Задать вопрос
Ответы пользователя по тегу Компьютерные сети
  • Есть ли смысл делить сеть на подсети, если она будет поделена на vlan-ы?

    @dronmaxman
    VoIP Administrator
    VLAN это не только возможно разделить большие сети.
    В обычной жизни 30+15+15=60 устройств это не много для офиса и администраторы редко заморачиваются vlan, т.к. не всегда есть возможно купить коммутаторы которые умеют работать с VLAN.

    Но для курсовой можно выделить такие плюсы использования vlan
    1. Безопасность. Хорошим тоном является выносить такие устройства как камер, телефоны, принтера, сервера в отдельную сеть (vlan) и настраивать ограниченный доступ. Что позволяет оградить потенциально любопытных пользователей, злоумышленников, зараженные ПК от возможности скомпрометировать сеть предприятия.
    2. Qos. Разделение на vlan позволяет настроить приоритет трафика в этом vlan, что может быть актуально для VoIP трафика.
    3. Сервера. Это так же связано с безопасность, часто сервера имеют публикацию, что потенциально открывает возможность взлома данного сервера из мира. Для повышения безопасности, сервера с публикацией необходимо размещать в отдельном VLAN так называемая зона DMZ, у которой нет или есть ограниченный доступ в локальную сеть. Так же использование одной сети открывает возможности для использования атак по типу MITM.
    4. Диагностика. Гораздо проще найти виновника пакостей когда сеть сегментирована на VLAN. Например, если сервера и ПК будет в одной сети, то какакой-то пользователь назначит на свой ПК IP аналогичный серверу и все устройства в сети будут иметь проблемы с доступом к этому серверу.
    5. Так же WIFI стоит разделять минимум на два VLAN, гостевой и рабочий. Гостевой соответственно не должен иметь доступа к внутренней сети. Рабочий должен иметь ограниченный доступ т.к. в него может подключаться устройства BYOD которые покидают компанию и могут потенциально нести(принести) угрозу.
    6. VPN. Разделение на VLAN упрощает построение VPN сетей при маштабировании компании или предоставлении сотрудникам доступа из вне посредствам VPN.
    Ответ написан
    2 комментария
  • Как проксировать траффик с Wireguard к Openconnect?

    @dronmaxman
    VoIP Administrator
    После поднятия VPN на Cisco Any Connect на VPS появляется сетевой интерфейс с IP ?

    Все достаточно стандартно
    1. На HOST PC весь трафик завернуть в тунель или только сети которые надо.
    Так же надо что-то решить с DNS 20.20.20.20, тут
    - либо все запросы на него заворачивать
    - либо настроить политику NRPT на windows
    - либо использовать VPN (openVPN, ZeroTier) которые умеет разделять DNS запросы на основании домена
    - либо поднять на VPS сервер DNS типа unbound и на нем настроить правила пересылки, соответственно все свои запросы заворачивать на этот DNS

    2. На VPS включить форвард и маскарад.
    echo 1 > /proc/sys/net/ipv4/ip_forward # включаем форвард
    iptables -I FORWARD -i wg0 -j ACCEPT # разрешаем все что приходит c wg0 интерфейс
    iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE # натим все что приходит с wg0 и уходит в тунель Cisco, тут вместо tun0 yказать интерфейс который светить в системе VPS после поднятия туннеля на Cisco.
    Ответ написан
    4 комментария
  • Как получить доступ к ipv4 через ipv6?

    @dronmaxman
    VoIP Administrator
    Что подразумевается под доступом? Доступ из мира? Поставь на оба ПК VPN zerotier и подключайся откуда хочешь.
    Ответ написан
    Комментировать
  • Как пеерехать на выдленный сервер, сменить окружение сети без NAT с proxmox?

    @dronmaxman
    VoIP Administrator
    никогда не имел дела с выделенными серверами,

    Тебе точно выделеный железный сервер дают, а не виртуальный. Потому как с виртуальным у тебя получиться вложенная виртуализация. Windows VM уже не запустяться.

