graf_Alibert

Делай разные подсети на VLAN ы
10.1.1.0/24 - серверы и коммутаторы. Все админское
10.1.2.0/24 - пк и принтеры принтеры потом в статику
10.1.3.0/24 - pbx. ,ip телефония.
10.1.4.0/24 - СБ. Камеры, СКУД, Пожарка
10.1.5.0/24 - wifi для локалки. Принтера, ноуты с доступом к локалке
10.1.15.0/24 - wifi_guest - с ДНС 8.8.8.8, 4.4 Гостевой без доступа к локалке.
Зачем так.
1. Масштабируемость.
2. Одним правилом отключаешь трафик между сетями. Не стоит юзераммв СБ сеть ходить как Гостям.
3. Легко все сортитуется по именам. В телефонии только телефоны. Нет PC, DESKTOP, NOTEBOOK, PRINTER и прочих имет
4. Yealink в какой бы сети не появился видит в DHCP параметр 135 и VLAN 103. Автоматом улетает в этот VLAN. Дальше используя параметр DHCP 65 вроде он по FTP качает конфиг. Так вот если один DHCP и ты параметр 65 занчл для телефонов, то для других IP телефонов ты не смоешь его применить например для CISCO. Также забудь про PXE.

На микотике делаешь IP RELAY.
VLAN на свой сервер DC
Готово.

правильно

но конкретно к вашей задаче ответ все равно один - только пробовать

Возможно однажды кто-то как и я найдет эту тему и ему поможет моё решение.

В общем столкнулся с такой же проблемой как и автор но на ноутбуке HP Z Book 17

Проблема оказалась в службе которая автоматически отключает Wi-Fi при использовании проводного соединения.

В моём случае служба называлась:



Надеюсь поможет таким же заблудшим душам

У кинетика есть свое "облако"... достаточно его включить, подключиться к нему по sstp и далее уже на ПК по адресу внутри ВПН сети(проброс портов)
Либо ставьте на оба ПК зеротиер и подключайтесь через него
Либо Анидеск \ рустДеск

Зачем такой экстрим? Подключается все в неуправляемый:
комп - нас = 10
комп - инет = 1
нас - инет = 1
Profit?
Если неуправляемый коммутатор не может справиться с 3 (!) устройствами, то грошь ему цена

Вопрос скорее не технический, а организационный. Хотя техническая часть в нем есть.
Технически:
- привязка mac к порту
- укладка провода так, чтобы просто так не добраться (человек ленив, если надо лезть под стол - точно не полезет)
- отобрать админские права на винду у тех, кому они не нужны
- arpwatch всюду

Организационный:
- общий приказ по конторе о запрете домашних устройств, под роспись каждому
- информирование о введении режима привязки маков
- тем, кому админские права нужны для работы - отдельная бумага об ответственности с подписью
- показательная порка первого пойманного - лишение премии, выговор, увольнение в режиме "два часа на сбор личных вещей"

Отдельное замечание про умников с клонированием мака. Здесь, как и везде, роялит намерение. Клонирование мака - это явно деструктивное действие, направленное на обход систем защиты. Значит ты кто - ты нарушитель, и с тобой не админы будут говорить, а безопасники иди руководство.

В 2015-м вроде как один такой чел у нас решил "попробовать" Tor. Ну, директор по безопасности вызвал его и его начальника, поговорил... Челу как бабка отшептала что-то пробовать, до сих пор у нас работает...

У вас скорость копирования 150-200мегабит в сёк.
Проблема не в скорости сети. Где то у вас узкое место или проблема с железом или конфигурации или подключением.
Напишите точную модель nas, сервера, используемые в них жёсткие диски, типы рейда, какие используются дисковые контроллеры, сетевые адаптеры и кабели.
Ну или сами посмотрите, где-то тут узкое место.

Зы: у меня как то было, что умерла батарейка на рейд контроллере, перестал работать кэш и сильно просела производительность.

Зы2: возможно какие то порты свалились в 100мегабит, возможно поможет замена кабеля. Посмотрите на свиче, сервере, nas и промежуточных устройствах, если такие имеются.

1) Сети для самых маленьких,
2) Андрей Созыкин.

Вариантов много, на самом деле.
Но если рассмтривать именно роутеры, то это будут:
1. Какой-то микротик. Если нет опыта системного администрирования, листаем дальше.
2. Что-то на openWRT. Для красноглазиков тоже, но есть куча рецептов для прготовления. Я бы взял что-то из этого списка: https://habr.com/ru/articles/842210/
3. Какой-то кинетик. Самый, как мне кажется, дружелюбный вариант, при этом довольно мощный.
Можно очень многое сделать чисто жмякая кнопки, при этом можно и поковыряться в консоли.
https://keenetic.ru/ru/products - тут на любой кошелек модели.

В связанном гугл аккаунте нужно добавить языки которые знаешь, тогда названия на этих языках не будут автоматически переводиться

есть в локалке некоторое количество айпишников

Если DHCP то добавить в резервацию что бы адреса не менялись.

Создаем address-list из потерпевших

/ip firewall address-list
add list=allowed_ips address=192.168.1.100
add list=allowed_ips address=192.168.1.101

Добавляем правила в firewall

# Allow access to 1.1.1.1 for addresses in the 'allowed_ips' list
/ip firewall filter
add action=accept chain=forward src-address-list=allowed_ips dst-address=1.1.1.1 protocol=tcp comment="Allow access to 1.1.1.1"

# Block all other internet access for addresses in the 'allowed_ips' list
add action=drop chain=forward src-address-list=allowed_ips comment="Block all other access"

Нихрена не понял, но такие проблемы обычно решаются служебной запиской о необходимости удаленной работы.

ответ №1 никак - ибо не сможешь на нужном клиенте разрешить входящие rdp

ответ №2 оба клиента подключаются к серваку на котором разрешено shadow rdp. и пока подключение активно с кл1 может рулить кл2 и наеборот - но только в рамках этих сессий на серваке - но не самими клиентами

ответ№3 если "запрещена" установка прог то подключения на твой сервак не запрещены? опятьже установка понятие растяжимое и ammyy и прочие anydesk можно "просто запустить"