@MikrotikRu
B08.01.2018
19:50:23
19:50:23
Мне сейчас вспомнился Rip и появилась идея поднять его на клиенте ) ведь это виниде подвластно ... и если он будет на nas к которому винда подключена
То он может отдать ей маршруты
Проверим ?)
Nikolai08.01.2018
19:54:17
19:54:17
Работает. Проверял сам. Даже на ХР
GoogleNikolai08.01.2018
19:56:54
19:56:54
Это более геморройный метод. Приходится ставить на виндовом клиенте "слушатель рип", а на впн-сервере настраивать ретрансляцию.
И кажется, еще клиента в качестве пира прописывать, т.к. в п2п линке не ходит мультикаст по-умолчанию и приходится рипа делать юникастным, как раз прописывая клиента пиром.
Sergiy08.01.2018
19:59:01
19:59:01
Nikolai08.01.2018
20:00:29
20:00:29
Там должно по аналогии с линухом соединение настраиваться.
У меня гей-компов нет в хозяйстве. На них не тестил.
Sergiy08.01.2018
20:01:25
20:01:25
ну получается что по ВПН выдаем любую 172,16 сеть и потом нетмапим на роутере на нашу локалку ? . Ведь у многих локалки 192,168,,, . не переделывать же их ради ВПН-клиентов ?
Nikolai08.01.2018
20:02:23
20:02:23
Ммм... Идея как раз в том, чтобы не транслировать адреса, а предоставлять прямой доступ
Sergey08.01.2018
20:02:34
20:02:34
Ребят так и все таки как правильно? Чтобы на стороне клиента виндового меньше движений делать?
Sergiy08.01.2018
20:02:52
20:02:52
вот только как ответы вернуть от 172,16 сети? клиент ведь от этих адресов будет ожидать ответа
Ммм... Идея как раз в том, чтобы не транслировать адреса, а предоставлять прямой доступ
ну так шо мне все локалки переделывать? ?? должен быть выход.Nikolai08.01.2018
20:03:42
20:03:42
Сети на этапе строительства делать из 172.16.0.0/12
Sergiy08.01.2018
20:04:02
20:04:02
это хорошее решение. но надо что то придумать и для СУЩЕСТВУЮЩИХ сетей
B08.01.2018
20:04:03
20:04:03
Шлюз в удалённой сети по умолчанию не решает ?
Nikolai08.01.2018
20:04:22
20:04:22
Если есть много локалок и они порезаны в 192.168.... печаль. Тогда транслировпть
B08.01.2018
20:04:24
20:04:24
Возврат трафика ... или более изысканности нужно ?
GoogleB08.01.2018
20:04:30
20:04:30
А понял
Sergiy08.01.2018
20:04:32
20:04:32
B08.01.2018
20:05:41
20:05:41
Пушить маршрут у нас можно только в конфиге openvpn ...
Bkmz08.01.2018
20:06:30
20:06:30
всё. перестал что либо понимать))
Sergiy08.01.2018
20:06:59
20:06:59
Возврат трафика ... или более изысканности нужно ?
ну просто при трансляции - запрос прилетает на 172,18,1,5 и нетмапится на 192,168,1,5, и ответ к клиенту полетит с срц. адресом 192.168.1.5, хотя клиент ждет ответа от 172.18.1.5 . Вот и думаю можно ли как то это исправить.
Ну чисто в теории, что бы на будущее знать ?Nikolai08.01.2018
20:07:20
20:07:20
Ovpn вообще - ересь.
Во многих серьезных организациях ограничен перечень стороннего софта, разрешенного к установке на клиентов. OVPN туда не входит.
