Задать вопрос
  • Как сделать, чтобы sublime text открывал в своих вкладках новые файлы?

    @dronmaxman
    VoIP Administrator
    "open_files_in_new_window": false,
    Ответ написан
    Комментировать
  • Из 6 сайтов блокируются только 2 сайта?

    @dronmaxman
    VoIP Administrator
    Advanced-> Dst.Address List: gpt


    Ты не можеш заблокировать ресурс который находиться за CDN используя подход блокировки по dst.address.

    В твоем случае единственный способ это блокировать по DNS. Чтобы люди не обходили DNS блокировки так же надо заблокировать DOH.

    ## Включаем DNS на микротике
    /ip dns
    set allow-remote-requests=yes
    
    
    ## Создаем записи для gpt домена
    /ip dns static
    add name="openai.com" address=127.0.0.1
    add name="chat.openai.com" address=127.0.0.1
    add name="platform.openai.com" address=127.0.0.1
    add name="auth0.openai.com" address=127.0.0.1
    add name="cdn.openai.com" address=127.0.0.1
    add name="api.openai.com" address=127.0.0.1
    add name="status.openai.com" address=127.0.0.1
    add name="auth.openai.com" address=127.0.0.1
    add name="help.openai.com" address=127.0.0.1
    add name="chatgpt.com" address=127.0.0.1
    add name="sora.com" address=127.0.0.1
    add name="android.chat.openai.com" address=127.0.0.1
    add name="operator.chatgpt.com" address=127.0.0.1
    add name="ab.chatgpt.com" address=127.0.0.1
    
    
    ## Перехватываем запросы DNS от клиентов
    /ip firewall nat
    add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Redirect all DNS to MikroTik"
    add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="Redirect TCP DNS to MikroTik"
    
    
    ## Создаем записи для популярных DOH доменов
    /ip dns static
    add name="dns.google" address=127.0.0.1
    add name="cloudflare-dns.com" address=127.0.0.1
    add name="mozilla.cloudflare-dns.com" address=127.0.0.1
    add name="dns.quad9.net" address=127.0.0.1
    add name="doh.opendns.com" address=127.0.0.1
    add name="dns.adguard.com" address=127.0.0.1
    
    ## Создаем адрес лист с популярными DOH доменами
    /ip firewall address-list
    add list=doh-block address=1.1.1.1 comment="Cloudflare"
    add list=doh-block address=1.0.0.1
    add list=doh-block address=8.8.8.8 comment="Google"
    add list=doh-block address=8.8.4.4
    add list=doh-block address=9.9.9.9 comment="Quad9"
    add list=doh-block address=149.112.112.112
    add list=doh-block address=94.140.14.14 comment="AdGuard"
    add list=doh-block address=94.140.15.15
    
    ## Блокируем DOH по dst address
    /ip firewall filter
    add action=drop chain=forward dst-address-list=doh-block protocol=tcp dst-port=443 comment="Block DoH Providers"
    
    ## Блокируем DOH по SNI, не идеально но пуcть будет
    /ip firewall layer7-protocol
    add name=doh-https pattern="(dns\\.google|cloudflare-dns\\.com|dns\\.adguard\\.com|doh\\.opendns\\.com)"
    
    /ip firewall filter
    add action=drop chain=forward layer7-protocol=doh-https protocol=tcp dst-port=443 comment="Drop DoH via L7"
    Ответ написан
    3 комментария
  • Влияет ли регион активации mac на что-то?

    @dronmaxman
    VoIP Administrator
    В Apple регион будет влиять на софт который тебе доступен в маркете. Помоему при создании акаунта ты можешь указать любой регион, а вот если захочеш поменять то они потребую подтянуть банковскую карту региона на который меняешь. Так же если захочешь купить софт в AppStore то попросят подвязать карту указанного региона.

    Если акаунт в iCloud уже есть с привязаной картой то пофиг.
    Ответ написан
  • Как пробросить vlan через 2 mikrotik из одной lan в другую на отдельный порт?

