все под рукой

Пятница — день, когда на Микротик-канале людей задолбало говорить о Микротиках. )

Пятница — день, когда на Микротик-канале людей задолбало говорить о Микротиках. )

да, я метко спросил =). после меня тоже много было активности, но я не читал, пролистал просто... =)

я просто вляпался в неприятность. купил патч-панель на 48 портов на 1 юнит. думал как раз туда с трех плат атс заведу порты. все расшил, прозвонил. начал на нее переносить линии. одну плату перенес - ок. вторую - два порта не гудят.. хорошо рядом в стойке еще патч-панель со свободными портами. и туда провода достали, забил туда. а эту на 48 фиг достанеш, чтобы пробить заного два порта, не отключая связь у половины атс

элементарно - приходишь вечером или ночью - и все ОК. ) так же было, не доконца пробойником прошили порт. временно переназначил номер на этом порту на другой номер, пока не дошли руки исправить косяк...

никого, случаем, вчера не брутфорсило с этого айпи?

а крос 110 - можно прямо в стойке монтажить

У меня нет лишней стойки. У меня есть стена. Более печалит то, что даже нет отдельной серверной. Всё сходится в айти-кабинет, где сидит «первая линия поддержки пользователей» три человека + проходной двор. И не будет, потому что места нет и отдельный кабинет воще роскошь.

никого, случаем, вчера не брутфорсило с этого айпи?

а почему именно на него обратили внимание? Их же десятки каждый день ?

а почему именно на него обратили внимание? Их же десятки каждый день ?

порт не 22

умный тип ?, просканил диапазон на типовые ответы ?

вот вы лучше скажите есть 50 парник который по некой косячности не достал до стойки пару-тройку метров. ) я давно вышел из положения прибив к стенке недалеко от стойки под потолком ящик с 5-ю плинтами, нарастив таким образом нужный метраж. но она на стене в серверной глаза мозолит мне. ) Есть соображения как это компактно кроме пайки и скрутки убрать с глаз долой? :))

умный тип ?, просканил диапазон на типовые ответы ?

просто не один хост брутился, а несколько, в разных частях страны. вот мне и интересно, целенаправленно на меня это было или вдруг не я один такой

Почитал я вас, полез смотреть кто у меня в ssh_blacklist и завис. Думаю, вот у меня 4 правила защиты от брутфорса, вот блокировщик, вот списки allowed, которым наплевать на блокировку. Смотрю я на эту конструкцию и думаю — если есть списки allowed, зачем я себе вообще антибрут делал, если банальный drop спасёт ситуацию и уменьшит проблем.

вот вы лучше скажите есть 50 парник который по некой косячности не достал до стойки пару-тройку метров. ) я давно вышел из положения прибив к стенке недалеко от стойки под потолком ящик с 5-ю плинтами, нарастив таким образом нужный метраж. но она на стене в серверной глаза мозолит мне. ) Есть соображения как это компактно кроме пайки и скрутки убрать с глаз долой? :))

Прикрыть горшком с цветами, лол

просто не один хост брутился, а несколько, в разных частях страны. вот мне и интересно, целенаправленно на меня это было или вдруг не я один такой

Есть вариант поднять Logstash+ElasticSearch? Можно один раз и хорошо решить все проблемы с брутфорсами =)

Кабельканал 200мм во всю стену

вот вы лучше скажите есть 50 парник который по некой косячности не достал до стойки пару-тройку метров. ) я давно вышел из положения прибив к стенке недалеко от стойки под потолком ящик с 5-ю плинтами, нарастив таким образом нужный метраж. но она на стене в серверной глаза мозолит мне. ) Есть соображения как это компактно кроме пайки и скрутки убрать с глаз долой? :))

Если потолок как у большинства — офисный, квадратиками, то есть у некоторых производителей ящики, которые ставятся вместо одного квадратика и элегантно открываются не портя вид.

Кабельканал 200мм во всю стену

И плинты в него каждый в термоусадке? :))

Есть вариант поднять Logstash+ElasticSearch? Можно один раз и хорошо решить все проблемы с брутфорсами =)

да я в принципе уже кейс нагуглил, как с третьего стука в бан загонять :)

элементарно - приходишь вечером или ночью - и все ОК. ) так же было, не доконца пробойником прошили порт. временно переназначил номер на этом порту на другой номер, пока не дошли руки исправить косяк...

соль в том, что после расшифки я все прозвонил. все было ок. или изоляция где недорезалась, или жила переломилась, пока туда-сюда... да и вообще эта патч-панель с вертикальной заделкой. а а стойке места тупо нет подлезть панчером. в обычные на 24 порта - горизонтальная заделка. там можно подлезть и перебить. но на каждые 16 портов платы на атс ставить по 1 юниту - и места много и дорого стоят эти патч-панели, если надо всего 2 провода. а кросс-панель - вроде удобно... посмотрим. я уже купил на 200 пар. вот подбираюсь к тому, чтобы снять этй 48 1U заразу....

Если потолок как у большинства — офисный, квадратиками, то есть у некоторых производителей ящики, которые ставятся вместо одного квадратика и элегантно открываются не портя вид.

