Ответы пользователя по тегу Сетевое администрирование
  • Зачем учить сети?

    @mureevms
    Странные ответы выше.
    Я считаю, что если это поможет с подругой, то почему бы и нет. И подруга будет довольна, и вы чему-то научитесь. Это же не плохо. А если вы работаете\планируете работать в IT или смежных областях, то знания останутся и все будет не зря. Ну а если не работаете, то поможет с подругой. Одни плюсы в общем. Но вопрос, стоит ли с ней встречаться, остается за кадром.
    Ответ написан
    Комментировать
  • Как запретить изменение настроек клиентам OpenVPN?

    @mureevms
    Интересный вопрос. Мне кажется, что в данной формулировке никак.
    Я бы решил задачу добавлением второго (третьего...n) инстанса OpenVPN с аналогичными настройками и отличием только в подсети. Ну и порт тоже придется изменить у каждого последующего инстанса. Клиентам раздавать\ограничивать доступ до сервисов из нужных подсетей, а не IP адресов, как это сделано в текущий момент. Т.е. при смене адреса клиентом он будет ограничен правилами подсети и смена адреса потеряет смысл.
    Ответ написан
    Комментировать
  • Маршрут в локальную сеть клиента Openvpn через его сервер, как настроить?

    @mureevms
    Очевидно, дело в маршрутизации.
    1. На клиенте 192.168.1.10 надо включить маршрутизацию
    2. Зависит от размера и конфигурации сети:
    2.1 Или на всех тачках сети 10.0.2.0 (к которым нужен доступ) прописать шлюзом IP адрес клиента, при этом адрес должен быть из сети 10.0.2.0
    2.2 Аналогично 2.1, только настроить на каждой тачке сети (опять же, к которым нужен доступ) статичный роут через тачку с клиентом
    2.3 Или же, как сказал Дмитрий Шицков, сделать на шлюзе в сети 10.0.2.0 роут до сети 192.168.1.0 через адрес OVPN клиента
    Ответ написан
    Комментировать
  • Как запретить сеть, если разорвался VPN в Ubunbu?

    @mureevms
    Три раза писал об этом на Тостере. Вот, например.
    Ответ написан
    Комментировать
  • Пустить определенный айпи не через squid?

    @mureevms
    Посмотрите мою заметку, как для Вас писал.

    UPD
    Если кратко, то исключить из редиректа можно вставив следующее правило перед правилом редиректа:
    iptables -t nat -A PREROUTING -s 10.10.10.10 -p tcp -m tcp --dport 80 -j RETURN

    И еще, фильтрацией (имею ввиду Ваше --dports 80,443,1212,1213,1214,1215 -j ACCEPT) занимается таблица filter, т.е. это надо делать в цепочке FORWARD.
    Ответ написан
    Комментировать
  • Как настроить белый списов IP адресов для хоста в политиках Kaspersky Security Center?

    @mureevms
    Не избретайте велосипед. Ограничте права на шару определенным пользователям средствами ОС.
    Ответ написан
    Комментировать
  • Как настроить доступ в локальную сеть за клиентом OpenVPN?

    @mureevms
    Пинг с сервера до локальной сети клиента не идёт. Также компьютеры из сети клиента не могуть пинговать локальную сеть за сервером.

    Это нормальное поведение. Дело в том, что у Вас просто одиночный клиент. С чего бы всей сети в которой находится клиент вообще знать о второй удаленной сети, в которой находится сервер? Т.е. Вы все настроили правильно.
    Если Вы хотите дать доступ всей подсети 192.168.2.0, то надо ставить или 1. OVPN клиента на роутер, или 2. пускать весь трафик через машину с установленный клиентом (т.е. она станет роутером со всеми вытекающими). Если же только нескольним компам, то подключите и их как клиентов.
    Ответ написан
  • Как объединить два провайдера, увеличив скорость интеренета?

    @mureevms
    Не совсем разделяю мнение вышевысказавшихся.
    То, что требуется автору, называется multihomed. Не знаю как на микротиках и прочих роутерах, но на линуксовом шлюзе это делается достаточно быстро, статей много. Но тут есть нюанс, который надо понимать. Классическое скачивание файла в браузере - это когда есть один сервер и один клиент, не даст прироста скорости, т.к. соединение будет только одно и через конкретный шлюз. Но при открытии страничек ютуба или контакта, которые генерят множество динамических поддоменов и раскидывают контент между ними - будет несколько соединений на разные домены и коннекты будут происходить по разным каналам. Тоже касается и торрента. Устанавливается несколько (десятков) соединений до пиров и каждое новое соединение с пиром методом round-robin будет идти то через одного провайдера, то через другого (в зависимости от настроек), тем самым увеличится конечная скорость скачивания.
    Ответ написан
    Комментировать
  • Двойной NAT хорошо или плохо?

    @mureevms
    За неимением лучшего и двойной нат сойдет.
    Хоть это и костыль, но могу сказать, что у меня на двойном нате работает целое здание уже третий год и проблем нет.
    Ответ написан
    Комментировать
  • Что делать с потерей пакетов, как выяснять причину?

    @mureevms
    При помощи этой утилиты можно посмотреть где на трассе теряются пакеты winmtr.net/download-winmtr Смотрите значение Loss.
    Хотя под виндой мне не очень нравится как она работает. Надо правильно интерпретировать вывод при определенных показателях, иногда совершенно не очевидный.
    Ответ написан
  • Как сделать ipip tunnel между серверами linux?

