Dmitry
Правило стоит самым первым, есть ещё разрешающее правило, и самым последним - drop.
Dmitry
Dmitry
Dmitry
Dmitry
И ошибки всё равно падают :(
alert
172.16.0.1 - это кто?
Dmitry
ip vlan
alert
У тебя клиенты с этого хоста хотят днс получить
alert
Подозреваю, что за этим ип прячется сам zywall
Dmitry
Аха, т.е. получается, внутри железки, внутри этого vlan они хотят получить DNS
alert
В политиках у тебя разрешено всё, кроме zywall
Dmitry
vlan находиться в зоне PRODUCTION и в правиле есть разрешение, я уже service ставил any и нифига
Dmitry
просто на usg300 такой канетели по правилам не было
alert
Да
Dmitry
Хм. Ошибка пропала...
Спасибо, пойду вылавливать другие ошибки
Dmitry
Так, осталась интересная ошибка.
Пока не понимаю из-за чего.
IPSec между двумя usg (usg60 и usg100), так вот, 100 рвёт соединение каждые 5-10 минут, уже перепроверил раз 20 всё, с usg300 работал нормально, а тут косяки :(
Hans-Paul
Доброе время суток. Занимаюсь построением Wi-Fi сети в общежитии на AP NWA5123-AC и контроллере VPN50. Настроил до работоспособного состояния. Решил поместить управление АР и коммутаторами в отдельный VLAN (id=10), чтобы были в отдельном сегменте от устройств пользователей, которые должны остаться по умолчанию в VLAN (id=1). Поместил одну AP в VLAN 10. Она прекрасна получила адрес по DHCP в другом сегменте и отобразилась в контроллере. Подключаюсь телефоном к ней, телефон не может получить адрес от DHCP сервера. В профиле SSID указан VLAN 1. Создаю на контроллере для устройств пользователей VLAN 7, указываю его в профиле SSID. Всё прекрасно работает, телефон получает по DHCP всё необходимое и т.д. То, что я не могу в таком варианте использовать в профиле SSID VLAN c id=1 - это нормально или у меня руки кривые?
Null
Владислав
dot
Доброе время суток. Занимаюсь построением Wi-Fi сети в общежитии на AP NWA5123-AC и контроллере VPN50. Настроил до работоспособного состояния. Решил поместить управление АР и коммутаторами в отдельный VLAN (id=10), чтобы были в отдельном сегменте от устройств пользователей, которые должны остаться по умолчанию в VLAN (id=1). Поместил одну AP в VLAN 10. Она прекрасна получила адрес по DHCP в другом сегменте и отобразилась в контроллере. Подключаюсь телефоном к ней, телефон не может получить адрес от DHCP сервера. В профиле SSID указан VLAN 1. Создаю на контроллере для устройств пользователей VLAN 7, указываю его в профиле SSID. Всё прекрасно работает, телефон получает по DHCP всё необходимое и т.д. То, что я не могу в таком варианте использовать в профиле SSID VLAN c id=1 - это нормально или у меня руки кривые?
Точки доступа не любят VLAN управления с тегом. На точку с коммутатора нужно VLAN 10 подавать/принимать без тега.
Hans-Paul
Точки доступа не любят VLAN управления с тегом. На точку с коммутатора нужно VLAN 10 подавать/принимать без тега.
Вас понял. Сделаем управление без тега, а весь трафик затегируем. Вообще я руководствовался вот этой инструкцией https://www.youtube.com/watch?v=FpaUYWwDSZo Тут тегируется всё!
Dmitry
Так.
Okay, ZyWALL
Как отправить в бан надоедливых "щупальщиков"?
И дополнительный вопрос.
Если буду парсить на сервере логи, и выбирать активных злодеев, могу я их через api\telnet или ещё что-то добавить адрес, потом в список и блокировать их?
dot
Так.
Okay, ZyWALL
Как отправить в бан надоедливых "щупальщиков"?
И дополнительный вопрос.
Если буду парсить на сервере логи, и выбирать активных злодеев, могу я их через api\telnet или ещё что-то добавить адрес, потом в список и блокировать их?
Добавлял "плохие" IP-адреса как адресные объекты в группу для блокировки. Довольно быстро столкнулся с ограничением - на Zywall 110 в одной группе не больше чем 128 адресов.
