Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - Gekko

Страницы: [1] 2 3 ... 6
1
Аспиринка кончилась...

2
Надрался в выходные и захотелось мяса. Пошастал тут и там - везде кухня закрыта. Одно бухло. Пошел домой, и вижу - "азбука вкуса" еще открыта. Ну - думаю - там то точно стейк есть. Ценник конечно... Лежит рибай весом в 500г по цене что то около трех тыщь. Я существо не прихотливое, по этому взял мраморной говядины полукилограмовый кусок за 800 от мираторга. Учитывая то, что я мясо вообще очень редко жарю, а стейк получился афигенный - можно заключить, что мясо отличное.

4
...скорее для трех.(192.168.20.0/24, 192.168.30.0/24 и 172.16.10.0/21). Остальные подсети в объединении не нуждаются. И что то мне не хватает знаний для понимания роли подобной сети. Может это proxy-arp?
Вот еще один эксперимент:
Я - 172.16.10.84
Система - винда.
Прописал маршрут: route add 192.168.20.0 mask 255.255.255.0 172.16.10.20 metric 1
На роутере 172.16.10.20 есть следующие маршруты по умолчанию:

Цитата
#      DST-ADDRESS                 PREF-SRC              GATEWAY           
 0 A S         0.0.0.0/0                                         172.16.10.254           
 1 ADC    172.16.0.0/21         172.16.10.20              ether1                 
 2 ADC    192.168.20.0/24     192.168.20.1              bridge   
               
 
Теперь я начинаю сей роутер пинговать:
 Внешний интерфейс роутера:          ping 172.16.10.20 - есть пинг
 Внутренний интерфейс роутера:      ping 192.168.20.1 - нет пинга
 Хост за роутером:                            ping 192.168.20.100 - нет пинга




ЗЫ Теперь добовляем на оба роутера маршруты на внутренние сети друг друга: на микротике 172.16.10.20 добавим маршрут до сети 192.168.30.0 через микротик 172.16.10.30, а на микротике 172.16.10.30 соответственно добавим маршрут до сети 192.168.20.0 через шлюз 172.16.10.20.

172.16.10.20
Цитата

 #           DST-ADDRESS            PREF-SRC             GATEWAY            DISTANCE
 0 A S    0.0.0.0/0                                              172.16.10.254              1
 1 ADC  172.16.0.0/21             172.16.10.20           ether1                      0
 2 ADC  192.168.20.0/24         192.168.20.1            bridge                     0
3 A S   192.168.30.0/24                                     172.16.10.30            1
172.16.10.30
Цитата

 #        DST-ADDRESS           PREF-SRC          GATEWAY            DISTANCE
 0 A S   0.0.0.0/0                                         172.16.10.254             1
 1 ADC  172.16.0.0/21         172.16.10.30         ether1                     0
 2 ADC  192.168.30.0/24     192.168.30.1          bridge                     0
 3 A S   192.168.20.0/24                              172.16.10.20            1

 В таком виде мы получаем возможность пинговать с одного микротика внешний и внутренний интерфейс другого микротика, но не можем пинговать хосты... Какой то нонсенс.  :( Как так получается?
Сижу на 192.168.20.100 и пингую:
ping 172.16.10.30     - вижу!
ping 192.168.30.1       - вижу!
ping 192.168.30.10   - таймаут...    Как так? Почему один адрес из сети вижу а остальные - нет?



Updated: 16 January 2018, 17:39:41

Вот и решение подоспело. Статические маршруты - вещь довольно тривиальная, и чудес быть не могло. Решил я пинги запустить и на вкладку Firewall - Rules попялиться в режиме реалтайм. Обнулил счетчики пакетов, запустил пинги и стал наблюдать за правилами...
  В последнем или предпоследнем обновлении RouterOS в скрипте начальных настроек добавили в конце новое правило:
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
Дропает все влетающее с интерфейса WAN что не похоже на нат. В общем тут нужно либо правило на accept вставлять до него, либо отключать его нафих. Я отключил.  :blush2:

5
Нет. Сеть 172.16.0.0 - это наше пространство. Тут мы вольны делать все что угодно. Где то я в самих микротиках что то упускаю. Из любой точки сети я могу пинговать внешние адреса роутеров: 172.16.10.10, 172.16.10.20, 172,16.10.30... все это пингуется. Более того - пингуются внутренние адреса тех же роутеров: 192.168.10.1, 192.168.20.1, 192.168.30.1. За роутерами немогу прощупать ни один хост.
ЗЫ И кстати да: на шифрование - пофиг.