не, там у меня содом и гоморра в металле. никаких подвесных констукций. )

да я в принципе уже кейс нагуглил, как с третьего стука в бан загонять :)

если порт был не стандартный то и по PSD загоняй в бан ?

да я в принципе уже кейс нагуглил, как с третьего стука в бан загонять :)

Ну, почему-бы и нет

а ктонить пробывал на wap lte kit IMEI менять у модема?

не, там у меня содом и гоморра в металле. никаких подвесных констукций. )

Неужели ангар? )

да я в принципе уже кейс нагуглил, как с третьего стука в бан загонять :)

надо тоже сделать. )

вот вы лучше скажите есть 50 парник который по некой косячности не достал до стойки пару-тройку метров. ) я давно вышел из положения прибив к стенке недалеко от стойки под потолком ящик с 5-ю плинтами, нарастив таким образом нужный метраж. но она на стене в серверной глаза мозолит мне. ) Есть соображения как это компактно кроме пайки и скрутки убрать с глаз долой? :))

шкафчик под плинты?

ну или модем какйо можно в него вставть чтобы подерживал смену imei&

соль в том, что после расшифки я все прозвонил. все было ок. или изоляция где недорезалась, или жила переломилась, пока туда-сюда... да и вообще эта патч-панель с вертикальной заделкой. а а стойке места тупо нет подлезть панчером. в обычные на 24 порта - горизонтальная заделка. там можно подлезть и перебить. но на каждые 16 портов платы на атс ставить по 1 юниту - и места много и дорого стоят эти патч-панели, если надо всего 2 провода. а кросс-панель - вроде удобно... посмотрим. я уже купил на 200 пар. вот подбираюсь к тому, чтобы снять этй 48 1U заразу....

Ну мда. у меня 47U квадратная стойка, запас кабеля есть, так что просто отключаешь линки спереди, высовываешь панель вперед и аккуратно переделываешь...

шкафчик под плинты?

так они и так в ящичке. )

так они и так в ящичке. )

а ящик-о че мозолит? норм же

Неужели ангар? )

да не, стальной каркас здания, обшитый сендвичем. так что потолок у меня металл. астены гипса в обрешетке. )

Ну, почему-бы и нет

просто если это только на меня атака, то тогда нужно включать режим паранойи, чего я совсем-совсем не люблю ?

а ящик-о че мозолит? норм же

ну некомильфо же. ) есть стойка, должно быть все в ней. а тут сбоку припека... )

ладно, рабочий день 2 часа назад закончился, я домой поехал. )

просто если это только на меня атака, то тогда нужно включать режим паранойи, чего я совсем-совсем не люблю ?

А персональную атаку нереально отловить без сложной аналитики, профилей вторжения, оценки рисков и защищаемых точек, оценки слабых мест и комплексного подхода к защите

А персональную атаку нереально отловить без сложной аналитики, профилей вторжения, оценки рисков и защищаемых точек, оценки слабых мест и комплексного подхода к защите

Ну и ежеквартальный аудит всего. И, ежегодный аудит внешними аудиторами с пентестами =)

А иначе это затыкание дырок паклей на тонущем, от выстрела дробью, корабле

А персональную атаку нереально отловить без сложной аналитики, профилей вторжения, оценки рисков и защищаемых точек, оценки слабых мест и комплексного подхода к защите

не только конторские ip были атакованы, но и мои тоже. два фактора, которые их объединяют - это одинаковый порт ssh и их наличие в списке сессий винбокса

ладно, рабочий день 2 часа назад закончился, я домой поехал. )

Везёт. У меня с 10 утра. И ща вторая смена

На другой объект

не только конторские ip были атакованы, но и мои тоже. два фактора, которые их объединяют - это одинаковый порт ssh и их наличие в списке сессий винбокса

ИМХО, странно это, но не настолько паранойно. Персональная атака начинается точно не с брутфорса =)

ткните носом пож в гайд как настроить наивысший приоритет для ipsec туннелей

а то уж 2 дня курю статьи про очереди и не решаюсь попробовать чтото слепить..

ткните носом пож в гайд как настроить наивысший приоритет для ipsec туннелей

Неправильная формулировка вопроса.

Туннели бывают транзитные и собственные. От этого зависит настройка.

К тому же, если транзит контролируете не вы, то айптсек может тормозиться провайдером в пользу udp/voip

Туннели бывают транзитные и собственные. От этого зависит настройка.

ээ, я не асс) один туннель прямо туннель, чисто ипсек в режиме туннеля, второй гре овер ипсек, там ипсек в транспортном режиме, причем там еще есть нат траверсал.

