Идеи/советы для сисадмина в школе?

Деньги откуда брать на покупку ?

Как настраиваются маршрутизация между Vlan на mikrotik CRS326-24-2S?

Dmitry, Да, но практических задач было мало, так как только планируем мигрировать на Микротик с Б\У циско. Но я правда стараюсь по памяти вспоминать настройки и высказываться, куда бы смотрел Я.

Как настраиваются маршрутизация между Vlan на mikrotik CRS326-24-2S?

Evko_l, Без него пропишите. По логике это и есть маршрут в другую подсеть через интерфейс. У вас в один порт же я так понял все воткнуто ?

Что делать, linux не видит сеть windows?

Версии возможно на виндах разные. С какой то версии в 7, а далее и в 10 закрыли старый протокол SMB v1 кажется.

А логи винды что то пишут ??? Просмотр событий - Журналы виндовс - Безопасность.

Вендофайервол : включена служба и выключен в настройках ?

Компы все по ВайФай ?

Как организовать DHCP в домене по зданию?

Дак вот сам не знаю с чего начать.

- Для начала, выкинуть, от слова совсем, все DLINK'и ибо подобная пакость некошерна.

Это будет идти постепенно. я уже сообщил руководству. Финансовый вопрос. МОжет посоветуете на что поменять ?

- Сеть резать крупными кусками (по 24й маске, в крайнем случае по 25), покампусно, даже если на этаже/здании 10 человек;

Это и так будет - планировал DHCP_relay\snooping optoin_82 использовать, но для этого надо чтоб каждый кабинет в коммутор по ВЛАНУ входил. Пока так не везде. Делить думал так 10.X.Y.Z,
где X - номер здания
где Y - код подразделения
где Z - просто номер.
То есть по /23

- Прикупить для ядра микрот, в идеале ccr1036, на второй уровень сойдет и crs326 (покупать 1хх-2хх не стоит ибо устарело);

Посоветуйте модель. У нас сейчас умирает маршрутизатор, вида CISCO 10 летней давности. Модель не знаю. Пользователей около 1500, канал на всех 200-500 Мбит - хватает с головой, то есть трафик не такой и большой. На коммутаторы здания и коммутатор ядра уже закуплены ExTREME. Хочется попробовать микротик - выгодно в финансовом плане, по сравнению с той же БУ циской.

- DHCP полностью возложить на микрот в ядре, аплинк - dhcp сервер. С DNS на Windows Server, нормально "подружится", главное разрешить динамическое обновление;

Поясните - DHCP uplink - отдельный DHCP ?? Или маршрутизатор в качестве DHCPю Нам же еще надо резервирование и 82 опцию.
Вообще теперь уже не знаю - надо ли DHCP на каждое здание отдельно, или единый сервер использовать.

- про VLAN забыть так как я понял сеть одноранговая;

Мы хотим VLAN разделить отделы. То есть даже на разных этажах чтоб были в одном VLAN и получали определенный диапазон адресов, сетевые ресурсы и все такое.

- удаленное управление организовать лучше всего через Radmin (если денех нет, то в сети куча ломаного, но прикупить десяток лицензий для очистки совести стоит), подключаться по доменному имени, а не по IP;

Денег нет, так что RDP, VNC

- PXE - почитайте по WDS (Windows Deployment Services);

Спасибо, то что нужно.

- Учет трафика пользователей, а есть ли смысл ? Гораздо легче при наличии нескольких провайдеров настроить очереди и пошаманить с маршрутизацией, Если хочется "закрыть" вконтактики и прочее, почитайте mikrotik layer 7 https, но это лучше делать на отдельной железке, процессор кушает очень хорошо;

это ОБЯЗАТЕЛЬНО. Ограничивать ничего не требуется, кроме торрентов. (Кстати как лучше их закрыть?)
Нам необходим именно УЧЕТ ПОСЕЩЕНИЙ - нам приходило несколько раз запросы из органов.

Как настраиваются маршрутизация между Vlan на mikrotik CRS326-24-2S?

Эм. А разве не так это делается ?

/ip route

add distance=3 src-address=192.168.150.0/24 dst-address=192.168.80.0/24 gateway=bridge_vlan_5
add distance=4 src-address=192.168.80.0/24 dst-address=192.168.150.0/24 gateway=bridge_vlan_4

Попробуйте так, а после пропингуйте из VLAN4 -> VLAN5 и наоборот.

Как настраиваются маршрутизация между Vlan на mikrotik CRS326-24-2S?

Добавить VLAN2 и VLAN4 на порт VLAN3

А потом
добавить на порте где VLAN2 новый VLAN3
добавить на порте где VLAN4 новый VLAN3

Как настроить PPTP VPN на Mikrotik от vpnbook?

А на винде то вы Выходите из клиента когда проверяете ?? ))) Ну всякое может быть.

Mikrotik проброс VLAN?

А вопрос то в чем ? чем не устраивает настроить по квикстарту. А потом открыть официальное wiki как советовали выше и настроить ? Потмоу что судя по схеме - вы мыслите правильно. Осталось реализовать.

