Вафлю вообще в отдельный диапазон всю

Кончится /24 - расширяй до /23

Серёж, а как, кроме мака отловить хост в сети? )

А никак, кроме белых списков.

Угу.

Ну и для жести - на бридже arp перевести в reply-only

Ну или сертификаты и 802.1x

Чтоб только со статикой

Ну или сертификаты и 802.1x

кстати никогда не интересовался как у CRS с 802.1х

У роутеров-то бессмысленно

я вайфай в отдельную подсеть сунул бы

а то офигели с айфончиками

и резать-резать-резать нещадно

Мне 3011 наконец приехал. курьер 3 дня не мог привезти никак. завтра буду препарировать)

Что-то решил я отказать от впн на микротике и заюзать softether vpn

Нужно что-то с AD что бы работало

Ибо это превращается в геморрой

Не кто не юзал ?

@ZZToP @erazel ?

Нужно что-то с AD что бы работало

а в чём проблема юзать AD+PPTP мтиковый??

PPTP Mtik с Radius-авторизацией и настраивай NAP на AD

там всё в десять шагов

а в чём проблема юзать AD+PPTP мтиковый??

pptp раз, во вторых роутер не только под нужды одной компани ,

L2TP+AD

SSTP+AD

oVPN+AD

oVPN+AD

Нет,

SSTP+AD

Не видел

Работать ли

И как всегда как-то с костылями ?

Не видел

по SSTP рабоатем два года. Проблем не видели

правда, связки с АД нет

ко всем PPP-серверам у мтика подключается радиус для аутентификации и авторизации

Через радиус ((

Бля, еще прослойка ((

радиус отдельный не нужен

юзай АДшный NPA

он там уже есть.

роль поставь и всё )

там реально три клика

Вот смотрю ман

Там очень просто

Само классно мне нравилось в TMG

Forefront

там реально три клика

Да

Forefront

ух загнул.

а это кагбе вообще отдельный продукт за отдельные деньги, не? )

радиус ему прослойка ))

а это кагбе вообще отдельный продукт за отдельные деньги, не? )

Угу, он был но предыдущий коллега перешел на usergate т е мигранул

радиус ему прослойка ))

?ну блин

господи..

«давайте нагородим побольше костылей, а корявый радиус не будем юзать, ибо это прослойка»

Кирилл, тебе шашечки или ехать?

Чет в натуре запизделся , спасибо приземлили

Это прям как с анекдота

Дорогой, я слишком записделась, епни меня по голове

?

Юзай SSTP с ААА через Radius в NPA (NPS в 2012)

Угу, он был но предыдущий коллега перешел на usergate т е мигранул

usergate. Лично бы руки поотрывал программерам

usergate. Лично бы руки поотрывал программерам

++

говнистее говна я не видел

usergate. Лично бы руки поотрывал программерам

++++++,

Вот давайте продолжим а чем вы фильтруете трафик ?

фаерволом )

Точнее всякие категории соц.сети и т д

я пропустил суть. Что фильтруем то? От чего?

От контактов и т.д.

ERROR: S client not available

я не фильтрую щас. Не вижу смысла. Административно проще запретить

а раньше сквид+данс

Я у одного заказчика настроил pfsens на виртуалке, норм дела делает

если совсем контакт закрыть, то по днс рубить можно на тике

я скрипт писал

я бы тоже кстати послушал пасанов кто чем режет неугодное. Желательно про большие сетки. С нагрузкой от 100 Mbps наружу

От контактов и т.д.

да чем ты закроешь кроме ДНС. забивай свою айпишку, на той айпишке поднимай апача с страницами ВК/ОК/ФБ и пусть льет введеные логины и пароли в БД ?

если совсем лень то тупо форвард зарезать с пакетом запроса с именем сайта ?

да чем ты закроешь кроме ДНС. забивай свою айпишку, на той айпишке поднимай апача с страницами ВК/ОК/ФБ и пусть льет введеные логины и пароли в БД ?

Блин а когда надо выборочно ?

если совсем лень то тупо форвард зарезать с пакетом запроса с именем сайта ?

Бывает косяк и попадают норм сайт под данный грех

тоже самое но на вспомогательном ДНС, и выборочно пакеты на 53 порт редиректим туда

Вот, щас самооценку придавил )

Бывает косяк и попадают норм сайт под данный грех

ПАКЕТ ЗАПРОСА. тоесть глянуть как выглядит ХТТТП запрос и по регулярке забить в правило

правда я не уверен что как там выглядит запрос при ХТТПС ресурсе. вроде же сначала итак идет ХТТП запрос и потом начинается ХТТПС конект, иначе откуда оно знает что там именно ХТТПС

шас, словлю трафик и посмотрим как оно работает

Хттпс все равно ведь айпи светит

Хостнаме может и не выцепишь

Но можно сбросить соединение сначала

Чтоб оно не устанавливалось в принципе

Или сделать митм

Хостнаме может и не выцепишь

Почти все уже SNI используют

.

Такие вот такие админы были на моей прошлой работе.

Бридж не осилили? Иди что?

ты нам шею поломать вздумал?

Допускаю, что это было сделано не просто так

Но скорее всего - по тупости

А я сегодня виртуал ап освоил

И вспомнил стейшн псевдобридж

Странно, что просто стейшн бридж не заработал

Бридж не осилили? Иди что?

И все это в бридже