    Тут два+1 варианта
    1) Белый IP закрепить за ProxMox, на нем настроить NAT и форвард портов. Получиться так же как у тебя сейчас.
    2) Поднять на ProxMox одну ВМ которая будет в роли маршрутизатора и ей отдать белый IP и NAT, тут придется поморочиться с маршрутами, что бы зайти на туже WEB ProxMox. Так же геморой с доступом, пока эта ВМ выключена у тебя нет доступа к ProxMox, разве что хостер предоставляет KVM.

    +1 я бы перевел все на докер если нет необходимости в windows VM.
    Ответ написан
  • Как правильно настроить локальную сеть и мультиван на Mikrotik?

    @dronmaxman
    VoIP Administrator
    Все правильно написал Виктор, это в первую очередь коммутатор, он без проблем справляется с L3 уровнем, но NAT это не его задача про VPN я вообще молчу.

    Да, на нем есть такой функционал как NAT, но этого хватит от силы для нормальной работы 5-10 пользователей, но точно не 70.

    Даже mikrotik hap ac2 справиться лучше чем CRS317.
    Я бы посоветовал 4011 или хотябы ax2.

    Строй по класике три уровня, L3 и NAT должны делать разные устройства
    - роутер
    - l3 коммутатор
    - l2 коммутатор

    Берешь, один коммутатор, возлогаешь на него роль l3, все остальные L2. На l3 настраиваешь маршрутизацию между сетями и firewall по надобности, на нем делаешь маршрут defaul gw на роутер. На роутере настраиваешь правила для мутивана.

    192.168.0.0/16 не использую эту подсеть для локальной сети, бери адреса из 10.0.0.0/8
    Ответ написан
    3 комментария
  • Как сделать фильтрацию сайтов по белому списку?

    @dronmaxman
    VoIP Administrator
    Mikrotik с этим плохо справиться, на сайте так же подгружаются другие ресурсы которые так же надо разрешать.
    Для этого нужен прокси, например kerio или squid.

    Есть микротики с поддержкой docker в котором можно запустить squid, возможно это твой случай.
    https://habr.com/ru/company/selectel/blog/694436/
    Ответ написан
  • Как называется устройство для объединение нескольких модемов в одну сеть?

    @dronmaxman
    VoIP Administrator
    Такие решения называются SD-WAN.

    Если грубо описать его работу, то выглядит это так.
    Есть роутер с поддержкой SD-WAN, есть сервер в облаке с хорошим интернет каналом. К роутеру подключено несколько интернет каналов, не важно каким образом, это так же могу быть модемы USB. Роутер строить через каждый интернет канала туннель в облаков и балансирует трафик между этими туннелями, так же роутер контролирует качество, стабильной работы каждого такого туннеля. Сервер собирает трафик со всех туннелей и уже пуляет в интернет.

    Да, при таком подходе можно суммировать трафик со всех интернет каналов, ограничение будет на стороне сервера, сколько он пропустит через себя.

    Как пример.
    https://5gstore.co.uk/sd-wan-pro-bonded-4g-5g-internet/
    Ответ написан
    1 комментарий
  • Перенаправление 80 http на 444 https?

    @dronmaxman
    VoIP Administrator
    > 80 порт по протоколу http перенаправить на нестандартный порт https?
    Почему бы не переложить эту роль на плечи прокси (nginx). Ставим на входе nginx, он может делать редирект с 80 на 443 и разделить трафик на одном порту на основании домена.
    webmail.domain.ru - все на почтовик
    cms.domain.ru - на сms

    Так же можно прописать дефолтный домен, все что без указания домена - сыпать сюда.

    Проблема 444 в том, что все браузеры будут ругать на недоверие к сертификату.
    Ответ написан
    8 комментариев
  • Как соединить два устройства WANами через VPN на Mikrotik?

    @dronmaxman
    VoIP Administrator
    Переключи LAN интерфейс из router to bridge mode.