Dmitry
dot
На младших молелях 64 адреса, на старшиз - 256.
Dmitry
Хм. Значит адресов всего 64 можно добавить? 🤔
dot
На USG 60 - можно создать 25 адресных групп по 64 IP адреса.
dot
На Zywall 110 - можно 50 групп по 128 IP адреса.
dot
На Zywall 1100 - можно 100 групп по 256 IP адреса.
dot
Если добавлять IP адреса наружным скриптом, их нужно с другого конца убирать.
onatoli4
на ATP можно несколько внешних черных списков подгружать до 50 тысяч адресов каждый
Null
Pavel
Кто в курсе что означают данные записи в трассировке маршрутов:
The packet outgoing interface: x
The packet outgoing interface: doll
Dmitry
на ATP можно несколько внешних черных списков подгружать до 50 тысяч адресов каждый
я решил через GEO-IP блокировать, пока нагрузка не такая большая, примерно 65% памяти забито и cpu - 50%, но в логах убавилось народа :)
Dmitry
Но возникла другая ошибка.
Конфиг с usg300 (руками переносил, проверил раз 14 и всё правильно) переносил на usg60 и теперь не работает отправка почты внутрь компании через битрикс на хостинге, всем письма отправляет, даже мне на все почтовые ящики пришло, но на корп.почту - нифига.
Ошибка такая бьётся в битриксе:
550 5.7.1 Anonymous client does not have permissions to send as this sender (in reply to end of DATA command)
Я уже и роутинг разрешил весь и firewall выключал, ошибка осталась.
Ошибка именно после замены сетевого экрана появилась :(
dot
Const
Doberman
когда в чате 3/4 жалоб поступает на маршрутизаторы,
доверие ко всему остальному ставится под сомнение )
Ошибка выжившего. Когда все хорошо в чат не пишут
Dmitry
когда в чате 3/4 жалоб поступает на маршрутизаторы,
доверие ко всему остальному ставится под сомнение )
Вот именно, чат служит чтобы помогать решать вопросы, советовать. Люди склонны не говорить о хорошем, но кричать о плохом.
Const
Ошибка выжившего. Когда все хорошо в чат не пишут
так ведь и плохо не так мало, чтобы списывать на случайности и погрешности
к тому же на уровне прошивок
И понятие "хорошо" и "прекрасно" у каждого своё
Один чел как то посчитал, что ходить с катетером в члене пол-года - ОК, ему - норм )
Const
Вот именно, чат служит чтобы помогать решать вопросы, советовать. Люди склонны не говорить о хорошем, но кричать о плохом.
тогда всё тоже самое должно быть равномерно распределено по всему другому оборудованию - свитчи, AP, NASы
Dmitry
тогда всё тоже самое должно быть равномерно распределено по всему другому оборудованию - свитчи, AP, NASы
Шлюзы самой сложное пожалуй по настройке
Const
Шлюзы самой сложное пожалуй по настройке
так ведь жалобятся не на сложность, а на стабильность
Const
Вот именно, чат служит чтобы помогать решать вопросы, советовать. Люди склонны не говорить о хорошем, но кричать о плохом.
а вот кстати, заяксель даёт оборудование потаскаться в тесты?
У нас тут внезапно нарисовывается сетка на дюжину моноблоков с AC. Но мой менеджер рекомендует юбики, а с WiFi от заяксель я ещё не работал
Dmitry
Dmitry
Вы из какого региона?
Const
Офис в Екб
Dmitry
Да, все верно, знаете кто у вас?
Const
если про зуксель - то нет, я имел в виду у поставщика
Dmitry
Поставщик не знаю... На всякий случай Олег Морозов, отзовись
Oleg Morozov
Поставщик не знаю... На всякий случай Олег Морозов, отзовись
Дим.привет!
Выдадим без проблем на тест, что интересует из моделей?
На всякий случай Екатеринбург это Урал, за него отвечает @G_Luk
Dmitry
Дим.привет!
Выдадим без проблем на тест, что интересует из моделей?
На всякий случай Екатеринбург это Урал, за него отвечает @G_Luk
Вайфай человек хочет наш потестить и вот человеку рекомендуют юбик (ты там разберись почему не нас🤬), но клиент сознательный и хочет зайксел. Вон выше переписка, посмотри.
