а работает по json over zmq

а nprobe дорог и ограничен

любой это какой? я ни одного вменяемого бесплатного не видел

https://www.plixer.com/Flowalyzer/flowalyzer.html

какое-то говно

скриншоты на офтопике

домен на ком намекает

ntop юзал потому что ничего другого не нашел

но он уг

а ставить платный джаст фо фан как-то не комильфо

какое-то говно

FA не требует установки как ни странно - в работе неплох

как это не требует

как это не требует

или показалось

сча

я про .com

да не парься, мне все равно его запускать негде

ну да - просто запускатеся бинарь и всё

да не парься, мне все равно его запускать негде

wine?

есть фряха и два макбука

странно это в вайн пускать

надо что б постоянно висел и копи л стату

вот я о чём и спрашивал, коллектор

было чтото - аналитика не нужна - нужна стата?

в виде демона

так?

или и аналитика и стата?

есть фряха и два макбука

короче глянь сюда http://www.switch.ch/network/projects/completed/TF-NGN/floma/software.html

но это не искоробочне - это по сути стандартный юзкейс - накапление статы по рульсам и передача оной в rrd

Подойдет

Спасибо

Утро! Друзья подскажите, подсчет трафика использовано пользователями, по портам, IP, маку - куда копать? Есть что нибудь такое человеческое?!

Что считать нужно конкретно? Трафик за месяц, за день?

Потреблённый трафик по ip/mac по портам, по протоколам. За день, месяц

Это все в идеале конечно

netflow?

вон только что выше обсудили

Всем привет. Если микротик пишет в лог что pppoe disconnected, то это по вине провайдера?

Всем привет. Если микротик пишет в лог что pppoe disconnected, то это по вине провайдера?

Не всегда

Ну он пытается все время стучаться туда потом пишет terminating-disconnected

Логин пароль точно верные ?

Буквально час назад он работал

А ну тогда да провайдер скорее всего

Потом сплошной дисконнект пошел

Спасибо за ответ

Если Ростелеком, бывает сессия виснет у них, попробуйте отключить минут на 20.

Спасибо за ответ

А ещё настрой вотчдог если что виснет и пропадёт инет просто ребутается и начинает работать

Не,я перезагружал,не помогло

Ох уж этот ростелеком

всем привет)) у меня снова нубские вопросы по VLAN'ам..

микротик был настроен так: https://dpaste.de/pu5x

у меня есть некий ноутбук админа и сервер, с веб-панелькой управления IPMI

задача - ограничить доступ к ней только для этого ноутбука

вот то как сейчас сделано - выше по ссылке

что мне непонятно: можно ли сделать полностью независимые сети?

сейчас вроде бы этот VLAN есть, но особой пользы от него нет, всё решается через Chain: forward, Src. Address: ! 192.168.88.33 (адрес моего ноутбука), Dst. Address: 192.168.101.17 (адрес IPMI), Action: reject

как вообще правильно это делать? то есть разделять сеть управления от сети данных

то есть чтобы из одной сети в другую нельзя было зайти и чтобы айпишники и право быть в сети управления выдавались только устройствам с доверенным MAC'ом

что я хочу: если появляется потребность в третьем устройстве, я захожу в микротик, указываю MAC-адрес и этому устройству по DHCP прилетает дополнительный айпишник , работающий в связке с VLAN, через него это устройство будет иметь доступ к админке сервера, при этом никакие другие правила фаерволла я не трогаю, я просто даю устройству право стать частью сети, а дальше всё само как-то ну и это устройство как-то само понимает, что кроме как к членам сети, никуда больше через данный айпишник подключаться не нужно (доступа ни в интернет, ни в другие сети нет)

все спят

да, что-то я как обычно с вопросами ночью))

я, может, не идеально сформулировал задачу

и есть способы лучше это сделать

ключевой момент - обезопасить сеть для управления всей инфраструктурой от соседа, который может взломать Wi-Fi :-))

народ отдыхает кто смотрел футбол Англия Россия

3 выходных же )))

ключевой момент - обезопасить сеть для управления всей инфраструктурой от соседа, который может взломать Wi-Fi :-))

Ну с фильтрацией мака ты перекрутил по сути свали сам мт в управляющий влан (указал дхцп клиента ) далее ограничьте доступ в сервисах с какой айпишки можно ходить на мт и онтключить необходимо обнаружение по маку и все )

Ну фильтрация по маку - это скорее иллюзия безопасности. По-хорошему надо авторизацию по сертификатам делать.