Для организации впн обычно достаточно штатных средств ОС
Sergiy08.01.2018
20:07:27
20:07:27
всё. перестал что либо понимать))
не обращай внимание на мою писанину. это частный случай и выясняю чисто для общего развития ?B08.01.2018
20:08:42
20:08:42
Но при этом использовать pptp в из стандартных средств винды хорошо ... или ставить керио клиент )
Не все же L2tp с Ipsec и сертификатом поднимают
Nikolai08.01.2018
20:09:25
20:09:25
Если я правильно понял, то речь идет про dst-nat. Надо схему. Без нее запутаемся
Sergiy08.01.2018
20:10:22
20:10:22
ща нарисую
Nikolai08.01.2018
20:10:39
20:10:39
Но при этом использовать pptp в из стандартных средств винды хорошо ... или ставить керио клиент )
Сначала попытаться согласовать с СБ покупку/установку керио... Когда НЕ согласуют, идти курить-рыдать?B08.01.2018
20:11:18
20:11:18
)))
Nikolai08.01.2018
20:11:36
20:11:36
Допустим, две подсети:
1) 192.168.5.0/24 - центральный офис
2) 192.168.111.0/24 ДЦ
B08.01.2018
20:11:41
20:11:41
Или Cisco anyconnect
Sergey08.01.2018
20:11:49
20:11:49
Читаю вас читаю, на себе все ни как не примерить. Есть МТ за ним серв 1с. Есть бухгалтера которые удаленно сидят и чтобы мне в открытую порт не открывать хочу поднимать со стороны бухгалтера ВПН. Что посоветуете для того что бы со стороны клиента меньше тело движения было?
Nikolai08.01.2018
20:12:00
20:12:00
Линковочная между ними 192.168.2.0/30
Sergey08.01.2018
20:13:04
20:13:04
Читаю вас читаю, на себе все ни как не примерить. Есть МТ за ним серв 1с. Есть бухгалтера которые удаленно сидят и чтобы мне в открытую порт не открывать хочу поднимать со стороны бухгалтера ВПН. Что посоветуете для того что бы со стороны клиента меньше тело движения было?
Без Рип и адд роут, а только логин и пароль и усеB08.01.2018
20:13:30
20:13:30
Читаю вас читаю, на себе все ни как не примерить. Есть МТ за ним серв 1с. Есть бухгалтера которые удаленно сидят и чтобы мне в открытую порт не открывать хочу поднимать со стороны бухгалтера ВПН. Что посоветуете для того что бы со стороны клиента меньше тело движения было?
Dst nat поднять с портами не стандартными на rdp и опубликовать приложение remout appSergey08.01.2018
20:14:12
20:14:12
Dst nat поднять с портами не стандартными на rdp и опубликовать приложение remout app
Щас так и сделано, но как-то по сикурности мне кажется не кошерноGoogleB08.01.2018
20:14:21
20:14:21
И публиковать не версию релизную а стартер ... и не надо больше ничего делать как ярлык разослать
А что секурности
Шифрование есть
Nikolai08.01.2018
20:14:47
20:14:47
Читаю вас читаю, на себе все ни как не примерить. Есть МТ за ним серв 1с. Есть бухгалтера которые удаленно сидят и чтобы мне в открытую порт не открывать хочу поднимать со стороны бухгалтера ВПН. Что посоветуете для того что бы со стороны клиента меньше тело движения было?
Допустим у вас локалка с сеоваком 192.168.5.0/24.
Роутер 192.168.5.1/24 на bridge-local.
Выдавать l2tp-клиенту IP-адрес из диапазона локалки.
На роутере, на bridge-local интерфейсе включить proxy-arpNikolai08.01.2018
20:15:10
20:15:10
На клиенте УБРАТЬ галку "use default gateway"
B08.01.2018
20:15:45
20:15:45
Вот ещё коля говорит тру !
