Как правильно настроить mikrotik firewall?

Антон Николишин:
На ваше усмотрение.
Обычно хватит

add action=drop chain=forward comment=\
"defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1

Кстати у qbittorent баг вроде и он не открывает порты по unpn/nat-pmp :)
Ну это просто так к слову.

Как настроить сеть в openVpn?

>есть клиент которому необходимо подключатся к различным серверам, на которых нет овенВпн подключения, но есть ограничения для доступа по айпи, пример 10.8.0.0/24.

Это как ? Есть клиент, которому надо подключится к сетям у которых нет openvpn ? Как он к ним тогда подключится ?
или у них есть связность другая ?

Апгрейд железа под графику, какой выбрать процессор и мать?

Sean Smith: Да в общем особого обилия I5 нет.
Платформу вы будите брать если интел то 1151 ну или ждать новой платформы.
2011-3 уже устарела и не имеет смысла.
Вся линейка i5 делится на 6 поколение и 7. В прицепе прирост производительности в совокупности 10% с натягом. Буква T энергоэффективный и с малым тепловыделением , буква K с разлоченным множителем и возможностью разгона.
Ну и получается в итоге x400 , x500 , x600
где x поколение процессора.

Вот и получаются у вас 4 варианта
www.regard.ru/catalog/tovar241846.htm
www.regard.ru/catalog/tovar241878.htm
www.regard.ru/catalog/tovar241881.htm
www.regard.ru/catalog/tovar237183.htm

Вариант T я выкинул из списка.

Поэтому взять K имеет смысл сильно, так как на воздухе очень неплохо гонится.

разница между i7 будет в L3 кеше и частоты + кол-во линей PCI-E. Может еще чего, но в голову после ночи мысли не приходят. Можно нагуглить если надо.

Вместо БП тогда вложится в SSD + Памяти, желательно сразу 16gb. Можно одной планкой, что бы потом еще докупить 16 , ну и если надо будет добить до 64gb. Браузеры , фотошопы, видео шмидео, системы игры сейчас память любят как в не себя.

Как правильно настроить mikrotik firewall?

poisons: те правило 8 и 10 вы решили игнорировать ?
Эти правило у меня 4 и 5.
ну а 7 правило, то же правило что и 33. Ваш КЭП.

Апгрейд железа под графику, какой выбрать процессор и мать?

>,

будет дешевле и "быстрее", так как больше потоков, да и ядер побольше.

С учетом, что пока все еще игры не особо ядра используют. Хотя надеюсь тенденция после выхода новых райзен будет изменятся.

С PH так там вообще Жопа. От многоядерности толку почти 0. Разные компоненты по разному используют ускорение GPU. Вот с видеомонтажем да, там ядра реально помогают. При компиляции или обработки аудио в несколько дорожек с разными эффектами. В Lightroom поддержка просто отличная.

Как правильно настроить mikrotik firewall?

poisons: а там стандартные настройки.
Хотя если вы мазахист настройки еще и forward внутри сети, то могу просто быть за вас рад.



P.S. Этот mikrotik просто для игр, поэтому тут firewall default.

Как правильно настроить mikrotik firewall?

poisons: Волшебники, пони и единороги.



и да, например mikrotik не имел (по крайне мере на тот момент) проблемы с upnp в отличие от других

www.opennet.ru/opennews/art.shtml?num=40922

Как правильно настроить mikrotik firewall?

poisons: Не надо. При включенном upnp все создается автоматом.
В Nat у вас появится правило, которые будет сгенерировано автоматически.

При использовании dnsmasq не срабатывает правило l7 protocol в микротике?

mikes: так mikrotik пошлет сам себе запрос на input и не будет проходит цепочку nat, это если я правильно понял. Тогда надо static прописать.

Я ради интереса попробовал, у меня в общем на ubuntu все прекрасно проходит и уходит.

При использовании dnsmasq не срабатывает правило l7 protocol в микротике?