    @dronmaxman
    VoIP Administrator
    ### Настройка MikroTik1
    
    # Создание нового моста
    /interface bridge
    add name=bridge1 protocol-mode=none
    
    # Добавление портов в новый мост
    /interface bridge port
    add bridge=bridge1 interface=ether1 # порт интернет
    add bridge=bridge1 interface=ether2 # порт ПК
    
    # Настройка VLAN
    /interface bridge vlan
    add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2
    
    # Активация VLAN фильтрации
    /interface bridge
    set bridge1 vlan-filtering=yes
    
    # Установка PVID для access порта
    /interface bridge port
    set [find interface=ether2] pvid=100
    
    ### Настройка MikroTik2
    
    # Создание нового моста
    /interface bridge
    add name=bridge1 protocol-mode=none
    
    # Добавление портов в новый мост
    /interface bridge port
    add bridge=bridge1 interface=ether1 # порт интернет
    add bridge=bridge1 interface=ether2 # порт ПК
    
    # Настройка VLAN
    /interface bridge vlan
    add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2
    
    # Активация VLAN фильтрации
    /interface bridge
    set bridge1 vlan-filtering=yes
    
    # Установка PVID для access порта
    /interface bridge port
    set [find interface=ether2] pvid=100
    
    
    Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
    в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
    В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.
    Ответ написан
  • Как сделать авто дополнение ввода как в PowerShell?

    @dronmaxman
    VoIP Administrator
    В Windows Terminal есть удобное авто дополнение в процессе ввода на основе


    Как думаешь, где windows этому научился?

    https://github.com/zsh-users/zsh-autosuggestions
    Ответ написан
    1 комментарий
  • Как настроить авторизацию в сеть WIFI, в два этапа, проверка сертификата компьютера, после успеха, запрос на учетные данные, при помощи RADIUS?

    @dronmaxman
    VoIP Administrator
    сертификата компьютера выданный CA ,после ответ клиенту на запрос учетных данных.

    Проверить сертификат потом дополнительно проверить учетку пользователя? - типа двухэтапная авторизация? - так не работает, возможно на freeradius можно наколхозить, но это избыточно.

    Как я сделал у себя.
    Есть домен, центр сертификации (CA), ПК автоматические получают сертификат от CA и груповой политикой профиль конфигурации для WIFI. На wifi можна авторизоваться по сертификату или по логин-паролю.

    Что получается. Доменные ПК автоматически подключаются к wifi еще до входа пользователя на ПК и попадают в свой VLAN. Личные ПК и сматфоны (BYOD) подключаются по логин-паролю и попадают в свой VLAN который не имеет полного доступа к локальной сети, а только к избранным ресурсам.

    На личные ПК я сертификаты для WIFI не ставлю. Но если такая потребность появится, то для BYOD я сделают отдельные сертификат и политики ибо личные ПК с ломаным софтом и вирусами где каждый админ мне в локальной сети не нужны.
    Ответ написан
    5 комментариев
  • В чем ошибка при разворачивании туннеля через WireGuard в terraform на Yandex Cloud (ALT Linux)?

    @dronmaxman
    VoIP Administrator
    apt-get install -y wireguard-tools wg-quick

    Найди 7 отличий
    Ответ написан
    Комментировать
  • Как составить SQLite Dockerfile?

    @dronmaxman
    VoIP Administrator
    FROM alpine
    RUN apk add --no-cache sqlite
    WORKDIR /db
    COPY . .
    RUN sqlite3 /db/example.db "CREATE TABLE users (id INTEGER PRIMARY KEY, name TEXT NOT NULL, age INTEGER);"
    CMD ["sqlite3", "/db/example.db"]
    Ответ написан
    Комментировать
  • Как настроить промежуточный сервер для выборочной фильтрации трафика через прокси/VPN?

    @dronmaxman
    VoIP Administrator
    Вполне возможно, надо включить DNAT на сервере что бы все входящие подключения пересылались на роутер.

    Но я б сделал по другому. Провайдера подключить в роутер, сервер поставить за роутером. На DHCP роутера в качестве GW указать сервер, если роутер так не умеет, то отключить на нем DHCP и настроить DHCP на сервере. В такой схеме на сервере достаточно одного сетевого интерфейса.

    В таком варианте, все запросы от клиента приходят на сервер, маршрутизируются, что надо в VPN остальное на роутер.
    Ответ написан
  • Как обновить ПО mikrotik hap ax3?

