Ответы пользователя по тегу Компьютерные сети
  • Чем подключение по прокси отличается от USB-адаптера?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    >как это работает
    Согласно модели OSI это работает. USB модем - обычно L2 (NDIS-адаптер) (хотя фактическая коммуникация по L3 - IP, NAT, все дела). Proxy - как правило подразумевается L7, хотя есть варианты L4

    >можно ли как нибудь сделать так, что бы при использовании прокси компьютер думаю что это USB-модем, и работал без всяких прокси-настроек?
    Нет, нельзя. Прокси не оперирует протоколами (в основном это IP), характерными для L3. А на L3 нет никакого представления о том, для чего его используют L4-7. VPN же, как раз таки, предназначен для работы на L3.
    Можно лишь соорудить прокладку между целевым прокси и взаимодействием с операционной системой, реализующую L2-L3 взаимодействие (те же самые NDIS адаптеры передают привет - это и есть такая прокладка, по большому счёту, только в тех же USB 3g/lte модемах она используется несколько по-другому - в сторону L1 и L2 в сотовых сетях, а не в сторону L7) - но смысла в этом... только в определённых коммерческих целях, разве что. Не для персонального использования точно - мороки и человеко-часов много, толку мало.
    Ответ написан
    Комментировать
  • Как настроить Debian в качестве маршрутизатора?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    1. Включаем ip-forwarding
    https://www.google.com/search?q=ip+forwarding+debian
    2. Разбираемся с фаерволом и нат
    https://wiki.debian.org/iptables
    https://www.opennet.ru/docs/RUS/iptables/
    3. Разбираемся с вланами
    https://www.google.com/search?q=debian+vlan
    Ответ написан
    5 комментариев
  • Можно ли заменить стандартные исходящие порты 80,53,443 на другие?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Послушай, уважаемый, ты не тем занимаешься. Во-первых, интернет, на усреднённом роутере на базе лини, мало связан с доступом к роутеру и доступом роутера куда-либо. Цепочка forward не пересекается с цепочками input и output. Кроме того, само оперирование понятиями "входящие" и "исходящие" требует осознания того, к чему ты эти понятия применяешь - к пакетам, или к соединениям, потому что это разные вещи, и на разных роутерах эти разные вещи могут называться одинаково.
    Что касается "можно ли заменить" - да, принципиально можно. Да, на большинстве роутеров можно. Нет, не на всех роутерах это можно сделать предусмотренным производителем путём. И интернет тут, как правило, вообще ни при чём. Но самое главное - это не нужно. Безопасности это не добавляет.
    Ответ написан
    8 комментариев
  • Как поднять несколько прокси серверов на одной машине?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    1. Как удобно - так и разруливайте. В общем случае провайдер просто маршрутизирует ваши ip к вам. Если есть какие-то отдельные заморочки с выделением адресов у конкретного провайдера - инструкции надо запрашивать у этого конкретного провайдера.
    2. Когда речь идёт о сетях - ограничений много не бывает ^^
    3. Провайдер покупает пул адресов у IANA и предоставляет их своим клиентам.
    4. Для начала, ваш домашний провайдер, скорее всего, шлёт вас ко всем чертям. А вообще да, множество адресов можно и через один шнур.
    Ответ написан
    Комментировать
  • Как в Mikrotik поменять DNS после поднятия туннеля?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Можно отлавливать скриптом поднятие l2tp подключения и прописывать статику в настройки днс. Но я не уверен, что статически прописанные серверы имеют для микротика приоритет над динамическими.
    В таком случае можно скриптом отлавливать поднятие l2tp подключения и включать правило для ридиректа запросов на 53/UDP на 8.8.8.8 например.

    :if ([:len [/ppp active find name="имя l2tp подключения"]] > 0) do={
    /ip firewall nat enable [find comment~"Часть коммента правила с редиректом"]
    } else {
    /ip firewall nat disable [find comment~"Часть коммента правила с редиректом"]
    }
    Ну и само правило на редирект создать с соответсвующем комментом, а скрипт запускать каждые 10 сек., предположим.
    Как-то так, но это не точно.
    Ответ написан
  • Через Teamviever настроить сеть?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Если вы говорите о конфликте шлюзов, то...
    Метрики маршрутов в автоматическом режиме назначаются по последнему установленному соединению; при этом обновление dhcp по таймеру считается заново установленным соединением, поэтому могут возникнуть эксцессы при определённых обстоятельствах. (актуально для win7, другие ОС могут себя иначе вести)
    Вручную можно настроить в свойствах ipv4 конкретного подключения.
    Ответ написан
    Комментировать
  • Как объединить несколько офисов с одинаковой адресацией в одну сеть без реальных IP?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Нормально разбивать на подсети, больше никак.
    Ответ написан
  • Что делать, если некоторые компьютеры получают неправильный IP-адрес?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Эти машины просто напросто не находят DHCP сервер при очередной попытке обновления адреса.