на микротике смотрел снифер.. пакеты исправно приходят на ip mikrotik
wireshark на ubuntu показывает тож самое.. разницы в пакетах между dnsmasq и простым запросом не увидел.

Ну, а ответ то уходит ? :) Иначе мистика.
Как вариант dig еще раз пройтись по всем запросам, я не очень люблю nslookup

При использовании dnsmasq не срабатывает правило l7 protocol в микротике?

правило простое.. все что попадает в l7 и udp на порт 53 идет в dstnat ip офисного dns

В чем причина не показать правило? Ну ок будем немного телепатами.

Если убрать L7 (все еще непонятно зачем ради двух доменов) и прописать статикой
/ip dns static add name=".*\\.lan\$" address=нужный вам днс сервер
соотвественно поставив свой домен, будет ли работать пересылка ?

ну и через l7 , самый простой вариант
копи паст с сайта

/ip firewall layer7-protocol
add name=testdns regexp=lantest.mindlesstux.com

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address=4.2.2.2 dst-port=53 layer7-protocol=testdns protocol=udp to-addresses=8.8.8.8 to-ports=53
add action=dst-nat chain=dstnat disabled=no dst-address=4.2.2.2 dst-port=53 layer7-protocol=testdns protocol=tcp to-addresses=8.8.8.8 to-ports=53

где 4.2.2.2 это сервер Mikrotik
8.8.8.8 - куда пересылать

На mikrotik можно настроить снифер и посмотреть, куда все же летят пакеты. На худой конец запустить tcpdump на ubuntu и посмотреть, куда они улетают.

При использовании dnsmasq не срабатывает правило l7 protocol в микротике?

mikes:

о доменные имена для впн идут через одни dns, а остальное через другие.. логика тут есть.

Я всегда считал, что если ты попал в VPN сеть , то используй его правила, его маршруты и его днс.
Проблема, что нам ВДРУГ при vpn надо куда еще , и что бы использовался другой ДНС спорна.
Хотя конечно такие ситуации бывают.

Другой момент:

которое перенаправляет DNS запросы двух доменных имен на другой DNS сервер.

Так как на mikrotik это по сути кеш, почему бы не все днс запросы отправлять туда ? Зачем такая выборка двух доменов ?

непонятно только почему микротик не ловит пакеты от dnsmasq. понять бы в чем отличие.

Покажите правило L7 и нарисуйте схематично схему.

Как правильно настроить mikrotik firewall?

poisons:

Вы слишком передергиваете.
Частью ботнета можно стать и без upnp и upnp в общем не сколько не облегчает настройку.
В сети столько дырявых dlink роутеров, которые имеют дырку при запросе обычного http curl например.
Что http дырявое решето ? :) Нет , кривые руки сами знаете где.

Поэтому если вам очень хочется открывать порты ручками в сетки на over 1000 человек, мне сложно вам отказать. Мне проще настроить мониторинг и сканер трафика и давать по башке тем, кто подхватил бота/вирус или просто решил поиграть в хакера.

Как хранить выбранный юзером его часовой пояс?

Лучше хранить временную зону пользователя в формате а-ля Europe/Moscow (это позволит избежать проблем с переходом на летнее время).

Это ничем не поможет, если бы к примеру у в МСК и был бы переход.
В БД надо все равно как-то сохранять время заказа и например при архивах 5 летний давности как-то уметь это все дело разгребать и учитывать.

Второй момент, вдруг в одном городе отменять перевод или наоборот сново будут переводить в МСК. Опять делать костыли и подпорки ? Потом люди опять будут возмущаться и опять вернуть обратно :)
Опять же яркий пример МСК.

Ещё можно хранить в виде смещения от UTC, но тут возникает ранее обговорённая проблема летнего времени.

Хранить все данные в UTC и уже от выбранного региона делать поправку на тот регион, это намного проще и самый оптимальный путь. При этом не важно, был ли у вас перевод или не был. По дате мы это знаем и можем легко все сделать.

Какие существуют способы обеднения серверов?

