Да он сначала затупит

А потом его отпустит:)

Хотя я в свой микрот заталкивал и 40к

Почему?

как-то неправильно это.

Я про 0.0.0.0 где то вообще в мануалах микрота читал

что так правильнее делать

С точки зрения dns

Да и винде это больше нравится. Она видит что заипсь не валидна, и сразу отбрасывает коннект ?

что так правильнее делать

ну как-то вроде поведение не особо определено. мало ли где говнокод встретится. Ну это так, теория

Это да. А тестировать пока не хочется на людях :)) Великая мантра: работает - не трогай

Идеально бы отдавать реальный приватный IP и реджектить его файрволлом

Самое интересное, никто не задержки не жаловался. Я уже так летаю месяца 3

как-то неправильно это.

Почему? К 127.0.0.1 реально можно обратиться и там может быть свой вебсервер или таймауты большие

С такими настройками днс

А к 0.0.0.0 обратиться нельзя

Во-во. Как бы нулями правильнее

Идеально бы отдавать реальный приватный IP и реджектить его файрволлом

Двойная работа

Двойная работа

зато безопасно

А чем 0.0.0.0 не безопасен?

Или 127.0.0.1

Кроме возможной задержки к 127 я не вижу проблем безопасности

2 микрота. 1-й ovpn-сервер. 2-ой ovpn-клиент подключается к первому ethernet-соединением. С сервера клиент пингуется. С клиента сервер не пингуется. Почему? Правил запрещающих нет с обоих сторон.

На 127.0.0.1 может жить вебсервер

2 микрота. 1-й ovpn-сервер. 2-ой ovpn-клиент подключается к первому ethernet-соединением. С сервера клиент пингуется. С клиента сервер не пингуется. Почему? Правил запрещающих нет с обоих сторон.

Маскарад правило есть?:)

Тtоретические проблемы говнокода, который может почитать, что 0.0.0.0 например это все адреса

На 127.0.0.1 может жить вебсервер

Тут уже как выстрелить самому себе в колено

короче я за нули, но микротик не позволяет вроде

Тtоретические проблемы говнокода, который может почитать, что 0.0.0.0 например это все адреса

И дальше что?

Позволяет

Хм

И правда не позволяет

Тут уже как выстрелить самому себе в колено

Всякие вебдевы любят иметь локальный вебсерв

Но это не угроза безопасности же ?

Да и к тому же, мы же режем рекламу

Ну ответит им вебсервер локальный. Ничего страшного

На 127.0.0.1 может жить вебсервер

на стороне клиента маскарад к серверу прописан.

Чо?

Доброе утро коллеги. Есть у кого адреса обновления Windows 10 ?

Доброе утро коллеги. Есть у кого адреса обновления Windows 10 ?

Учти что 10 может п2п использовать

и не приведет ли блокировка к каким то проблемам другим ресурсам?

Доброе утро коллеги. Есть у кого адреса обновления Windows 10 ?

это бездонная тема. Люди тратят кучу времени на отслеживание их, и все равно не факт, что успешно

Винда ваше хитрая в этом плане

ладно тогда буду изврашатся с виндой(

и не приведет ли блокировка к каким то проблемам другим ресурсам?

в наше время плавающих ip и облаков возможно все

Чо?

2 микрота. 1-й ovpn-сервер. 2-ой ovpn-клиент подключается к первому ethernet-соединением. С сервера клиент пингуется. С клиента сервер не пингуется. Почему? Правил запрещающих нет с обоих сторон. Маскарад на стороне клиента прописан.

Доброе утро коллеги. Есть у кого адреса обновления Windows 10 ?

https://cdn.rawgit.com/crazy-max/WindowsSpyBlocker/889dce20/data/hosts/spy.txt

тут вроде есть еще и адреса обновлений

делай wsus локальный и пусть все ходят туда за обновами

ладно тогда буду изврашатся с виндой(

лучше смириться. Нервы дороги. Не заблокировать ее нормально.

просто парк большой и на каждой машине крутится с танцами с бубной как то не очень хотелось

просто парк большой и на каждой машине крутится с танцами с бубной как то не очень хотелось

на большом парке надо бы домен с сервером wsus

просто парк большой и на каждой машине крутится с танцами с бубной как то не очень хотелось

Как сказали выше, WSUS

просто парк большой и на каждой машине крутится с танцами с бубной как то не очень хотелось

Большому парку - домен

И всем по домену

хорошо, WSUS. Спасибо за совет

хорошо, WSUS. Спасибо за совет

У меня 10-7 все обновляются тольчо через всус ? там обычные правила что скачивать и устанавливать в пятницу. Критические обновления и кумулятивки. Ну и так же серверные шинды обновляются

Мануалов по настройке в рунете куча

Да и настраивается это все легко и просто

У меня 10-7 все обновляются тольчо через всус ? там обычные правила что скачивать и устанавливать в пятницу. Критические обновления и кумулятивки. Ну и так же серверные шинды обновляются

В пятницу не очень хорошо...