    @dronmaxman
    VoIP Administrator
    out of memory - не хватает места, причины
    - установлены доп пакеты
    - что-то левое лежит на флешке
    - флешка умирает
    - у некоторых встречается такой баг на 7 прошивке.

    Решение
    - сбросить к заводским и попробовать еще раз обновить
    - обновить через Netinstall
    Ответ написан
    Комментировать
  • Как авторизовывать сотрудников компании на wifi?

    @dronmaxman
    VoIP Administrator
    Если есть домен, то EAP и Radius.

    Если нет домен и не хочется поднимать радиус, то на микроте можна для каждого указать свой уникальный PSK для доступа к wifi.
    /interface wireless access-list
    add comment=Jayden mac-address=5C:1D:D9:C3:C6:15 private-pre-shared-key=supersecretpasswordexample vlan-mode=no-tag
    Ответ написан
    8 комментариев
  • Что такое личный VPN у Apple?

    @dronmaxman
    VoIP Administrator
    https://apple.stackexchange.com/questions/180281/w.... Отсюда выходит, что личный VPN безопаснее?

    Там же все написано.

    iPhone поддерживает несколько протоколов VPN из коробки, эти подключения считаются как "VPN устройства".
    Если ты устанавливаеш VPN из маркета, то он будет добавлен в личный VPN.
    Это всего лиш особенность реализации на iOS.

    А какой VPN безопаснее определяется способом шифрования.
    Ответ написан
    Комментировать
  • Как ограничить доступа во внешнюю сеть на Mikrotik?

    @dronmaxman
    VoIP Administrator
    есть в локалке некоторое количество айпишников

    Если DHCP то добавить в резервацию что бы адреса не менялись.

    Создаем address-list из потерпевших
    /ip firewall address-list
    add list=allowed_ips address=192.168.1.100
    add list=allowed_ips address=192.168.1.101


    Добавляем правила в firewall
    # Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
    /ip firewall filter
    add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"
    
    # Block all other internet access for addresses in the 'allowed_ips' list
    add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"
    Ответ написан
    Комментировать
  • Пробремы со входящими Asterisk(Rejecting unknown SIP connection from), как решить?

    @dronmaxman
    VoIP Administrator
    ## FreePBX
    Go to Connectivity > Trunks, and create a new SIP (chan_sip) trunk.
    General Settings
    • Trunk Name: AsteriskSIPTrunk
    Outgoing Settings
    • Trunk Name: AsteriskSIPTrunk
    • Peer Details:
    host=<Asterisk_IP_ADDRESS>
    port=<PORT>
    type=peer
    qualify=yes
    disallow=all
    allow=alaw
    dtmfmode=rfc2833
    insecure=port,invite
    context=from-freepbx


    Incoming Settings
    Leave this section blank unless you need specific inbound configurations.

    Registration
    Leave this section empty because no registration is required when using IP-based authentication.

    ## Asterisk
    Edit sip.conf
    [freepbx_trunk]
    type=peer
    host=<FreePBX_IP_ADDRESS>
    port=<PORT>
    qualify=yes
    disallow=all
    allow=alaw
    dtmfmode=rfc2833
    insecure=port,invite
    context=from-freepbx
    Ответ написан
  • Как реализовать автоматическое переключения туннеля fortigate?

    @dronmaxman
    VoIP Administrator
    поднимает туннель ipsec с cisco

    Интересно какой IPSEC, т.к. не все туннели разрешают динамически менять IP.

    По классике поднимают два туннеля одновременно, а для переключения используют OSPF.
    Ответ написан
    Комментировать
  • Как настроить включение языка раскладки по одиночному нажатию shift?

    @dronmaxman
    VoIP Administrator
    В macOS можно штатно включить переключение между двумя раскладками (USA + 1) через CapsLock
    Ответ написан
    2 комментария
  • Как настроить macros в zabbix-е?

    @dronmaxman
    VoIP Administrator
    В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

    Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
    {$NET.IF.IFNAME.MATCHES} = ether1

    если надо два интерфейсайса
    {$NET.IF.IFNAME.MATCHES} = ether1|ether2
    Ответ написан
    Комментировать
  • Как можно сделать два Ethernet подключения?

    @dronmaxman
    VoIP Administrator
    Можно указать второй IP на интерфейсе и прописать маршрут, для DNS настроить nrpt policy.
    Ответ написан
    4 комментария