а без allow remote requests днс сервер на свою подсеть работает?
Нет, к стати в локалку можно просто передавать днсы по dhcp, а галочку убрать.
Евгений
Евгений
Тогда блокировать 53 порт не надо
Дмитрий
Да, адреса серверов можно, хоть какой, Николай видимо имел ввиду ситуацию, когда сам роутер в роли сервера ДНС
Дмитрий
"ДНС сервер на свою подсеть" галочка отключает ответы на запросы DNS
Евгений
Ну да, отключает ответы на запросы днс в принципе.
Moneron 🇷🇺
NIKOLYA
в общем я хочу вообще отключить днс сервер на микроте
NIKOLYA
что то меня уже подкидывает сотни адресов в час которые ломятся на микрот по 53му удп
NIKOLYA
хоть с равом нагрузка и упала, не в полочку, но все равно не идеал
Вадим
хочешь сказать drop не спасает?
NIKOLYA
спасает, но нагрузка в простое 40% как то напрягает
Вадим
у меня просто нет таких проблем, есть 2 правила и адрес-лист
Вадим
в правилах в исключениях адрес лист
Вадим
никогда проблем не возникало
NIKOLYA
арес лист у меня забивается по 100 ip в час
Вадим
нене
Вадим
прямой дроп, без попадания в al
Вадим
в исключающем al - днс провайдера или общедоступный
Вадим
и все
Евгений
Ну и в чем + то?
Вадим
что нет прохода по листам
Евгений
Да я про ДНС
Вадим
правила очередей не действует
Евгений
А вот отключить роль ДНС сервера плюс есть
Вадим
ну на вкус и цвет
NIKOLYA
вообще какого ляпа днс отвечает из вне мне не понятно
Евгений
Разница в пинге до сервера провайдера и до шлюза
ping 217.25.208.6
PING 217.25.208.6 (217.25.208.6) 56(84) bytes of data.
64 bytes from 217.25.208.6: icmp_seq=1 ttl=61 time=2.14 ms
64 bytes from 217.25.208.6: icmp_seq=2 ttl=61 time=3.02 ms
64 bytes from 217.25.208.6: icmp_seq=3 ttl=61 time=2.99 ms
64 bytes from 217.25.208.6: icmp_seq=4 ttl=61 time=4.69 ms
^C
—- 217.25.208.6 ping statistics —-
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 2.149/3.214/4.690/0.922 ms
bukass@bukass-Aspire-ES1-131:~$ ping 192.168.88.1
PING 192.168.88.1 (192.168.88.1) 56(84) bytes of data.
64 bytes from 192.168.88.1: icmp_seq=1 ttl=64 time=19.2 ms
64 bytes from 192.168.88.1: icmp_seq=2 ttl=64 time=1.61 ms
64 bytes from 192.168.88.1: icmp_seq=3 ttl=64 time=3.53 ms
64 bytes from 192.168.88.1: icmp_seq=4 ttl=64 time=1.43 ms
64 bytes from 192.168.88.1: icmp_seq=5 ttl=64 time=1.40 ms
^C
Вадим
это дефолтное поведение тика в данном случае
Вадим
а чем не мало статей написано
Moneron 🇷🇺
Телеграмчик обновился, новые фишки появились :)
NIKOLYA
какие? я мессенджер+ пользуюсь прост)
Moneron 🇷🇺
Можно нужные чаты закреплять наверху и новый сервис @ifttt
no_name
Вадим
Дуров очень зрелый продукт выпускает
Дмитрий
Стикеры в мозиле не показывает
Дмитрий
Ifttt уже давно все ни как не попробую
no_name
Паша не продался ФСБ и свали.
Sergey
у меня немного другая реализация, я все стейджи прогоняю через файервол, так как нужно именно нью коннект выбирать, а отбрасываю равом
Поскажите по ospf. Собрал сеть - марршруты прилетают, все работает, но нужно как-то прикрутить loopback. С какой маской вешать на него ip, и вообще есть там какие особенности?
no_name
Делай бридж и вешай туда ИП по /32
no_name
Бридж без портов внутри
FoxPDLL
Луп должен быть с наиширочайшей маской.
no_name
Да
Sergey
та я не понял 32 маска или нет?
