Нужно ли указывать в серверах пересылки (forwader) на основном DNS, указывать резервный DNS?

Вы не на все вопросы ответили.

Имеет не имеет смысла это дело 10-е и как работают форвардер я в курсе.

Речь как раз за ГЛОБАЛЬНЫЙ который указывается в свойствах DNS.

Хорошо допустим.

А нужно ли указывать форвардеры (дублировать) на DC02?

Есть ли смысл делить сеть на подсети, если она будет поделена на vlan-ы?

Drno, чтобы бродкасты разделить.

Потом 8 камер превратятся в 50-100.

И будешь ты плакать когда у тебя в сети 100 комаер 30 телефонов 30 компов 20 принтеров и тд....

Плавали знаем

Есть ли смысл делить сеть на подсети, если она будет поделена на vlan-ы?

Maksim Herasim, Ну на вланы действительно нет смысла делить. Но можно сделать хотябы разные подсети, но в одном Vlan.

И как сказал выше товарищ Drno - при наличии оплаты - да. Так как этим заниматься должен сетевик.

GUI на сервере. Насколько полезен/вреден?

можно пробросить GUI через RDP.

GUI не помешает также.

GUI на сервере. Насколько полезен/вреден?

Виктор Таран, а меня бесят как фанаты GUI так и маньяки SSH.

Во всём важна МЕРА! Там где реально можно обойтись без GUI (тот же веб сервер, обратный прокси), ну то есть там где вот он реально ваааааще не нужен.

И там где GUI не помешал бы - почтовый сервер например. Очень удобно когда у тебя миллиард ящиков и постоянно дро4ить команду ls -l ls -a и искать пути, grep копировать и тд....

Если ты работаешь с GUi не значит что ты не работает в консоли. Это лишь УДОБСТВО и не более

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Valentin Barbolin, получается только их поддеркжу просить чтоб другой протокол сделали?

Ikev2 или pptp или sstp или....?

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Valentin Barbolin, я щас проверил из квартиры.

У меня дома Mikrotik RB5009UPr+s+in.

Фаервол нормально закрытый. Только чистый EoIP туннель (гоняю по нему мультикаст халявный).

Писю к носу. Не даёт больше чем 1 устройство. Либо ноут либо комп.

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Valentin Barbolin, там проблема в другом. Я обнаружил что больше чем 1 человек не может удалённо подключиться по l2tp/ipsec

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Valentin Barbolin, некротик топчик, там проще

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Valentin Barbolin, zyxel умеет только gre over ipsec.

Это тебе не некротик

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Drno, не могу уронить временно...

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Drno, и главное как

Может ли быть коллизия при удалённом доуступе L2TP/IPsec если подключаться из офиса где чистый IPsec?

Кому проверять то?))

Я со своей стороны ничего не блокирую.

У нас на центральный роутер 5 объектов ломится на UDP 500 и 4500.

Не будет ли ошибкой сразу указать 443 порт nginx вместо 80 для cetrbot?

Да и с методом dns в продакшене никто не будет заморачиваться.

На микросервисы деньги есть а на сертификат нет. Это беды с башкой будут

Не будет ли ошибкой сразу указать 443 порт nginx вместо 80 для cetrbot?

Я кстати проверил. Haproxy нормально резолвит и позволяет обновлять через cetrbot.

Прсгто придётся ручками дописать в nginx

Не будет ли ошибкой сразу указать 443 порт nginx вместо 80 для cetrbot?

Ты не понял. Я прекрасно знаю что по дефолту если получаешь сертификат на какой ли о веб сервис нужно обязательно открывать 80 и 443.

Тут ситуация конкретная - haproxy и резолв на внутренние сервисы через SNI

Зачем нужны криптошлюзы?

Валентин, Кластеризация есть у всех приличных вендоров в 2к24 столетии.

"Единый центр СКЗИ и VipNET" это прям ваще не аргумент)) Кал какой-то сугубо госовский и малооплачиваемый

Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

CityCat4, принципиальная разница?

Допустим если мне надо убдет промаркировать 10 соединений, то только отказываться от fasttrack?

Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

Или добавлять 2 правила перед Fasttrack на in ipsec и out ipsec?

Правильно ли расположил Port Knocking для RDP в Firewall?

Мне уже не надо отвечать. Я решил их запихать до фаервола. ПУсть там находятся.

В Established мне эта перхоть не нужна. Мне главное простучать и попать в White List - Knock_end