    @mureevms
    мне нужно сделать туннель, а потом создать интерфейс и указать в нем новый ip

    Выше правильно сказали, что это невозможно сделать, т.к. транслировать надо дополнительный (свободный) IP адрес. А раз его нет, то что Вы собрались маршрутизировать?
    Но это для ipv6. как сделать для ipv4 я не понимаю, сколько бы не думал над этим...

    Потому и не понимаете, что не понимаете как это работает)
    В приведенном примере маршрутизируется в туннель /64 подсеть, а это 1,8×10^19 адресов. Она у них есть, понимаете? А у Вас нет не то что подсети, а даже второго IP, который и надо маршрутизировать.

    Опишите задачу которую хотите решить. Мне кажется Maksim правильно понял ситуацию, что описано восьмом комментарии.
    Ответ написан
    Комментировать
  • Возможна ли маршрутизация и веб сервер на одном компьютере?

    @mureevms
    Возможна.
    Из локальной сети вы ходите по доменному имени, привязанному к внешнему адресу? Тогда проблема в пересылке пакетов между интерфейсами и NATе. Для избежания этой ситуации можно:
    1. ходить по IP локального интерфейса.
    2. если есть свой DNS сервер для локальной сети - создать локальные зоны всех доменов и раздавать клиентам IP локального интерфейса для локальных клиентов.
    Ответ написан
    Комментировать
  • Как помочь клиентам VPN увидеть друг друга?

    @mureevms
    Форвард в ядре на OVPN сервере включен?
    echo "1" > /proc/sys/net/ipv4/ip_forward
    Ответ написан
  • Есть ли практическая польза использования маршрутизатора вместо концентратора в домашней сети ~4 компьютера?

    @mureevms
    Разница в скорости сети будет, если Вы купите нормальный свитч и перейдете на гигабит.
    Маршрутизатор, концентратор. Сдается мне, вы путаетесь в понятиях.
    Ответ написан
    Комментировать
  • Vpn маршрутизация без шлюза в подсети?

    @mureevms
    каким образом можно достучаться до подсети если client_1 не играет роль шлюза подсети?

    Сдается мне, что ни каким.
    Каким будет шлюз у машин подсети 192.168.1.0, если не 192.168.1.250? Как машины будут выходить в инет, если не через шлюз, который 192.168.1.250?
    Что Вы подразумеваете по фразой "не играет роль шлюза подсети"?
    Ответ написан
  • Как настроить маршрутизацию OpenVPN на OpenWRT?

    @mureevms
    Правильно ли я понял, Вам нужен доступ до подсети 192.168.201.0\24 для OpenVPN клиента?
    Подсеть 192.168.200.0 доступна для клиента?
    Если да, то надо просто запушить роут до этой подсети на ovpn сервере:

    push "route 192.168.201.0 255.255.255.0"

    Что за странные option перед параметрами на сервере, это такой синтаксис у openWRT? Тогда
    list push "route 192.168.201.0 255.255.255.0"
    Ответ написан
  • Как настроить маршрут Windows XP + OpenVpn для linux клиента?

    @mureevms
    На линукс машине (и не только на ней, а на каждой, которой нужен доступ к сети за впн сервером) надо добавить дополнительный роут, а не менять шлюз по умолчанию:
    route add -net 192.168.0.0/24 gw 10.10.0.1
    Где:
    192.168.0.0/24 - подсеть за OpenVPN сервером
    10.10.0.1 - IP адрес машины с XP

    А вообще, как-то не по феншую задача решается. Зачем расшаривать соединение при помощи XP? Каким образом Вы добавляете маршруты на остальные машины в подсеть за OpenVPN сервером, руками?
    Если Вы имеете доступ и вправе переделать текущую архитектуру, то так и надо поступить, как мне кажется. Вижу два варианта:
    1. На чем у Вас шлюз? Если он умеет OpenVPN, то на нем и надо организовывать подключение. Если не умеет, сделать такой, чтобы умел.
    2. Подключаться на ovpn сервер каждому из клиентов. Если подключение нужно всем, то смотреть пункт 1.
    На самый крайний случай, если не получится с первыми двумя:
    3. Использовать не XP, а Linux. На нем настраиваете ovpn клиента и раздаете его подсеть. По сути тоже самое, что и с XP, только профессиональнее.
    Ответ написан
  • Как подружить Docker и iptables-persistent или найти другое решение?

    @mureevms
    Судя по всему, правила докера очищают правила системы. Разве нельзя просто добавить правила докера в системный скрипт iptables и запускать его после старта докера?
    Ответ написан
  • Как достучаться до машины в VLAN сети за OpenVPN сервером?

    @mureevms
    Для доступе к локальной сети надо включить пересылку трафика между интерфейсами в ядре системы на OpenVPN сервере:
    echo "1" > /proc/sys/net/ipv4/ip_forward

    И разрешить форвард на фаерволе:
    iptables -A FORWARD -s 192.168.182.0/24 -d 10.250.4.0/24 -j ACCEPT
    iptables -A FORWARD -d 192.168.182.0/24 -s 10.250.4.0/24 -j ACCEPT
    Ответ написан