    DVG 1
    wan 192.168.1.151
    gw - 192.168.1.1

    DVG 2
    wan 192.168.2.152
    gw - 192.168.2.1
    Ответ написан
    1 комментарий
  • Как пробросить 25 порт через микротик=>микротик=>почтовый сервер и обратно?

    @dronmaxman
    VoIP Administrator
    На микрот 2
    /ip route add dst-address=0.0.0.0/0 gateway=172.25.25.1 routing-mark=VPN
    /ip firewall mangle add chain=prerouting src-address=10.20.20.200 action=mark-routing new-routing-mark=VPN

    На микрот 1
    /ip firewall nat add chain=src-nat src-address=10.20.20.200 out-interface=WAN action=masquerade

    > /ip firewall nat add action=masquerade chain=srcnat dst-address=10.20.20.200 dst-port=25 protocol=tcp src-address=!10.10.0.0/24
    Вот это удалить.
    Ответ написан
    1 комментарий
  • Как на микротике управлять доступом в рамках локальной сети?

    @dronmaxman
    VoIP Administrator
    /ip firewall filter
    
    add action=accept chain=forward comment="allow connection to 198.138.1.10" src-address=198.138.1.5 dst-address=198.138.1.10 protocol=tcp dst-port=80
    add action=accept chain=forward comment="allow connection to 198.138.1.10" src-address=198.138.1.5 dst-address=198.138.1.10 protocol=tcp dst-port=443
    add action=drop chain=forward comment="drop all other connection" src-address=198.138.1.5
    Ответ написан
    3 комментария
  • Как в больших организациях присваиваются ip-адреса для всех устройств?

    @dronmaxman
    VoIP Administrator
    Разремер блока адресов ограничивается маской)

    ➜  ~ ipcalc 192.168.0.0/23
    Address:   192.168.0.0          11000000.10101000.0000000 0.00000000
    Netmask:   255.255.254.0 = 23   11111111.11111111.1111111 0.00000000
    Wildcard:  0.0.1.255            00000000.00000000.0000000 1.11111111
    =>
    Network:   192.168.0.0/23       11000000.10101000.0000000 0.00000000
    HostMin:   192.168.0.1          11000000.10101000.0000000 0.00000001
    HostMax:   192.168.1.254        11000000.10101000.0000000 1.11111110
    Broadcast: 192.168.1.255        11000000.10101000.0000000 1.11111111
    Hosts/Net: 510                   Class C, Private Internet
    
    ➜  ~ ipcalc 192.168.0.0/24
    Address:   192.168.0.0          11000000.10101000.00000000. 00000000
    Netmask:   255.255.255.0 = 24   11111111.11111111.11111111. 00000000
    Wildcard:  0.0.0.255            00000000.00000000.00000000. 11111111
    =>
    Network:   192.168.0.0/24       11000000.10101000.00000000. 00000000
    HostMin:   192.168.0.1          11000000.10101000.00000000. 00000001
    HostMax:   192.168.0.254        11000000.10101000.00000000. 11111110
    Broadcast: 192.168.0.255        11000000.10101000.00000000. 11111111
    Hosts/Net: 254                   Class C, Private Internet
    
    ➜  ~ ipcalc 192.168.0.0/25
    Address:   192.168.0.0          11000000.10101000.00000000.0 0000000
    Netmask:   255.255.255.128 = 25 11111111.11111111.11111111.1 0000000
    Wildcard:  0.0.0.127            00000000.00000000.00000000.0 1111111
    =>
    Network:   192.168.0.0/25       11000000.10101000.00000000.0 0000000
    HostMin:   192.168.0.1          11000000.10101000.00000000.0 0000001
    HostMax:   192.168.0.126        11000000.10101000.00000000.0 1111110
    Broadcast: 192.168.0.127        11000000.10101000.00000000.0 1111111
    Hosts/Net: 126                   Class C, Private Internet
    
