Задать вопрос
  • Как разделять работу 2 dhcp серверов соединенных мостом VPN?

    @satoo
    • повесить dhcp на конкретный интерфейс (если есть такая возможность - не указан используемый dhcp сервер)
    • блокировать udp 67 из интерфейса vpn. 100% гарантия на любом интерфейсе
    Ответ написан
  • Mikrotik, автоматическое назначение разных DNS серверов?

    @satoo
    Если не вдаваться в подробности, для чего автору это надо, то можно
    • По dhcp выдавать разные dns-сервера
      ip dhcp-server network add address=x.x.x.x/32 dns-server=8.8.8.8 gateway=y.y.y.y

    • Выдать одинаковые dns-сервера, но в нате на анализе источника перекидываеть на нужный сервер

    Ответ написан
  • Прошу помочь в настройке аппаратного свитча Mikrotik Atheros 8227?

    @satoo
    Смысл работы с вланами через свитч-чип это "анализировать не процом содержимое влана пришедшего кадра". Т.е. прилетел кадр в первый порт с 10 вланом. По таблице коммутации его надо отправить в 3й и 5й порт. Этот анализ проходит на свитч-чипе, что дает wire-speed для коммутации. Разные свитч-чипы имеют разные аппаратные возможности по анализу и модификации кадров. Для выяснения возможностей надо смотреть на документацию, например на https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_.... Желательно смотреть на оригинал, а не на перевод, который может быть корявым или не полным, т.к. оригинальная статья может быть исправлена/дополнена, а перевод - нет.

    Для пересылки кадра из одного влана (уровень L2) в другой на основе ip адреса (а это уже L3) данному чипу микротика нужно задействовать проц. Как правильно сказал Mystray, для этого нужно в такой влан добавить cpu (т.е. если проц не имеет доступа к какому-то влану, то микротик ничего* не может сделать с пакетами из такого влана - маршрутизация, firewall).

    К слову, использование свитч-чипа дает хорошую разгрузку процессору маршрутизатора. Большинство советов в интернете по вланам в микротиках идет на более универсальной, "понятной" системе бриджей, что дает значительно большую нагрузку на проц.

    Попробуйте свитч-чип, как минимум посмотрите на разницу в скорости, нагрузке. Знания карман не тянут, а повышение производительности на основании знаний аппаратных платформ - показатель сетевика (хоть циски, хоть хп, хоть чего)
    Ответ написан
    Комментировать
  • Как реализовать подключение порядка 100 пользователей к wifi?

    @satoo
    имхо.
    Если про микротик говорить, как о маршрутизаторе, то у железки нет понятия количества пользователей, зато есть пропускная способность (понятно, что сферический конь в вакууме, но для сравнения подойдет) - Ethernet test results (Routing 25 ip filter rules 31.0 Mbps при размере 64 байта). Т.е. в самом худшем случае, при 25 правил и маленьком размере пакета проц канал не зарежет. НО! при использовании очередей, без fastpath может быть и худо.

    А вот про wifi и дополнительные unifi тарелки... Как раз-таки самая проблема будет в wifi и засоренности эфира. Опять-таки, на обычном оборудовании (без контроллеров) считается, больше 10-15 устройств на точку лучше не вешать (если мы говорим о точке b/g/n без mimo). Но, конечно, все зависит от типа траффика и активности клиентов. Кроме того, не забываем, что если на точку кто-то подключится по b|g или с убитой антенной (встречается) или находится очень далеко, но ведет передачу, то плохо будет всем пользователям на точке.

    Как решение - побольше точек в 5Гц диапазоне (он более чистый), включении на 2,4Гц только стандарта N, на микротиках отключение пользователей при низком уровне сигнала.
    Ответ написан
  • Как на Mikrotik отслеживать подключившиеся/отключившиеся устройства к WLAN/LAN?

    @satoo
    Есть стандартная возможность вызывать скрипт при выделении адреса (т.е. это поможет, если устройство не имеет статики). Примеров - море. Пример, например ;)
    Ответ написан
    Комментировать
  • Как сделать бесшовный wi-fi?

