Задать вопрос
  • Как настроить маскарад LAN через определенный IP?

    @dronmaxman
    VoIP Administrator
    Pref. Source – задается IP адрес, от которого будет отправлен пакет.
    Ответ написан
  • Как запретить доступ к веб-интерфейсу роутера по порту 80 через WAN?

    @dronmaxman
    VoIP Administrator
    Тогда шить, keenetic очень стабильная и функциональная прошивка на этот роутер, рекомендую.
    https://4pda.to/forum/index.php?showtopic=988197
    Ответ написан
    Комментировать
  • Из 6 сайтов блокируются только 2 сайта?

    @dronmaxman
    VoIP Administrator
    Advanced-> Dst.Address List: gpt


    Ты не можеш заблокировать ресурс который находиться за CDN используя подход блокировки по dst.address.

    В твоем случае единственный способ это блокировать по DNS. Чтобы люди не обходили DNS блокировки так же надо заблокировать DOH.

    ## Включаем DNS на микротике
    /ip dns
    set allow-remote-requests=yes
    
    
    ## Создаем записи для gpt домена
    /ip dns static
    add name="openai.com" address=127.0.0.1
    add name="chat.openai.com" address=127.0.0.1
    add name="platform.openai.com" address=127.0.0.1
    add name="auth0.openai.com" address=127.0.0.1
    add name="cdn.openai.com" address=127.0.0.1
    add name="api.openai.com" address=127.0.0.1
    add name="status.openai.com" address=127.0.0.1
    add name="auth.openai.com" address=127.0.0.1
    add name="help.openai.com" address=127.0.0.1
    add name="chatgpt.com" address=127.0.0.1
    add name="sora.com" address=127.0.0.1
    add name="android.chat.openai.com" address=127.0.0.1
    add name="operator.chatgpt.com" address=127.0.0.1
    add name="ab.chatgpt.com" address=127.0.0.1
    
    
    ## Перехватываем запросы DNS от клиентов
    /ip firewall nat
    add chain=dstnat protocol=udp dst-port=53 action=redirect to-ports=53 comment="Redirect all DNS to MikroTik"
    add chain=dstnat protocol=tcp dst-port=53 action=redirect to-ports=53 comment="Redirect TCP DNS to MikroTik"
    
    
    ## Создаем записи для популярных DOH доменов
    /ip dns static
    add name="dns.google" address=127.0.0.1
    add name="cloudflare-dns.com" address=127.0.0.1
    add name="mozilla.cloudflare-dns.com" address=127.0.0.1
    add name="dns.quad9.net" address=127.0.0.1
    add name="doh.opendns.com" address=127.0.0.1
    add name="dns.adguard.com" address=127.0.0.1
    
    ## Создаем адрес лист с популярными DOH доменами
    /ip firewall address-list
    add list=doh-block address=1.1.1.1 comment="Cloudflare"
    add list=doh-block address=1.0.0.1
    add list=doh-block address=8.8.8.8 comment="Google"
    add list=doh-block address=8.8.4.4
    add list=doh-block address=9.9.9.9 comment="Quad9"
    add list=doh-block address=149.112.112.112
    add list=doh-block address=94.140.14.14 comment="AdGuard"
    add list=doh-block address=94.140.15.15
    
    ## Блокируем DOH по dst address
    /ip firewall filter
    add action=drop chain=forward dst-address-list=doh-block protocol=tcp dst-port=443 comment="Block DoH Providers"
    
    ## Блокируем DOH по SNI, не идеально но пуcть будет
    /ip firewall layer7-protocol
    add name=doh-https pattern="(dns\\.google|cloudflare-dns\\.com|dns\\.adguard\\.com|doh\\.opendns\\.com)"
    
    /ip firewall filter
    add action=drop chain=forward layer7-protocol=doh-https protocol=tcp dst-port=443 comment="Drop DoH via L7"
    Ответ написан
    3 комментария
  • Влияет ли регион активации mac на что-то?

    @dronmaxman
    VoIP Administrator
    В Apple регион будет влиять на софт который тебе доступен в маркете. Помоему при создании акаунта ты можешь указать любой регион, а вот если захочеш поменять то они потребую подтянуть банковскую карту региона на который меняешь. Так же если захочешь купить софт в AppStore то попросят подвязать карту указанного региона.

