Ответы пользователя по тегу Сетевое администрирование
  • Какие порты закрыть для локальной разработки?

    @fpir
    На "домашнем ПК с виндой" открытием и закрытием портов в/из вашей локально сети рулит ваш роутер(он-же шлюз). Какую модель угроз вы себе представляете, даже открыв 3389 на компе и оставив винду без авторизации?
    Ваш ребёнок зайдёт со своего компа и положит ваш сервер? ну тогда просто поставьте пароль на учётку винды. Или он может брутфорсить пароли и сканировать открытые порты? Тогда да, озаботьтесь стойкостью паролей и закрытием всех портов на брандмауэре.
    Ответ написан
    3 комментария
  • Как вычислить виновника из-за которого отваливается интернет с какой-то периодичностью в маленькой сети?

    @fpir
    Может по такой детской проблеме статью на хабре накатать? Так заминусуют же за низкий технический уровень.
    1. Что такое падает интернет - это заявление манагера, а не специалиста. При этом ресурсы в локальной сети доступны? Поэтому мы пингуем внутренний шлюз
    а) ping 192.168.0.1 -t (где 192.168.0.1 адрес вашего роутера, такой чаще всего по дефолту с завода, если кто-то
    настраивал - может быть другой, он-же "адрес шлюза по умолчанию" у вас в винде). Смотрим что пинги ходят и потерь пакетов нет, хотяб минуту.
    b) ping 192.168.0.254 (где 192.168.0.254 адрес какого-то ресурса внутри локальной сети - сервера, NAS, или тупо,
    соседнего компа). Важно, чтоб он был принципиально, желательно, чтоб стоял физически далеко.
    2. Доступны ли ресурсы за шлюзом.
    а) ping 8.8.8.8 (это айпи Google Public DNS, он не меняется, отвечает на пинги и почти всегда работаете)
    3. Разрешаются(резволтятся) ли доменные имена
    а) ping ya.ru -t (самый короткий из публичных доменов, который, скорее всего работает и не заблокирован? ,бесконечный пинг, чтоб оценить стабильность.) Обращаем внимание на время задержки, для провода хорошо разница в 2-3 мсек, для воздуха 30-50, но и 100 -150 вполне рабочий вариант. Именно разница, не само значение.
    Если нет, то:
    1. лежит сеть
    2 нет выхода в инет, нет соединение с провайдером
    3. косячит dns, на роутере, у провайдера, на компе, но проблему надо копать в этом направлении.
    Вот это всё и есть "Без доступа в Интернет"
    Каждый из этих случаев ветвится дальше порядочное число раз, отсекая другие ветви и сокращая возможные варианты. Причины могут быть весьма экзотические, но их диагностика начинается всегда с этого.
    Пы.Сы. есть ещё номер 0, тоже довольно частый случай.
    0 на компе вообще есть правильный айпи, шлюз, и днс. Если настройки стоят "автоматически", то в сведениях о сети должен быть адрес, который начинается не на 169.254, а так-же адрес шлюза по умолчанию и адрес DNS сервера. Если нет, то проблемы с DHCP - вообще нет линка, настроки на раздаются, раздаются несколькими не согласованными устройствами, настройки не принимаются.
    Ответ написан
    Комментировать
  • Что использовать, чтобы у всех пользователей был один ip?

    @fpir
    Рутокен 2 поддерживает 2 варианта ключа.
    1. Не извлекаемый - закрытый ключ генерится на токене и не может быть извлечён никак и никогда. Примерно так-же часто используется.
    2. Не экспортируемый - закрытый ключ генерится на компе налоговички и записывается на токен с флагом. Софт рутокена и криптопро на этот флаг внимание обращает. Другой - игнорирует и отлично экспортирует.
    Вариант, что у вас "неизвлекаемый" в теории возможен, на практике - хз, я не встречал.
    Ответ написан
    Комментировать
  • Как правильно подменить IP с одинаковым адресным пространством?

    @fpir
    А прописать в ip tables микротика правила src-nat и dst-nat, чтоб налету подменял айпишники и заворачивал в нужный бридж?
    Ответ написан
    Комментировать
  • Как на keenetic настроить больше 100 мбит сеть?

    @fpir
    но если ставлю 1000 то интернет совсем не работает, почему и как исправить ситуацию?

    Потому, что не может связь подняться на гигабите, а остальные вы явно запретили. И NICи согласовывают между собой 100 Мбит. Почему? Видимо из за патч-корда, он или 2х парный, или длинный, или перекрученный-растоптанный. Купите патч 6й категории.
    Ответ написан
    2 комментария
  • Зачем нужны маски подсети?

