Задать вопрос
sizaik

Никита Сизов

сисадмин, Витебск
Ответы пользователя по тегу Сетевое администрирование

  • Маршрутизация Mikrotik как настроить маршрутизацию?

    sizaik
    @sizaik
    сисадмин, Витебск
    Уверены, что не наоборот? Не сервер к кассам подключается, а кассы к серверу?
    Если всё же кассы к серверу, надо настроить dst-nat на Микротике:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=***белый IP-адрес Mikrotik*** src-address=***белый IP-адрес первой кассы*** to-addresses=***внутренний IP-адрес сервера***
    и для второй кассы так же.
    На кассах нужно настроить адрес сервера = ***белый IP-адрес Mikrotik***
    Все запросы от касс будут перенаправляться с Микротик на сервер через dst-nat.

    Только вот эта строчка в вашем конфиге меня смущает
    /ip address
    add address=192.168.0.80 interface=ether1 network=192.168.0.80
    но при этом
    /ip route
    add distance=1 gateway=212.46.253.97
    Если вы так спрятали свой реальный IP, тогда ОК. А если нет, то сомневаюсь, что ваш конфиг рабочий.
    Ответ написан
    1 комментарий
    1 комментарий

  • Нет отчета от компьютера на консоли WSUS?

    sizaik
    @sizaik
    сисадмин, Витебск
    Причин может быть много.
    Но часто такую проблему вызывает старая версия программки КриптоПро - это криптопровайдер, широко используемый в России в системах клиент-банк, обмена документами с налоговой и т.п. Обычно его ставят и никогда потом не обновляют.
    Проверь, если КриптоПро на этих компах установлен - проблема может быть в этом, решается установкой патча.
    Если нет - тогда надо разбираться.
    Ответ написан
    2 комментария
    2 комментария

  • Какое оборудование выбрать для организации малой локальной сети?

    sizaik
    @sizaik
    сисадмин, Витебск
    Купите для начала Mikrotik, например RB2011.
    Это маршрутизатор с возможностями коммутатора. 5 гигабитных портов, 5 по 100Мбит.
    И когда появятся другие требования (а они появятся), не надо будет всё переделывать.
    И да, только проводная сеть.
    Ответ написан
    3 комментария
    3 комментария

  • Как настроить 2 канала провайдера на mikrotik с одновременной доступностью 2х интерфейсов?

    sizaik
    @sizaik
    сисадмин, Витебск
    Можно!
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN1 new-connection-mark=cmISP1
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN2 new-connection-mark=cmISP2
    add action=mark-routing chain=prerouting connection-mark=cmISP1 new-routing-mark=rmISP1
    add action=mark-routing chain=prerouting connection-mark=cmISP2 new-routing-mark=rmISP2

    /ip route
    add check-gateway=ping distance=1 gateway=1.1.1.1 routing-mark=rmISP1
    add check-gateway=ping distance=1 gateway=2.2.2.1 routing-mark=rmISP2
    add check-gateway=ping comment="ISP1 default route" distance=1 gateway=1.1.1.1
    add check-gateway=ping comment="ISP2 default route" distance=2 gateway=2.2.2.1
    /ip route rule
    add comment="Access to provider gateway only via corresponding interfaces to ensure ping check works properly" dst-address=1.1.1.1/32 table=rmISP1
    add dst-address=2.2.2.1/32 table=rmISP2

    не обещаю, что прямо сразу заработает, но принцип именно такой.
    Ответ написан
    Комментировать
    Комментировать

  • Как сделать интернет не через vpn?

    sizaik
    @sizaik
    сисадмин, Витебск
    Неделю назад ровно такая же тема была.
    Почитай комменты, там вроде разобрались.
    Ответ написан
    2 комментария
    2 комментария

  • Как пустить трафик в обход ВПН?

    sizaik
    @sizaik
    сисадмин, Витебск
    Для отдельных приложений это будет сделать затруднительно.
    Маршрутизация работает на сетевом (3) уровне OSI, а не на прикладном (7).
    Но обычно эта проблема решается так:
    • в клиенте OpenVPN уберите создание шлюза по умолчанию через удаленную сеть
    • через route add настройте маршрутизацию на те хосты/подсети в удаленной сети, которые нужны вашим приложениям.
    Ответ написан
    7 комментариев
    7 комментариев

  • Microtik: несколько Public IP - нужна "привязка" PPTP-клиента на определённый интерфейс?

