Valentin Barbolin

### Настройка MikroTik1

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100

### Настройка MikroTik2

# Создание нового моста
/interface bridge
add name=bridge1 protocol-mode=none

# Добавление портов в новый мост
/interface bridge port
add bridge=bridge1 interface=ether1 # порт интернет
add bridge=bridge1 interface=ether2 # порт ПК

# Настройка VLAN
/interface bridge vlan
add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2

# Активация VLAN фильтрации
/interface bridge
set bridge1 vlan-filtering=yes

# Установка PVID для access порта
/interface bridge port
set [find interface=ether2] pvid=100


Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.

Настроить на сервере NAT, клиенты будут образаться на определенный порт сервера а он будет перенаправлять запрос на linux.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 1.1.1.1:80
iptables -t nat -A POSTROUTING -o eth0 -p tcp -d 1.1.1.1 --dport 80 -j MASQUERADE

# Включить форвард
echo 1 > /proc/sys/net/ipv4/ip_forward

где 1.1.1.1 адрес linux сервера

сертификата компьютера выданный CA ,после ответ клиенту на запрос учетных данных.

Проверить сертификат потом дополнительно проверить учетку пользователя? - типа двухэтапная авторизация? - так не работает, возможно на freeradius можно наколхозить, но это избыточно.

Как я сделал у себя.
Есть домен, центр сертификации (CA), ПК автоматические получают сертификат от CA и груповой политикой профиль конфигурации для WIFI. На wifi можна авторизоваться по сертификату или по логин-паролю.

Что получается. Доменные ПК автоматически подключаются к wifi еще до входа пользователя на ПК и попадают в свой VLAN. Личные ПК и сматфоны (BYOD) подключаются по логин-паролю и попадают в свой VLAN который не имеет полного доступа к локальной сети, а только к избранным ресурсам.

На личные ПК я сертификаты для WIFI не ставлю. Но если такая потребность появится, то для BYOD я сделают отдельные сертификат и политики ибо личные ПК с ломаным софтом и вирусами где каждый админ мне в локальной сети не нужны.

apt-get install -y wireguard-tools wg-quick

Найди 7 отличий

Подними прокси, запрети выход в интернет через NAT. Если есть домен, то можно настроить прокси прозрачно, для исключений делаем правила NAT и в таком случае ты уже знаешь кому и зачем ты разрешаешь NAT.

https://habr.com/ru/companies/avanpost/articles/498304/

Создай кастомный контекст (например from-internal-disa) в /etc/asterisk/extensions_custom.conf

[from-internal-disa]
exten => 1000,1,HangUp() ;; Или любое другое действие, например Playback(privacy-blocked)

exten => _XXXX,1,Goto(${EXTEN}@from-internal)

Определи этот контекст (from-internal-disa) в настройках ivr->disa

https://github.com/mitchellkrogza/nginx-ultimate-b...

Вполне возможно, надо включить DNAT на сервере что бы все входящие подключения пересылались на роутер.

Но я б сделал по другому. Провайдера подключить в роутер, сервер поставить за роутером. На DHCP роутера в качестве GW указать сервер, если роутер так не умеет, то отключить на нем DHCP и настроить DHCP на сервере. В такой схеме на сервере достаточно одного сетевого интерфейса.

В таком варианте, все запросы от клиента приходят на сервер, маршрутизируются, что надо в VPN остальное на роутер.

есть в локалке некоторое количество айпишников

Если DHCP то добавить в резервацию что бы адреса не менялись.

Создаем address-list из потерпевших

/ip firewall address-list
add list=allowed_ips address=192.168.1.100
add list=allowed_ips address=192.168.1.101

Добавляем правила в firewall

# Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
/ip firewall filter
add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"

# Block all other internet access for addresses in the 'allowed_ips' list
add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"

## FreePBX
Go to Connectivity > Trunks, and create a new SIP (chan_sip) trunk.
General Settings
• Trunk Name: AsteriskSIPTrunk
Outgoing Settings
• Trunk Name: AsteriskSIPTrunk
• Peer Details:

host=<Asterisk_IP_ADDRESS>
port=<PORT>
type=peer
qualify=yes
disallow=all
allow=alaw
dtmfmode=rfc2833
insecure=port,invite
context=from-freepbx

Incoming Settings
Leave this section blank unless you need specific inbound configurations.

Registration
Leave this section empty because no registration is required when using IP-based authentication.

## Asterisk
Edit sip.conf

[freepbx_trunk]
type=peer
host=<FreePBX_IP_ADDRESS>
port=<PORT>
qualify=yes
disallow=all
allow=alaw
dtmfmode=rfc2833
insecure=port,invite
context=from-freepbx

поднимает туннель ipsec с cisco

Интересно какой IPSEC, т.к. не все туннели разрешают динамически менять IP.

По классике поднимают два туннеля одновременно, а для переключения используют OSPF.

В macOS можно штатно включить переключение между двумя раскладками (USA + 1) через CapsLock

В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
{$NET.IF.IFNAME.MATCHES} = ether1

если надо два интерфейсайса
{$NET.IF.IFNAME.MATCHES} = ether1|ether2