• Безопасно ли иметь на компьютере локального администратора,когда есть доменный?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Поправка "изменить пароль локального администратора не составляет труда" (а вот восстановить его из хеша в первоначальное состояние, мягко говоря, трудно).
    При наличии домена иметь локальных пользователей не требуется, правильнее иметь доменного пользователя с локальными привилегиями администратора и отдельно доменного пользователя с привилегиями администрирования компонентов домена - доменного админа (но тут есть небольшое раздолье для "вкусовщины" и имхо).
    Ответ написан
    Комментировать
  • Помошь в настройке mikrotika?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Не сразу понял в чём ваша боль. А что мешает делить клиентов по ACL? предоставляя по спискам доступ через один или второй интерфейс? Назначьте на нём два адреса, tp-link на помойку, трафик пойдёт нормально, а политиками маршрутов разрулите кто через какого провайдера пойдёт (там же сделаете резерв, через проверку шлюза провайдера пингом).
    Ответ написан
  • Надёжный почтовый сервер под windows для внутренней сети?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    hmailserver решит ваши проблемы.
    Ответ написан
    4 комментария
  • Почему чем меньше маска подсети, тем больше доступных адресов?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Я вижу что уже дофига ответов, но тоже напишу.

    Маска - потому так и называется, потому что накладывая её на адрес вы получаете адреса сети и узла поделённые в определённой пропорции. Маска состоит из непрерывного набора нулей и единиц, т.е. по сути это 32-битное число (которое можно представлять в разных вариантах), записанное, в вашем случае, как количество единиц.

    Т.е. берём любой адрес представленный в бинарном виде (и маску):
    11000000.10101000.00000000 .00000001 = 192.168.0.1
    11111111.11111111.11111111 .00000000 = 255.255.255.0
    Все биты адреса, где биты маски равны единице - это участок адреса сети, остальное участок адреса узла.
    Вот и получается чем короче участок с единицами (меньше их число), тем больше узлов может в адресе быть, а подсетей меньше.
    Ответ написан
    Комментировать
  • Как разделить подключение?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Очень непонятно как вы собираетесь пилить первый порт на два, при любом типе девайса это непонятно =)

    Если вы управляете устройством в который приходит внешний интернет - то вопрос явно задан зря. Если не управляете - то получите управление или поставьте второе устройство, над которым будете иметь контроль и разрулите ситуацию с сетью и трафиком на нём.
    Ответ написан
    Комментировать
  • Как статичести настроить ipv6 на mikrotik?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Если я ничего не путаю, то достаточно добавить вот такие две записи:
    e4a4baa74683423b8da722fe5cbdae0d.png
    одна - статический адрес на интерфейсе смотрящем в локальную сеть, со свойством публикации себя как роутера, вторая - раздача адресов в локальную сеть (думаю в контексте понятно что есть что).
    Ответ написан
    7 комментариев
  • Как в большой локальной сети повысить максимальную скорость интернета доступную для кажной сетевой карты?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    думаю можно устроить два кабеля от главного свича, настроить балансировку по линкам (в режиме XOR, тот что не требует настройки со стороны свича) и если в этом случае будет шесть мегабит - то точно QoS на порту =)
    Ответ написан
    Комментировать
  • Почему только Windows теряет коннект?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Важно понять, сигнал рвётся (чип сообщает драйверу "данная сеть хреновая, мож того?") или же происходит намеренный дисконнект инициированный какой-либо стороной, на скрине видно, что сигнал у вас, на самом деле, так себе (от слова хреновый).

    "-63" - это не плохо, а вот "-79" - это почти на пределе, ещё чуть чуть и я бы, на месте админа в отеле, таких клиентов дропал бы к чертям.

    Помочь вам тут может только метод проб и ошибок, так как ваше ПО не даёт диагностики (или я не знаю как можно это в "домашних условиях" понять). Приблизьтесь к точке, чтобы сигнал был на уровне и выше "-65" (ближе к нолю - лучше) - понаблюдайте. Так же бывают случаи не соответствия конфигурации точки и карты (режимы сохранения энергии - в топку, режимы WMM выключить, понаблюдать, включить понаблюдать, скорости "b" режима - в топку)
    Ответ написан
  • Freeradius + Mikrotikk постоянные режекты?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Нужны хотя бы примерные настройки со стороны MK и со стороны Radius. Логи радиуса и МК так же крайне желательны.
    Исходя из вопросы common решением будет - настроить всё правильно.
    Ответ написан
    Комментировать
  • Настройку для шейпера?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Вот вам две очень дельные статьи:
    https://www.opennet.ru/base/net/htb_saga.txt.html
    habrahabr.ru/post/88624