    Если акаунт в iCloud уже есть с привязаной картой то пофиг.
    Ответ написан
  • Как пробросить vlan через 2 mikrotik из одной lan в другую на отдельный порт?

    @dronmaxman
    VoIP Administrator
    ### Настройка MikroTik1
    
    # Создание нового моста
    /interface bridge
    add name=bridge1 protocol-mode=none
    
    # Добавление портов в новый мост
    /interface bridge port
    add bridge=bridge1 interface=ether1 # порт интернет
    add bridge=bridge1 interface=ether2 # порт ПК
    
    # Настройка VLAN
    /interface bridge vlan
    add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2
    
    # Активация VLAN фильтрации
    /interface bridge
    set bridge1 vlan-filtering=yes
    
    # Установка PVID для access порта
    /interface bridge port
    set [find interface=ether2] pvid=100
    
    ### Настройка MikroTik2
    
    # Создание нового моста
    /interface bridge
    add name=bridge1 protocol-mode=none
    
    # Добавление портов в новый мост
    /interface bridge port
    add bridge=bridge1 interface=ether1 # порт интернет
    add bridge=bridge1 interface=ether2 # порт ПК
    
    # Настройка VLAN
    /interface bridge vlan
    add bridge=bridge1 vlan-ids=100 tagged=ether1,bridge1 untagged=ether2
    
    # Активация VLAN фильтрации
    /interface bridge
    set bridge1 vlan-filtering=yes
    
    # Установка PVID для access порта
    /interface bridge port
    set [find interface=ether2] pvid=100
    
    
    Так же надо перенести IP адрес интернет подключения с ether1 на bridge1 и добавить bridge1 
    в интерфейс список WAN. В моем примере vlan 100, у тебя должен быть другой. 
    В процессе у тебя может отвалится интернет, так что буть акуратнее и используй safe mode.
    Ответ написан
  • Как сделать авто дополнение ввода как в PowerShell?

    @dronmaxman
    VoIP Administrator
    В Windows Terminal есть удобное авто дополнение в процессе ввода на основе


    Как думаешь, где windows этому научился?

    https://github.com/zsh-users/zsh-autosuggestions
    Ответ написан
    1 комментарий
  • Как настроить авторизацию в сеть WIFI, в два этапа, проверка сертификата компьютера, после успеха, запрос на учетные данные, при помощи RADIUS?

    @dronmaxman
    VoIP Administrator
    сертификата компьютера выданный CA ,после ответ клиенту на запрос учетных данных.

    Проверить сертификат потом дополнительно проверить учетку пользователя? - типа двухэтапная авторизация? - так не работает, возможно на freeradius можно наколхозить, но это избыточно.

    Как я сделал у себя.
    Есть домен, центр сертификации (CA), ПК автоматические получают сертификат от CA и груповой политикой профиль конфигурации для WIFI. На wifi можна авторизоваться по сертификату или по логин-паролю.

    Что получается. Доменные ПК автоматически подключаются к wifi еще до входа пользователя на ПК и попадают в свой VLAN. Личные ПК и сматфоны (BYOD) подключаются по логин-паролю и попадают в свой VLAN который не имеет полного доступа к локальной сети, а только к избранным ресурсам.

    На личные ПК я сертификаты для WIFI не ставлю. Но если такая потребность появится, то для BYOD я сделают отдельные сертификат и политики ибо личные ПК с ломаным софтом и вирусами где каждый админ мне в локальной сети не нужны.
    Ответ написан
    5 комментариев
  • В чем ошибка при разворачивании туннеля через WireGuard в terraform на Yandex Cloud (ALT Linux)?

    @dronmaxman
    VoIP Administrator
    apt-get install -y wireguard-tools wg-quick

    Найди 7 отличий
    Ответ написан
    Комментировать
  • Как составить SQLite Dockerfile?

    @dronmaxman
    VoIP Administrator
    FROM alpine
    RUN apk add --no-cache sqlite
    WORKDIR /db
    COPY . .
    RUN sqlite3 /db/example.db "CREATE TABLE users (id INTEGER PRIMARY KEY, name TEXT NOT NULL, age INTEGER);"
    CMD ["sqlite3", "/db/example.db"]
    Ответ написан
    Комментировать
  • Как обновить ПО mikrotik hap ax3?

