Задать вопрос
  • Сбор бэкапов микротик?

    sizaik
    @sizaik
    сисадмин, Витебск
    Отправляю на FTP-сервер по расписанию через tools/fetch
    Ответ написан
    3 комментария
  • Маршрутизация Mikrotik как настроить маршрутизацию?

    sizaik
    @sizaik
    сисадмин, Витебск
    Уверены, что не наоборот? Не сервер к кассам подключается, а кассы к серверу?
    Если всё же кассы к серверу, надо настроить dst-nat на Микротике:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=***белый IP-адрес Mikrotik*** src-address=***белый IP-адрес первой кассы*** to-addresses=***внутренний IP-адрес сервера***
    и для второй кассы так же.
    На кассах нужно настроить адрес сервера = ***белый IP-адрес Mikrotik***
    Все запросы от касс будут перенаправляться с Микротик на сервер через dst-nat.

    Только вот эта строчка в вашем конфиге меня смущает
    /ip address
    add address=192.168.0.80 interface=ether1 network=192.168.0.80
    но при этом
    /ip route
    add distance=1 gateway=212.46.253.97
    Если вы так спрятали свой реальный IP, тогда ОК. А если нет, то сомневаюсь, что ваш конфиг рабочий.
    Ответ написан
  • Как настроить два сетевых интерфейсов для Asterisk?

    sizaik
    @sizaik
    сисадмин, Витебск
    Если я правильно понял ситуацию:
    • сервер имеет доступ в интернет через локальную сеть (далее eth0)
    • интерфейс провайдера (далее eth1) будет служить для подключения к SIP-серверу провайдера


    Если так, то проблема с маршрутизацией.
    - Уберите строчку GATEWAY из настроек eth1 (в файле /etc/sysconfig/network-scripts/ifcfg-eth1).
    - Пропишите маршрут на SIP-сервер в файле /etc/sysconfig/network-scripts/route-eth1 (его надо будет создать): ***IP SIP-сервера провайдера*** via ***IP шлюза провайдера*** dev eth1

    Перезагрузите / перезапустите сеть.
    Теперь сервер будет ходить в интернет через локальную сеть, а на SIP-сервер провайдера через канал провайдера.
    Ответ написан
    1 комментарий
  • Что изменилось в прошивке 6.42.х?

    sizaik
    @sizaik
    сисадмин, Витебск
    Роутеры разных моделей, в т.ч. RB2011, RB1100, RB912, RB951. Версия РоутерОС 6.42.1. Работает l2tp, sstp, радиус, десяток vlan, NAT, mangle, firewall (на самом жирном роутере сотни две правил firewall в общей сложности). А также очереди simple queues, OSPF, GRE-туннели, IPSec по сертификатам, капсман, WiFi и хотспоты.
    С 25 апреля полет нормальный, незапланированных перезагрузок не было.
    Может, с конфигом проблемы?
    Ответ написан
  • Длина SIP домена больше 38 символов, не умещается в настройки телефона (Flying Voice IP622) - как обойти?

    sizaik
    @sizaik
    сисадмин, Витебск
    А вы уверены, что он их реально обрезает? может, просто в лог выводит таким образом?
    Я бы промониторил соединения с аппаратов и посмотрел, что по факту он запрашивает у DNS-сервера, если ваше оборудование это позволяет. Wireshark в помощь.

    В качестве псевдонима можно указать IP-адрес. В любом случае аппарат сначала делает запрос к DNS-серверу, которые разрешает доменное имя ip.b24-5247-1480647593.bitrixphone.com в IP-адрес, а потом на этот адрес отправляет запросы. Можно также указать псевдоним sip.voximplant.com

    Но есть нюанс - доменное имя ip.b24-5247-1480647593.bitrixphone.com может использоваться также в авторизации и поле contact SIP-заголовков, поэтому оно должно быть прописано в соответствующих полях целиком.
    Ответ написан
    Комментировать
  • Mikrotik - проброс порта через два провайдера?

    sizaik
    @sizaik
    сисадмин, Витебск
    Мутно у вас в конфиге mangle. Зачем-то маркировка соединений идет в цепочке input, хотя более правильно делать её на prerouting.
    Я бы делал так:
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=vlan101 new-connection-mark = cm-ISP101 passthrough=yes
    ***повторить для двух других провайдеров.
    Это правило обработает как соединения, адресованные роутеру (input) так и всё, что предназначено для передачи в nat

