Valentin Barbolin

https://i12bretro.github.io/tutorials/0295.html

VLAN это не только возможно разделить большие сети.
В обычной жизни 30+15+15=60 устройств это не много для офиса и администраторы редко заморачиваются vlan, т.к. не всегда есть возможно купить коммутаторы которые умеют работать с VLAN.

Но для курсовой можно выделить такие плюсы использования vlan
1. Безопасность. Хорошим тоном является выносить такие устройства как камер, телефоны, принтера, сервера в отдельную сеть (vlan) и настраивать ограниченный доступ. Что позволяет оградить потенциально любопытных пользователей, злоумышленников, зараженные ПК от возможности скомпрометировать сеть предприятия.
2. Qos. Разделение на vlan позволяет настроить приоритет трафика в этом vlan, что может быть актуально для VoIP трафика.
3. Сервера. Это так же связано с безопасность, часто сервера имеют публикацию, что потенциально открывает возможность взлома данного сервера из мира. Для повышения безопасности, сервера с публикацией необходимо размещать в отдельном VLAN так называемая зона DMZ, у которой нет или есть ограниченный доступ в локальную сеть. Так же использование одной сети открывает возможности для использования атак по типу MITM.
4. Диагностика. Гораздо проще найти виновника пакостей когда сеть сегментирована на VLAN. Например, если сервера и ПК будет в одной сети, то какакой-то пользователь назначит на свой ПК IP аналогичный серверу и все устройства в сети будут иметь проблемы с доступом к этому серверу.
5. Так же WIFI стоит разделять минимум на два VLAN, гостевой и рабочий. Гостевой соответственно не должен иметь доступа к внутренней сети. Рабочий должен иметь ограниченный доступ т.к. в него может подключаться устройства BYOD которые покидают компанию и могут потенциально нести(принести) угрозу.
6. VPN. Разделение на VLAN упрощает построение VPN сетей при маштабировании компании или предоставлении сотрудникам доступа из вне посредствам VPN.

После поднятия VPN на Cisco Any Connect на VPS появляется сетевой интерфейс с IP ?

Все достаточно стандартно
1. На HOST PC весь трафик завернуть в тунель или только сети которые надо.
Так же надо что-то решить с DNS 20.20.20.20, тут
- либо все запросы на него заворачивать
- либо настроить политику NRPT на windows
- либо использовать VPN (openVPN, ZeroTier) которые умеет разделять DNS запросы на основании домена
- либо поднять на VPS сервер DNS типа unbound и на нем настроить правила пересылки, соответственно все свои запросы заворачивать на этот DNS

2. На VPS включить форвард и маскарад.
echo 1 > /proc/sys/net/ipv4/ip_forward # включаем форвард
iptables -I FORWARD -i wg0 -j ACCEPT # разрешаем все что приходит c wg0 интерфейс
iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE # натим все что приходит с wg0 и уходит в тунель Cisco, тут вместо tun0 yказать интерфейс который светить в системе VPS после поднятия туннеля на Cisco.

Несовместимые стандарты, данный микротик поддерживает Passive POE, а cisco надо 802.3af.

Есть модели микротика которые умеют 802.3af, но к ним нужен блок питания на 48В, которого обычно нет в комплекте.

docker run --restart unless-stopped -p 5001:5050 -d --name api --network nginx-proxy-man projsharp-api:2023_04_02__19_52_17

Зачем ты порт вытаскиваешь, если все равно подключаешь его в одну сеть nginx-proxy-man, -p можно убрать.

Поправить nginx конфиг

 location /api/ {
                proxy_pass              http://api:5050/api/;
    }

Бот не может создавать группы и приглашать в них участников, для этого есть библиотека pyrogram которая работает как клиент телеграмма.

https://docs.pyrogram.org/telegram/functions/messa...

Что подразумевается под доступом? Доступ из мира? Поставь на оба ПК VPN zerotier и подключайся откуда хочешь.

никогда не имел дела с выделенными серверами,

Тебе точно выделеный железный сервер дают, а не виртуальный. Потому как с виртуальным у тебя получиться вложенная виртуализация. Windows VM уже не запустяться.