    ➜  ~ ipcalc 10.0.0.0/8
    Address:   10.0.0.0             00001010. 00000000.00000000.00000000
    Netmask:   255.0.0.0 = 8        11111111. 00000000.00000000.00000000
    Wildcard:  0.255.255.255        00000000. 11111111.11111111.11111111
    =>
    Network:   10.0.0.0/8           00001010. 00000000.00000000.00000000
    HostMin:   10.0.0.1             00001010. 00000000.00000000.00000001
    HostMax:   10.255.255.254       00001010. 11111111.11111111.11111110
    Broadcast: 10.255.255.255       00001010. 11111111.11111111.11111111
    Hosts/Net: 16777214              Class A, Private Internet


    Есть общая рекомендация хорошо подумать прежде чем делать сети более /24, т.к. есть определенные проблемы с которыми можно столкнуться, но никто не запрещает так делать. В больших организация обычно сегментируют сеть на блоки по /24 и настраивают между ними маршрутизацию.
    Ответ написан
  • Безопасен ли домашний проброс портов?

    @dronmaxman
    VoIP Administrator
    Если тебе необходимо пробросить порт для тестирования - используй ngrok.
    Если на постоянной основе, то арендуй VPS.

    П.С. Безопасность должна быть бзопасной.
    Ответ написан
    Комментировать
  • Как корректно управлять VLAN'ами на Mikrotik?

    @dronmaxman
    VoIP Administrator
    Такой вот он - Мироктик) Как швейцарский ноЖ!
    Если посмотреть на схему микросхем, то можно заметить что между процессором и портами есть отдельный чип который берет на себя роль свича. Так вот, если настраивать VLAN в разделе switch, то ты конфигуришь эту микросхему свича. Если настраивать в bridge, то работа с VLAN будет происходить в процессоре со всеми вытекающими.

    Если необходимо гонять трафик в VLAN между портами микротика, то правильнее это делать в switch, тогда транзитный трафик не будет загружать центральный процессор.

    Если микротик должен маршрутизировать трафик в этом VLAN, то твой путь bridge.
    Ответ написан
    3 комментария
  • Как настроить белую подсеть на микротике?

    @dronmaxman
    VoIP Administrator
    Николай Савельев, Провайдер молодец)).
    Тут 2 варианты, NAT или BRIDGE. Схема с bridge проще в настройке и исключает проблемы с протоколами которые не любят NAT.

    > Адрес на интерфейсе 5.128.х.х, подсеть выдали 178.49.х.х/29, маршрутизируется через тот адрес
    Схема через NAT. Делают обычно через bridge интерфейс, допустим сеть серверов 10.10.10.0/24.
    - создаешь bridge
    - назначаешь на него все адреса из сети 178.49.10.0/29
    - добавляешь правила NAT для серверов src-addr 10.10.10.1 src-nat 178.49.10.1, 10.10.10.1 - 178.49.10.2 и т.д.
    - правишь правило чтобы src 178.49.10.0/29 НЕ натились через 5.128.х.х
    - добавляешь маршрут, чтобы src 178.49.10.0/29 ходят через 5.128.х.х (отдельная таблица маршрутизации через preroute)
    Ответ написан
    2 комментария
  • Trunk port Cisco + не управляемый свитч?

    @dronmaxman
    VoIP Administrator
    Поставить управляемы коммутатор не вариант?))

    Вообще работать будет - лично проверял, но не все неуправляемые коммутаторы подходят, надо тестить.
    Ответ написан
  • Как подключиться к устройству в локальной сети из интернета через купленный у провайдера сервер?

    @dronmaxman
    VoIP Administrator
    Тебе необходимо
    - поднять VPN между 88.77.66.55 и 192.168.1.10
    - пусть адреса внутри VPN будут 10.200.200.1 и 10.200.200.2
    - настроить проброс с адреса 88.77.66.55 на 10.200.200.2

    В качестве VPN рекомендую Wireguard, самый просто в настройке.