    sizaik
    @sizaik
    сисадмин, Витебск
    Настройте статический маршрут с аргументом pref-src туда, куда подключается ваш PPTP-клиент:
    add distance=1 dst-address=хх.хх.хх.хх/32 gateway=wan-interface pref-src=yy.yy.yy.yy

    Здесь хх.хх.хх.хх - адрес, к которому должен подключаться pptp-клиент, yy.yy.yy.yy - адрес, с которого он должен подключаться.
    Либо прописать статический маршрут через конкретный интерфейс. Зависит от того, на одном у вас интерфейсе адреса, или на разных. Вообще лучше конфиг, чтобы не гадать.
    Ответ написан
    Комментировать
    Комментировать

  • Как сделать проброс двух внешних интернет IP в внутренние IP LAN?

    sizaik
    @sizaik
    сисадмин, Витебск
    VLAN тут не особо нужен.
    Можно тупо подключить сервера в отдельные порты (скажем, ethernet4 и ethernet 5) и добавить их в бридж с ethernet-wan:
    /interface bridge
    add mtu=1500 name=bridge-wan
    /interface bridge port
    add bridge=bridge-wan interface=ethernet-wan
    add bridge=bridge-wan interface=ethernet4
    add bridge=bridge-wan interface=ethernet5
    После этого назначить внешний адрес 95.125.125.4 бриджу
    /ip address
    add address=95.125.125.4/хх interface=bridge-wan network=92.125.xx.xx
    А адреса 95.125.125.2 и 95.125.125.3 прописать напрямую на сервера.
    Это будет работать.
    Но в этом случае функции фаерволла должны будут исполнять сами сервера. Логично централизовать эту функцию на маршрутизаторе. Поэтому я бы делал через NAT.
    прописываем все три адреса на интерфейсе ethernet-wan:
    /ip address
    add address=95.125.125.2/хх interface=ethernet-wan network=92.125.xx.xx
    add address=95.125.125.3/хх interface=ethernet-wan network=92.125.xx.xx
    add address=95.125.125.4/хх interface=ethernet-wan network=92.125.xx.xx

    делаем так, чтобы серверы ходили в интернет через свои адреса (а не через общий NAT)
    /ip firewall nat
    add action=src-nat chain=srcnat src-address=192.168.0.10 to-addresses=95.125.125.2
    add action=src-nat chain=srcnat src-address=192.168.0.11 to-addresses=95.125.125.3

    и делаем трансляцию с внешних адресов на серверы (предполагаю, что у вас веб-сервера и нужно пробрасывать только один порт)
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=95.125.125.2 dst-port=80 protocol=tcp to-addresses=192.168.0.10 to-ports=80
    add action=dst-nat chain=dstnat dst-address=95.125.125.3 dst-port=80 protocol=tcp to-addresses=192.168.0.11 to-ports=80
    Ответ написан
    7 комментариев
    7 комментариев

  • Mikrotik ovpn туннель и два провайдера?

    sizaik
    @sizaik
    сисадмин, Витебск
    Я бы рассмотрел возможность решения с использованием протокола динамической маршрутизации OSPF.
    Что на втором конце, там где сервер OpenVPN? Можете ли вы им управлять?
    Если да, и если я правильно понял задачу, решение примерно такое:
    Делайте два постоянно работающих туннеля, один с основного, второй с резервного канала.
    У первого ставьте distance = 1, у второго = 2, чтобы трафик шел через основной канал, если он работает.
    Настраивайте OSPF так, чтобы направлял весь трафик через OpenVPN.
    Если оба туннеля недоступны, по идее у вас должен сработать маршрут по умолчанию -
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 10.119.24.145 1
    Ответ написан
    Комментировать
    Комментировать

  • IPSec или L2TP IPSec?

    sizaik
    @sizaik
    сисадмин, Витебск
    Если у вас только два офиса и в каждом только один провайдер, можно и IPSec в туннельном режиме.
    Но я бы делал GRE-туннель с заворачиванием трафика в IPSec. Бонусы - прозрачная маршрутизация в одной таблице (в политики можно не смотреть), возможность подключения динамической маршрутизации, возможность построения отказоустойчивой структуры.
    Например, если у вас в одном из офисов два провайдера, у вас будет два туннеля. Если один из провайдеров сломается, протокол динамической маршрутизации направит трафик в резервный туннель. В результате у вас будет отказоустойчивый канал между офисами с практически незаметным переключением при отказе.
    На чистых туннелях IPSec такое сделать непросто, если вообще возможно.
    А если у вас будет три офиса, это вообще маст хэв :)

