"ани украдут нашы тайны

виртуалки на проксмоксе, диски виртуалок на шифрованных лвм контейнерах...

Гхм, как вы боретесь с возможностью воровства корпоративной тайны? Особенно если у всех ноуты, которые могут всё отовсюду?

FDE шифрование

как минимум

Это же можно отловить любого сотрудника и методом терморектального криптоанализа слить любые данные к которым у него доступ…

желателен второй фактор, (дешевый желательно)

Гхм, как вы боретесь с возможностью воровства корпоративной тайны? Особенно если у всех ноуты, которые могут всё отовсюду?

"мы знаем где ты живешь" ? ну и разграничение доступов по учеткам и т.д.

короче, FDE плюс смарт-карты. Или вообще работа исключительно через терминальные серверы.

ноут по сути тонкий клиент

в любой непонятной ситуации блочится впн сертификат, а там уже разбираемся

Это же можно отловить любого сотрудника и методом терморектального криптоанализа слить любые данные к которым у него доступ…

ну, 90ые уже прошли вроде)

Если бы 90ые прошли они сцука вернулись по другому

ну, 90ые уже прошли вроде)

на фоне новостей я бы так не сказал

"ани украдут нашы тайны

кстати, с небелыми базами — откровенно ссыкотно.

ну, 90ые уже прошли вроде)

они вернулись в некоторых местах ещё жёстче чем были.

в какой стране?

Добрый день!

Хотел спросить, если можно: строил ли кто-нибудь IPsec между Mikrotik RB750 и Juniper SRX240 и как вообще заставить это работать? Поиск в гугле принес только боль и разочарование (нашел пару примеров gre over ipsec, но не пошло). Версия РоутерОС 6.40, ДжунОС 12.1х46

почти тоже самое:) только у меня линукс))..я уже с воскресенья занимаюсь любовью;)

найти бы того человека который порекомендовал гре+ипсек не между микротик-микротик...

на самом деле..отдельно у меня всё завелось...но вот вместе...

Хотел спросить, если можно: строил ли кто-нибудь IPsec между Mikrotik RB750 и Juniper SRX240 и как вообще заставить это работать? Поиск в гугле принес только боль и разочарование (нашел пару примеров gre over ipsec, но не пошло). Версия РоутерОС 6.40, ДжунОС 12.1х46

ох... могу конфиг скинуть.

у меня это GRE over IPsec

с дЭбильным конфигом на стороне МТ

ох... могу конфиг скинуть.

давайте, если не трудно, 2 дня колупаюсь уже, хотя бы в какую-нибудь сторону продвинуться хочется

найти бы того человека который порекомендовал гре+ипсек не между микротик-микротик...

у меня пфсенс+микротик работает

я кстати начинаю подозревать что дело в том, что я что-то не сделал на микротике...ну судя по файрволлу

я кстати начинаю подозревать что дело в том, что я что-то не сделал на микротике...ну судя по файрволлу

я полностью открыл туда-сюда временно, поэтому у меня где-то в другом месте косяк

может кто-то расскажет что нужно сделать чтобы ответный пинг пошел

давайте, если не трудно, 2 дня колупаюсь уже, хотя бы в какую-нибудь сторону продвинуться хочется

https://pastebin.ca/3938082

https://pastebin.ca/3938082

спасибо, сейчас поразбираюсь

а адреса на гре 10.65.1.81 и 10.65.1.82?

как я понимаю

и разве ипсек нужно в режиме туннеля?

ну SRX вообще не поддерживает transport mode

аа..там ещё свои заморочки)

так что у меня костылятор - по две пары серых адресов на туннель)

ну SRX вообще не поддерживает transport mode

а на st0.6 какие настройки?

set security ipsec vpn VPN-CLIENT-MT2 bind-interface st0.6 set security zones security-zone CUSTOMERS interfaces st0.6 set routing-instances VR-OFFICE interface st0.6 set routing-instances VR-OFFICE routing-options static route 10.65.1.82/32 next-hop st0.6

там все стандартно. routing-instance, интерфейс, security-zone, маршруты статикой в туннель

а, т.е. у ст0 нету айпишника

про это имел в виду

есть

просто под фильтр не попало

set interfaces st0 unit 6 family inet address 10.65.1.81/32

никогда не видел тоннелей с айпишниками /32 :D

поэтому и не оч понятно как это все настроить

в джунике делаешь просто /30 и все пашет

в какой стране?

UA

есть

а какие-то маршруты особые есть на микротике? и джунипере тоже, кроме того что в тоннель st0

не, только с одной и с другой стороны статика в GRE туннель

мякотка - tunnel mode, ну ибо не умеет SRX в транспорт

а какая статика в гре?