    Ниже примерный минимального конфига, не забываем про безопасность (закрыть ненужные порты). Не забудь поменять $WAN$ на свой интерфейс. Важно, что бы при пробросе портов весь трафик от 192.168.1.10 ходил через VPN или использовать на 88.77.66.55 nginx-proxy.

    spoiler

    https://habr.com/ru/post/486452/
    ### Install the WireGuard and WireGuard tools.
    sudo apt install wireguard-dkms wireguard-tools

    ### Enable the WireGuard kernel module and check the status
    sudo modprobe wireguard && lsmod | grep wireguard

    ### Generate keys
    wg genkey | tee wg-server-private.key | wg pubkey > wg-server-public.key
    wg genkey | tee wg-client-private.key | wg pubkey > wg-client-public.key

    ### Server config /etc/wireguard/wg0.conf
    [Interface]
    Address = 10.200.200.1/24
    ListenPort = 51820
    PrivateKey = $wg-server-private.key$

    [Peer]
    PublicKey = $wg-client-public.key$
    AllowedIPs = 10.200.200.2/32

    ### Restart server wg
    sudo systemctl restart wg-quick

    ### Client config
    [Interface]
    PrivateKey = $wg-client-private.key $
    Address = 10.200.200.2/32
    DNS = 1.1.1.1

    [Peer]
    PublicKey = $wg-server-public.key$
    AllowedIPs = 0.0.0.0/0
    Endpoint = 88.77.66.55:51820

    ## Allow Forward
    sysctl -w net.ipv4.ip_forward=1

    ### Firewall
    iptables -t nat -A POSTROUTING -s 10.200.200.0/24 -o $WAN$ -j MASQUERADE
    iptables -t nat -A PREROUTING -i $WAN$ -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.200.200.2
    iptables -t nat -A PREROUTING -i $WAN$ -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.200.200.2
    Ответ написан
    1 комментарий
  • Как проверить, кто Дартаньян - я или провайдер?

    @dronmaxman
    VoIP Administrator
    Запускаешь трассу на google.

    6003f346ddc8f286435517.jpeg

    Получаешь цепочку по которой шел пакет. Теперь начинаешь ее диагностировать. Главное помнить, что проблема в звене отражается на следующие звенья. То есть, если проблема в твоем роутере, то все следующие звенья покажут проблему, но ты будешь знать где начало проблемы.
    Первый адрес в списке - это твой GW, второй адрес - это GW провайдера.
    Запускаешь 3 пинга.
    1) пинг на свой GW
    2) пинг на GW провайдера
    3) пинг на google (8.8.8.8)

    Добавляешь ключ -t ко всем пингам.
    ping -t 8.8.8.8

    Смотрим на три окошка одновременно, надо поймать момент когда пинг начнет расти более 100 или пропадать вовсе. В этот момент ищем закономерность в 3х окнах.

    1e,2e окно норм, проблема только в 3е окне - проблема с интернетом у самого провайдера
    1е норм, проблема во 2ом окне - проблема на линии между твои роутером и провайдером, как следствие в 3е окне она тоже будет.
    Проблема в 1ом окне - проблема с твоим роутером, как следствие она влияет и на следующие окна.
    Ответ написан
  • Как работает интернет?

    @dronmaxman
    VoIP Administrator
    1. Это специальное програмное обеспечение, которое создает туннель поверх сети интернет. механизмы создания туннеля так же разыне. Например: оба клиента могу подключаться к серверу в инетрнет и он будет их связующим звеном.

    2. Чаще всех я привожу пример работы телефонии для объяснения работы интернет. Представь, что у тебя есть компании и 10 сотрудников. У компании есть городской номер, у всех сотрудников есть внутренние телефоны (3-4х значные). Когда сотрудник звонит в город, то сторона принимающая звонок будет видеть городской номер компании, но не внутренний номер сотурдника.

    А теперь аналогии
    Белый IP - городской номер компании
    Серый IP - внутренний номер сотрудника.

    3. Маршрутизатор - это не только домашний роутер. Маршрутизатор так же есть у провайдера. Соответственно маршрутизатор провайдера соединен с другими провайдерами (физически это может быть 2-3 подключения), а ваш домашний маршрутизатор уже подключен к маршрутизатору провайдера.

    Может вам стоит почитать про BGP?
    Ответ написан
    Комментировать