    /ip firewall mangle
    add action=mark-routing chain=prerouting connection-mark=cm-ISP101 new-routing-mark=rm101 passthrough=yes
    ** повторить для двух других провайдеров.
    Это правило должно быть расположено ниже предыдущего. Оно поставит метку маршрутизации для пакетов в соединениях, которые мы выше пометили как cm-ISP101 - cm-ISP103. Для тех, которые

    /ip firewall mangle
    add action=mark-routing chain=output connection-mark=cm-ISP101 new-routing-mark=rm101 passthrough=yes
    ** повторить для двух других провайдеров.
    Это правил повторяет предыдущее, но относится к тем пакетам, которые роутер формирует сам - они не проходят цепочку prerouting.
    Правила NAT и таблица маршрутизации у вас вроде бы нормальные.
    Ответ написан
    Комментировать
  • Почему при двойном клике на слове в начале строки, оно выделяется с предыдущей строкой с последним символом (при чем там символа нет)?

    sizaik
    @sizaik
    сисадмин, Витебск
    Посмотрите в меню View-Show Symbol-Show all characters, напишите, какие символы у вас в конце строки.
    Возможно, у вас файл в формате Unix (перевод строки только LF вместо CR LF в Windows), и ваша версия Нотепад++ не умеет его правильно обрабатывать.
    Возможно, связано с плагинами синтаксической подсветки, попробуйте временно отключить.
    Ответ написан
  • Почему не пускает на терминальный сервер?

    sizaik
    @sizaik
    сисадмин, Витебск
    Должно работать.
    Нет ли этого пользователя или его группы в политике "Запретить вход в систему через службу УРС"? Запреты имеют приоритет над разрешениями.
    Прописалась ли у пользователя группа NomerOk-server-users? Проверь whoami /groups
    Если нет, надо перелогиниться.
    Ответ написан
  • Нет отчета от компьютера на консоли WSUS?

    sizaik
    @sizaik
    сисадмин, Витебск
    Причин может быть много.
    Но часто такую проблему вызывает старая версия программки КриптоПро - это криптопровайдер, широко используемый в России в системах клиент-банк, обмена документами с налоговой и т.п. Обычно его ставят и никогда потом не обновляют.
    Проверь, если КриптоПро на этих компах установлен - проблема может быть в этом, решается установкой патча.
    Если нет - тогда надо разбираться.
    Ответ написан
  • Какую АТС порекомендуете?

    sizaik
    @sizaik
    сисадмин, Витебск
    Ставьте freePBX на свой сервер, подключайте номер Мегафон (услуга переадресации на SIP Мультифон) - и вперед. Только не забудьте выбрать тариф без абонентской платы.

    Но вообще облачная АТС на 5 пользователей с городским номером будет стоить не более 600 рублей в месяц. Если вы не готовы к таким адским расходам - ну, даже не знаю, вы уверены, что вам это надо?
    Ответ написан
    Комментировать
  • Какое оборудование выбрать для организации малой локальной сети?

    sizaik
    @sizaik
    сисадмин, Витебск
    Купите для начала Mikrotik, например RB2011.
    Это маршрутизатор с возможностями коммутатора. 5 гигабитных портов, 5 по 100Мбит.
    И когда появятся другие требования (а они появятся), не надо будет всё переделывать.
    И да, только проводная сеть.
    Ответ написан
    3 комментария
  • Как изменить путь установки программ после изменения тома диска?

    sizaik
    @sizaik
    сисадмин, Витебск
    Простой путь - извернуться и вернуть букву диска на место, как она была. В большинстве случаев это возможно.
    Если нельзя, то нужно идти сложным путем - брать документацию к каждой программе и разбираться, как поменять пути в каждом конкретном случае.
    Можно, конечно, поменять пути через поиск в реестре и текстовых конфигурационных файлах, но велика вероятность где-нибудь накосячить.
    Ответ написан
    2 комментария
  • ПО для управления гостиницей?

    sizaik
    @sizaik
    сисадмин, Витебск
    Вы хотите управлять гостиницей на 300-400 номеров по 50$ за ночь, но готовы сразу ограничить свой выбор из-за того, что сервер Windows стоит аж 900$? Мне не кажется, что это правильный подход.
    Ответ написан
    Комментировать
  • Открытые порты Mikrotik после базовой настройки. Есть ли опасность?

    sizaik
    @sizaik
    сисадмин, Витебск
    Последние два похожи на работающий NAT. 443 - веб-сервер Микротика, 8291 - Winbox (программка для управления микротиком), 2000 - см. описание.
    Почему бы в фаерволле не открыть те, которые нужны, а остальные закрыть? Тогда и разбираться не придется.

