Dmitrii
маршруты пинга
Dmitrii
таблицу на Микротике
Алексей
Теоретические вопросы (сильно не пинать) чисто идеологические вопросы:
1) Есть впн-сервер к нему сайт-ту сайт туннелируются удаленные сети, некоторые впн-клиенты за серыми айпишниками некоторые за белыми; нужен доступ (пинги радмины и пр.) с винды до винды, плюс пробросы с впн-сервера до локальной сети тех впн-клиентов которые за серыми айпишниками сидят. Бэстпрактис маскарадить удаленную сеть плюс внутренний адрес тоннеля (без него виндовый фаер рубит пакеты), или же бинд-интерфейс впн-клиента? (думаю что может зависеть от ситуации)
2) Имеет ли смысл оптимизация публикаций нат, в том плане что было бы отлично поднять правила по которым больше ходит траффика выше тех у кого трафика меньше?
1 вопрос херню понаписал, перефразировал.
Алексей
если вопросы слишком нубские прошу так и сказать
Владимир
1) нифига не понял
2) Не имеет значение в каком порядке идут дстнатнутные порты. Там логика иная, нежели в фаерволФильтрах... но для феншуя можно конечно по порядку расставить.
Алексей
Алексей
1) нифига не понял
2) Не имеет значение в каком порядке идут дстнатнутные порты. Там логика иная, нежели в фаерволФильтрах... но для феншуя можно конечно по порядку расставить.
по первому вопросу сейчас у меня заведены адрес листы удаленных сетей и адрес листы внутренних адресов тоннелей и они же и маскарадятся, вроде бы всё хорошо но если делать проброс до удаленной сети которая за клиентом с серым айпишником тогда приходится маскарадить еще и сервер-биндинг интерфейс чтобы всё работало, плюс должно работать и из- той локальной сети которая за впн-сервером(хайрпин-нат пробросы намутил для этого)
Алексей
эх ладно, завтра выезжаю в дефолт-сити с ночевкой в нижнем хз смогу ли почитать чей-нибудь ответ :)
Moneron 🇷🇺
Moneron 🇷🇺
2) т.к. нат считает только нью-пакеты, то особо сакрального смысла в оптимизациях нет
Moneron 🇷🇺
Ещё по 1): маскарадя и обманывая виндовый фаер Вы создаёте уязвимость, ибо он принимает запросы из внутренней сети. Это не есть хорошо. Имхо, лучше потратить время и разрешить все необходимые сервисы вручную. Хоть это и много работы, но данная мера обезопасит вашу сеть.
Алексей
Ещё по 1): маскарадя и обманывая виндовый фаер Вы создаёте уязвимость, ибо он принимает запросы из внутренней сети. Это не есть хорошо. Имхо, лучше потратить время и разрешить все необходимые сервисы вручную. Хоть это и много работы, но данная мера обезопасит вашу сеть.
Слишком много удаленных вин-пк слишком много ручной работы :) ехать туда надо ножками и за каждым сидеть ибо там зоопарк окон из версий и редакций. Можно наверное и автоматизировать посредством ps и иже с ним, в любом случае вектор понял, спс.
Moneron 🇷🇺
Так можно открыть нужный порт в фв для всех подключений. Не обязательно ж под каждый девайс правило писать
Алексей
Ад нет, всё в рабочих группах, админ права забираю с такой кровью что просто иногда хочется плюнуть, но процесс идёт. Люди бездумно жмут всё подряд даже не читая вопросов винды, делают общественной локалку и пр. Так что непаханое поле. А Вы говорите сейчас про написать правило в виндовом фаерволе?
Maxim
Ад нет, всё в рабочих группах, админ права забираю с такой кровью что просто иногда хочется плюнуть, но процесс идёт. Люди бездумно жмут всё подряд даже не читая вопросов винды, делают общественной локалку и пр. Так что непаханое поле. А Вы говорите сейчас про написать правило в виндовом фаерволе?
Я в такой сети жил несколько лет, потом начал неспешно переводить всех в АД по простому принципу: новые ПК, или ПК на которых переустанавливалась система, или просто было время переставить систему и добавить в домен. 150 компов за года полтора перевели в домен. Жить стало проще
Maxim
они и останутся мечтами, пока не начнёшь реализовывать. По началу тяжело и сложно объяснять, потом все привыкают
Александр
Ад нет, всё в рабочих группах, админ права забираю с такой кровью что просто иногда хочется плюнуть, но процесс идёт. Люди бездумно жмут всё подряд даже не читая вопросов винды, делают общественной локалку и пр. Так что непаханое поле. А Вы говорите сейчас про написать правило в виндовом фаерволе?
А почему бы не запилить на одном компе политики и не растащить их хотя бы флешкой, ну или скриптом. У меня на предыдущей работе была уйма компов повышенного уровня защиты, они вообще без локалки стояли, но политики накручивали в любом случае, хотя бы даже SRP настроить и то попроще будет
blyumazeiko
Тоже в AD все перевели, жизнь сказка
Александр
Тоже в AD все перевели, жизнь сказка
Блин, такое ощущение, что AD только только появился и народ еще не знает что это такое и что если в сети больше 10 компов, то надо такую штуку ставить, ругаться и плеваться, но выбивать бабки на железо и софт))
blyumazeiko
Да нет, уже лет 8 о нем знаю и в моменте интегрирую. Просто геморойно делать переезды больших компаний. Как сказано и бабло не маленькое и софтварную часть приходится обновлять
Maxim
Блин, такое ощущение, что AD только только появился и народ еще не знает что это такое и что если в сети больше 10 компов, то надо такую штуку ставить, ругаться и плеваться, но выбивать бабки на железо и софт))
Многие руководители не готовы на скачкообразные вложения ни в ПО ни в железо ни в сотрудников, и объясняют всё фразой: "Ну до этого всё как то работало же"
Artem
Всем доброе утро.