Как заблокировать сервера Fortnite на Микротике?

Адрес источника указан верно ?? попробуйте убрать это поле.

Как настроить DMZ?

Если у Вас есть в WinBox раздел QuickSet - то самое простое сделать через него для вас.

Поставив галку - Firewall router - чтоб включить маршрутизацию. И в разделе Internet указать реквизиты , выданные провайдером. Зависит статик, динамик и так далее. Я так понимаю роутер провайдера уже настроен и раздает вам по DHCP серые адреса ? Если так то выбрать Automatic.

В Local Network указать адрес роутера-шлюза - адрес микротика, например 10.0.0.1
netmask /24
Галку DHCP сервер и диапазон, допусти 10.0.0.10-10.0.0.100

Поставить галку NAT, UPNP.

Это самый простой вариант чтоб у Вас работал интернет по проводу.

Когда он зарабаотет - нужно разбираться дальше. При этом провод от провайдера воткнут в 1 порт микротика. Ваш порт неважно.

Как организовать proxy-сервер для журнала посещений?

Бюджетники, денег не выпросить, и если и выпросить, то планировать на год вперед ПФХД.
А пиратство считаю за грех. =)

Как организовать proxy-сервер для журнала посещений?

Евген, Вот теперь более менее понятно, спасибо!

Как организовать proxy-сервер для журнала посещений?

либо брать NetFlow.

netflow дает только статистику о соединениях - кто куда ходил. В качестве дополнительной аналитики можно, но не основной. Под что годится? Ну, например, выловить тех, кто всевозможные лайфхаки использует для обхода ограничений корпоративного прокси :)

Вот и необходимо именно МИНИМИЗИРОВАТЬ затраты на прокси. У нас ограничения реализуются на CISCO пограничном перед интернетом. А тут нужна ТОЛЬКО статистика по зданию о запросах кто куда ходит. Потому наверно стоит попробовать. Только почти все анализаторы платные, сколько я не смотрел.

или он может стоять как контроллер домена, воткнутый одним портом в коммутатор

Может. И обычно он так и стоит. Потому что обычно на этой же тачке крутится сервис анализа логов и веб-сервер для внутренней статистики...

Вот тут я путаюсь больше всего! Если мне нужно ТОЛЬКО мониторинг и авторизация, то ПРОКСИ же не является GW, и тарфик на него я просто зеркалирую ? То есть он просто работает как соседний ПК с ОДНИМ ПОРТОМ ?

Или же я беру сервер с двумя интерфейсами, и пропускаю ЧЕРЕЗ НЕГО весь трафик ? Трафик тогда дальше идет на маршрутизатор , который указан GW - так ?

Как организовать proxy-сервер для журнала посещений?

Евген,
Спасибо за видео - ознакомлюсь.
Все же уточню. - про выдачу IP адресов понятно. Я никогда не настраивал прокси, потому мне немного не понятно:
Я думал так: DHCP раздает допустим Адрес+ДНС (АД, КД)+ GW (CISCO) И дальше мы прописываем через GPO системный прокси (который может быть до шлюза или после ?).

Вы говорите - указать в качестве GW именно прокси. Он обязательно должен быть GW ??

Вообще в вопросе выше я писал самое для меня сложное - ОБЯЗАТЕЛЬНО ли прокси ставить в разрыв перед маршрутизатором ? До или после GW он должен стоять. Тогда все проясниться.

Как правильно настроить Маскарадинг в Mikrotik?

Я не сильно специалист, но ВОТ ТУТ:
ip firewall nat add action=masquerade src-address=172.19.123.0/24 out-interface=eth1 chain=srcnat

Вы явно указываете всем идти через 8.2

Я так понимаю надо гуглить балансировку, либо объединять порты.

У Вас разные провайдеры ?

Как организовать proxy-сервер для журнала посещений?

Подскажите - Я читал что прозрачный прокси не работает с HTTPS, если это не так - подскажите что искать.

Если не прозрачный прокси:
Про DHCP - планируется внедрение. Но мне подсказали что адрес прокси раздается через GPO. Так и планировал.
Вы же пишете что можно DHCP отдавать как адрес шлюза - можно про это по подробнее ? Для этого не нужно прописывать прокси в системе ??

Как сделать так, чтоб все созданные правила работали на все устройства в одной сети wifi (Mikrotik)?

Надо смотреть полную конфигурацию файервола.

GW - gateway, шлюз. Имеется ввиду - через что ходит в интеренет второй ноутбук. Можете привести трассировку с обоих ноутбуков ?

tracert ya.ru на Виндовс.

Как сделать так, чтоб все созданные правила работали на все устройства в одной сети wifi (Mikrotik)?

Мне кажется - такого не может быть. Трафик идет же через Mikrotik ? У второго ноутбука кто является GW ?

Как организовать DHCP в домене по зданию?

Дмитрий, Спасибо. То, что надо!