    Для вас это будет выглядеть как-то так (не тестировал, пишу по памяти):
    /ip firewall filter
    add chain=forward src-address=локальная подсеть
    add chain=input protocol=tcp dst-port=22,1723
    add chain=input protocol=gre
    add chain=forward protocol=tcp dst-port=3389 dst-address=адрес терминального сервера
    add chain=input action=drop
    add chain=forward action=drop

    1. Разрешаем локальным хостам ходить в интернет. Здесь открыто всё, я обычно открываю только http и https, остальное при необходимости.
    2. Разрешаем входящие соединения 1723 (pptp) и 22 (управление Микротиком по SSH). Использовать стандартный порт, кстати, небезопасно, но вот тут подсказали очень крутую штуку.
    3. Для PPTP еще нужен протокол GRE
    4. Доступ по RDP к терминальному серверу, или что там у вас.
    5. Все остальные входящие отбрасываем
    6. Все остальные маршрутизируемые (через NAT, например) тоже.
    Ответ написан
    Комментировать
  • 3 WAN и торренты?

    sizaik
    @sizaik
    сисадмин, Витебск
    Сначала маркируй соединения, потом пакеты с определенной меткой соединения.
    Ответ написан
    2 комментария
  • Переход с аналоговой на VoiP телефонию: что лучше шлюз или новые аппараты?

    sizaik
    @sizaik
    сисадмин, Витебск
    С аналоговыми телефонами гораздо лучше работают аналоговые АТС.
    При работе через шлюз на аналоговых телефонах не будет определения номера вызывающего абонента. Могут быть трудности с настройкой продвинутых функций типа удержания вызова, ожидания вызова (вторая линия).
    Я бы рекомендовал купить на сколько хватит бюджета SIP-аппаратов, остальным поставить софтфоны и выдать гарнитуры.
    Если правильно внедрить, начальство быстро поймет цимес и изыщет деньги на всеобщую телефонизацию.
    Ответ написан
    2 комментария
  • Как настроить 2 канала провайдера на mikrotik с одновременной доступностью 2х интерфейсов?

    sizaik
    @sizaik
    сисадмин, Витебск
    Можно!
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN1 new-connection-mark=cmISP1
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN2 new-connection-mark=cmISP2
    add action=mark-routing chain=prerouting connection-mark=cmISP1 new-routing-mark=rmISP1
    add action=mark-routing chain=prerouting connection-mark=cmISP2 new-routing-mark=rmISP2

    /ip route
    add check-gateway=ping distance=1 gateway=1.1.1.1 routing-mark=rmISP1
    add check-gateway=ping distance=1 gateway=2.2.2.1 routing-mark=rmISP2
    add check-gateway=ping comment="ISP1 default route" distance=1 gateway=1.1.1.1
    add check-gateway=ping comment="ISP2 default route" distance=2 gateway=2.2.2.1
    /ip route rule
    add comment="Access to provider gateway only via corresponding interfaces to ensure ping check works properly" dst-address=1.1.1.1/32 table=rmISP1
    add dst-address=2.2.2.1/32 table=rmISP2

    не обещаю, что прямо сразу заработает, но принцип именно такой.
    Ответ написан
    Комментировать
  • Как сделать интернет не через vpn?

    sizaik
    @sizaik
    сисадмин, Витебск
    Неделю назад ровно такая же тема была.
    Почитай комменты, там вроде разобрались.
    Ответ написан
  • Какие есть хорошие роутеры с входом оптики и wifi?

    sizaik
    @sizaik
    сисадмин, Витебск
    Конечно, Mikrotik!
    И SFP-модуль к нему для вашей оптики.
    Ответ написан
  • Mikrotik, блокировка всего трафика, кроме одного порта?

    sizaik
    @sizaik
    сисадмин, Витебск
    А в чем проблема? Вы так подробно всё расписали, что тут и думать не надо. Только странно как-то, не могу представить кейс, в котором будет нужна такая конфигурация.
    /ip firewall filter
    add chain=forward src-port=12345 dst-port=6336 protocol=tcp src-address=172.16.0.2 dst-address=192.168.0.2
    add action=drop chain=forward src-address=172.16.0.0/24 dst-address=192.168.0.0/24
    Ответ написан