воип нету

хгчется поставить приоритет тунелю перед хттп, торрентами потоковым видео и прочая

Тут уже день-два назад рассматривали проблему с торрентами

Невозможно прямо влиять на ВХОДЯЩИЙ трафик. Только исходящий с интерфейса

В простом случае, создаете две очереди. 1 для ipsec, 2 для прочего трафа. У первой ставите limit-at скорости, какой надо для ipsec-туннеля. У второй просто max-limit. Трафик ipsec размечаете в mangle-output. Остальной без метки попадет во вторую очередь

Невозможно прямо влиять на ВХОДЯЩИЙ трафик. Только исходящий с интерфейса

Ну тут кагбэ да, но нет

В простом случае, создаете две очереди. 1 для ipsec, 2 для прочего трафа. У первой ставите limit-at скорости, какой надо для ipsec-туннеля. У второй просто max-limit. Трафик ipsec размечаете в mangle-output. Остальной без метки попадет во вторую очередь

спс, буду думать в этом направлении

Приоритет по портам повысить можно, остальное в буфере может спокойно сидеть

Ну и срать на вход будут только если это согласовано, по-хорошему... т.е. если оно в буфере, таймаут соотвессна... поиграться можно с этим

Если это не ддос конечно, но на это свои инструменты есть

Порты - это всмысле тсп и удп

А не етх1 и тд

Скорость на автосогласовании жи... так что если ее на входе ограничить, то будут меньше пихать

Как-то так...

ребят, у меня 2 rb2011 сейчас соединены l2tp без шифрования. насколько сильно просядет канал если включить ipsec?

ребят, у меня 2 rb2011 сейчас соединены l2tp без шифрования. насколько сильно просядет канал если включить ipsec?

на 2мс

ну вроде не критично..

ERROR: S client not available

ребят, у меня 2 rb2011 сейчас соединены l2tp без шифрования. насколько сильно просядет канал если включить ipsec?

Зависит от количества трафика

Но цпу просадит прилично

ну там..астериск+1с...

тогда такой вопрос)...может я конечно неправильно настроил ipsec этот...но вот вопрос. На l2tp сервере я не ставил галочку Use IPsec, а только сделал в IP IPsec Peer и Policies

это неправильно?

Парни, всем привет. Кто-нибудь юзает WAP AC? Проблема есть при подключении через переходник POE который в комплекте и подключения блока питания в розетку не горит лампочка питания и точка не стартует. Ловил кто-нибудь такую проблему

Через вот такой переходник https://treolink.ru/image/data/mikrotik-wap-ac-rbwapg-5hact2hnd-04.jpg

Через вот такой переходник https://treolink.ru/image/data/mikrotik-wap-ac-rbwapg-5hact2hnd-04.jpg

Это PoE-инжектор, а не переходник. Поменяй и посмотри, что будет.

это неправильно?

Если трафик шифруется то норм

как бы это ещё узнать.....то...дальше только оборудование РТ...но в installed SAs байты идут

Это PoE-инжектор, а не переходник. Поменяй и посмотри, что будет.

Да вот нет под рукой к сожалению, если точку запитать с POE свитча - индикация на ней появляется, но вот винбокс ее не видет.

Сброс точки в дефолт не помогает

Точка может придти без ROS на борту? голая

Как считаете?

Да вот нет под рукой к сожалению, если точку запитать с POE свитча - индикация на ней появляется, но вот винбокс ее не видет.

Хуёвый пое-инжектор, говорю же.

как бы это ещё узнать.....то...дальше только оборудование РТ...но в installed SAs байты идут

Самый надёжный способ это конечно снифер запустить на линии между роутера и через который проходит l2tp

Я же говорю что если запитать без него соеденив POE свитч и точку достпа на ней загораются лампочки

как будто она работает

Но винбокс ее не видет в нейборах

Но винбокс ее не видет в нейборах

А винбокс с точкой в одном влане?

Парни, всем привет. Кто-нибудь юзает WAP AC? Проблема есть при подключении через переходник POE который в комплекте и подключения блока питания в розетку не горит лампочка питания и точка не стартует. Ловил кто-нибудь такую проблему

проверяй как патчкорд обжат

А винбокс с точкой в одном влане?

Да это голый свитч , я его использовал только ради проверки POE , все порты в первом влане

Ноут подключался в свитч вместе с точкой

тогда такой вопрос)...может я конечно неправильно настроил ipsec этот...но вот вопрос. На l2tp сервере я не ставил галочку Use IPsec, а только сделал в IP IPsec Peer и Policies

30 мбс емнип

Я же говорю что если запитать без него соеденив POE свитч и точку достпа на ней загораются лампочки

При чём тут нейборы если ты жалуешься на то что точка не стартует с пое-инжектором, а от пое свича всё норм? Или у тебя вопрос как в том анекдоте с ржавыми дисками?

Тут сразу 2 вопроса 1) про POE инжектор 2) Что за херня с точкой

тогда такой вопрос)...может я конечно неправильно настроил ipsec этот...но вот вопрос. На l2tp сервере я не ставил галочку Use IPsec, а только сделал в IP IPsec Peer и Policies

Если 2 ip белые - должно работать

Если 2 ip белые - должно работать

да, конечно белые

проверяй как патчкорд обжат

Патч заводской - гиговый линк на нем поднимается на других устройствах.

да, конечно белые

Можешь проверить легко. На локальном пир задисейбли и посмотри ходит ли трафик

Трафик должен перестать ходить, если на удаленном обязательное шифрование стоит