В чем может быть причина странного поведения NAT в Debian 11?

> -A POSTROUTING -s 172.17.210.211/32 -j SNAT --to-source x.x.x.211
Возможно есть какое-то вышестоящее правило NAT.

Возможно ли или как просмотреть журнал посещений сайтов пользователями WireGuard?

Из коробки нету, надо отдельное решение. Как минимум можно настроить DNS который будет показывать к каким доменам обращался пользователь.

Telegram webhook работает не параллельно?

> webhook работает в режиме очереди?
нет
> Можно ли как-то это обойти, без переключения на getUpdates, в БД и т.д.?
Написать асинхронный код.

Как реализовать VLAN в проектируемой сети?

если в одном кабинете может быть 2 компьютера и 1 ноутбук

Надо исходить из т.з. Руководство говорит, что у нас есть ноуты и смартфоны, мы их носим в переговорку, к директору на собрание поэтому нам нужен WIFI.

Предположим что ноутбук подключен по WIFI.
- ноутбук это мобильное устройство, так же это может быть личное устройство пользователя (BYOD) оно может перемещаться по офису и возможно покидать периметр компании, соответственно есть риск принести какой-то вирус. Соответственно такие устройства должны быть в отдельной сети за firewall.

Получаем
- компы подключены проводом и находятся в одной VLAN
- ноут подключен по WIFI и находиться в другом VLAN

Как сделать VLAN в корпоративной сети?

Valentin Barbolin,

3. Поправить DNS зону и DHCP (если они используются)

Если DHCP не на микротике, а на DC, то на микротике надо настроить DHCP Relay.

Как сделать VLAN в корпоративной сети?

vitz84,
1. Тут же и кроется твоя проблема. Конечные устройства подключены в один тупой коммутатор на котором ты не можешь управлять VLAN. Если принтер и ПК подключены в один тупой коммутатор, то они будут в одной сети. С данным оборудованием ты можешь разделить только по схеме
один тупой коммутатор - один VLAN
2) да
5) c vlan не будет, но стоит учитывать что бы вендоры понимали хоть какой-то общий протокол STP (MSTP, RSTP, PVSTP).
6) Некоторые тупые коммутаторы могут (надо проверить) пропускать тегированный трафик, то есть такой трафик может пройти через него транзитом.
Микротик - тупой коммутатор - умный коммутатор

Коммутатор 8 портов D-Link DGS-1008MP - падает скорость до 30мб?

andrushadasd, Нормальная скорость. А сколько ты рассчитывал получить у тебя клиент может по wifi больше протащить?

Коммутатор 8 портов D-Link DGS-1008MP - падает скорость до 30мб?

> до 30 мб
Это 30Mbit/s или 30MB/s ?

Как настроить переадресацию входящих вызовов на grandstream gpx1625?

Deorgario, В разрезе телефонии так говорить не корректно, внешний номер закрепляется за АТС, она регистрируется у провайдера, а потом переводит входящий звонок на внутренний номер.

Ответ тотже: перевод звонка настраивается на АТС (asterisk).

Как настроить переадресацию входящих вызовов на grandstream gpx1625?

Deorgario,

у которого такой же номер закрепленный за ним

Такой же внутренний номер?

Настроить так, чтобы звонок шел определенному человеку , а если он не взял трубку , то переадресовывался звонок второму

Это на АТС надо настраивать.

Как настроить переадресацию входящих вызовов на grandstream gpx1625?

Что бы по нажатию определенной кнопки на телефоне все звонки на первый телефон перенаправлялись на второй при этом первый телефон полностью переставал звонить?

Почему не получается достучаться до сервера?

Павел Мазикин, ufw это надстройка над iptables. Команда iptables-save должна работать.

Почему не получается достучаться до сервера?

Павел Мазикин, Это iptables-save ?

Почему не получается достучаться до сервера?

Тогда показывай iptables-save.

Как работает WAF с SSL-сертификатом?

robotkop, Сертификат нужен нужен для HTTPS, без сертификата будет только HTTP. Чаще всего в docker-compose предлагаю 3 контейнера WEB - WAF - APP. Сертификат ставят на WEB (Traefik, nginx, apache, caddy), он уже проксирует запрос на WAF без шифрования, WAF анализирует и проксирует на APP.

Как правильно открыть доступ к ресурсам в локальной сети пользователям через VPN?

WhiteNinja, От того что бы публикуешь конфиги легче не становить. Надо диагностировать.

Нужно продиагностировать после поднятия туннеля
1. Запустить ping на git.example.ru
2. Запустить tracert -d git.example.ru
3. Посмотреть маршруты netstat -nr
4. Проверить что на сервере разрешел форвард cat /proc/sys/net/ipv4/ip_forward
После поднятия тунеля

Как добавлять пользователя в телеграмм канал по номеру телефона?

Библиотека pyrogram умеет добавлять пользователя в группу если сам пользователь не ограничил эту возможность в настройках приватности.

Как работает WAF с SSL-сертификатом?

Что бы анализировать трафик его надо расшифровать)

Предположим мы используем docker, у нас два контейнера WAF и APP. На WAF установлен сертификат для работы HTTPS, сам WAF проксирует запросы на APP уже без шифрования. Логично, что в таком случае WAF расшифровывает весь трафик и может его анализировать.

Как правильно открыть доступ к ресурсам в локальной сети пользователям через VPN?

WhiteNinja,

прокидывает следующее = git.example.ru

DNS скорее всего ходит напрямую.

route XXX.XXX.XXX.XXX 255.255.255.255 vpn_gateway

Эта команда на клиенту должна прописать маршрут через VPN. Это можно проверить с помощью netstat -nr

Нужно продиагностировать после поднятия туннеля
1. Запустить ping на git.example.ru
2. Запустить tracert -d git.example.ru
3. Проверить что на сервере разрешел форвард cat /proc/sys/net/ipv4/ip_forward
После поднятия тунеля

Как правильно открыть доступ к ресурсам в локальной сети пользователям через VPN?

WhiteNinja,

, но там ничего нового не добавилось(

Да, так должно быть, конфигурацию пушиться с сервера, не надо каждый раз обновлять конфиг клиента.

git.example.ru - на какой DNS оно резолвиться?

Ты хочешь заходить на сервер по DNS имени git.example.ru. На каком DNS сервере клиент должен отрезолвить (превратить git.example.ru в IP) это имя?