Тут два+1 варианта
1) Белый IP закрепить за ProxMox, на нем настроить NAT и форвард портов. Получиться так же как у тебя сейчас.
2) Поднять на ProxMox одну ВМ которая будет в роли маршрутизатора и ей отдать белый IP и NAT, тут придется поморочиться с маршрутами, что бы зайти на туже WEB ProxMox. Так же геморой с доступом, пока эта ВМ выключена у тебя нет доступа к ProxMox, разве что хостер предоставляет KVM.

+1 я бы перевел все на докер если нет необходимости в windows VM.

Все правильно написал Виктор, это в первую очередь коммутатор, он без проблем справляется с L3 уровнем, но NAT это не его задача про VPN я вообще молчу.

Да, на нем есть такой функционал как NAT, но этого хватит от силы для нормальной работы 5-10 пользователей, но точно не 70.

Даже mikrotik hap ac2 справиться лучше чем CRS317.
Я бы посоветовал 4011 или хотябы ax2.

Строй по класике три уровня, L3 и NAT должны делать разные устройства
- роутер
- l3 коммутатор
- l2 коммутатор

Берешь, один коммутатор, возлогаешь на него роль l3, все остальные L2. На l3 настраиваешь маршрутизацию между сетями и firewall по надобности, на нем делаешь маршрут defaul gw на роутер. На роутере настраиваешь правила для мутивана.

192.168.0.0/16 не использую эту подсеть для локальной сети, бери адреса из 10.0.0.0/8

#!/bin/bash

menu[0]='1.Текущий пользователь'
menu[1]='2.Данные о каталоге'
menu[2]='3.Запущенные процессы'
menu[3]='4.Выход'

menu () {
    for i in ${menu[@]}; do
        echo "$i"
    done

    read -p "Выберите номер процесса:" choice
        if (( choice == 1 )); then
            echo $(users)
        elif (( choice == 2 )); then
            echo $(ls)
        elif (( choice == 3 )); then
            echo $(ps)
        elif (( choice == 4 )); then
            exit
    fi
}

while true
do
    menu
done

Предписано, проверить конектор батареи. С такой проблемой скорее всего надо итти в сервис.

указать внешний дублирующий номер - "внешний номер"

В настройках exten можно укзать "Мобильный номер". Он никак не участвует во входящих звонках.

Есть ещё идея создать outbound route для определенного внутреннего номера что бы станция звонила на этот же номер и на дополнительный- это возможно?

Что такое станция? Перефразируй вопрос, не понятно что имеется в виду.

Общий подход такой.
Для входящих
- делаем очередь, в нее добавляем внутриние номера
- inbound router заворачиваем входящие звонки в эту очередь

Для исходящих
- создаем outbound route
- в нем создаем шаблон номера (городского, мобильного)
- в него же добавляем транки
- так же в нем можно ограничить какие внутренние номера могут пользоваться этим маршрутом (outbound route)

Тоже самое, ни разу не пригодился. Было пару пробитых серверов, ради интереса гонял на них разные антивирусы и скрипты, пытался найти трояна или зараженный файл - все глухо.

Для себя сделал вывод, что это бестолковщина для linux сервера.

По логике, антивирус в основном сканирует скачиваемые пользователем файлы и блокирует потенциально опасные действия пользователей. Но непосредственно на самом сервере пользователь не работает, а только запрашивает с него данные, а следовательно никаких привилегий на сервере не имеет.

Вот, что реально помогает, это правильно настроенный firewall и fail2ban. Так же хорошей практикой является запускать процессы которые слушают порты от безправных учеток. В Fail2ban уже заложено множество шаблонов под разные сервисы, их достаточно просто включить.

Универсальной статьи нет, так как настройка зависит от ПО которое крутиться на сервере.
Есть общие рекомендации:
- настроить firewall, открывать только нужные порты
- для SSH использовать ключи, изменить порт (например 2324), ограничить доступ с определенных IP
- запретить вход от root на сервер по паролю
- не использовать имена учетных записей которые попадают в перебор (типа admin, super, cisco и т.д.)
- запускать сервисы от непривилегированных учетных записей
- настроить бекапы
- настроить контроль версий etckeeper
- настроить fail2ban

Следующий уровень паранои, это уже решения по типу Suricata IDS-IPS

import dns.resolver

answers = dns.resolver.query('4pda.to.', 'NS')

for rdata in answers:
 print(rdata)