Или просто сделать нормальные пароли на управляющих узлах, если нет задачи совсем не пускать в сеть соседа

Ну и включить везде в админка принудительное шифрование

Хотя BMC на большинстве железок - ещё то дырявое поделие без security фиксов.

Хотя BMC на большинстве железок - ещё то дырявое поделие без security фиксов.

да, это так..

поэтому вот и хотелось совсем как-то отделить их, но не через физически разные железки

а просто в роутере как-то

Можно поднять отдельный ssid с нужным vlan и wpa enterprise или хотя бы просто другим паролем. Ииспользовать его для административных нужд.

а если мне захочется удаленно войти в сетку управления?

через vpn как-то надо?

то есть если я не дома, но хочу через приложение на айфоне зайти мониторить показатели сервера

там от Supermicro есть приложение для айфона

нужно сначала как-то настроить vpn, войти через него и потом уже это приложение открывать, да?

https://itunes.apple.com/us/app/supermicro-ipmiview/id952163566

VPN, а как ещё?

я не знаю, я нуб в сетях, просто интересно, кто как делает

Не забываем про Приват Народ вопрос Skype есть?

я не знаю, я нуб в сетях, просто интересно, кто как делает

Чтобы полностью изолировать сети используется vrf - отдельная таблица маршутизации. Общий трафик бегает например в общей таблице, а управляющий - в отдельной. На маршрутизаторе порты или VLANы мапятся в vrf

Только на Микротике нет простой и удобной системы работы с vrf, приходится неочевидные костыли во всех настройках добавлять.

в общем, примерно понятно, что чтобы было нормально - надо через vpn заходить

это если удаленно

а если как-то в местной локалке - то статические адреса таким устройствам и прописывать правила

и как вчера выяснили с Кир, Микротик не поддерживает вторую версию http://forum.mikrotik.com/viewtopic.php?t=86870

а наиболее правильный вариант настройки vpn какой-то такой https://hub.zhovner.com/geek/universal-ikev2-server-configuration/

наверное, мне тут стоит ещё погуглить и подумать, поэтому я хочу спросить более актуальную для меня вещь - как правильнее всего организовать интернет-соединения через 2 провайдера, NAT?

я так понимаю, что один должен быть основным, другой дополнительным и переключаться они должны если основной помер

но тут есть один момент - мне нужно чтобы оба провайдера работали одновременно для сервера (за NAT)

вот у ZyXEL кинетика описанная выше схема основной-резервный приводила к тому, что резервный даже не пинговался

у обоих провайдеров статические айпишники и там на разные порты будет приходить трафик, мне нужно уметь его передавать через NAT на какой-то айпишник сервера (в идеале через IP aliasing добавить серверу несколько серых айпишников и передавать туда на 443 порт) к примеру, есть внешняя VPS'ка (с IP VPS_IP) где-то в интернете, там проксирующий nginx с парой сайтов и от него на мои провайдерские внешние айпишники NETBYNET_IP и BEELINE_IP приходит трафик на NETBYNET_IP:47000, BEELINE_IP:47000, NETBYNET_IP:48000, BEELINE_IP:48000, скажем, с первого сайта проксируется трафик на 47000 порт, а со второго сайта на 48000 порт, микротик должен уметь сделать несколько серых айпишников (под каждый сайт свой серый IP для сервера в идеале или два сервых IP, для каждой комбинации провайдер-сайт свой серый IP) и проксировать туда на 443 порт, причём сервер с микротиком соединён через 2 провода (два порта в сервере, 2 разных мак-адреса), хочется тут балансировки какой-то тоже, чтобы это шло равномерно, то есть можно даже выделять серые айпишники в комбинации провайдер-сайт-порт_сервера

такое реально, то, о чём я написал?

идеальный вариант, конечно, это если было бы не провайдер-сайт-порт_сервера (то есть 4 сервых ипа на 1 проект), а всего лишь 1 сервый ип на 1 проект