Sergiy08.01.2018
20:15:53
20:15:53
Закончите то свисните, что бы я не прерывал вашу нить разговора
B08.01.2018
20:16:11
20:16:11
Сделать proxy arp на бридже ... выдавать клиентам адреса из пула бриджа
И ходить по внутреннему адресу
Nikolai08.01.2018
20:16:26
20:16:26
Да
B08.01.2018
20:16:59
20:16:59
Нет
Nikolai08.01.2018
20:17:07
20:17:07
Нет впн-нет доступа. У них четкий рефлекс за две попытки входа набивается
Sergey08.01.2018
20:17:07
20:17:07
А галка
B08.01.2018
20:17:11
20:17:11
Не ставить галку использовать ужаленный шлюз
GoogleNikolai08.01.2018
20:17:32
20:17:32
Sergey08.01.2018
20:18:37
20:18:37
Nikolai08.01.2018
20:18:44
20:18:44
Не ставить ! Если конечно сети не пересекутся )
Ну, это каким надо быть..... Му... Чтобы рабочую сеть делать 192.168.1.0/24 или 192.168.0.0/24Sergey08.01.2018
20:19:39
20:19:39
Ну, это каким надо быть..... Му... Чтобы рабочую сеть делать 192.168.1.0/24 или 192.168.0.0/24
Когда пришел там так и было до меня и перестраивать четко ссыкотно там хлама много ещё и на статикеAdminERROR: S client not available
B08.01.2018
20:19:40
20:19:40
?
Sergey08.01.2018
20:20:31
20:20:31
Дак и всё-таки какую адресацию давать ?
B08.01.2018
20:20:55
20:20:55
2.2.2.0/24 можно
Nikolai08.01.2018
20:20:56
20:20:56
С микротиком перестраивать легко. Вешаем второй IP на интерфейс из нового диапазона, поднимаем DHCP с новым пулом и постепенно выводим старые адреса в динамику нового пула
Sergey08.01.2018
20:21:18
20:21:18
172.16.х.х
Nikolai08.01.2018
20:22:13
20:22:13
На перспективу, если будет несколько связанных подсетей, то 172.16.х.х
А лучше вообще 172.20.х.х
Чтоб еще меньше вероятности с кем-то пересечься
Sergey08.01.2018
20:23:13
20:23:13
На перспективу, если будет несколько связанных подсетей, то 172.16.х.х
А лучше вообще 172.20.х.х
Там ещё 3 офиса цепляются к головному но там 192.268.8877
66
А центровой 1.1
GoogleNikolai08.01.2018
20:23:42
20:23:42
Ой, печаль
По возможности меняйте диапазон.
192.168 это не энтерпрайз. И даже не smb
Sergey08.01.2018
20:24:55
20:24:55
Так значит на головном меняем 172.20.1.1, а на остальных 2.1, 3.1, 4.1?
Nikolai08.01.2018
20:27:06
20:27:06
Важно, чтоб всякие сетевые ресурсы, принтеры и прочие ништяки небыли у клиентов прописаны по IP.
Именно поэтому так важна роль dns при посторении гибкой сети
Sergey08.01.2018
20:28:10
20:28:10
Вся фигня ещё в том что там ad хоть на удаленных офисах 5-6 устройств, но все равно пока днс виндовы перестроится думаю я понервничаю
Nikolai08.01.2018
20:28:32
20:28:32
Поэтому трахаю 1Спрогромиздов, чтобы даже не пытались в своих говнокодах по IP обращаться к ресурсам
Sergiy08.01.2018
20:29:02
20:29:02
192.268.88 - шозанах?
B08.01.2018
20:29:13
20:29:13
) а один эсс ещё и обращается куда-то ?
Sergey08.01.2018
20:29:24
20:29:24
Не ресурсы внутренние все старался на днс перевести просто малоли чотгде
Bkmz08.01.2018
20:30:12
20:30:12
Подскажите. Вот допустим имею я дома у себя mikrotik и статический ip от провайдера. А у клиента я подключаю видеорегистратор, тоже к микротику с usb модемом с серым динамическим ip. Могу ли я клиенту организовать удаленное видеонаблюдение со смартфона используя свой личный статический адрес?
https://wiki.mikrotik.com/wiki/Manual:IP/CloudNikolai08.01.2018
20:30:17
20:30:17
Если в качестве первичного dns-сервера отдается IP контроллера-ad, то компы входя в сеть на нем отметятся и записи в днс сами обновятся
Sergey08.01.2018
20:30:47
20:30:47
) а один эсс ещё и обращается куда-то ?
База на насе лежит и обращение по имени т.е. смб поднят да и усе
Открыть в Telegram