Задать вопрос
  • Что за портом конкретного интерфейса mikrotik'a?

    sizaik
    @sizaik
    сисадмин, Витебск
    /interface ethernet switch host print
    P.S. в свитч вы объединяете правильно.
    Ответ написан
    Комментировать
  • Как пустить трафик в обход ВПН?

    sizaik
    @sizaik
    сисадмин, Витебск
    Для отдельных приложений это будет сделать затруднительно.
    Маршрутизация работает на сетевом (3) уровне OSI, а не на прикладном (7).
    Но обычно эта проблема решается так:
    • в клиенте OpenVPN уберите создание шлюза по умолчанию через удаленную сеть
    • через route add настройте маршрутизацию на те хосты/подсети в удаленной сети, которые нужны вашим приложениям.
    Ответ написан
    7 комментариев
  • На что следует обратить внимание при подборе коммутатора?

    sizaik
    @sizaik
    сисадмин, Витебск
    Обратить внимание нужно на функционал.
    Но если вы ставите задачу таким образом - у вас расплывчатое представление о том, что могут и как используются свитчи. В этом случае для защиты инвестиций я бы посоветовал купить что-нибудь из цисковской серии для малого бизнеса. Функционал у них широкий, а понимание, как его использовать, придет позже.
    Например Cisco SG500X-24 и SG500X-48. Они удовлетворяют всем вашим требованиям, но вылезут за рамки бюджета тысяч на 50.
    Я бы хорошенько подумал вот над чем:
    - реально ли всем пользователям нужен гигабит? и офис-менеджеру? и бухгалтеру? зачем? Не лучше ли взять один свитч Fast Ethernet для большинства пользователей и один Gigabit Ethernet для тех, кому действительно нужен гигабитный канал?
    - так ли вам нужен 10Гбит канал до сервера? Я с трудом представляю приложения для малого бизнеса, где это нужно. Если одного гигабита однозначно мало - есть сетевые карты с несколькими портами и статическая агрегация каналов. Прикиньте, это может выйти значительно дешевле.
    Ответ написан
    1 комментарий
  • Как разрешать разные DNS-имена через разные серверы?

    sizaik
    @sizaik Автор вопроса
    сисадмин, Витебск
    Сам нашел. Микротик хорош.
    forum.mikrotik.com/viewtopic.php?t=48607
    Через /ip firewall layer7-protocol, который умеет искать регулярные выражения внутри пакета. Его можно вставить условием в nat, дальше дело техники.
    Спасибо всем за поддержку, вопрос снимаю.
    Ответ написан
    Комментировать
  • Как ИП обмениваться договорами живя за границей?

    sizaik
    @sizaik
    сисадмин, Витебск
    Почта! Конверты, марки, вот это вот всё. Сначала по электронной почте обмениваетесь сканами, потом для порядку отправляете по почте два оригинала со своими подписями. Один вам возвращают обратно.
    Проверял, работает.
    Ответ написан
    1 комментарий
  • Как параллельно выполнять скрипт при входящем звонке на Мегафон Мультифон?

    sizaik
    @sizaik
    сисадмин, Витебск
    Вот здесь почитайте: superuser.com/questions/182954/sip-client-to-open-...
    Там человек хотел немного другого, но ему ответили то, что вам нужно.
    Ответ написан
  • Mikrotik+L2TP+IPSec+AD=смена паролей?

    sizaik
    @sizaik
    сисадмин, Витебск
    Пользователь может удаленно поменять/обновить пароль через Exchange OWA или Remote Desktop Web Access, если они есть. Если нет, то увы.
    Обходные решения: для пользователей, которые никогда не бывают в офисе можно сделать отдельную политику без необходимости регулярной смены паролей. Для пользователей, которые забывают сменить пароль перед выходными - есть много способов для улучшения памяти. Например, оставить без VPN до понедельника. :)
    Ответ написан
  • Как настроить QoS для потоковых данных (видеоконференции) на mikrotik?

    sizaik
    @sizaik
    сисадмин, Витебск
    Любой QoS состоит из двух частей.
    1. Отмаркировать интересующий трафик в /ip firewall mangle. Тут вам нужно проанализировать соединения на zoom.us и понять, как именно туда/оттуда передаются данные. Анализировать можно по-всякому - через текущие соединения на том же микротике, через Wireshark, как вам удобнее. Ниже пример, как я маркирую трафик для RTP-соединений с голосовым провайдером:
    // маркируем соединения
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-port=\
    16384-16538 new-connection-mark=VOIP passthrough=no protocol=udp
    // маркируем пакеты в этом соединении
    add action=mark-packet chain=prerouting comment=VOIP connection-mark=VOIP \
    new-packet-mark=VOIP passthrough=no