    А не хотите RouterOS x86 использовать? (лицензию только придётся купить)
    Ответ написан
    2 комментария
  • Какой доступ в Интернет необходимо открыть для 1С и её сервисов?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Для сервисов проверки контрагентов по ИНН и сервисов заполнения адресов по КЛАДР 1С использует узлы:
    api.orgregister.1c.ru
    api.taxregister.1c.ru
    api.orgaddress.1c.ru
    Для отправки отчётности через Калугу-Астрал используются узлы:
    key.astralnalog.ru
    report.astralnalog.ru
    и ещё несколько (меняются от конфигурации к конфигурации)

    Если ну совсем не хотите открывать, то хотя бы логи включите на прокси и ловите там все реджекты. Ну и прокси - это зло, больше проблем.
    Ответ написан
    Комментировать
  • Провайдер выдал 2е подсети на один интерфейс, как настроить mikrotik?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Всё зависит от того как дана вторая сеть, если она дана вам как маршрутизируемая через ваш узел (т.е. вы являетесь маршрутизатором ответственным за сеть чтото/29 то вы назначаете её на другой любой интерфейс, и раздаёте из неё адреса в той физической сети, куда смотрит этот интерфейс, забираете из неё любой один адрес для самого маршрутизатора - всё это про совет рядом от Руслана, вроде бы там всё просто)

    Если же сеть дана как вторая на внешний интерфейс, то провайдер уже смаршрутизировал её у себя и сам занял один адрес и является шлюзом в той сети, в этом случае вам нужно раздать её используя бридж, т.е. машины, которые должны иметь адрес из этой сети должны физически смотреть во внешнюю сеть, не через ваше устройство - а значит вам нужно сбриджевать внешний линк и, скажем, vlan проброшенный в локалку, и этот vlan вы уже принимаете на интерфейсе нужной машины и получаете на нём внешний адрес из сети чтото/29, указывая шлюзом узел чтото.1/29

    В целом вторая схема ущербная и провайдер с радостью перейдёт на первый вариант (стоит его только попросить), но скорее всего у вас именно она (на это намекает указание gw 2.2.2.1 в вопросе - т.е. провайдер как бы заранее знает шлюз, т.е. скорее всего он им и является).

    Позвоните в ТП - уточните что у вас за вариант, и перейдите на первый вариант - DMZ, тогда трафик будет идти через ваш марш, и будет им контролироваться в полной мере.
    Ответ написан
  • Как сбросить пароль в Mikrotik?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Только сбросом настроек.
    Ответ написан
  • Как настроить приоритеты на mikrotik при непостоянной скорости соеденения?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Приоритет в очередях HTB определяется на основании ограничений на эту самую очередь.

    Работа очередей основана на том, что тот трафик, что в данный момент в канал "не пролазит" будет отброшен (drop), тот что пролазит - просто в него пойдёт. Есть небольшой кеш (обычно десятки килобайт), который позволяет сглаживать пики. На момент попадания пакета в очередь должны быть известны ограничения для очереди (читать как скорость канала), если они не известны или не указаны - очередь просто не будет работать - и будет пропускать весь трафик через себя. Очередь не задерживает пакеты, не переставляет их метами, не отправляет одни раньше других, она просто дропает то, что лишнее, всё остальную работу делает какой-нибудь протокол выше лежащего уровня (ретрансмит, игнор, пересчёт видео кадра с потерей, устранение джиттера и тыды).

    Вычислить скорость можно, например скачивая файл заранее известного размера, через определённые промежутки времени, но как это обработать скриптом - разбираться не хочется.

    В целом задача решаема, но потери скорости связанные с решением - нивелируют пользу.

    Возможно вам нужно использовать интеграцию модема в микротик и по уровню сигнала включать или отключать очередь\очереди, переводя работу канала в режим Нормальная скорость\Плохая скорость.
    Ответ написан
    1 комментарий
  • Как сделать конверт статических mac адресов из arp таблицы микротика в DHCP-lease?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Вопрос необходимости этого всё ещё открыт, поделитесь "зачем?" =)
    Ответ написан
    Комментировать
  • Существует ли скрипт, который бы нашел дубликат двух или нескольких mac адресов в arp таблице микротика?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Вообще появление двух одинаковых мак адресов на разных порта в пределах одного широковещательного домена - это коллизия для ethernet (вызванная ошибкой конфигурирования или петлёй).

