Задать вопрос

brar

Ответы пользователя по тегу Компьютерные сети

  • Резко снизилась скорость сети через VPS, что может быть?

    @brar
    Скорость измеряете через туннель или через дикий интернет? Через туннель в нынешних условиях, когда ТСПУ шагают по стране, измерять скорость - не прольёт свет. Также ТСПУ может "вкурить", что трафик от Вас сугубо для обхода блокировок и поставил ваш IP в гео-клетку и теперь вы качественный туннель не построите ни по одному протоколу.
    Если проблема существует и при тестировании с других каналов, то опять же ТСПУ могло занести хостера в черный список.
    Помимо этого возможно банальная проблема с динамическими маршрутами у провайдеров/вышестоящих провайдеров. Обычно максимум за день её исправляют.
    Ответ написан
    Комментировать
    Комментировать

  • Какой обход Fasttrack + IPsec более предпочтителен на Mikrotik, маркировка Mangle или добавить 2 правила Filter перед Fasttrack?

    @brar
    Правильный вариант это добавить правила для ipsec выше правила fasttrack.

    add action=accept chain=forward comment="IPsec before fasstrack" ipsec-policy=in,ipsec
add action=accept chain=forward comment="IPsec before fasstrack" ipsec-policy=out,ipsec


    P.S. Вот не плохая статья, кстати с пояснениями. https://interface31.ru/tech_it/2021/09/pravilnoe-i...
    Ответ написан
    10 комментариев
    10 комментариев

  • Как опредилить на каком узле сети найменьшая пропускная способность?

    @brar
    Если все узлы на маршруте принадлежат вам, то замером между каждым из них утилитами типа iperf3. Если узлы принадлежат не вам, то никак, разве что очень косвенно по трассировке (утилиты traceroute, tracert, mtr) - это по сути вообще не релевантно, кроме как в случае явных потерь пингов на каком-то из узлов маршрута.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как объяснить провайдеру какая у меня проблема с интернетом так, что бы что бы это исправили?

    @brar
    Может вы у себя l2tp-сервер подняли? /interface l2tp-server server export
    Вообще чисто схематично, я бы сделал так:
    Убрал бы дефолтный микротиковский файрвол полностью и добавил бы явные разрешающие правила, потом два правила дропа внизу для input и forward.
    В /ip/firewall nat посмотрите тоже, что там.

    А дефолтный файрвол, кстати, вот:
    /ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
    Ответ написан
    8 комментариев
    8 комментариев

  • Mikrotik hap ac2 скорость порта 500 мбит это нормально для него?

    @brar
    1. Если речь про скорость между хостами внутри локальной сети, то не нормально.
    2. Если речь про аплинк к провайдеру. Грубо говоря, у Вас тариф с 1Гбит/с и Вы скорость интернета измеряете на каком-нить yandex.ru/internet, то единственный вариант увеличить однопотоковое соединение до 1 ГБ/с - это включить fasttrack в правилах файрвола:
    add action=fasttrack-connection chain=forward connection-state=established,related
    .

    Это накладывает ограничения в некоторый функционал, но скорее всего данный функционал Вам не пригодится никогда.
    Ответ написан
    Комментировать
    Комментировать

  • Что нужно знать начинающему системному администратору?

    @brar
    ///После недельного простоя, мне звонят и приглашают на стажировку////
    Значит, опытные спецы за ту зп, которую они предлагают даже не откликаются. Взяли Вас "На стажировку". Это и правда и нет, одновременно. Вы друг друга нашли, скажем так.
    Выжмите максимально опыт в практике из этой хитрой конторки. Главное - не сильно себя вините, если что-то сломается, а на вас будут наезжать. Отвергайте любые обвинения в случае простоя. Далее, как поднатореете, через месяцев 12 ищите нормальную, которая понимает объёмы и ответственность IT-специалиста за простои в работе и платит в ~2 раза больше.

    По теме вопроса: первое, на что обратить внимание - на критичность того ии иного сервиса. Прям подойти к боссу и спросить - "что должно работать весь рабочий день?". Телефония? БД? 1с? Без чего прям кранты? К тому сервису и направьте своё максимальное внимание. Смоделируйте на практике восстановление БД из резервной копии. Файловый сервер. Сотрудник уволился, грохнул все свои наработки/файлы, логины на торговых площадках, почтовую переписку etc. Промониторить доступы предыдущих сотрудников на администратиыный доступ к каким-либо сервисам/серверам/роутерам/площадкам.
    Ответ написан
    Комментировать
    Комментировать

  • Как сделать авторизацию по домену вместо ip на виртуальной машине в виртуальном дата-центре?

    @brar
    Для этих целей не обязательно через dns делать, хотя и это тоже можно.
    Варианты такие есть:
    1. Одну из виртуалок сделать роутером (iptables или пришедший на его смену nftables). На ней правила создаются для входящих соединений на тот или иной порт, и в зависимости от номера входящего порта происходит перенаправление на необходимую виртуалку.
    2. Если в дц есть возможность, то можно создать виртуальный роутер/шлюз. По той же схеме, как в первом варианте. 3. Вариант с днс: На одну из машин ставить или haproxy или nginx и на них и настраивать.
    Ответ написан
    Комментировать
    Комментировать

  • По каким портам слушается ответ на TCP запрос?