    2. Создать правила приоритета для интересующего трафика. Это делается через очереди:
    /queue tree
    add name=queue1 parent=wan-interface priority=1 queue=default
    add name=queue2 packet-mark=VOIP parent=queue1 priority=2 queue=default
    add name=queue3 packet-mark=no-mark parent=queue1 priority=8 queue=default

    Ну и еще несколько моментов:
    • Надо понимать, что эффективно управлять вы можете только исходящим трафиком. Входящие пакеты находятся в вашей зоне влияния, когда они уже пришли, поэтому с ними не имеет смысла что-либо делать. Если, конечно, нет задержек в локальной сети, что встречается редко.
    • Голосовая и видеосвязь критична к времени прохождения пакета. А т.к. zoom.us находится, судя по названию, за океаном, каждый пакетик по пути проходит много промежуточных устройств, на каждом из которых возможны задержки, которыми вы управлять никак не можете. Если вы устраиваете конференции с людьми из России - не лучше ли поискать что-то поближе? Если основная аудитория из США, тогда, конечно, придется терпеть.
    Ответ написан
    Комментировать
  • Microtik: несколько Public IP - нужна "привязка" PPTP-клиента на определённый интерфейс?

    sizaik
    @sizaik
    сисадмин, Витебск
    Настройте статический маршрут с аргументом pref-src туда, куда подключается ваш PPTP-клиент:
    add distance=1 dst-address=хх.хх.хх.хх/32 gateway=wan-interface pref-src=yy.yy.yy.yy

    Здесь хх.хх.хх.хх - адрес, к которому должен подключаться pptp-клиент, yy.yy.yy.yy - адрес, с которого он должен подключаться.
    Либо прописать статический маршрут через конкретный интерфейс. Зависит от того, на одном у вас интерфейсе адреса, или на разных. Вообще лучше конфиг, чтобы не гадать.
    Ответ написан
    Комментировать
  • Как сделать проброс двух внешних интернет IP в внутренние IP LAN?

    sizaik
    @sizaik
    сисадмин, Витебск
    VLAN тут не особо нужен.
    Можно тупо подключить сервера в отдельные порты (скажем, ethernet4 и ethernet 5) и добавить их в бридж с ethernet-wan:
    /interface bridge
    add mtu=1500 name=bridge-wan
    /interface bridge port
    add bridge=bridge-wan interface=ethernet-wan
    add bridge=bridge-wan interface=ethernet4
    add bridge=bridge-wan interface=ethernet5
    После этого назначить внешний адрес 95.125.125.4 бриджу
    /ip address
    add address=95.125.125.4/хх interface=bridge-wan network=92.125.xx.xx
    А адреса 95.125.125.2 и 95.125.125.3 прописать напрямую на сервера.
    Это будет работать.
    Но в этом случае функции фаерволла должны будут исполнять сами сервера. Логично централизовать эту функцию на маршрутизаторе. Поэтому я бы делал через NAT.
    прописываем все три адреса на интерфейсе ethernet-wan:
    /ip address
    add address=95.125.125.2/хх interface=ethernet-wan network=92.125.xx.xx
    add address=95.125.125.3/хх interface=ethernet-wan network=92.125.xx.xx
    add address=95.125.125.4/хх interface=ethernet-wan network=92.125.xx.xx

    делаем так, чтобы серверы ходили в интернет через свои адреса (а не через общий NAT)
    /ip firewall nat
    add action=src-nat chain=srcnat src-address=192.168.0.10 to-addresses=95.125.125.2
    add action=src-nat chain=srcnat src-address=192.168.0.11 to-addresses=95.125.125.3

    и делаем трансляцию с внешних адресов на серверы (предполагаю, что у вас веб-сервера и нужно пробрасывать только один порт)
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=95.125.125.2 dst-port=80 protocol=tcp to-addresses=192.168.0.10 to-ports=80
    add action=dst-nat chain=dstnat dst-address=95.125.125.3 dst-port=80 protocol=tcp to-addresses=192.168.0.11 to-ports=80
    Ответ написан
  • Mikrotik ovpn туннель и два провайдера?