Gennady
Мало того, что отвечает, так ещё и сейчас в Екатеринбурге))
Gennady
если про зуксель - то нет, я имел в виду у поставщика
Уже определились какая точка нужна в тест?
Dmitry
Мало того, что отвечает, так ещё и сейчас в Екатеринбурге))
Ого! Выпейте с @Kostant пива, тащииего на светлую сторону, а то он колеблется 😂😂
Gennady
Ага, ещё и столько пива, чтобы он из староверов в Nebula-любы перевернулся)))
Const
Уже определились какая точка нужна в тест?
по бюджету ZyXEL NWA1123-AC PRO
Если их будет более одной - контроллер нужен?
Const
Ага, ещё и столько пива, чтобы он из староверов в Nebula-любы перевернулся)))
нет уж, спс ) нам и так норм, у меня их не 100500
Gennady
по бюджету ZyXEL NWA1123-AC PRO
Если их будет более одной - контроллер нужен?
Они управляются только из Небулы. Аппаратным контроллером управляются начиная с WAC500
Gennady
Вернее, из небулы или stand alone, но тогда роуминга не будет
Gennady
Может пришло время попробовать?
Const
а за счёт чего она раза в 1,5 дороже юбика? 23 тысячи против 15 Если про WAC6103D-I
Const
Может пришло время попробовать?
в условиях когда ркн шатает трубы изнутри,
И ставить в зависимость от кого-то снаружи...
Gennady
а за счёт чего она раза в 1,5 дороже юбика? 23 тысячи против 15 Если про WAC6103D-I
Нужно для начала посмотреть на тех характеристики. А в целом, чаще всего: более дорогой чипсет, премиальные компоненты, фильтры, экранирование, пожизненная гарантия, лучше антенны, рускоязычная служба поддержки
Gennady
С юбиком корректнее сравнивать серию NWA1123
Const
к тому же ладно клиентский хот-спот Клиент сам соглашается
выпускать внутрисетевой трафик...
Gennady
к тому же ладно клиентский хот-спот Клиент сам соглашается
выпускать внутрисетевой трафик...
Это про небулу, что-ли? Никакого внутресетевого трафика наружу не ходит... логи и команды управления. В странах , где нет паранои по поводу облаков, сертификатами безопасности можно не одну стену увешать...
Const
Это про небулу, что-ли? Никакого внутресетевого трафика наружу не ходит... логи и команды управления. В странах , где нет паранои по поводу облаков, сертификатами безопасности можно не одну стену увешать...
я про возможность телеметрии и снифа
Понятно, что я то Неуловимый Джо
>где нет паранои по поводу облаков
мы его только от паранойи вылечили, так снайпер застрелил (ц)
Ладно, спасибо ) я передам, будем думать )
Gennady
я про возможность телеметрии и снифа
Понятно, что я то Неуловимый Джо
>где нет паранои по поводу облаков
мы его только от паранойи вылечили, так снайпер застрелил (ц)
Ладно, спасибо ) я передам, будем думать )
Nebula размещена в Амазоне. Я не представляю, что должно произойти, чтобы в России отключили Амазон. Весь иностранный бизнес там. Если зайти на сайт, создаётся впечатление, что абсолютно весь.
Так то, попробовать - это бесплатно и не больно))) надумаете - мы всегда здесь.
Artyom
Было же
Artyom
Когда тг лочили
dot
Nebula размещена в Амазоне. Я не представляю, что должно произойти, чтобы в России отключили Амазон. Весь иностранный бизнес там. Если зайти на сайт, создаётся впечатление, что абсолютно весь.
Так то, попробовать - это бесплатно и не больно))) надумаете - мы всегда здесь.
Это уже было и не так давно.
17 апреля 2018 в России заблокировали Amazon и Google. Google быстро разблокировали, облако Amazon было недоступно почти неделю (в том числе Nebula).
https://iz.ru/733380/siuzanna-farizova/so-svobodoi-vse-khorosho-s-otvetstvennostiu-plokho
alert
всем привет.
Подскажите пожалуйста - как можно увеличить мощность точек доступа NWA5123-AC-HD ? (контроллер USG40w)
Сейчас они зафиксировали 15dBm - сделать меньше вручную можно. Сделать больше (хотя бы 16) уже не делается.
alert
https://kb.zyxel.com/KB/searchArticle!gwsViewDetail.action?articleOid=016551&lang=EN