Sanes: Так вопрос не про VPN же. Он понятное дело поднимется.
Я намекаю на то, что должна быть еще одна сущность, которая будет например распределять записи между БД . Например ДЦ1 - это cluster1 , ДЦ2 - это cluster2. У них по три node например mysql.
У вас между cluster1 и cluster2 vpn и у вас нет четкого деления на cluster1 и cluster2, у вас это просто единый cluster. Когда у вас упадет vpn у вас пропадет связность между ними и как минимум все встанет колом . По хорошему еще нужен будет cluster3 для кворума, но это не обязательно. По хорошему будет внешний условно "балансировщик" , который будет понимать куда передавать запросы. Когда у вас потерялось связность, встать в режим RO. Балансировщик может быть не один , а несколько - которые будут независимо друг от друга мониторить еще и живучесть ДЦ. Ну канал где-то на магистрали упал, такое бывает и часто.

При использовании dnsmasq не срабатывает правило l7 protocol в микротике?

mikes: а какая там проблема ? и чем она будет решатся лучше, чем ты укажешь любой другой днс сервер ?
Чем кеширование днс записей решает проблему подключения к VPN ?
Если провайдер блокирует имена и например они vpn (особенно актуально с принятием закона в РФ) , то есть у тебя кеш или нет пофиг. Другой момент, если провайдер будет заворачивать все записи ДНС к себе, но в пень такого провайдера и решать надо уж точно не таким путем. Разработчики NM просто вконец обкурились и им лень писать код, что добавляют еще больше лютого треша. Нет бы посмотреть код реализации ДНС кеша в dnsmasq и написать модуль для себя, мы лучше притащим весь dnsmasq. Ну , а если мне надо простите хитрожопа настроить dnsmasq, то видимо ты и без NM проживешь :) ты же типа умный. Это видимо такое мнение разрабов NM.

При использовании dnsmasq не срабатывает правило l7 protocol в микротике?

mikes: Да уж. Посмотрел я на NetworkManager и зависимости. Еще минус в копилку его не использовать.
Те насколько я понял, они пытаются его использовать как кеш днс в системе и должны передовать пакеты на указанный ДНС сервер. В общем все это сильно начинает смахивать на винду. Нет я сам так делаю, только с пониманием и без сторонний помощи в виде NetworkManager.

При использовании dnsmasq не срабатывает правило l7 protocol в микротике?

mikes: Честно говоря странное желание, что мешает просто в NM указать в качестве dns 127.0.0.1 ?
Просто я таким не занимался вообще :)

С другой стороны

Network manager.. и единственный forward для него уже является mikrotik.

то он явно не отрабатывается. Так как в dnsmasq могут быть свои днс, но честно говоря в связки с NM я его не использовал. Но еще раз замечу, что проще наверно при подключении к VPN сразу отдачу DNS mikrotik. Отключились и DNS не будет.

Те будет такая связка VPN_Client > mikrotik > dns_other
На mikrotik указываем в качестве основного тот DNS где прописаны нужные сервера , у клиентов будет dns mikrotik. И вам не надо будет парсить трафик на L7 и перенаправлять запросы.

Как восстановить шаблон для ProxMox debian-7.0?

configboy: Тогда можно стукнутся ко мне в Facebook и отдельно выложить образ на посмотреть. Попробовать восстановить если не как контейнер, то хотя бы перенести в KVM.

HP Command View EVA ошибка при установке, что делать?

Ну а CAB нужен для полок и правильного отображение нумерации в полки.
Ну и другие мелочи, когда полки масштабируются

Enclosure address bus
The enclosure address bus provides a means for managing and reporting environmental conditions
within the rack. It is composed of enclosure ID expansion cables that interconnect the drive enclosures
and controller enclosures. Two drive enclosures connect to each enclosure ID expansion cable.
The drive enclosure numbers are always assigned by the enclosure address bus. Connecting the
EMU CAB connector to an enclosure address bus enclosure ID expansion cable automatically
establishes an enclosure number of 01 through 14. Any drive enclosure not connected to the
enclosure address bus has the enclosure number 00.