    sizaik
    @sizaik
    сисадмин, Витебск
    Я бы рассмотрел возможность решения с использованием протокола динамической маршрутизации OSPF.
    Что на втором конце, там где сервер OpenVPN? Можете ли вы им управлять?
    Если да, и если я правильно понял задачу, решение примерно такое:
    Делайте два постоянно работающих туннеля, один с основного, второй с резервного канала.
    У первого ставьте distance = 1, у второго = 2, чтобы трафик шел через основной канал, если он работает.
    Настраивайте OSPF так, чтобы направлял весь трафик через OpenVPN.
    Если оба туннеля недоступны, по идее у вас должен сработать маршрут по умолчанию -
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 10.119.24.145 1
    Ответ написан
    Комментировать
  • IPSec или L2TP IPSec?

    sizaik
    @sizaik
    сисадмин, Витебск
    Если у вас только два офиса и в каждом только один провайдер, можно и IPSec в туннельном режиме.
    Но я бы делал GRE-туннель с заворачиванием трафика в IPSec. Бонусы - прозрачная маршрутизация в одной таблице (в политики можно не смотреть), возможность подключения динамической маршрутизации, возможность построения отказоустойчивой структуры.
    Например, если у вас в одном из офисов два провайдера, у вас будет два туннеля. Если один из провайдеров сломается, протокол динамической маршрутизации направит трафик в резервный туннель. В результате у вас будет отказоустойчивый канал между офисами с практически незаметным переключением при отказе.
    На чистых туннелях IPSec такое сделать непросто, если вообще возможно.
    А если у вас будет три офиса, это вообще маст хэв :)

    Вот пример конфига.

    router 1:
    ---создаем GRE-туннель
    /interface gre
    add !keepalive local-address=***router 1 WAN IP*** name=gre1 remote-address=***router 2 WAN IP***

    --- и ip-адрес к нему
    /ip address
    add address=10.10.10.1/30 interface=gre1 network=10.10.10.0/30

    ---(политика согласования IKE у меня сделана на сертификатах, у вас может быть на pre-shared key - это каждый выбирает для себя; главное, чтобы с обеих сторон было одинаково)
    /ip ipsec peer
    add address=***router 2 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 1 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    --- политика шифрования трафика GRE от нас в удаленный офис
    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 2 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 2 WAN IP*** sa-src-address=***router 1 WAN IP*** src-address=\
    ***router 1 WAN IP***/32

    --- и прописываем статический маршрут в удаленную сеть
    /ip route add distance=1 dst-address=***подсеть второго офиса*** gateway=10.10.10.2

    ---Еще может понадобиться сделать правило firewall для обмена трафиком GRE между офисами:
    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 1 WAN IP*** src-address=***router 2 WAN IP*** protocol=gre

    router 2 - настройки отображаются зеркально:

    /interface gre
    add !keepalive local-address=***router 2 WAN IP*** name=gre1 remote-address=***router 1 WAN IP***

    /ip address
    add address=10.10.10.2/30 interface=gre1 network=10.10.10.0/30

    /ip ipsec peer
    add address=***router 1 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 2 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 1 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 1 WAN IP*** sa-src-address=***router 2 WAN IP*** src-address=\
    ***router 2 WAN IP***/32

    /ip route add distance=1 dst-address=***подсеть первого офиса*** gateway=10.10.10.1

    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 2 WAN IP*** src-address=***router 1 WAN IP*** protocol=gre
    Ответ написан
  • Как настроить NAT loopback на Mikrotik без конкретного указания внешнего адреса?

    sizaik
    @sizaik
    сисадмин, Витебск
    На самом деле с DNS самый простой вариант, я не понимаю, почему он вам не подходит.
    Скрипт (если вы пользуете первый вариант) никак не связан с локальным DNS - он только проверяет, изменился ли внешний IP и отправляет его на DynDNS, если поменялся.
    Второй вариант может не работать потому что использует команду resolve без аргументов - значит, по умолчанию пытается разрешить имя на том же роутере, а роутер выдает внутренний адрес 192.168.1.10. Чтобы избежать этого, надо применять resolve с явным указанием внешнего DNS-сервера. Это делается вот так:
    :resolve "www.mikrotik.com" server=77.88.8.8
    Что касается дополнительной донастройки DNS на машинах в локальной сети - ну так вы можете раздавать их через DHCP. И вообще не очень понятно, какая дополнительная донастройка нужна, если у вас роутер прописан в качестве DNS-сервера.
    Ответ написан
    2 комментария
  • Как технологично защититься от кражи ноутбуков?