    @brar
    Либо надо разрешить на файрволе входящие вернувшиеся соединения (established connection) которые инициировали трекеры, либо разрешить все входящие с айпиадреса сервера откуда приходят такие соединения.
    Ответ написан
    Комментировать
    Комментировать

  • Как получить доступ в другую локальную сеть с серым ip?

    @brar
    ///Mikrotik RB750Gr3 прошитый на openwrt///
    o_O
    Ответ написан
    Комментировать
    Комментировать

  • Как перевести сеть на подсети с использованием VLSM на Mikrotik?

    @brar
    Либо я не совсем понял вопроса, либо вы нашли в сети не то направление решения.
    Подсеть /24 дает вам использовать 254 хоста, что покрывает ваши нужды (7+8+4+1С) чуть более, чем полностью. То есть, брать /16 смысла никакого нет.
    Для впн создайте пул из другой подсети. Однотипных мануалов в принципе в сети немеряно, вот один из них например.
    https://wiki.mikrotik.com/wiki/Manual:Interface/L2...

    Также я бы рекомендовал использовать не l2tp, а ipsec/IKE2
    https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Roa...
    но это на вкус и цвет по большому счету, тем более если уже настроили l2tp.
    Ответ написан
    2 комментария
    2 комментария

  • Как определить маску подсети по диапазону IP (что-то не допонимаю)?

    @brar
    Никак. Считайте это постоянными значениями.
    Вам проще будет понять, если переведете адресацию подсети и идентификатор хостов в двоичную систему. При маске меньше 24бит, идентификатор хостов сдвигается влево от точки 4 октета и в двоичной системе это нагляднее, чем в 10-чной.
    Чтобы еще проще было понять напишем вашу задачу на примере 24битной маски.
    Вы говорите, хочу подсеть из 254 хостов, то есть это /24. Но как сделать так чтобы не залазить в диапазон 192.168.0.1-192.168.0.11
    Ответ написан
    Комментировать
    Комментировать

  • Как заставить Windows 7 отвечать на ARP-запросы?

    @brar
    Проблема может крыться в вашем свитче. Перезагрузите его или очистите кэш arp (если модель свитча это позволяет) и заново проверьте работу arp.
    Если используется вайфай, попробуйте проводом. Таким образом найдете железку в которой проблема с арп.
    Ответ написан
    1 комментарий
    1 комментарий

  • Как достучаться до утройства из-за OpenVPN?

    @brar
    Что-то типа этого. 
    iptables -t nat -A PREROUTING -d x.x.x.x -p tcp --dport 1234 -j DNAT --to-dest 10.8.0.2:1234
    Ответ написан
    Комментировать
    Комментировать

  • Как сделать Mikrotik прозрачным в сети?

    @brar
    Возникает вопрос: Зачем микротик нужен перед этим компом? В общем-то вы не правильно топологию сети организовали в данном случае.
    Ответ написан
    14 комментариев
    14 комментариев

  • Mikrotik запрет на доступ к сети или определенному IP?

    @brar
    Смотря, что Вы подразумеваете под пользователем. Если хост, то через 
    ip firewall filter add action=drop chain=forward src-address=192.168.xxx.xxx

    но при этом нужны правильно настроенные другие правила.
    Если пользователь, именно пользователь, то опять же пользователь чего?
    Также, не ясно, что вы подразумеваете под доступом "в локальную сеть или к определенному адресу".
    Ответ написан
    4 комментария
    4 комментария

  • Шлюз в другой подсети для маркированного трафика недоступен?

    @brar Автор вопроса
    В общем разобрался, прочитав в мануале.
    Value of gateway can be specified as an interface name instead of the nexthop IP address. Such route has following special properties:
    Unlike connected routes, routes with interface nexthops are not used for nexthop lookup.
    И так как имел давнюю привычку (для удобства перенстройки адресации) указывать в качестве шлюза до впн-подсетей имя интерфейса, а не IP-адрес, возник такой затык.
    В общем, заоаботало как только я изменил:
    add distance=1 dst-address=192.168.99.0/24 gateway=l2tp-out1

    на
    add distance=1 dst-address=192.168.99.0/24 gateway=172.16.1.1

    А также изменил значение target-scope=30 в маршруте маркированного трафика до сквида:
    add distance=1 gateway=192.168.99.55 routing-mark=http target-scope=30

    Всем спасибо.
    Ответ написан
    Комментировать
    Комментировать

  • Что мой провайдер знает обо мне?

    @brar
    Я ща всё усугублю youbroketheinternet.org secushare.org
    Ответ написан
    Комментировать
    Комментировать

  • Что делать если провайдер выдает серый ip?

    @brar
    Самый правильный вариант, как сказали выше, купить белый айпи у прова. Вопрос от 100-500 руб в месяц. Второй вариант: наоборот, в офисе поднять l2tp-сервер, чтобы убунта подключалась к нему.
    Третий вариант: hamachi или аналоги. ubuntovod.ru/instructions/hamachi-ubuntu-linux.html , также там в коментах ссылаются на haguichi.
    Ответ написан
    1 комментарий
    1 комментарий

  • Два и более сайтов на одном IP-адресе плохо для выдачи яндекса?

    @brar Автор вопроса
    Всем спасибо.
    Ответ написан
    Комментировать
    Комментировать