Да и стоит он домашний ну это почти даром

А выбор небольшой был, хотелось чтобы умел псевдошейпить трафик, у нас в регионе интернет неприлично дорогой и мало. Но в целом почти разобрался, но сейчас будет провайдер, который немного старомодно раздает интернет, через vpn похоже я все верно понял, что мне потребуется. У вас на всякий случай спросил.

Вам нужно 2 маршрута. Один в инет, второй в локалку провайдера. Еще нужно правило ната. Один нат аутсайдом в пптп, второй (если будете пользоватся сетевыми ресурсами провайдера) на порт, куда вставлен провайдерский кабель.

Спасибо, я так и понял. Успехов :)

А вообще прибор интересный, я бы даже сказал познавательный, с точки зрения home user ну и как я сказал, действительно почти даром. Кому как, но у меня он работает отлично. И мне очень понравился

сеть провайдера наверняка серая :) так что всю серую адресацию в городскую локалку

еще нюанс :) выбирай для дома серую сеть уникальную, чтобы не пересеклась с другими сетями городской локалки

в крайнем случае можно для домашней сети использовать 100.64.64.0/24 редко кто использует 100.64.0.0/10

зачем вы вредные советы даете?

100.64.0.0/10 - сеть для CGNAT

100.64.0.0/10 - сеть для CGNAT

там же 100.

очепятался

rfc1918 дает дофига адресов, их с гарантией хватит для любого не пересекающегося ни с кем по адресации сценария

просто не надо использовать сети 192.168.0.0/24 или 1.0

больше фантазии. 172.27.72.0/24 - ваш выбор

ну почему вредные, клиенту мешать не будут, а провайдеру не видно, что там у клиента за натом

просто любой провайдер может использовать весь диапазон адресов, и что мониторить что он там использует ?

этот диапазон специально выделен провайдерам, чтобы он гарантированно не пересекался с клиентскими сетями

если бы допустимо было его использовать конечным пользователям, эту сеть просто включили бы в rfc 1918

интернет - очень хрупкая штука, в которой все строится на договоренностях и совместном соблюдении правил

если кто-то из участников этим правилам не следует, он делает тяжелее жизнь другим участникам, которые должны расхлебывать последствия

поэтому просто не надо так делать

ну тогда, я еще более вредный совет могу дать, используйте для локальной сети белые ip, которые выделены но по факту не использются. вопрос не в том, что так не делать. а как избежать пересечений в локальной городской сети. если у провайдера вагон и маленькая тележка сетей. и куда деваться бедному клиенту.

найти в rfc1918 незанятый провайдером кусочек всегда можно

> используйте для локальной сети белые ip, которые выделены но по факту не использются вы троллите, что ли? > а как избежать пересечений в локальной городской сети. если у провайдера вагон и маленькая тележка сетей звонок в техподдержку провайдера решит вопрос

ну тогда, я еще более вредный совет могу дать, используйте для локальной сети белые ip, которые выделены но по факту не использются. вопрос не в том, что так не делать. а как избежать пересечений в локальной городской сети. если у провайдера вагон и маленькая тележка сетей. и куда деваться бедному клиенту.

Это что за провайдер, который использует всю 10.0.0.0/8?

Про белые я серьезно. В чем проблема использовать блок в локальной сети за натом ?

Звонок решит вопрос если у провайдера используется до 20-40 сетей. Но тогда этот спор не про городскую локальную сеть

Про белые я серьезно. В чем проблема использовать блок в локальной сети за натом ?

Нет проблем. Использовать можно. Например 19.0.0.0.8 или 21.0.0.0/8. Только что будут делать бедные анбэшники, если их вундервафли начнут слать трафик не в Ленгли, а Васе из пятой квартиры?

А с какого они будут слать васе. Маршрута то нет до этой сети даже у провайдера.

А с какого они будут слать васе. Маршрута то нет до этой сети даже у провайдера.

Провайдер повесил на инсайд-интерфейсе сетку 19.0.0.0/8. Через этого провайдера подключен анальный зонд аэнбешников, который должен сливать инфу с результатами работы им на сервак. Серваку дали адрес из сетки 19.0.0.0/8, в настройках зонда прописали адрес этого сервака 19.42.45.24. Этот же адрес провайдер выдал Васе, который в интернетах умет только на порнушку фапать. Вопрос: зачем Васе инфа о работе пищеварительного тракта наблюдаемого объекта?