    В вашем случае, насколько я понял, вы пытаетесь каждую выдачу адреса сразу приколотить в DHCP, что странно само по-себе, зачем вам это? Если ради безопасности - переведите DHCP в режим static only, если ради устранения этих самых коллизий - то DHCP вам тут не помощник (вам управляемая сеть нужна), если ради сохранения IP адресов - бросьте эту затею используйте связку DHCP (в name protected режиме) + DNS, если ради биллинга - тоже странный способ считать трафик - используйте vlan или pptp на худой конец (если сеть не управляемая. Что вроде в вашем случае так и есть).

    Расскажите проблему, которую пытаетесь решить таким подходом (и речь не про неработающий скрипт).
    Ответ написан
    4 комментария
  • Как сделать механизм перевода трафика с LAN сети на 3G сеть и обратно?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Задача у вас такая:
    1. Обеспечить два работоспособных канала, один основной, второй резервный
    2. Поднять транспортные сети (или сеть) между сайтами
    3. Настроить переключение маршрутов на транспортную сеть или изменение канала для транспортной сети

    А теперь расскажите как и какие пункты вы решаете? Только ваши конфиги покажите, потому что придумать как это всё сделать на абстрактной циске, никсе или микротике можно за пять минут.
    К слову, можно взять с обоих сторон поставить два более менее не тупых (прости господи) Dlink маршрутизатора с USB портами под 3g свистки и организовать туннель уже с их помощью (автопереключение оставить на них).
    Ответ написан
    2 комментария
  • Как подключить несколько WEB-серверов на один внешний IP через Mikrotik?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Похоже нужно копать настройки прокси (которая задом на перёд), но я не понимаю зачем он вам.
    Поднимите nginx настройте его за две минуты и используйте штатное правило DNAT на MK. Дальше нужно будет лишь обеспечить хождение трафика от nginx до веб серверов, а на веб серверах открыть 80-тые порты. SSL при необходимости так же можно будет "снимать" на nginx'e.
    Ответ написан
    4 комментария
  • Не запускается сервер HP ProLiant DL320 G6, как починить?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Обычно если что-то не стартует - то нужно убрать всю периферию, если есть, отключить лишнюю память (в вашем случае должно быть чётное количество планок, вставленных в слоты одинакового номера = подписаны или цветом обозначены) оставив минимум. Возможно съехал биос, тогда можно джамперами перейти на резервну банку, так же возможно лог ошибок биоса переполнен - так же ищем джампер переходим на резервную банку.
    Ответ написан
    Комментировать
  • Mikrotik hotspot как сделать перенаправление на страницу входа на усстройствах ios и с длинными адресами?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Такое пробовали сделать?

    /ip hotspot walled-garden
    add action=allow comment="place hotspot rules here" disabled=yes dst-port=""
    add action=allow disabled=no dst-host=*.apple.com dst-port=""
    add action=allow disabled=no dst-host=*.apple.com.edgekey.net dst-port=""
    add action=allow disabled=no dst-host=*.akamaiedge.net dst-port=""
    add action=allow disabled=no dst-host=*.akamaitechnologies.com dst-port=""
    /ip hotspot walled-garden ip
    add action=accept disabled=no dst-host=captive.apple.com
    add action=accept disabled=no dst-host=www.appleiphonecell.com
    add action=accept disabled=no dst-host=www.itools.info
    add action=accept disabled=no dst-host=www.ibook.info
    add action=accept disabled=no dst-host=www.airport.us
    add action=accept disabled=no dst-host=www.thinkdifferent.us
    add action=accept disabled=no dst-host=static.ess.apple.com
    add action=accept disabled=no dst-host=init-p01md.apple.com
    add action=accept disabled=no dst-host=ess.apple.com
    add action=accept disabled=no dst-host=apple.com
    add action=accept disabled=no dst-host=gps.apple.com


    Это позволит девайсу понять, что сеть вообще есть и в ней есть интернет, а после этого уже произойдёт редирект. (потестировать пока не могу)
    Ответ написан