на какой адрес

btw ike v1 ни в какую не поднимается, только ike v2

хз почему -_-

ну подними v2

Ребята, кто нибудь настаивал сбор netflow?

статика - тупо с одной стороны маршрут в туннель (st0.6) в подсеть А, с другой стороны (на микротике) - статика в GRE-адрес джунипера в подсеть Б.

ничего необычного

тогда ведь получается что только 2 сетки А и Б проброшены туда сюда, а все остальное? Работает оспф при таком конфиге?

есть

еще в конфиге не указано, какие на gr-0/0/0 настройки

Ребята, кто нибудь настаивал сбор netflow?

я настраивал чисто дял теста, не воникло вообще никаких проблем

статика - тупо с одной стороны маршрут в туннель (st0.6) в подсеть А, с другой стороны (на микротике) - статика в GRE-адрес джунипера в подсеть Б.

я еще раз проговорю, поправьте, если ошибаюсь, потому что пока ничего не понятно : заводим gr-0/0/0 интерфейсы на микротике и джунипере, назначаем им айпишники какие-то любые из одной сети, ставим source и destination'ами белые адреса железок. пишем на микротике маршрут на 10.65.1.81/32, направляем в gre тоннель заводим на джунипере st0 интерфейс с адресом 10.65.1.81/32, пишем маршрут на 10.65.1.82/32 и направляем его в st0.

ERROR: S client not available

а адрес 10.65.1.82 на микротике на каком интерфейсе заводим?

и что если например сделать не /32 адресацию а /30

Ещё не забудь bind-interface несколько я помню. Смогу чуть позже сказать

да, сделал) ок)

не пошло в общем

st0 в дауне лежит, вторая фаза не поднимается

на микротике можно окунуться в ипсек - System Logging и добавить ipsec)

Подскажите пожалуйста, можно ли заменит следующее оборудование на MikroTik: . Ubiquiti UniFi Switch 16 - 1 шт. 2. Ubiquiti UniFi AP AC PRO - 15 шт. 3. Ubiquiti UniFi Cloud Key - 1 шт. 4. Mikrotik SFP RJ45 10/100/1000M Copper Module - 2 шт. Ну кроме собственно MikroTik?

2 и 3 — нет.

свитч - можно. На невышедшую пока модель CRS-328

2 и 3 — нет.

Но, почему?

Ну потому что нормального вайфая для p2mp у микротика нет.

свитч - можно. На невышедшую пока модель CRS-328

Невышедшую не получится.

Ну потому что нормального вайфая для p2mp у микротика нет.

Понятно.

А других свитчей, которые могут дать 48V 802.3at/af PoE на 15 портов у микротика нет.

А других свитчей, которые могут дать 48V 802.3at/af PoE на 15 портов у микротика нет.

Понятно. Большое спасибо.

А других свитчей, которые могут дать 48V 802.3at/af PoE на 15 портов у микротика нет.

А первый свитч?

Который?

не понял вопроса совсем

Который?

Ubiquiti UniFi Switch 16 - 1 шт.

Или он нужен чтобы именно ТД объединить?

Unifi switch не на что, потому что у микротика нет свитчей, далее по тексту.

unifi ac pro - нельзя, т.к. у микротика вайфай говно, если он не P2P. cloud key - нельзя, потому что у микротика нет контроллеров, могущих управлять юнифайками.

народ есть микрот # model = CCR1009-7G-1C-1S+ с одной стороны , с другой стороны циска. сделал между ними LACP.циска и микрот увидели LACP. теперь вешаю влан на этот lacp(bonding mii 802.3ad ) со сторы микрота,со стороны циски вижу все в 1-м влане хотя влан на LACp интерфейсе со стороны микрота в 7 влане,но циска не видит маов в 7 влане а видит все в первом

unifi ac pro - нельзя, т.к. у микротика вайфай говно, если он не P2P. cloud key - нельзя, потому что у микротика нет контроллеров, могущих управлять юнифайками.

Dсё понятно.

народ что сейчас ставят шлюзами в организации?

тут как то линкали модель котрой все довольны

2011

Народ, тут ни у кого сейчас нет лицензий P1/P10 на продажу дешевле розничной?

Упустил чуть больше месяца назад, кто-то сливал 3шт P10 по 1500 рублей, щас жалею )

https://mikrotik.ru/katalog/katalog/hardware/routers/soho/RB3011UiAS-RM

Unifi switch не на что, потому что у микротика нет свитчей, далее по тексту.

А почему именно нужен PoE Switch?