• Как настроить доступ (RDP) по внешнему имени из локальной сети (шлюзом выступает MikroTik)?

    @Stealth13
    А я опытом поделиться хотел.
    Задачка была, наверное, банальная: надо было сделать проброс портов на Микротике на внутренние ресурсы сети, но так, чтобы на эти внутренние ресурсы сети можно было заходить по интернетовскому доменному имени Микротика как из интернета, так и внутри сети. Обычный проброс портов "в лоб" работает только для обращений из интернета. При обращении внутри локальной сети по внешнему доменному имени получаем обломс. В интернетах нашлось 2 решения: одно - прописать на DNS Микротика "Static DNS" domain.name -> Внутренний_IP_адрес_ресурса, и тогда все обращения по доменному имени внутри сети будут направляться на этот внутренний ресурс. Но это не подходит, когда внутренних ресурсов несколько, а не один, ведь "Static DNS" мы можем написать только для одного ресурса. Второе решение - Hairpin NAT, описанное в Wiki wiki.mikrotik.com/wiki/Hairpin_NAT . Однако с ним тоже проблемы, если внешний IP адрес является динамическим и часто меняется (с доменным именем от dyndns, например). В Hairpin NAT, описанном в Wiki, в правилах NAT необходимо указывать внешний IP, что неприемлемо, когда он часто меняется. Поразмыслив, я придумал следующее "идеальное" решение, объединившее оба способа в один:

    /ip dns static
    add address=192.168.88.1 name=myname.dyndns.org

    /ip firewall nat
    add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1-gateway (это стандартный маскарадинг, обычно присутствующий в конфигурации по умолчанию)

    add action=dst-nat chain=dstnat comment=RDP dst-address-type=local dst-port=3389 protocol=tcp to-addresses=192.168.88.2
    add action=masquerade chain=srcnat dst-address=192.168.88.2 dst-port=3389 out-interface=bridge-local protocol=tcp src-address=192.168.88.0/24
    (по 2 таких строчки на каждый порт-форвардинг)

    Т.е. прописываем в статический DNS сопоставление доменному имени внутреннего IP адреса роутера (а не внутреннего ресурса!). Любой клиент внутри сети будет попадать на роутер по доменному имени.
    Прописываем по 2 правила для каждого форвардинга - одно для маппинга, второе для маскарадинга. Таким образом мы избавляемся от необходимости непременно указывать внешний IP адрес в правилах NAT, который у нас часто меняется.

    Такой подход проверен и успешно работает в моей сети. Он более универсален, чем описанные ранее, поэтому я решил поделиться опытом, может кому пригодится.
    Ответ написан
    3 комментария
  • Есть ли хорошие платные курсы для начинающего сисадмина?

    MaxDukov
    @MaxDukov
    впишусь в проект как SRE/DevOps.
    подарите курсы английского. Админу без хотя бы базового английского крайне туго.
    Ответ написан
    1 комментарий
  • Шифрование USB. Какое ПО использовать?

    saboteur_kiev
    @saboteur_kiev
    software engineer
    truecrypt
    Форматируете флешку в удобную систему (например fat32 чтобы читалась везде)
    создаете на ней шифрованный диск почти на весь объем
    кладете в корень portable truecrypt для винды. для линукса
    профит
    Ответ написан
    Комментировать
  • Как закрыть доступ к журналам ОС Windows XP Администратору?

    Jump
    @Jump Куратор тега Системное администрирование
    Системный администратор со стажем.
    Зайти в политики, найти управление аудитом и журналом безопасности, удалить группу администраторы, из имеющих доступ, добавить Администратора информационной безопасности.
    Ответ написан
    4 комментария
  • Как настроить доступ (RDP) по внешнему имени из локальной сети (шлюзом выступает MikroTik)?

    @bogena
    1) если winbox, то IP-DNS - Static и добавляем Доменное_имя = серый IP. Но, как уже сказано, у клиентов Днс сервером должен быть mikrotik, ну и если по доменному имени есть службы (сайт, например) - то работать из офиса они перестанут.
    2) Как уже тоже писали, ip firewall nat - заходите в правило, убираете in interface. Но только вроде бы проблемы будут при доступе к другим rdp вне офиса (не уверен, надо будет посмотреть)
    Ответ написан
    Комментировать
  • Как настроить доступ (RDP) по внешнему имени из локальной сети (шлюзом выступает MikroTik)?

    @paxlo
    в /ip firewall nat
    в правиле для маскарадинга убрать out-interface
    в правила для проброса RDP порта убрать in-interface и добавить dst-address=ваш-внешний-ip
    dns записи не нужны
    Ответ написан
    Комментировать
  • Почему не включается компьютер?

    eapeap
    @eapeap
    Сисадмин, Беларусь
    Процессор горячий при работе. Проверить я его никак не могу на другой матери.

    Вложить кучу денег в оборудование, потратить кучу времени на танцы с бубном вокруг материнок, и не найти немного денег и времени - сносить комп в мастерскую на тестирование???
    Блок питания проверяется на стенде с переключаемыми нагрузками и контролем напряжения и пульсаций.
    Проц - на заведомо живой материнке (2011 - экзотика, это понятно, потому и придется платить)
    Память - аналогично.
    P.S. Когда я сдавал материнки по гарантии в "нормальный" московский компьютерный магазин - их при мне проверяли, подтверждается ли дефект. Только потом забирали. Как у вас происходил этот процесс?
    P.P.S. Очень редко встречал дохлые процессор, но создается впечатление, что ваш дохлый и убивает материнки.
    Ответ написан
    3 комментария
  • Как настроить доступ (RDP) по внешнему имени из локальной сети (шлюзом выступает MikroTik)?

    POS_troi
    @POS_troi
    СадоМазо Админ, флудер, троль.
    Самый простой способ, а наверное и правильный - на микротике, в DNS прописать domain.name -> внутренний ip.
    Тогда все клиенты будут получать от тика внутренний ip и не нужно мучать железку.

    Конечно если у вас все пользователи не сидят на статике И гугловских dns :)
    Ответ написан
    6 комментариев