 8.8.8.8 например.

    :if ([:len [/ppp active find name="имя l2tp подключения"]] > 0) do={
    /ip firewall nat enable [find comment~"Часть коммента правила с редиректом"]
    } else {
    /ip firewall nat disable [find comment~"Часть коммента правила с редиректом"]
    }
    Ну и само правило на редирект создать с соответсвующем комментом, а скрипт запускать каждые 10 сек., предположим.
    Как-то так, но это не точно.
    Ответ написан
  • Как объединить несколько офисов с одинаковой адресацией в одну сеть без реальных IP?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Нормально разбивать на подсети, больше никак.
    Ответ написан
  • Как прокинуть принтеры до сервака?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Принтеры подключены по USB к рабочим станциям, и вы хотите доступ к этим принтерам при выключенных рабочих станциях? Это как?

    Я грешным делом решил, что моё решение в принт-серверах(usb-ethernet), однако оказалось, что они канули в лету.

    Запрос в гугл показывает кучу предложений от 20 евро за штуку
    Ответ написан
    1 комментарий
  • Что делать, если некоторые компьютеры получают неправильный IP-адрес?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Эти машины просто напросто не находят DHCP сервер при очередной попытке обновления адреса.

    Пытайтесь понять почему так происходит, сколько по времени ждут ответа DHCP-сервера клиентские машины, где трафик может идти не туда, etc.

    Роутер 2 - просто мост?
    Ответ написан
    Комментировать
  • Как забанить ip-адреса, как работает netstat -npla?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Ну вообще говоря там есть fail2ban, пользуйтесь им для таких целей. Вручную банить всех, кто пытается подобрать пароль к админке - с ума сойдёте.
    Ответ написан
    Комментировать
  • Как настроить такую маршрутизацию?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    1. На виндовом сервере отключить у pptp-клиента использование в качестве шлюза по-умолчанию
    2. На виндовом сервере в качестве шлюза по-умолчанию использовать его собственный выход в интернет
    3. На виндовом сервере для подсети или подсетей к которым принадлежат pptp-клиенты прописать статический маршрут через pptp-сервер.
    Ответ написан
  • Как подключиться к домашнему пк по ssh из вне?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    error: bind to port 2220 on some.ip.adress failed : Caanot assign requested adress

    Само собой. ОС ничего не знает о Вашем внешнем IP, который присвоен wan-интерфейсу роутера.
    В sshd_conf нужно оставить прослушивание только на локальном адресе, а на роутере пробросить входящие со стороны провайдера соединения по соответствующему порту на этот самый адрес.
    Ответ написан
    Комментировать
  • Маршрутизация по доменному имени, как сделать?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Напрямую - никак.
    И Layer7 тут не помощник, т.к. DNS-запрос посылается только при первом обращении к ресурсу, всё остальное время (пока жив днс-кэш) софт работает с ip.

    Можно лишь попытаться составить список доменных имён, обновлять периодически их ip-адреса на маршрутизаторе, составляя списки, и уже с этими списками работать. Для клиентов в локальной сети перехватывать через L7 запросы к DNS, и подменять на те адреса, что есть у роутера. Хотя стоит учитывать, что в случае использования клиентами DNSCrypt - перехватить не получится.
    На микротиках реализуемо, хотя и нетривиально.
    Ответ написан
    Комментировать
  • Как подружить WINE + OPENVPN?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Вопрос не понятен. Что значит "должно использовать OpenVPN? Трафик должен передаваться через OpenVPN, или каким то чудом виндовое приложение завязано на виндовый OVPN клиент?
    Если 1-ое - самый простой вариант пустить через ovpn дефолт гейт; посложнее - нужное назначение через ovpn, средствами маршрутизации
    Если 2-ое - то....
    Ответ написан
    4 комментария
  • Проброс портов в OpenVPN через ufw?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 10.8.0.2:8080
    iptables -A FORWARD -t eth0 -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -s 10.8.0.2 -p tcp --sport 8080 -j ACCEPT

    Должно работать, если ничего не напутал. С iptables общаюсь не то что бы часто.
    А вообще: https://www.opennet.ru/docs/RUS/iptables/

    P.S. форвардинг должен быть включён на обоих интерфейсах - то есть eth0 и tun/tap
    Ответ написан
    1 комментарий