    Вот пример конфига.

    router 1:
    ---создаем GRE-туннель
    /interface gre
    add !keepalive local-address=***router 1 WAN IP*** name=gre1 remote-address=***router 2 WAN IP***

    --- и ip-адрес к нему
    /ip address
    add address=10.10.10.1/30 interface=gre1 network=10.10.10.0/30

    ---(политика согласования IKE у меня сделана на сертификатах, у вас может быть на pre-shared key - это каждый выбирает для себя; главное, чтобы с обеих сторон было одинаково)
    /ip ipsec peer
    add address=***router 2 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 1 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    --- политика шифрования трафика GRE от нас в удаленный офис
    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 2 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 2 WAN IP*** sa-src-address=***router 1 WAN IP*** src-address=\
    ***router 1 WAN IP***/32

    --- и прописываем статический маршрут в удаленную сеть
    /ip route add distance=1 dst-address=***подсеть второго офиса*** gateway=10.10.10.2

    ---Еще может понадобиться сделать правило firewall для обмена трафиком GRE между офисами:
    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 1 WAN IP*** src-address=***router 2 WAN IP*** protocol=gre

    router 2 - настройки отображаются зеркально:

    /interface gre
    add !keepalive local-address=***router 2 WAN IP*** name=gre1 remote-address=***router 1 WAN IP***

    /ip address
    add address=10.10.10.2/30 interface=gre1 network=10.10.10.0/30

    /ip ipsec peer
    add address=***router 1 WAN IP***/32 auth-method=rsa-signature certificate=cert-vpn dh-group=modp768 dpd-interval=10s dpd-maximum-failures=3 enc-algorithm=aes-256 \
    local-address=***router 2 WAN IP*** nat-traversal=no passive=yes remote-certificate=cert-endpoint

    /ip ipsec policy
    set 0 disabled=yes
    add dst-address=***router 1 WAN IP***/32 level=unique proposal=***ваша политика шифрования*** protocol=gre sa-dst-address=***router 1 WAN IP*** sa-src-address=***router 2 WAN IP*** src-address=\
    ***router 2 WAN IP***/32

    /ip route add distance=1 dst-address=***подсеть первого офиса*** gateway=10.10.10.1

    /ip firewall filter
    add chain=input comment="GRE from other office" dst-address=***router 2 WAN IP*** src-address=***router 1 WAN IP*** protocol=gre
    Ответ написан
    11 комментариев
    11 комментариев

  • Как настроить NAT loopback на Mikrotik без конкретного указания внешнего адреса?

    sizaik
    @sizaik
    сисадмин, Витебск
    На самом деле с DNS самый простой вариант, я не понимаю, почему он вам не подходит.
    Скрипт (если вы пользуете первый вариант) никак не связан с локальным DNS - он только проверяет, изменился ли внешний IP и отправляет его на DynDNS, если поменялся.
    Второй вариант может не работать потому что использует команду resolve без аргументов - значит, по умолчанию пытается разрешить имя на том же роутере, а роутер выдает внутренний адрес 192.168.1.10. Чтобы избежать этого, надо применять resolve с явным указанием внешнего DNS-сервера. Это делается вот так:
    :resolve "www.mikrotik.com" server=77.88.8.8
    Что касается дополнительной донастройки DNS на машинах в локальной сети - ну так вы можете раздавать их через DHCP. И вообще не очень понятно, какая дополнительная донастройка нужна, если у вас роутер прописан в качестве DNS-сервера.
    Ответ написан
    2 комментария
    2 комментария

  • Mikrotik Router закрытие порта 53 и дальнейшие проблемы?

    sizaik
    @sizaik
    сисадмин, Витебск
    Коллеги, а почему бы вообще не закрыть всё, оставив только безусловно необходимое - скажем, управление снаружи по Winbox, если вы им пользуетесь?
    /ip firewall action=accept connection-state=new protocol=tcp in-interface=ether1 dst-port=8219 log=no log-prefix=" "
    /ip firewall action=accept connection-state=established in-interface=ether1 log=no log-prefix=" "
    /ip firewall filter add chain=input action=drop connection-state=new in-interface=ether1
    Ответ написан
    2 комментария
    2 комментария

  • Cisco VPN PPTP сервер, не возможно подключить 2 клиентов из одной стеи (ошика 619), в чём проблема?

    sizaik
    @sizaik
    сисадмин, Витебск
    Добавь aaa authorization network default local
    Ответ написан
    Комментировать
    Комментировать