FoxPDLL
Максимальная
no_name
Тебе надо 1 ип
no_name
Я использую 1 адрес из пула по /32 для мониторинга живности пула
FoxPDLL
Да 32. Я с блекхолом попутало
Sergey
Спасибо!
Moneron 🇷🇺
Парни, кто-то мне говорил, что на микротике можно сгенерить ссл-сертификат, на который браузеры не будут ругаться, что он самоподписной. Если кто-то знает, как это сделать, сообщите, плз.
no_name
no_name
Это для хотспота, редиректа https?
Дмитрий
Парни, кто-то мне говорил, что на микротике можно сгенерить ссл-сертификат, на который браузеры не будут ругаться, что он самоподписной. Если кто-то знает, как это сделать, сообщите, плз.
Если только API для letsencrypt на самой железке это не возможно так как необходима "третья сторона"
Дмитрий
Видимо создаётся запрос средствами ros и производится подписка из бесплатных сервисов, а такую интеграцию пока только letsencrypt может
Дмитрий
http://forum.mikrotik.com/viewtopic.php?t=92673
Дмитрий
Но при всём при этом сертификат выдаётся только на домен ! Не на IP (на IP стоят денег так как там другая технология) лито так как устроено у synology - поддомен Микротика сам будет выдавать на ddns
Moneron 🇷🇺
Да у меня есть статик ип, домен и платный серт. Но кто-то из студентов точно говорил, что можно сделать самоподписной и чтобы не ругался. Но не помню, кто и с какого города
Дмитрий
Благодаря SNI технология нескольких ssl на 1 IP стала возможной эта поддержка уже есть в модулях apache и nginx и к слову говоря isp manager прямо из панели поддерживает
Дмитрий
Да у меня есть статик ип, домен и платный серт. Но кто-то из студентов точно говорил, что можно сделать самоподписной и чтобы не ругался. Но не помню, кто и с какого города
Возможно при 2х условиях (свой сервер сертификации либо как обычно добавить в доверенные
Moneron 🇷🇺
Да у меня есть статик ип, домен и платный серт. Но кто-то из студентов точно говорил, что можно сделать самоподписной и чтобы не ругался. Но не помню, кто и с какого города
И микрот, кстати, очень хорошо этот серт скушал и на вебморде теперь зелёненький замочек
Дмитрий
Это да, в своё время мучился не мог завести sstp )
Moneron 🇷🇺
Это так, для побаловаться было сделано, т.к. кто-то мне доказывал, что микротик не работает адекватно с сертификатами. В контексте веб-морды – всё замечательно работает
Moneron 🇷🇺
Это да, в своё время мучился не мог завести sstp )
Сстп вроде у меня и по логину-паролю заводился без сертификатов
Дмитрий
Работает раньше было туго. Но к счастью не застал эти времена - только наслышан
Дмитрий
Сстп вроде у меня и по логину-паролю заводился без сертификатов
Ммм на винде без сертификата не завёлся может между тиками
Дмитрий
К стати кто не знает ещё, раз уж зашла речь :
С 1.01.2017 Гугл будет блокировать сайты без ssl предупреждением что сайт не надёжный
Moneron 🇷🇺
К стати кто не знает ещё, раз уж зашла речь :
С 1.01.2017 Гугл будет блокировать сайты без ssl предупреждением что сайт не надёжный
Спасибо за инфу. Где-то видел, но не было актуально
Andrey
К стати кто не знает ещё, раз уж зашла речь :
С 1.01.2017 Гугл будет блокировать сайты без ssl предупреждением что сайт не надёжный
Немного не точно. "Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure."
Andrey
https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html?m=1
Dmitry
Ребята добрый день.
Dmitry
Подскажите насчёт развёртывания capsman. Одну сеть получилось развёрнуть , вторую делаю по аналогии , но почему то не хочет генериться
Dmitry
может в чём ограничения стоят
Dmitry
http://serveradmin.ru/nastroyka-capsman-v-mikrotik/
Oleg
Про сертификаты я говорил. Хотя может и ошибался
Oleg
Я делаю стандартно - выпускаю корневой только для подписи сроком на 10 лет. Экспортирую его с паролем. Потом им остальные по сети подписываю.