    Пытайтесь понять почему так происходит, сколько по времени ждут ответа DHCP-сервера клиентские машины, где трафик может идти не туда, etc.

    Роутер 2 - просто мост?
    Ответ написан
    Комментировать
  • Несколько МАКов на порту свича. Как настроить вилан?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    А в чём, собственно? Порт на свиче в режим транка, или гибридный режим, для ip-телефона tagged vlan, для пк untagged
    Там то особой разницы нет, как пк подключён, телефон просто мост создаёт.
    Ответ написан
    Комментировать
  • Какой роутер нынче хорош дома для гика?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Тут микротик советуют - предупреждаю: реализация ovpn оставляет желать на столько лучшего, что даже udp не поддерживает.
    Ответ написан
    4 комментария
  • Как задать название проводной сети Mikrotik?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Вам зачем?
    Ответ написан
  • Маршрутизация по доменному имени, как сделать?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Напрямую - никак.
    И Layer7 тут не помощник, т.к. DNS-запрос посылается только при первом обращении к ресурсу, всё остальное время (пока жив днс-кэш) софт работает с ip.

    Можно лишь попытаться составить список доменных имён, обновлять периодически их ip-адреса на маршрутизаторе, составляя списки, и уже с этими списками работать. Для клиентов в локальной сети перехватывать через L7 запросы к DNS, и подменять на те адреса, что есть у роутера. Хотя стоит учитывать, что в случае использования клиентами DNSCrypt - перехватить не получится.
    На микротиках реализуемо, хотя и нетривиально.
    Ответ написан
    Комментировать
  • Как настроить уведомление Mikrotik?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Другие без самоделкинства не реализовать, и все они локального действия.
    Весь остающийся вывод: usb, poe, ssh.

    Самый простой и наименее затратный вариант - всё же e-mail уведомления. С МТ на внутренний smtp-сервер, а с него уже с авторизацией и шифрованием на внешний почтовик - хотя бы и тот же gmail. Это если внутрикорпоративного почтовика нет, конечно.
    UPD: я невнимательный. Почитал комменты. Ну, можно намутить коннект по ssh, дабы мт посылал команду на рассылку сообщения по корпоративному мессенджеру?... активировал лампочку на столе у босса?... что угодно, но всё равно это из разряда самоделкинства. Готовых решений, скорее всего, нет.
    Ответ написан
    Комментировать
  • Несколько интернет каналов под разные приложения?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    Завсисит от приложений. На уровне протоколов/портов можно разрулить фаерволом. Аутпостом, например.
    Ответ написан
    Комментировать
  • Проброс портов в OpenVPN через ufw?

    Ziptar
    @Ziptar
    Дилетант широкого профиля
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 10.8.0.2:8080
    iptables -A FORWARD -t eth0 -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -s 10.8.0.2 -p tcp --sport 8080 -j ACCEPT

    Должно работать, если ничего не напутал. С iptables общаюсь не то что бы часто.
    А вообще: https://www.opennet.ru/docs/RUS/iptables/

    P.S. форвардинг должен быть включён на обоих интерфейсах - то есть eth0 и tun/tap
    Ответ написан
    Комментировать
  • OVPN TLS Error: TLS key negotiation failed. - уже после проверки сертификата сервера. Why?!?!?

    Ziptar
    @Ziptar Автор вопроса
    Дилетант широкого профиля
    Ясно-понятно.

    1) CN сертификата сервера должно равняться его fqdn, или же ip
    но это ладно.
    2) Не знаю как в "родном" ovpn, но в микротиковской реализации овпн сервера есть 2 варианта подключения:
    a. логин-пароль
    b. сертификат И логин-пароль
    вариант с только сертификатом отсутствует.

    UPD: crl host задаётся жёстко ip-адресом, только винбокс об этом ни слова не говорит, и если указать fqdn - спокойно создаёт самоподписанный CA без crl. ><
    deleted(ибо я лапоть и всё враки): И ладно, я был бы только рад, но в ROS клиентский сертификат невозможно привязать к пользователю + ROS'овский PKI не поддерживает автоматическое создание crl, не говоря уже об отсутствии места хранения этого crl для массового пользователя.
    Что делает поддержку клиентских сертификатов, так скажем, менее полезной, чем хотелось бы, а смысл от клиентских сертификатов для каждого юзера вообще сводит к нулю.


    Этот конфиг, во всяком случае, для домашнего использования, посмотрим как это будет в рабочей обстановке с WinSrv PKI и радиус-аутентификацией; но... позже.
    Ответ написан
    9 комментариев