Artem
Artur
Судя по всему да, так как опция мастер порта убрана судя по тексту.
Павел
Бекап бекап бекап
Дмитрий
Многие руководители не готовы на скачкообразные вложения ни в ПО ни в железо ни в сотрудников, и объясняют всё фразой: "Ну до этого всё как то работало же"
все потому что руководстку нужно экономить и как ранее говорилось Вася или Уася )) заморачиаться не станет, AD ничего сложного еще с 2000 все юзали но на 10 компах действительно смысла мало (хотя раньше счтал что даже для 5 нужен DC) ...
Дмитрий
dcpromo —> далее —> далее —> ок
Dark
Maxim
Есть вопрос про RoMON. Почему-то перестал работать (может и сам накосячил, не исключено). Суть в том, что при подключении к маршрутизатору филиала через RoMON с него видны точки доступа, а с этих точек доступа в RoMON Discovery не виден маршрутизатор. Какая то странная магия
cgooq
cgooq
/ppp profile
add change-tcp-mss=yes dns-server=tru.la.la.la local-address=10.0.0.1 name=bras only-one=yes use-compression=no use-encryption=no use-mpls=no
но при этом в мангле не вижу правила для mss
/ip firewall mangle print count-only
0
cgooq
/ppp profile
add change-tcp-mss=yes dns-server=tru.la.la.la local-address=10.0.0.1 name=bras only-one=yes use-compression=no use-encryption=no use-mpls=no
но при этом в мангле не вижу правила для mss
/ip firewall mangle print count-only
0
> ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=forward action=change-mss new-mss=1420 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1421-65535
1 D chain=forward action=change-mss new-mss=1410 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1411-65535
оно только для pptp client создается?
Maxim
> ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 D chain=forward action=change-mss new-mss=1420 tcp-flags=syn protocol=tcp out-interface=all-ppp tcp-mss=1421-65535
1 D chain=forward action=change-mss new-mss=1410 tcp-flags=syn protocol=tcp in-interface=all-ppp tcp-mss=1411-65535
оно только для pptp client создается?
это к вопросу all-ppp интерфейсы скорее всего включают всебя только клиентские подключения
Maxim
для входящих ppp сессий скорее всего нужно отдельно пилить правило
Andrey
добрый день, уважаемые коллеги!
Andrey
есть у кого опыт работы с SXT LTE в России?
Andrey
со всеми операторами работает?
blyumazeiko
Билайн, мтс, йота, мегафон стабильно
Moneron 🇷🇺
@co4ufornication в новых версиях (вроде, начиная с 6.39) правила манглн не создаются
blyumazeiko
Только с йотой выпендривается в разных кусках города работает с определенными апн
Moneron 🇷🇺
@artcan да, философию мастер-порта выпиливают. Обнова будет грандиозная, но пока всё реализовано через пятую точку
Сергей
Владимир
В продакшене полёт нормальный. Правда эта точка у меня просто свичём и на капсмане висит
Denis
Maxim
Скажите а как вы вычисляете направление к базовой стании LTE? по уровню сигнала, вертя антенну? или есть какие-то карты с расположением БС?
blyumazeiko
По сигналу, там вертеть то минута делов
blyumazeiko
порой пофигу где бс, сигнал в противоположной стороне отраженный лучше
Maxim
Я просто интересуюсь, как это на практике. Как я понмаю чувствительность и коэф. усиления у подобного устройства выше чем у мобилок и в местах не самого уверненного LTE на телефоне, подобный девайс видит сеть хорошо.
blyumazeiko
Ну как бы на то и придумана
cgooq
https://routerboard.com/RBwAPR-2nD
Moneron 🇷🇺
О! Новые продукты выкатили на сайт!
Moneron 🇷🇺
https://routerboard.com/RBLHG-5HPnD-XL — Жжём лес, товарищи! :)
Дмитрий
да вот только смотрел даташит
Дмитрий
https://i.mt.lv/routerboard/files/LHG-hp5xl-170711153113.pdf
Дмитрий
прикольные мосты
Дмитрий
порты все равно 100
Alexandr
Доброго всем. Столкнулся с интересной проблемой. Management грузит процессор на 45-50 процентов, роутер 951й
Alexandr
Клиентов не много
Alexandr
Он выступает в роли капсмэна
Alexandr
И хотспот
Alexandr
После ребута минут 20 все Гуд, потом опять
Moneron 🇷🇺
Нетинсталл?
Moneron 🇷🇺
https://routerboard.com/RBwAPR-2nD
Без лте-модема бесполезная вещь. Ждём RBwAPR-2nD&R11e-LTE (в даташите есть). https://i.mt.lv/routerboard/files/wAP_lte_kit-170711155014.pdf
Maxim
blyumazeiko
Я бы лучше порадовался sxt lte с поддержкой 3g. У нас это была бы сказка учитывая что лте по сути нету
Maxim
недёшего как-то https://wifimag.ru/cat/huawei/huawei_me909u_521_mini_pcie_3g_4g_lte_fdd/
Artem
80% ответов на свои вопросы можно найти здесь)
Artem
Компьютерные сети. Принципы, технологии, протоколы. 2016 г. Олифер В.Г., Олифер Н.А.
Один из лучших российских учебников по сетевым технологиям
#книги
Moneron 🇷🇺
Moneron 🇷🇺
Очень нехило
Moneron 🇷🇺
@transceiver Олег, что скажешь по этому поводу?
Oleg
@transceiver Олег, что скажешь по этому поводу?
Привет. Про железку читал, параметры видел. Расчет весьма относительный, но в целом железка - пушка. Ей бы тысячный порт еще...
Moneron 🇷🇺
И ац