    @satoo
    1. Бесшовный роуминг как понятие отсутствует в стандарте wifi. Каждый производитель решает данную задачу по-своему
    2. Микротик имеет возможность настройки по сбрасыванию клиента, когда уровень его сигнала ниже заданного, что решает следующую стандартную ситуацию:
    • wifi клиент держится за точку "до конца";
    • "конец", зачастую, означает крайне низкий уровень сигнала, когда даже пользователь видит, что часть пакетов теряется, но на канальном уровне линк еще висит. Как в телефоне, значок "Е" горит, но интернета уже нет (это уже не интернет :))


    Сбрасывание клиента, у которого уровень сигнала ниже заданного приводит:

    • к переподключению клиента к ssid аналогичному последнему;
    • при наличии точки, вещающей аналогчиный ssid выбирается точка с большим уровнем сигнала;
    • таким образом происходит "роуминг" клиента микротика - мы сбрасываем клиента и заставляем его найти точку с большим уровнем сигнала в то время, когда беспроводной линк еще "живой", но уже начинает "лагать"


    Мы проектировали сеть на микротиках так, что копирование файла, при перемещении между точками доступа не прерывалось (голос и пр - аналогично). Но, вообще, никто не сможет гарантировать полное отсутствие потерь пакетов при переходе между точками - нет единого стандарта.

    ЗЫЖ в качестве аллегории wifi можно описать так: точка доступа - комната, абоненты - люди разговаривающие в комнате. Есть правило: в комнате может разговаривать в одно время только один человек.

    Если комната большая, то возможна ситуация, когда человек, находящийся в дальнем конце комнаты не слышит, что кто-то уже говорит и начинает сам говорить. Через какое-то время все понимают, что правило нарушено и замолкают. Затем ситуация может повториться (из-за тугого уха - не чувствительный приемник, из-за шепелявого говора - плохого тракта на передачу или на прием) - в итоге скорость сети будет падать.

    Все wifi репитеры, которые слушают wifi и его повторяют есть зло, т.к. в таком случае в конце комнаты стоит другой человек который повторяет каждой комнате то, что слышит в другой (причем он повторяет все - и глухих и шепелявых). Из-за этого резко возрастает количество коллизий - нарушения правила - в одно время вещает только одно устройство.

    ИТОГ: для увеличения покрытия зоны wifi правильно использовать только провод.
    Ответ написан
  • Как в групповых политиках 2008R2 сделать ограничения на расширения?

    @satoo
    возможно, лучше всего подойдет SRP
    Механизм защиты прост и эффективен, суть его в том что пользователю разрешено запускать только явно разрешенные приложения, это избавляет от всяческих неприятностей с установкой adware, spyware и прочей мути в профиль пользователя и еще от ряда неприятностей.


    В общем смысле - забираете права администратора (без этого ничего не поможет) и разрешаете запуск программ только в определенных каталогах (%ProgramW6432%, %ProgramFiles%, %windir%). Так же можно разрешить запуск программы по ее контрольной сумме (чтоб не подменили легальное на "левое" в доступном на запись каталоге).

    Т.к. пользователь без прав администратора туда ничего записать не может - зловреды там не окажутся. Все файлы, приходящие по почте под видом картинок, но имеющие исполняемые расширения не запустятся. От макровирусов (если кто еще о них помнит) это не сбережет, но от дропперов крипровирусов - на 98% поможет (и лучше всякого антивируса). Так же поможет от установки/использования "левого" и переносимого ПО (и всяких там меилрушечных и прочих программ, не требующих прав администратора и устанавливающихся в каталог пользователя)
    Ответ написан
    Комментировать
  • Не могу пинговать свой микротик?

    @satoo
    какова цель этого правила? в мангл надо что-то прописывать когда хочется чего-то "хитрого". Остальное, обычно, решается или в фильтре или в нате
    Ответ написан
    Комментировать
  • Шлюз в другой подсети для маркированного трафика недоступен?

    @satoo
    1. покажите с двух микротиков:
    /ip route export
    /ip firewall export
    2. для маршрутизации вы можете указать в качестве адреса шлюза такой адрес, до которого маршрутизатор имеет непосредственный доступ
    3. сквид может до 192.168.77.0/24 подсети ходить?
    Ответ написан
  • MikroTik RB941-2nD-TC теряет пакеты?

    @satoo
    А во-вторых, и это самое главное, при подключении через вафлю теряются пакеты, тупят страницы, повреждаются картинки (прям открываешь кеш хрома - а картинка в пикселях, наполовину обрезана, etc), появляются какие-то ошибки, некоторые сайты тупо не грузятся,
    очень похоже на проблему с MTU. Может наложилось две проблемы - MTU + WiFi?

    Кроме того, можно посмотреть на скорость самого вайфая, убрав микротик туда, где эфир чист и воспользоваться внутренним измерителем канала на микротике (ответную часть для компа взять с сайта)

    Теряются ли пакеты рядом с микротиком? Такого быть не должно при любом эфире. Если пакеты теряются, то сбросьте настройки вайфая и проверьте снова. Если продолжают теряться - возможно проблема в самом модуле wifi
    Ответ написан
  • Перенаправить закрытые порты на второе соединение Windows?