6
тут есть несколько нюансов:
1. Нет ли у провайдера политики изоляции клиентов, когда один клиент (суть - 1ый филиал) не может обращаться ко второму клиенту (суть - 2ой филиал) и оба они могут только в интернет.
проверить это можно выставив какой нибудь сервис наружу NAT-ом и попробовать обратиться к нему из других филиалов
2. Не смущает ли Вас то, что трафик между вашими филиалами будет гоняться в открытом виде и теоритически доступен для снимания на стороне провайдера?

после решения 1ого вопроса - могу предложить 2 варианта
Если открытость трафика для провайдера не проблема (что сомнительно) - поднять динамическую маршрутизацию, например OSPF
Если открытость трафика - проблема, то строить VPN туннели. Либо звездой, либо full-mesh
Трафик открыт. Все достаточно без проблем натится.


Немножечко детализирую схему:

Сеть №1   192.168.20.0./24   ----------{192.168.20.1 - 172.16.10.20}-------------------{172.16.10.30 - 192.168.30.1}---------- Сеть №2 192.168.30.0/24
                                                                     Микротик №1                                                   Микротик №2


И вот что получается: пингуются только адреса внутреннего интерфейса роутера.
То есть если с компьютера 192.168.20.100 попробовать пинговать 192.168.30.100 - получаем таймаут.
Если пинговать с того же 192.168.20.100 адрес 192.168.30.1 - получаем положительный ответ.

7
Networks / Ньюансы конфигурирования cisco?
« : 12 Января 2018, 16:40:28 »
Можно в консоль скопипастить большой кусок написанный в блокноте.
...а ну или range использовать...

8
День добрый! Возник теоретический вопрос: как объеденить две подсети. В идеале было бы круто, если бы виндовый браузер сети находил машины из другой подсетки.
Теперь о деталях: структура сети изображена на картинке: свич по середине представляет собой провайдерскую сеть, и все что от него исходит - есть VPN соединения по оптике. То есть филиалы обьеденены в сеть 172.16.10.0, дальше микротики раздают локальные подсети типа 192.168.10.0/24 - 192.168.40.0/24. В данный момент необходимо добиться хотя бы проницаемости по самба порту к определенному компу в соседней сети. Натить самбу - по моему моветон. Как прописать маршруты таким образом что бы  рабочие станции из сети 20 видели сеть 30?
На микротик 172.16.10.30 прописал путь : route 192.168.20.0/24 255.255.255.0 172.16.10.20
На 172.16.10.20 соответственно:               route 192.168.30.0/24 255.255.255.0 172.16.10.30
Неработает...
Попробовал прописать путь на рабочих станциях - тот же результат.
Где я глубоко заблуждаюсь?

9
Windows / Дешевый терминальный сервер...
« : 12 Января 2018, 13:10:56 »
То есть перевести на свой баланс чей то уже настроенный винтажный терминальный сервер со всей лицензией - это сюжет из фантастики? Такого не бывает?

10
Windows / Дешевый терминальный сервер...
« : 12 Января 2018, 11:43:24 »
Off-Topic:
Файловая база? Начните с устранения этой проблемы.
И вот если будете учиться лепить из говна палочек и изоленты, то только это в итоге и будете уметь.
Поднимать 1с сервер и ставить SQL? - это разумеется верное решение, но бюджет... Оба филиала вместе взятые не потянут. К тому же вариант усугубляется покупкой MS-SQL(пусть даже runtime), что то порядка 20к + 1с сервер - это еще 80к. Итого - 100к. Ну и конечно же не забывем про покупку десяти SQL-CAL по 10к каждая. Это еще 100к.
Вариант с postgre - проходили, мало чем различен с файловым вариантом.
То есть разговор по поводу "умения" как то подходит к логическому тупику: уметь и мочь - это понятия немножечко из разных плоскостей. Я умею перегрузки выдерживать и в невесомости пребывать, но космонавтом я от этого не стану.
На данном этапе меня интересует сугубо возможность поднять бомжацкий терминальник или что то типа того.

