M(M)
Микола
Лента.ру: В популярных роутерах найдены сразу три опасные уязвимости
https://lenta.ru/news/2018/10/19/uyazvimosty/
Там сильно не популярные модели.
Sergey
С Дем Рождения! Нужно завязывать пить одному - только с друзьми. :)
Спасибо) да это была так, формальность😁а пить - это сегодня, но это не точно
Vladimir
Anatoliy
Доброго времени суток)
Подскажите пожалуйста, можно ли через транк порт как-то транслировать не все vlan'ы?
На одном из vlan"ов должна висеть локалка для внутреннего пользования и необходимо чтобы маршрутизатор (шлюз в интернет) никак с этой сетью через транк порт контактировать не мог. Это возможно?
Микола
Какие устройства?
Anatoliy
Какие устройства?
Маршрутизатор смотрящий в интернет, локальная сеть за ним разбитая по vlan'нам и ещё одна локалка внутренняя, которая не должна потенциально соприкасаться с интернетом в принципе и маршрутизатором его раздающим в том числе.
Микола
Это ответ мальчика, а не сетевого инженера
Микола
draw.io схемку рисуй
Anonymous
Немного занудства. У VLAN женский род, т.к. виртуальнАЯ локальнАЯ. То есть "в одной из VLAN" правильнее.
Anonymous
Так даже в учебниках длинк пишут:)
Роман
это не корректно
Микола
Немного занудства. У VLAN женский род, т.к. виртуальнАЯ локальнАЯ. То есть "в одной из VLAN" правильнее.
А если смотреть в первоисточник?
virtual local area network
у network вообще средний род.
Микола
так что VLAN это он.
Роман
в английском нет разделение в данном контексте на рода
Anonymous
Причем тут вообще английский?
Anonymous
Я писал по русски
Микола
потому что VLAN -- английская аббревиатура и нет устоявшегося, широко используемого перевода на русский этой аббревиатуры.
Anonymous
LAN - "локалка", т.е. "она". А "виртуальная локалка", внезапно, "он"?
Микола
коммутация - она, а коммутатор, внезапно, он
Anonymous
Пфф
Anonymous
Как хотите
Микола
мы говорим vlan, подразумеваем vlan tag, а это ну уж точно он.
Микола
"На одном из vlan"ов должна висеть локалка" = один из vlan tag'ов используется для локалки.
Anonymous
tag лично для себя я перевожу как "метка", то есть тоже женский род:)
Anonymous
Хотя тут возможны варианты
Микола
ярлык епта
Микола
может у тебя еще и матчество? 😊
Роман
не стоит переводить техническую литературу дословно
Владимир
@Dark_Nevis можно консультацию по дфл? у меня на нем есть два ипсека в туннельном режиме. надо из одного плеча попасть на хттп ресурс в другом плече церез дфл. Я так понимаю мне надо маскарадить. как это лучше сделать, через IP Policy или IP Rule ?
Владимир
Микола
http service знает о сети 192.168.44.0/24?
Владимир
не
Микола
тут не столько по дфл, сколько сначала надо топологию понять
Gloria
Микола
варианта два:
1) дать им знать об этой сети, маршрутом
2) если не, то нат/маскарадинг
Владимир
Владимир
если на циску прилетит ипсек с пакетом из локалки 44,0/24 она его отбросит. ибо полиси у нее таких нет
Sergey
@Dark_Nevis можно консультацию по дфл? у меня на нем есть два ипсека в туннельном режиме. надо из одного плеча попасть на хттп ресурс в другом плече церез дфл. Я так понимаю мне надо маскарадить. как это лучше сделать, через IP Policy или IP Rule ?
Нее, тут сам ipsec не пустит его надо обманывать. Тут все решается через ip4 group на одном группа из лан и нужной сети, устанавливаем её в локал нет а на другом такую группу в remote net после это уже нат заработает
Владимир
эээ
Владимир
я не понял
Владимир
нужно также чтобы из 55,0/24 доступ тоже остался
Владимир
я планировал маскарадить его как 192,168,55,1
Владимир
░где смотреть ип4 груп?
Владимир
в объектах?
Sergey
я планировал маскарадить его как 192,168,55,1
Скажем так, DFL не пустить в тоннель трафик с source или destination , который отсуствует в SA, или проще, если подсеть назначения не описана в remote net то хоть что не делай, dfl этот трафик н епустит
Владимир
:(
Владимир
план Б? поднимать в 55,0/24 РДП?
Владимир
через ip4 group на одном группа из лан и нужной сети, устанавливаем её в локал нет а на другом такую группу в remote net после это уже нат заработает
Владимир
я не осилил эту мысль
Владимир
можно поподробнее?
Sergey
Эмм... ну попробую... Ну вот допустим топология
192.168.10.0/24—DFL1——-DFL2—-192.168.11.0/24—router—-192.168.12.0/24
Sergey
при этом не важно где должна быть сеть 192.168.12.0/24 на wan, lan DMZ и т.д.
Alexey
Коллеги, доброе утро, есть вопрос по поводу DXS 3600, ткните носом, может быть, не понимаю как повесить несколько community в route-map.
Sergey
на DFL 1 в качестве remote network устанавливаетм группу из 192.168.11.0/24 и 192.168.12.0/24
Владимир
я не могу повлиять на плечо с циской где находятся хттп сервисы
Sergey
на DFL2 устанавилваем группу ил подсетей 192.168.11.0/24 и 192.168.12.0/24 в качестве local network в тоннеле
Владимир
т.е. которое по схеме получается DFL1
Sergey
а вот после этого можно натить как угодно
Владимир
самое левое
Sergey
ну как бы если нужная подсеть отсуствует в SA.... тады ой..
Владимир
Anonymous
если на циску прилетит ипсек с пакетом из локалки 44,0/24 она его отбросит. ибо полиси у нее таких нет
Я вот эту наркоманию с полиси не осилил и всегда делаю ипсек без этого. Просто туннель, который шифрует все, что идет внутри. В циске это вроде IPsec VTI
Владимир
эээ
Владимир
это как
Anonymous
Адреса сетей вообще никак не должны фигурировать в настройках ipsec.
Sergey
Адреса сетей вообще никак не должны фигурировать в настройках ipsec.
На DFL можно такую же штуку сделать) просто там надо заморочиться с оббъектами и маршрутизацией, но это не как не совсем безопасно и имеет смысл применять пожалуй в основном с динамической маршрутизацией ШЬРЩ
Sergey
IMHO
Anonymous
Вечером могу скинуть примеры настройки циско/циско и циско/микротик.
Sergey
Все по другому оборудования в личку...
Anonymous
Ну динамическая маршрутизация разумеется должна быть
Sergey
если в общий фрейм будем отстреливать
Владимир
в том и прикол что циски у меня нет. у меня есть дфл. и мне нужно его настроить
Sergey
в том и прикол что циски у меня нет. у меня есть дфл. и мне нужно его настроить
Ну так что мешает то настроить так между DFL и хостом hap ac2 ?
Sergey
а на DFL в сторону кошки просто натить
Sergey
и будет счастье..
Sergey
Ну так DFL в свой тоннель в сторону кошки НИЧЕГО не пустит, если не прописать в тоннели между DFL и hap ac2 нужные адреса