Ответы пользователя по тегу Сетевое администрирование
  • Как соединить 2 подсети на разных роутерах через VPN в одну?

    athacker
    @athacker
    Мануал по OpenVPN почитайте, в части параметров route и iroute.
    Ответ написан
    3 комментария
  • Как настроить VPN по такой схеме?

    athacker
    @athacker
    Клиент -- это по определению то, ЧТО подключается. Т. е. является инициатором соединения.

    Нет, то что вы хотите -- не реализуемо. Наоборот -- реализумо. А если вам нужно ходить через канал VPN-клиента -- то это тоже реализуемо, но не так, а ровно наоборот:
    1) На сервер с белым IP устанавливается VPN-сервер. Насчёт "рандомного", правда, сомневаюсь, придётся всё-таки определиться ;-)
    2) На комп с серым IP устанавливается VPN-клиент;
    3) Настраивается подключение от VPN-клиента до VPN-сервера;
    4) После этого, при грамотной настройке маршрутизации, можно организовать выход с VPN-сервера в интернет через интернет-канал клиента. Читать про policy based routing и multiple routing tables в Linux.
    Ответ написан
    1 комментарий
  • В чем основное различие между trank портом и access портом?? кроме tagged это понятно?

    athacker
    @athacker
    ОСНОВНОЕ отличие -- именно в этом. Что trunk порт может гонять тегированный трафик нескольких вланов, а аксесс порт будет принимать/отправлять нетегированный трафик, принадлежащий только одному влану (трафик как принадлежащий влану будет маркироваться только внутри коммутатора).

    Неосновное отличие -- trunk-порты могут поддерживать протоколы автоматического согласования режимов/VLAN'ов. Это протоколы DTP или VTP.

    Коммутаторы можно связывать акцесс-портами в том случае, если вы стыкуете две инфраструктуры с пересекающимися вланами. Такой кейс возникает у интернет-провайдеров, например. Когда нужно подключить коммутатор клиента, и у вас на этого клиента выделен влан, скажем, 666. Но у клиента этот влан уже используется. Вы не можете ломать свой VLAN план, и клиент не может. Тогда вы настраиваете порт в сторону коммутатора клиента на 666 влан акцессом, а клиент на своей стороне настраивает акцесом порт в том влане, который у него выделен как стыковочный. Ну, к примеру, 777. И получается мир-дружба-жвачка, и все работают согласно своим VLAN-планам без всяких проблем. Но технически получается, что два коммутатора подключены акцесс-портами.
    Ответ написан
    Комментировать
  • Вопрос по разделению VLAN?

    athacker
    @athacker
    У вас основной трафик будет ходить между серверами, терминалами и сервером бэкапов. Всё остальное -- это копейки, по большому счёту. Ну, ещё 15 камер с хорошим качеством могут подгрузить. Ну хотя тоже, даже если там 2 мегабита на камеру, то в сумме получится 30 Мбит/сек. На гигабитном линке -- тоже не очень много.

    Как вариант -- собрать на микротике LAG. Если на микроте 5 портов, то один порт отдаём в WAN, два порта -- LAG в сторону коммутатора 1, и оставшиеся два порта -- LAG в сторону коммутатора 2. Таким образом трафик каждого коммутатора будет падать на два порта микротика, и в сумме можно получить 2 гигабита. Ну т. е. понятно, что у вас любая коммуникация не может быть больше 1 гигабита, но суммарно можно прокачать и 2 (из разных вланов в разные вланы).
    Ответ написан
    4 комментария
  • Какие есть методы изоляции пользователей внутри Vlan (Mikrotik)?

    athacker
    @athacker
    Private VLAN, он же port isolation для микрота: https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_...
    Ответ написан
    Комментировать
  • Есть ли смысл разделять принтеры, телефоны, компьютеры по отдельным VLAN'ам?

    athacker
    @athacker
    Логика правильная. Номера вланов значения не имеют, но выделять однотипные устройства в отдельные сети -- это правильно и хорошо. Связность между вланами обеспечивается также, как и между отдельными физическими сетями -- с помощью маршрутизатора. Почитайте, что такое VLAN trunking, и ознакомьтесь, как это реализуется на микротиках, и настраивайте маршрутизацию на нём.