    @fpir
    Это скорее не ответ зачем нужны, а ответ, зачем понимать, зачем они нужны. Случилось буквально 2 дня назад.
    Есть некая контора с удалёнными филиалами. Шлюзами на ней микротики соединённые друг с другом oEIP туннелями и все филиалы находятся в 21 подсети. Соответственно, у первого филиала шлюзе 0.1, у второго 1.1 и тд.
    Так вот, вчера интернет был. сегодня не работает(точнее у одних работает, у других нет), ничего не делали, ничего не меняли. После нескольких часов плясок с бубном выяснилась история: в филиале, где шлюзом был микротик с внутренним ip 2.1 купили бытовой роутер dlink, чтоб ви-фи раздавать, воткнули lan портом в свич и у них всё заработало. Догадайтесь, какой ip у него был по дефолту? Благо, что филиал был в получасе езды и самым ближайшем. Так, что после отрубания всех портов, кроме одного в первой конторе и нескольких сбросов arp cache поехали сразу туда. А там был филиал и за пару тысяч километров.
    Ответ написан
    Комментировать
  • Как обнаружить причину десятков тысяч UDP-соединений на Windows?

    @fpir
    Чёт я не пойму, если с компа активность, то чтоб тупо источник выяснить, монитора ресурсов достаточно.
    Ответ написан
    Комментировать
  • Почему используя DoH я продолжаю получать страницу-заглушку провайдера?

    @fpir
    Так этим вы обезопасили себя от подмены днс ответов. ещё не факт, что провайдер перехватывал эти запросы.
    Ну ок, вот вы отрезволтели рутрекер в правильны ip, и пошли на него, провайдер ловит вас на своём прокси и заворачивает на заглушку.
    Ответ написан
  • Как настроить роутер в качестве точки доступа?

    @fpir
    По пунктам: роутер 1 и роутер 2, роутер 1 воткнут в интернет и соеденён с роутером 2 витой парой:
    Роутер1.
    В настройках DHCP прописываем диапазон настроек, скажем 100-200(оставляем места для статических адресов)
    Роутер2
    Прописываем адрес роутера в локальной сети. выбираем свободный(нигде не прописанный), скажем 2
    Отключаем DHCP
    Втыкаем шнурок от Роутер1 в порт LAN
    Настраиваем WiFi с тем-же SSID и паролем, что и на Роутер1
    Всё
    Ответ написан
    Комментировать
  • Что может мешать работе NAT?

    @fpir
    А куда прокидывается порт? LAN адрес не указан. Прокидывать на все устройства? Так это веб морда, что она там своими скриптами пишет в NAT таблицу, известно только производителю.
    P.S. по решению: не забываем, что кроме NAT в роутере есть группы интерфейсов между которыми прокинут мост. В обычном бытовом роутере этих групп 2 или 3 и они по дефолту все связанны мостом. когда групп больше или роутер более продвинутый это может быть не так.
    Ответ написан
  • Какую технологию выбрать, VLAN или другую? Для домашней сети со странной структурой?

    @fpir
    Простейший микротик как маршрутизатор и 2-3 тупых свича на 5-8 портов(по 1к). На круг выйдет в районе 8к, что равно простенькому свичу L3. На микротике можно рулить этим всем, как VLAN, так и подсетями и мостами между ними(например, прописав маршрут на компе до видеорегистратора, обратного маршрута на регистраторе не будет и попасть с него на комп, или в подсеть с компом, будет нельзя)
    Физическая защита по току будет так-же обеспечена копеечными свичами. Злоумышленников, кидающих 220 на витую я не встречал, но молнии жгут порты видеонаблюдения постоянно, наводя на длинную витую, даже с заземлённым экраном.
    Ответ написан
    2 комментария
  • Как можно сделать так, чтоб мой трафик был будто я в youtube?

    @fpir
    Вот что не понятно. На компе у тебя проводной интернет? Если да, то нужно проксировать трафик через прокси в России. Хотя не думаю, что это нужно, т.к. на проводном интернете провайдеры пока не приоритезирует трафик(насколько мне известно). А вот если интернет мобильный, где полосы "аплинка" делят гораздо больше клиентов, тогда в этом смысл появляется. Ну проксируй трафик через смартфон(тупо, раздавай с него вайфай), хотя и первый совет подходит.
    Ответ написан
    Комментировать
  • Чем собирать статистику использования интернета пользователями?