В пятницу не очень хорошо...

Да чтобы юзвери когда домой уходят, выключают пекарни, они обновляются в это время ?

Скачивать не равно устанавливать)

Выключают? Хмм...

Ну да, когда домой уходят

У нас народ предпочитает оставлять включенным. Пусковые токи при каждом включении- повышенный стресс для оборудования, оно обычно выгорает от такого чаще

Ну может быть. К счастью у нас модернизации иногда бывают.

2 микрота. 1-й ovpn-сервер 10.100.100.1/24 2-ой ovpn-клиент 10.100.100.2/24 подключается к первому ethernet-соединением. С сервера клиент пингуется. С клиента сервер не пингуется. 10.100.100.1 -> 10.100.100.2 ПИНГУЕТСЯ 10.100.100.2 -> 10.100.100.1 НЕ ПИНГУЕТСЯ Почему? Правил запрещающих нет с обоих сторон. Маскарад-правило на стороне клиента к серверу прописано.

Но опять же. Контора огромная. Вот 400 компов простаивают 2 дня (выходные) и жрут энергию. Можно конечно в гибернацию их переводить. Но, мне кажется проще чтобы некоторые их выключали совсем)

2 микрота. 1-й ovpn-сервер 10.100.100.1/24 2-ой ovpn-клиент 10.100.100.2/24 подключается к первому ethernet-соединением. С сервера клиент пингуется. С клиента сервер не пингуется. 10.100.100.1 -> 10.100.100.2 ПИНГУЕТСЯ 10.100.100.2 -> 10.100.100.1 НЕ ПИНГУЕТСЯ Почему? Правил запрещающих нет с обоих сторон. Маскарад-правило на стороне клиента к серверу прописано.

смотрите торчем на сервере на туннельном интерфейсе когда пингуете с клиента, пакеты доходят?

или можно в фаерволе log правило сделать и смотреть в логах

смотрите торчем на сервере на туннельном интерфейсе когда пингуете с клиента, пакеты доходят?

доходят, но ответ сервер не отправляет

может отправляет но не туда?

может отправляет но не туда?

а как проверить?

в фаерфол log правила на icmp на forward и out

без указания интерфейса

в фаерфол log правила на icmp на forward и out

ок, сейчас сделаю

в фаерфол log правила на icmp на forward и out

сервер отвечает на пинг по адресу 10.100.100.2 но на другой тунельный интерфейс. Как такое может быть?

маршрутизация

неверные настройки ip и маски

mangle, что угодно может быть

маршрутизация

спасибо за наводку... сейчас буду проверять

mangle, что угодно может быть

спасибо, кажется я понял в чем дело... вторая таблица маршрутизации отправляет пакет на другой интерфейс ))) Подправил... заработало)))

Приветствую! Делаю по мануалу ikev2. Клиент windows 10 ругается (Ike не удаётся найти действительный сертификат). Сертификат делаю и импортировал по мануал. Кто знает в чем проблема?

ни разу не делал, киньте ссылке на ман

https://wiki.mikrotik.com/wiki/Manual%3AIP/IPsec#Road_Warrior_setup_using_IKEv2_with_RSA_authentication

сертификат на виндовс установили?

Да CA в корневые, client сам попал в доверенные лица потом перекидывал в личные и все эти движения в сертификатах локального компьютера

народ подскажите, ошибка конфига элементарная, но не думается что то с утра... микрот маршрут до адреса знает, но сервер подключеный к микроту адрес не видит, у сервера шлюз микрот.

народ подскажите, ошибка конфига элементарная, но не думается что то с утра... микрот маршрут до адреса знает, но сервер подключеный к микроту адрес не видит, у сервера шлюз микрот.

файрволл например

не, в фаирволе пусто на эту тему.

не видит-то глазами?

или пинг? Или телнет7

или нету с сетевом окружении?

не, в фаирволе пусто на эту тему.

есть еще файрволл на сервере :)

народ подскажите, ошибка конфига элементарная, но не думается что то с утра... микрот маршрут до адреса знает, но сервер подключеный к микроту адрес не видит, у сервера шлюз микрот.

обратный маршрут есть?

NAT есть?

есть еще файрволл на сервере :)

обратный маршрут есть, удаленый ip сервер тоже не видит и последним ему отвечает микрот.

ната нет.