Valentin Barbolin

ты вот так сделал?
https://forum.mikrotik.com/viewtopic.php?t=171665

Есть способ на основании SNI, но он не работает если используется TLS1.3 где скрыт SNI и это работает только с http трафиком. Если это чистый TCP то не отработает.

Тут нужен прокси или вытягивать по номеру AS целые сети или страны и добавлять их в марштуры.
Другого способа нет.

Когда в firewall ты указываешь в address доменное имя, мироктик в тот же момент переворачивает его в IP, т.к. firewall не может получить доменное имя из TCP пакеты от ПК (если это не TLS, SNI выше я уже описал почему это не всегда работает). Соответственно твой вариант тоже работает на 50% т.к. у некоторых сайтов может быть 2 и более IP или это вообще может быть CDN, и если IP который получил mikrotik клиент разные то твое правило не отработает.

Если прикинуть, то можно попробовать реализовать следующую схему. Написать скрипт который будет мониторить запросы DNS на микротике и если они попадают под FQDN шаблон то динамически создавать маршрут, но я не встречал такой реализации и не могу утверждать что такое возможно.

Можно попробовать установить на mikrotik+docker+pihole. Перенаправить на него все DNS запросы, на mikrotik запретить все DNS в мир, в том числе DOH и DOT.

Получишь возможно блокировать ресурсы по DNS, так же будешь видеть статистику по запрошенным доменным именам, но не будет статистики по количеству скачанных данных.

Две подсети по /24 для AS не надо, достаточно одной.

cloudflare это CDN который может закрыть вопрос с публикацией, в платном тарифе есть туннели которые позволяют отказаться от белых IP на серверах. Достаточно зарезервировать выход в интернет. На каждый сервер устанавливает VPN клиент от CF. В консоли CF настраивается проксирование на уже серые IP. При этом тебе уже не важно сколько у тебя белых IP это не твоя головная боль.

Запустить докер на другом порту (8443), а на nginx настроить проксирование на этот порт.

Поставить AnyDesk на orange pi и будить через него.

1. Примерно так
- сервера
- рабочие ПК
- телефоны
- принтеры
- камеры
- wifi
- wifi гостевой

2. 10.0.0.0/8

3. Поправить DNS зону и DHCP (если они используются)

4. Надо планировать. Сложно будет там где в один тупой коммутатор будут подключены устройства которые должны быть в разных VLAN.

5. Да

6. Главное что бы между ними можно было скоммутировать VLAN как они подключены физически не особо важно.

Если коммутатор поддерживает 802.3af, то можно любые порты соединять, замыкания не будет. Чисто по логике, правильно будет использовать порты UpLink для соединения коммутаторов.

Наверное вот это

ldap_default_bind_dn = svc-admin-lab@DOMAIN.RU

либо так, во втором варианте надо указать полный путь к учетке

ldap_default_bind_dn = CN=svc-admin-lab,OU=Users,DC=DOMAIN,DC=RU

В данный момент на m1 можно запустить только Asahi Linux.

сначала расшифровывает файл "sign.sha256" публичным ключем

Публичный ключь используется для шифрования. Приватный ключь используется для расшифровки и создания подписи.

openssl dgst -sha256 -verify public.pem -signature sign.sha256 plaintext.txt

Для уточнения, процесс проверки цифровой подписи с использованием публичного ключа состоит из следующих шагов:

1. Получатель вычисляет хеш-значение документа, используя хеш-функцию, например, SHA-256, и получает хеш (hash_document).
2. Получатель использует публичный ключ отправителя для применения определенной криптографической операции к цифровой подписи, не декодируя или расшифровывая ее. Обычно используется операция, такая как RSA-верификация подписи.
3. В результате применения операции получается определенное значение, которое сравнивается с хеш-значением документа (hash_document). Если значения совпадают, то подпись считается верной.

Важно понимать, что публичный ключ используется для верификации, а не для расшифровки подписи.

Пройдись по списку и поставь единую рабочую группу ( Re-add Unshown Computers to Workgroup).
https://www.minitool.com/news/windows-11-workgroup...

VPN ZeroTier или tailscale не требует белого IP и проброса портов, на самом ПК настрой RDP.

Сложно будет реализовать, но можно попробовать использовать EoIP или VxLan.

В офисе за NAT есть железный Mikrotik

EoIP или VxLan требуют белый IP обеих сторон, поэтому придется использовать эти протоколы поверх VPN, например WG или IPsec. Что в свою очередь приведет к уменьшению MTU и может вылезти где-то боком.

Я бы не отбрасывал вариант с пробросом портов, он проще и стабильнее.