    @satoo
    1. поставить маршрутизатор, в него завести два интернета - проводной (интернет с общаги) и беспроводной (на телефоне поднять точку доступа, а с маршрутизатора подключиться к ней). а дальше рулить маршрутизатором - в зависимости от порта назначения выбирать интернет. в качестве маршрутизатора подойдет или микротик или что-то на базе openwrt (и его клонов). как результат, на роутере можно получить "итоговый" как проводной, так и беспроводной интернет.

    2. поднять где-то в "вольной сети" ovpn на 443 порту. если анализа траффика нет, то может сработать ;)
    Ответ написан
    Комментировать
  • Как запретить одновременное подключение к openvpn с одинаковым сертификатом?

    @satoo
    такое поведение, судя по всему, by design
    --duplicate-cn Allow multiple clients with the same common name to concurrently connect. In the absence of this option, OpenVPN will disconnect a client instance upon connection of a new client having the same common name.

    С отключенной опцией (по-умолчанию) новый клиент "выбивает" старого. Нигде не говорится, что новый просто не сможет подключиться. Т.е. по умолчанию просто в одно время один клиент. Последний
    Ответ написан
    1 комментарий
  • Как закрыть rdp порт из вне?

    @satoo
    1. как уже сказали - firewall
    2. в свойствах подключения, на вкладке сетевой адаптер можно выбрать не "все сетевые адаптеры настроены для данного протокола", а только нужный
    Ответ написан
    Комментировать
  • Как пробросить веб порт с hilink на другой интерфейс в mikrotik?

    @satoo
    Вариант 1
    сменить порт вебинтерфейса модема:
    ip service set www port=
    пробросить 80 порт на лте модем:
    add action=dst-nat chain=dstnat dst-address=10.0.0.15 dst-port=80 in-interface=VPN protocol=tcp to-addresses=192.168.50.1


    Вариант 1а
    ничего не менять, а заходить на вебинтерфейс модема через порт 8080:
    add action=dst-nat chain=dstnat dst-address=10.0.0.15 dst-port=8080 in-interface=VPN protocol=tcp to-addresses=192.168.50.1 to-ports=80

    может просто пробросить 8080 на 80 порт lte-модема?

    Вариант 2
    сделать маршрутизацию между двумя точками через впн и ходить друг к другу по внутренним адресам без ната
    Ответ написан
  • Mikrotik loopback?

    @satoo
    делаете бридж и назначаете ему адрес
    Ответ написан
    6 комментариев
  • Mikrotik, metarouter, как добавить vlan?

    @satoo
    вам, скорее всего, нужно идти от обратного. на самом микротике создать подинтерфейс и пробросить его в виртуалку.
    Ответ написан
  • Как узнать PID процеса службы через консоль?

    @satoo
    так (для службы печати):
    $ServicePID = (get-wmiobject win32_service | where { $_.name -eq 'spooler'}).processID
    Stop-Process $ServicePID -Force

    или полуручное (тоже можно допилить):
    sc queryex spooler
    taskkill /f /pid 123123123
    Ответ написан
    Комментировать
  • VyOS. Как пробросить внешних IP на внутренние в локальную сеть?

    @satoo
    сравните, похоже ошибочка в интерфейсах

    set nat source rule 10 source address 10.0.100.3
    set nat source rule 10 outbound-interface eth2
    set nat source rule 10 translation address 120.13.123.123
    
    set nat destination rule 10 inbound-interface eth2
    set nat destination rule 10 destination address 120.13.123.123
    set nat destination rule 10 translation address 10.0.100.3
    Ответ написан
  • Где найти бесплатные системы контент-фильтрации?

    @satoo
    если "для образования" - это для учебного учреждения, то можно это. 800 рублей в год на сеть это, имхо, "бесплатно"
    Ответ написан
  • Контроль windows консоли, возможно ли?

    @satoo
    1. если вы хотите отслеживать запущенные программы (не команды интерпретатора, например dir), то стандартно - через аудит, а далее через журналы операционной системы
    2. если вы хотите журналировать введенные команды, то смотрите, например, это
    надо понимать, что в линухах это функция шелла. cmd изначально это не умеет

    ps. можно посмотреть в сторону doskey /history (не совсем понятна сама задача - смотреть что ТЫ запускал, или кто-то другой. и вообще, от чего защищаемся не понятно)
    Ответ написан
    Комментировать