    sizaik
    @sizaik
    сисадмин, Витебск
    Все технические средства будут работать только до момента выключения ноутбука и переформатирования HDD / смены MAC-адресов. Не считайте похитителей дураками.
    Если так хотите технические средства, сделайте электронный журнал учета. Сдал/принял, материально ответственное лицо, вот это всё.
    Ответ написан
    7 комментариев
  • Что почитать о развёртывании windows server и доменной сети?

    sizaik
    @sizaik
    сисадмин, Витебск
    Вот эту страничку: Checklist: Deploying AD DS in a New Organization
    Ну и дальше по ссылкам.
    Но вообще для начала наиболее правильно сформулировать для себя задачу в письменном виде.
    Каждый раз, как ленился и не делал этого, потом горько, мучительно сожалел.
    Ответ написан
    Комментировать
  • Mikrotik Router закрытие порта 53 и дальнейшие проблемы?

    sizaik
    @sizaik
    сисадмин, Витебск
    Коллеги, а почему бы вообще не закрыть всё, оставив только безусловно необходимое - скажем, управление снаружи по Winbox, если вы им пользуетесь?
    /ip firewall action=accept connection-state=new protocol=tcp in-interface=ether1 dst-port=8219 log=no log-prefix=" "
    /ip firewall action=accept connection-state=established in-interface=ether1 log=no log-prefix=" "
    /ip firewall filter add chain=input action=drop connection-state=new in-interface=ether1
    Ответ написан
  • На какую зарплату можно рассчитывать системному администратору в не IT-шной компании?

    sizaik
    @sizaik
    сисадмин, Витебск
    Поганое начало для карьеры. Старт, он же финиш. На этом предприятии через десять лет всё так и будешь бегать с паяльником. Учиться не у кого, развиваться некуда, масштабных проектов не будет, адекватного менеджмента тоже. Поддерживаю предыдущих ораторов - иди лучше в профильную организацию.
    UPD: никакого снобизма, много раз сталкивался с такими конторами - имеют право на жизнь. Но это работа скорее для самоделкина (пред)пенсионного возраста.
    Ответ написан
    Комментировать
  • Cisco VPN PPTP сервер, не возможно подключить 2 клиентов из одной стеи (ошика 619), в чём проблема?

    sizaik
    @sizaik
    сисадмин, Витебск
    Добавь aaa authorization network default local
    Ответ написан
    Комментировать
  • Как настроить запись телефонных разговоров (в регионе) и переадресацию на мобильный телефон?

    sizaik
    @sizaik
    сисадмин, Витебск
    Ставь сервер FreePBX.
    Покупай симку Мегафон (на неё будут звонить клиенты). Подключай услугу Мультифон, делай его транком на FreePBX. В результате получишь номер для клиентов с бесплатными входящими и относительно недорогими исходящими при переадресации.
    Настраиваем запись вызовов.
    Настраиваем переадресацию на мобильные через follow-me или по-другому (есть варианты).

    Самый затратный участок будет переадресация на мобильные. Если мобильники Мегафон (он же есть в Вологде, правильно?) то будет 80 коп/минуту, если другие - 1,50 р/мин.

    Про сервис zadarma слышал, но пользоваться им в коммерческом проекте я бы не стал. Задарма редко что-то хорошее бывает.
    Ответ написан
    Комментировать
  • Какую можно использовать ip-телефонию в Беларуси?

    sizaik
    @sizaik
    сисадмин, Витебск
    Правильное название - Максифон.
    Белтелеком официально (в рамках лицензионного соглашения) позволяет использовать услугу только со своего программного клиента (бесполезного для ваших целей). Использование сторонних клиентов (астериск) пока допускается, но исключительно на свой страх и риск. И, естественно, никакой техподдержки.
    Таким образом, если вам нужна IP-телефония с белорусским номером, правильный ответ - никакую. Подключайте Е1 или POTS.
    Что касается использования зарубежных сервисов или внутрикорпоративной связи на VoIP - на здоровье, используйте любые. У местных органов баттхёрт исключительно при попытке массового приземления зарубежного телефонного трафика в обход национального монополиста "Белтелеком". Если вы этого не делаете - вероятность возникновения проблем невелика.
    Ответ написан
    Комментировать