    Сегментация сети -- это не просто правила хорошего тона, это необходимость, особенно в свете развития малвари/вирусов и прочих угроз ИБ. Принтеры/телефоны -- легко уязвимые устройства, поэтому их нужно изолировать. Плоская сеть, где все компы организации находятся в одном влане/сетевом сегменте приведёт к тому, что любой залётный NotPetya распространится по всей сети в считанные минуты. И будет как здесь. Или мамкины хакеры какие-нибудь начнут ковырять компы соседнего отдела по сети. Так что сгементация и настроенные правила хождения трафика между подсетями -- это must have в современных условиях.
    Ответ написан
    Комментировать
  • Как защитить коммутатор от L2 петли без отключения избыточного линка?

    athacker
    @athacker
    Придётся всю систему менять. Либо переделывать отдачу трафика на "анализатор" (вы, я так понимаю, строите IPS?) через маршрутизацию, т. е. выносить на уровень L3. Либо подавать на анализатор копию трафика через SPAN, а анализатор должен отстреливать spoofed-пакетами TCP RST в сторону клиента, прикидываясь сервером если соединение признано подозрительным. Тогда клиент будет сразу закрывать соединение.

    Но отвечая на прямым образом поставленный вопрос -- защитить коммутатор от отключения избыточного линка можно настроив, например, port-channel на этих линках (между коммутаторами). Однако очевидно, что это не ваша история, и вам этот вариант не поможет. Так что остаётся только менять систему.
    Ответ написан
    3 комментария
  • Как пробросить порты с vds через ovpn канал на домашний pfsense для получения статического ip для домашних серверов?

    athacker
    @athacker
    Какие конкретно сайты перестают работать? VPN у вас работать продолжает, т. к. иначе, заходя на IP VDS-ки, ваши сайты работать переставали бы.

    Вам default gateway реально в туннеле нужен? Т. е. есть клиенты, для которых вы планируете весь трафик заворачивать в туннель? Если нет, то push "redirect-gateway def1" стоит убрать, равно как и отдачу настроек DNS. И прописать только конкретные нужные маршруты.

    Также, исходя из правил следует, что вы зачем-то делаете DST NAT в IP pfSense, а не в IP домашнего сервера. Получается, у вас будет четверной NAT -- DNAT в 10.0.0.6, потом SNAT в 10.0.0.1, потом pfSense ещё раз будет делать DNAT и SNAT? Это лишнее. Пропишите в маршрутах OpenVPN, что за pfSense есть ещё одна сетка, и настройте DNAT-правило, чтобы проставлялся сразу IP сервера, а не pfSense.
    Ответ написан
    6 комментариев
  • Как сделать отдельный dns-ответ для хоста, на котором крутится dns-сервер?

    athacker
    @athacker
    Не очень понятно, зачем вообще роутеру пинговать чего-то для определения IP, если он и так прекрасно знает, какой адрес ему выдали :-) Проще прописать всё в HOSTS, а скриптом анализировать адрес на внешнем интерфейсе. Если там серый, то переподключаться до тех пор, пока не станет белым.

    Но если там реально начали серые адреса появляться, готовьтесь к тому, что скоро они все серыми станут. Вероятнее всего, провайдер решил монетизировать белые IP-шники, т. е. в скором времени они будут выдаваться только по прямым запросам и за деньги.
    Ответ написан
    Комментировать
  • Как соединить 2 mikrotik через L2TP over IPSEC?

    athacker
    @athacker
    Микротик указан как шлюз по умолчанию для своих клиентов? В IPsec анонс сетей со стороны Zyxel'ей прописан?
    Ответ написан
  • VPN между двумя офисами с помощью Strongswan, как реализовать?

    athacker
    @athacker
    Строго говоря, в IPsec маршрутов как таковых не видно. Всё описывается в SA. Т. е. вызвав ip route print на микроте или netstat -rn на opnSense, маршрутов вы не увидите.

    Для IPsec определение, чего заворачивать в туннель, а чего просто маршрутизировать (мимо туннеля) происходит на основании настроек leftsubnet/rightsubnet (это в терминах StrongSwan, в других пакетах это по-другому называется).

