Ответы пользователя по тегу Компьютерные сети
  • Маршрутизация Mikrotik как настроить маршрутизацию?

    sizaik
    @sizaik
    сисадмин, Витебск
    Уверены, что не наоборот? Не сервер к кассам подключается, а кассы к серверу?
    Если всё же кассы к серверу, надо настроить dst-nat на Микротике:
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-address=***белый IP-адрес Mikrotik*** src-address=***белый IP-адрес первой кассы*** to-addresses=***внутренний IP-адрес сервера***
    и для второй кассы так же.
    На кассах нужно настроить адрес сервера = ***белый IP-адрес Mikrotik***
    Все запросы от касс будут перенаправляться с Микротик на сервер через dst-nat.

    Только вот эта строчка в вашем конфиге меня смущает
    /ip address
    add address=192.168.0.80 interface=ether1 network=192.168.0.80
    но при этом
    /ip route
    add distance=1 gateway=212.46.253.97
    Если вы так спрятали свой реальный IP, тогда ОК. А если нет, то сомневаюсь, что ваш конфиг рабочий.
    Ответ написан
  • Как настроить 2 канала провайдера на mikrotik с одновременной доступностью 2х интерфейсов?

    sizaik
    @sizaik
    сисадмин, Витебск
    Можно!
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN1 new-connection-mark=cmISP1
    add action=mark-connection chain=prerouting connection-mark=no-mark in-interface=WAN2 new-connection-mark=cmISP2
    add action=mark-routing chain=prerouting connection-mark=cmISP1 new-routing-mark=rmISP1
    add action=mark-routing chain=prerouting connection-mark=cmISP2 new-routing-mark=rmISP2

    /ip route
    add check-gateway=ping distance=1 gateway=1.1.1.1 routing-mark=rmISP1
    add check-gateway=ping distance=1 gateway=2.2.2.1 routing-mark=rmISP2
    add check-gateway=ping comment="ISP1 default route" distance=1 gateway=1.1.1.1
    add check-gateway=ping comment="ISP2 default route" distance=2 gateway=2.2.2.1
    /ip route rule
    add comment="Access to provider gateway only via corresponding interfaces to ensure ping check works properly" dst-address=1.1.1.1/32 table=rmISP1
    add dst-address=2.2.2.1/32 table=rmISP2

    не обещаю, что прямо сразу заработает, но принцип именно такой.
    Ответ написан
    Комментировать
  • Как сделать интернет не через vpn?

    sizaik
    @sizaik
    сисадмин, Витебск
    Неделю назад ровно такая же тема была.
    Почитай комменты, там вроде разобрались.
    Ответ написан
  • Mikrotik, блокировка всего трафика, кроме одного порта?

    sizaik
    @sizaik
    сисадмин, Витебск
    А в чем проблема? Вы так подробно всё расписали, что тут и думать не надо. Только странно как-то, не могу представить кейс, в котором будет нужна такая конфигурация.
    /ip firewall filter
    add chain=forward src-port=12345 dst-port=6336 protocol=tcp src-address=172.16.0.2 dst-address=192.168.0.2
    add action=drop chain=forward src-address=172.16.0.0/24 dst-address=192.168.0.0/24
    Ответ написан
  • Как пустить трафик в обход ВПН?

    sizaik
    @sizaik
    сисадмин, Витебск
    Для отдельных приложений это будет сделать затруднительно.
    Маршрутизация работает на сетевом (3) уровне OSI, а не на прикладном (7).
    Но обычно эта проблема решается так:
    • в клиенте OpenVPN уберите создание шлюза по умолчанию через удаленную сеть
    • через route add настройте маршрутизацию на те хосты/подсети в удаленной сети, которые нужны вашим приложениям.
    Ответ написан
    7 комментариев
  • На что следует обратить внимание при подборе коммутатора?

    sizaik
    @sizaik
    сисадмин, Витебск
    Обратить внимание нужно на функционал.
    Но если вы ставите задачу таким образом - у вас расплывчатое представление о том, что могут и как используются свитчи. В этом случае для защиты инвестиций я бы посоветовал купить что-нибудь из цисковской серии для малого бизнеса. Функционал у них широкий, а понимание, как его использовать, придет позже.
    Например Cisco SG500X-24 и SG500X-48. Они удовлетворяют всем вашим требованиям, но вылезут за рамки бюджета тысяч на 50.
    Я бы хорошенько подумал вот над чем:
    - реально ли всем пользователям нужен гигабит? и офис-менеджеру? и бухгалтеру? зачем? Не лучше ли взять один свитч Fast Ethernet для большинства пользователей и один Gigabit Ethernet для тех, кому действительно нужен гигабитный канал?
    - так ли вам нужен 10Гбит канал до сервера? Я с трудом представляю приложения для малого бизнеса, где это нужно. Если одного гигабита однозначно мало - есть сетевые карты с несколькими портами и статическая агрегация каналов. Прикиньте, это может выйти значительно дешевле.
    Ответ написан
    1 комментарий
  • Как настроить QoS для потоковых данных (видеоконференции) на mikrotik?