    @dronmaxman
    VoIP Administrator
    out of memory - не хватает места, причины
    - установлены доп пакеты
    - что-то левое лежит на флешке
    - флешка умирает
    - у некоторых встречается такой баг на 7 прошивке.

    Решение
    - сбросить к заводским и попробовать еще раз обновить
    - обновить через Netinstall
    Ответ написан
    Комментировать
  • Как авторизовывать сотрудников компании на wifi?

    @dronmaxman
    VoIP Administrator
    Если есть домен, то EAP и Radius.

    Если нет домен и не хочется поднимать радиус, то на микроте можна для каждого указать свой уникальный PSK для доступа к wifi.
    /interface wireless access-list
    add comment=Jayden mac-address=5C:1D:D9:C3:C6:15 private-pre-shared-key=supersecretpasswordexample vlan-mode=no-tag
    Ответ написан
    8 комментариев
  • Что такое личный VPN у Apple?

    @dronmaxman
    VoIP Administrator
    https://apple.stackexchange.com/questions/180281/w.... Отсюда выходит, что личный VPN безопаснее?

    Там же все написано.

    iPhone поддерживает несколько протоколов VPN из коробки, эти подключения считаются как "VPN устройства".
    Если ты устанавливаеш VPN из маркета, то он будет добавлен в личный VPN.
    Это всего лиш особенность реализации на iOS.

    А какой VPN безопаснее определяется способом шифрования.
    Ответ написан
    Комментировать
  • Как ограничить доступа во внешнюю сеть на Mikrotik?

    @dronmaxman
    VoIP Administrator
    есть в локалке некоторое количество айпишников

    Если DHCP то добавить в резервацию что бы адреса не менялись.

    Создаем address-list из потерпевших
    /ip firewall address-list
    add list=allowed_ips address=192.168.1.100
    add list=allowed_ips address=192.168.1.101


    Добавляем правила в firewall
    # Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
    /ip firewall filter
    add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"
    
    # Block all other internet access for addresses in the 'allowed_ips' list
    add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"
    Ответ написан
    Комментировать
  • Как реализовать автоматическое переключения туннеля fortigate?

    @dronmaxman
    VoIP Administrator
    поднимает туннель ipsec с cisco

    Интересно какой IPSEC, т.к. не все туннели разрешают динамически менять IP.

    По классике поднимают два туннеля одновременно, а для переключения используют OSPF.
    Ответ написан
    Комментировать
  • Как настроить включение языка раскладки по одиночному нажатию shift?

    @dronmaxman
    VoIP Administrator
    В macOS можно штатно включить переключение между двумя раскладками (USA + 1) через CapsLock
    Ответ написан
    2 комментария
  • Как настроить macros в zabbix-е?

    @dronmaxman
    VoIP Administrator
    В новых шаблонах для zabbix уже реализована фильтрация в discovery ruls через макросы. Заходим в нужный discovery ruls -> filter и смотрим какие фильтры используются, можем так же выполнить Test этого rule что бы посмотреть какие значения какой переменной соответствуют.

    Например на уровне хоста можно переопределить макрос (НЕ НА УРОВНЕ ТЕМПЛЕЙТА!!!!)
    {$NET.IF.IFNAME.MATCHES} = ether1

    если надо два интерфейсайса
    {$NET.IF.IFNAME.MATCHES} = ether1|ether2
    Ответ написан
    Комментировать
  • Как можно сделать два Ethernet подключения?

    @dronmaxman
    VoIP Administrator
    Можно указать второй IP на интерфейсе и прописать маршрут, для DNS настроить nrpt policy.
    Ответ написан
    4 комментария
  • Как сделать раздельное туннелирование VPN через WireGuard?

    @dronmaxman
    VoIP Administrator
    Настроить прокси на виртуальном сервере, завернуть трафик прокси в тунель, и настроить прокси в браузере и дискорде.

    Кто-то даже уже придумал как сразу это скрестить)
    https://github.com/pufferffish/wireproxy
    Ответ написан
    Комментировать
  • Как настроить vpn на роутере для определённых доменных имён?

    @dronmaxman
    VoIP Administrator
    Ответ написан
    Комментировать