    Ну и в отрыве от вопроса -- не рекомендовал бы вам IPsec на микротах строить. Туннели часто виснут.
    Ответ написан
    Комментировать
  • Нужен хардкорный nas. Идеи есть?

    athacker
    @athacker
    Хочется консоли -- купите старый сервер, и на нём жгите, что хотите. Хоть линухи с mdadm, хоть фряху с ZFS. HP DL360 G5 или G6 -- ваще огонь техника. G5 можно тысяч за 15 найти.
    Ответ написан
    Комментировать
  • Есть ли локальный прокси с ip redirect?

    athacker
    @athacker
    Любой юниксовый файрвол это умеет. iptables на Linux, IPFW или pf на FreeBSD. Выбирайте по вкусу. Встроенный виндовый -- не умеет. Возможно, умеют какие-нибудь Kerio Firewall или что-нибудь в этом духе.
    Ответ написан
  • При включении LLDP выкидывает со свича HP1910-48?

    athacker
    @athacker
    Там баг в прошивке. И что-то типа "реализация LLDP через CDP" или наоборот, не помню уже подробностей. ВОт тут можно вкурить, если интересно:

    wireditpc.blogspot.com/2013/07/using-lldp-cdp-with...

    Пробуйте через командную строку:

    > [Switch] lldp compliance cdp

    Затем указываете интерфейсы, на которых включается LLDP:

    > [interface X] lldp compliance admin-status cdp txrx
    Ответ написан
    1 комментарий
  • Как направить локальный и интернет трафик в разные шлюзы?

    athacker
    @athacker
    Разберите EoIP и настройте нормальную маршрутизацию, с непересекающимися IP-подсетями. Жизнь будет много проще. Ну и да, две площадки -- два DHCP-сервера.
    Ответ написан
    Комментировать
  • Mikrotik: Как настроить доступность сервера через 2 провайдеров?

    athacker
    @athacker
    Валентин выше правильно пишет -- самая простая схема -- это делать ещё и SNAT для трафика, прошедшего через 1-ый микротик к серверу. Но учтите, что при этоё схеме вы потеряете информацию о SRC IP клиента, т. к. с точки зрения сервера, запросы будут приходить от микротика.

    И знания микротика здесь ни при чём, разберитесь с тем, как работает маршрутизация.

    Дело в том, что на сервере, подключенном к микротику2, этот микротик является шлюзом по умолчанию. Когда вы делаете DNAT на микротике1, то получается следующее:
    • Некий клиент из интернета, с белым адресом, скажем 1.2.3.4, шлёт пакет на белый адрес микротика1
    • Микротик1 получает пакет и делает DNAT -- заменяет свой IP-адрес в поле "DST IP" на серый адрес вашего сервера (192.168.3.10 и отправляет пакет по EoIP в сторону микротика2
    • Микротик2 получает пакет, видит, что это пакет в его внутреннюю сеть и перенаправляет пакет к серверу 192.168.3.10
    • Сервер получает пакет от клиента с IP 1.2.3.4, обрабатывает запрос и отправляет ответ. Но этот ответ пойдёт через микротик2, т. к. именно микротик2 является шлюзом по умолчанию для сервера, а про существование микротик1 и то, что запрос от клиента 1.2.3.4 прошёл через микротик1, сервер вообще не в курсе


    Если же вы сделаете ещё и SRC NAT клиентского пакета, т. е. поменяете адрес клиента (1.2.3.4) на адрес микротик1 (192.168.3.1), то сервер будет отвечать на этот адрес, и ответ сервера достинет микротик1, а он, в свою очередь, сделав обратную трансляцию по таблице NAT, вернёт ответ клиенту. Но, повторюсь, по этой схеме в логах сервера вы не увидите реальных IP клиентов, для запросов, пришедших через микротик1 IP клиента будет 192.168.3.1

    P/S/: Напрасно вы сделали EoIP и одну плоскую клиентскую сеть за микротиками. Это только к путанице будет приводить.
    Ответ написан
    2 комментария
  • Какой туннель использовать для двух офисов?

    athacker
    @athacker
    OpenVPN или L2TP + IPsec. Хотя с учётом особенностей реализации OpenVPN на микротиках (нет сжатия, нет UDP режима), я бы всё же делал на L2TP + IPsec.
    Ответ написан
    Комментировать
  • Как выдавать DHCP только указанным клиентам?

    athacker
    @athacker
    А зачем вообще статически биндить всех клиентов в сети? Какую задачу вы пытаетесь решить? В чём проблема раздавать адреса всем компам в сети, тем более, что их (компов) много?
    Ответ написан
    1 комментарий
  • Может ли быть маркированый и не маркированый трафик на одном порту?

    athacker
    @athacker
    Может. Читайте про native vlan.
    Ответ написан
    Комментировать