    sizaik
    @sizaik
    сисадмин, Витебск
    Любой QoS состоит из двух частей.
    1. Отмаркировать интересующий трафик в /ip firewall mangle. Тут вам нужно проанализировать соединения на zoom.us и понять, как именно туда/оттуда передаются данные. Анализировать можно по-всякому - через текущие соединения на том же микротике, через Wireshark, как вам удобнее. Ниже пример, как я маркирую трафик для RTP-соединений с голосовым провайдером:
    // маркируем соединения
    /ip firewall mangle
    add action=mark-connection chain=prerouting connection-mark=no-mark dst-port=\
    16384-16538 new-connection-mark=VOIP passthrough=no protocol=udp
    // маркируем пакеты в этом соединении
    add action=mark-packet chain=prerouting comment=VOIP connection-mark=VOIP \
    new-packet-mark=VOIP passthrough=no

    2. Создать правила приоритета для интересующего трафика. Это делается через очереди:
    /queue tree
    add name=queue1 parent=wan-interface priority=1 queue=default
    add name=queue2 packet-mark=VOIP parent=queue1 priority=2 queue=default
    add name=queue3 packet-mark=no-mark parent=queue1 priority=8 queue=default

    Ну и еще несколько моментов:
    • Надо понимать, что эффективно управлять вы можете только исходящим трафиком. Входящие пакеты находятся в вашей зоне влияния, когда они уже пришли, поэтому с ними не имеет смысла что-либо делать. Если, конечно, нет задержек в локальной сети, что встречается редко.
    • Голосовая и видеосвязь критична к времени прохождения пакета. А т.к. zoom.us находится, судя по названию, за океаном, каждый пакетик по пути проходит много промежуточных устройств, на каждом из которых возможны задержки, которыми вы управлять никак не можете. Если вы устраиваете конференции с людьми из России - не лучше ли поискать что-то поближе? Если основная аудитория из США, тогда, конечно, придется терпеть.
    Ответ написан
    Комментировать
  • Mikrotik ovpn туннель и два провайдера?

    sizaik
    @sizaik
    сисадмин, Витебск
    Я бы рассмотрел возможность решения с использованием протокола динамической маршрутизации OSPF.
    Что на втором конце, там где сервер OpenVPN? Можете ли вы им управлять?
    Если да, и если я правильно понял задачу, решение примерно такое:
    Делайте два постоянно работающих туннеля, один с основного, второй с резервного канала.
    У первого ставьте distance = 1, у второго = 2, чтобы трафик шел через основной канал, если он работает.
    Настраивайте OSPF так, чтобы направлял весь трафик через OpenVPN.
    Если оба туннеля недоступны, по идее у вас должен сработать маршрут по умолчанию -
    # DST-ADDRESS PREF-SRC GATEWAY DISTANCE
    0 ADS 0.0.0.0/0 10.119.24.145 1
    Ответ написан
    Комментировать
  • Как настроить NAT loopback на Mikrotik без конкретного указания внешнего адреса?

    sizaik
    @sizaik
    сисадмин, Витебск
    На самом деле с DNS самый простой вариант, я не понимаю, почему он вам не подходит.
    Скрипт (если вы пользуете первый вариант) никак не связан с локальным DNS - он только проверяет, изменился ли внешний IP и отправляет его на DynDNS, если поменялся.
    Второй вариант может не работать потому что использует команду resolve без аргументов - значит, по умолчанию пытается разрешить имя на том же роутере, а роутер выдает внутренний адрес 192.168.1.10. Чтобы избежать этого, надо применять resolve с явным указанием внешнего DNS-сервера. Это делается вот так:
    :resolve "www.mikrotik.com" server=77.88.8.8
    Что касается дополнительной донастройки DNS на машинах в локальной сети - ну так вы можете раздавать их через DHCP. И вообще не очень понятно, какая дополнительная донастройка нужна, если у вас роутер прописан в качестве DNS-сервера.
    Ответ написан
    2 комментария
  • Как технологично защититься от кражи ноутбуков?

    sizaik
    @sizaik
    сисадмин, Витебск
    Все технические средства будут работать только до момента выключения ноутбука и переформатирования HDD / смены MAC-адресов. Не считайте похитителей дураками.
    Если так хотите технические средства, сделайте электронный журнал учета. Сдал/принял, материально ответственное лицо, вот это всё.
    Ответ написан
    7 комментариев
  • Что почитать о развёртывании windows server и доменной сети?

    sizaik
    @sizaik
    сисадмин, Витебск
    Вот эту страничку: Checklist: Deploying AD DS in a New Organization
    Ну и дальше по ссылкам.
    Но вообще для начала наиболее правильно сформулировать для себя задачу в письменном виде.
    Каждый раз, как ленился и не делал этого, потом горько, мучительно сожалел.
    Ответ написан
    Комментировать
  • Какую можно использовать ip-телефонию в Беларуси?

    sizaik
    @sizaik
    сисадмин, Витебск
    Правильное название - Максифон.
    Белтелеком официально (в рамках лицензионного соглашения) позволяет использовать услугу только со своего программного клиента (бесполезного для ваших целей). Использование сторонних клиентов (астериск) пока допускается, но исключительно на свой страх и риск. И, естественно, никакой техподдержки.
    Таким образом, если вам нужна IP-телефония с белорусским номером, правильный ответ - никакую. Подключайте Е1 или POTS.
    Что касается использования зарубежных сервисов или внутрикорпоративной связи на VoIP - на здоровье, используйте любые. У местных органов баттхёрт исключительно при попытке массового приземления зарубежного телефонного трафика в обход национального монополиста "Белтелеком". Если вы этого не делаете - вероятность возникновения проблем невелика.
    Ответ написан
    Комментировать