Интересные образы только содержания нет. ТЗ понятно ? На домашнюю сеть нужно выделить блок, который не пересечется сетями провайдера, который любит менять адресацию, выделять новые сети для новых клиентов и прочее.

А вообще это проблема из прошлого века. И решалась она резервированием у провайдера одной сети под домашнюю сеть клиента.

А вообще это проблема из прошлого века. И решалась она резервированием у провайдера одной сети под домашнюю сеть клиента.

192.168.0.0/16? Наверное поэтому у всех домашних роутеров по дефолту эта сетка используется?

Все верно господа, отдельно спасибо. Но 192.168.0.0/16 в городской локалке не используется в моем случае и ни чего специально в связи с этим настраивать мне не нужно.

это неважно, у нас теологический холивар

это провайдер должен использовать сеть 100.64.0.0/10, и если он склонен менять адресацию, то с очень большой вероятностью он эту сеть заействует в ближайшее время

Хм :) я прозрел ccr для домашнего использования

Хм :) я прозрел ccr для домашнего использования

Шта?

Ну у него тоже дефолт из этой сети

я думаю, это камень в мой огород. что в магазинном конфиге у ццр адрес 192.168.88.1/24

Ну у него тоже дефолт из этой сети

У винсервера 2016, когда с него шаришь подключение, тоже раздается сетка 192.168.137.0/24. Домашняя ось?

192.168.0.0/16? Наверное поэтому у всех домашних роутеров по дефолту эта сетка используется?

Это был ответ на предположение что 192.168.0.0/16 используется для домашних сетей

Как контраргумент

я сражен. пойду поплачу в уголке

Это был ответ на предположение что 192.168.0.0/16 используется для домашних сетей

С точки зрения провайдера, сетка любой конторы, то же самое, что и домашняя сетка домашнего пользователя, подключенного через домашний роутер.

И неважно чем контора пользуется. Хоть дир триста, хоть ccr.

я думаю, это камень в мой огород. что в магазинном конфиге у ццр адрес 192.168.88.1/24

это же хорошо

А может быть кто нить крутил в руках map lite? Там рж45 стандартный? Читал обзор на каком то сайте , там было написано, что разъем там тонкий

Я "крутил" тренерский, обычный там разъем

Я "крутил" тренерский, обычный там разъем

Спс

Доброе утро:*

как отловить гадов?

не вариант

fail2ban

с разных айпи могут подключаться

по аналогии с ssh баном нельзя сделать? только порт нокинг?

по аналогии с ssh баном нельзя сделать? только порт нокинг?

можно

add action=drop chain=input comment="drop ovpn brute forcers" dst-port=1194 protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input connection-state=new dst-port=1194 \ protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=2m chain=input connection-state=new dst-port=1194 \ protocol=tcp src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=2m chain=input connection-state=new dst-port=1194 \ protocol=tcp src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=2m chain=input connection-state=new dst-port=1194 \ protocol=tcp src-address-list=!allow_ssh

например так

у меня там еще ssh впилен (:

Решение не на 5+ но работает

понятно

через неделю в логах чисто стало.

то есть для ipsec добавить порты 1701,500,4500 по анологии с 22портом ssh и схема заработает?

достаточно должно быть

банить, дропать

попыток может быть с десяток за минуту с одного адреса

меня вот что еще напрягает. притом что у меня стоит защита от брутфорса ssh и в блеклисте несколько тысяч банов

чтобы банить гадов. самый легкий способ наживки - это ssh

Когда белый ип подключил, так же было, со временем перестали:)

если оч нужен ссш снаружи то как вариант сменить стд порт

как правило активно долбят 22 23 и 53 порты

53й порт вообще в рав дропать надо

зачем кому то отвечать на днс из вне

сейчас речь про ссш

зачем кому то отвечать на днс из вне

очевидно чтобы помогать в днс амплификейшене )

ссш наружу сама по себе идея ниочень (

ссш наружу сама по себе идея ниочень (

да эт понятно, я не пойму кто еще сидит на стандартных портах, я обыно использую дефолтные порты для отлова, их в блоклист и равом дропаю