    @fpir
    Мне кажется, отвечающие смотрят в 21 первый век и сетевые технологии, а автор вопроса - в 20 век с лимитированным трафиком и техническое решение ему надо искать там. Всё верно, прокси-подмена сертификатов, но есть место, где сертификаты подменять не надо - на компе пользователя. Trafic Inspector(с удивлением узнал, что его даже развивают). Не знаю, как сейчас, но лет 10 назад на каждую рабочую станция ставился агент, который слал статистику на сервер и там сводил всё в табличку по типу трафика, по ip и по доменам.
    Ответ написан
  • Пров не предоставляет /64 ipv6. Стоит ли заморачиваться?

    @fpir
    По большому счёту не важно, сколько адресов выделил провайдер, может вообще выделить 1 для роутера, как в ip4. Просто это рекомендация или бест практик выделять сеть/64. Хосты имеют несколько ip адресов и все они указываются в заголовке пакета, поэтому идёт-ли пакет по одной подсети(имеет "белый" ip) или переходят в другую на роутере, значение имеет, но не критичное. Другой вопрос, что у провайдера самого подсеть/64, и тогда он не провайдер, или специалисты не придерживаются рекомендаций. Мне кажется, только это может иметь значение в конкретной ситуации.
    Ответ написан
    8 комментариев
  • Почему windows 10 не подключает диск, если сетевой компьютер отключался?

    @fpir
    я так понял, это всё декстопные окна и они в одноранговой сети. А, тупо, сетевое обнаружение отключено, не?
    Ответ написан
    Комментировать
  • Почему админ больше не может подключится через RDP к серверу?

    @fpir
    Если не настроен сервер удалённых рабочих столов, то подключится по rdp может только 2 админа и их подключения могут уже висеть. В настройке необходимо выбрать сетевое подключение, их, как Вы знаете, винда клепает безостановочно, думаю-следует покопать в эту сторону.
    Ответ написан
    Комментировать
  • Существует ли удобная программа настройки для Cisco?

    @fpir
    О да, "прошлый век", говоришь, "нокиа" говоришь? На днях современный ASUS-роутер притащили, "можешь VPN настроить?". Глянул в веб-морду-есть кнопка -могу, наверно. И действительно, VPN поднялся в пару кликов. Но в таблице маршрутов появилась строка с дефолтом через VPN, через телнет можно поправить, до перезагрузки.
    Как мне хотелось, чтоб это была циска без вебморды....
    Ответ написан
  • Как стать тру админом?

    @fpir
    На самом деле больше наглости: Ты тру-админ, всё знаешь, опыт огромен-вакансии-собеседования.
    Там ты узнаешь, что требуется работодателю и пройдешься по теории под эти требования. В это время некоим образом не бросаем ходить на собеседования, блистая свежими знаниями и начинаем вникать в конкретику.
    И вуаля-ты сам-себе админ на предприятии на 20-50 вин компов и пары серверов(это всё как правило работает)
    или помощник админа на 100+компов и десяток серверов(последнее предпочтительнее). Теперь только не останавливаться. Досконально разобраться что работает, в процессе узнаешь как должно работать. Приводишь первое ко второму и месяца 2-3 читаешь вумные книжки вперемежку с сериалами. Далее всё с начала. Конец цикла.
    У меня на первую итерацию от начала поисков до устройства по трудовой ушло 4 месяца, до конца цикла год. На "крайнюю" на поиск неделя, на приведение к моему видению 3 месяца.
    P.S. Не встречал ни одного админа, которого уволили за некомпетентность. За лень, за пьянку встречал, за то что решал задачу гуглом в два раза дольше обычного-не встречал.
    Ответ написан
  • Проблемы с домашней группой. В чем проблема?

    @fpir
    Создайте новую группу, можно с тем-же именем и введите остальных 2 компа в неё, можно через флешку(если все копы от вин7 и выше(а хп так и разницы не заметит)), можно введя код. В чём проблема-то, 3 не 300.
    Ответ написан
    Комментировать
  • Как сделать доступным ip адрес за пределами LAN?

    @fpir
    Проброс порта-это то, что в первую очередь должен изучить 10-летний школьник, который задумался "А может мне стать сисадмином". В случае отсутствия белого IP у конторы (что бывает редко, но бывает) есть сервис т.н. DDNS. В подавляющем большинстве случаев, камера может работать с ним самостоятельно (проброс портов это не отменяет). Часто он предоставляется производителем камеры, часто бесплатно. Ну и "крутой" сисадмин, намекая на премию, представит руководителю камеру (или пул камер) на доменном имени(что так-же можно организовать на микротике без особых заморочек, но за 200 руб/год). Некий шик, в виде мобильного приложения, будет у видеосервера, как приложения. Можно подобрать условно-бесплатный, с ограничением по количеству камер (а можно и совсем free).
    Ответ написан
    Комментировать