11
Windows / Дешевый терминальный сервер...
« : 12 Января 2018, 11:08:20 »
Сразу скажу: задача для доступа к файловому серверу 1с.
Спойлер для скрыто:
В нашей сети есть два филиала, одному из которых нужен доступ к 1с-базе другого.  И там и там юзеров по пять-шесть. Я пробовал обьединять их в одну подсеть, что бы они имели обычный samba-доступ, но это чревато проблемами: филиалы друг от друга далеко и соединение их идет через провайдерский vpn, всякий раз, когда связь начинает капризничать, коннект с базой для удаленного сервера падает и в базе остаются зависшие пользователи. Короче база накрывается медным тазом различного диаметра и глубины: от простой блокировки части таблиц, до полного выведения базы из строя с последующим ТиСом. Проблема решается установкой терминала или тонким клиентом. Тонкий клиент отпадает, поскольку не соответствует версия торговли, а терминала на win7 не поднять (сразу оговорюсь - я не собираюсь делать говностряп с расширением максимального количества подключений на win7.)
Возникает необходимость приобрести что то виндово-серверное с небольшим количеством сетевых и РДПшных CALов.  Ценник на 2012 и 2016 практически подогнан один к одному и решение приближается к ста килорублёв (винда*47к + 10CAL*1500 + 5RDP-CAL*7000=97к) Решение для того что бы пять человек могли шастать в чужую базу - как то слишком дорого выходит.
  В официальной продаже 2008R2 я нигде не обнаружил, CALов для нее - тем более.
  Вроде как предусмотрена передача прав на коробочные версии продуктов микрософт, и меня посещает надежда, что можно приобрести у кого нить за какие нибудь дарма такую серверную винду, но вот что там с CALами - опять не понятно...
  В общем - я в активном поиске бюджетного сервера удаленных рабочих столов или приложений.
ЗЫ Что там с подобными решениями на Linux - в душе не чаю. Пять лет назад пытался поднять удаленный сервер приложений на CentOSе - получил психологическую травму гемороидального узла. Больше не связывался.
ЗЗЫ ...Ну и таки да - это диалог из анекдота:
- Здравствуйте, бесплатный доктор!
- Здравствуйте, неизлечимый больной!

12
Windows / Windows 2016 и лицензирование....
« : 12 Января 2018, 09:25:20 »
ну не такая уж она и хитрая.
Вся хитрость состоит в том, что бы укротить свою жабу и перестать во вполне досягаемом для понимания принципе лицензирования пытаться прочесть то что хочется а не то что по факту. У меня получается с трудом.  ???
ЗЫ Единственное, что внушает оптимизм - тот конкретный сервер на который я собираюсь ставить имеет два Xeon E5-
2620v4 по 8 ядер кажиное. Полюбому сходится.

13
Windows / Windows 2016 и лицензирование....
« : 10 Января 2018, 11:23:59 »
Я правильно понимаю, что мелкомягкие теперь не продают одну лицензию на винду а продают некое колличество лицензий на каждое ядро. Миниму составляет 16 ядер, это где то около 45К денег. Тут возникает вопрос: а если у меня железка с двумя процами по 12 ядер, итого: 24. Но на железе стоит Ксен и на нем крутится уже W 2016 Standart на виртуалке которой выделено 16 ядер - как тогда считать лицензии? Все еще по хостовому железу или по количеству выделленых на виртуалку ядер?

14
Главный / QNAP и HASP
« : 25 Декабря 2017, 13:19:00 »
Вопрос отпадает. Только D4 Pro с 4Gb флеш-памяти поддерживает установку Linux Station. У меня простой D4.

15
Unix / pfSense: VPN или OpenVPN?
« : 22 Декабря 2017, 11:21:35 »
Не заметил я реальной выгоды от применения OpenVPN сервера. Да - секьюрно до жути, но сформировав конфигурацию для подключения и подставив ее в клиент OpenVPN мы получаем следующую ситуацию - любой амбулаторный больной психоневрологического диспансера может с данного компьютера преспокойно подсоединиться. Ни пароля ни логина не запрашивается. Детализируем картину: VPN как правило нужен для работников работающих из дома или командировки и подключаются они со своих личных ноутов, в которых черт ногу сломит что творится. О какой безопасности может идти речь, если у них на компьютере сто-пицот браузеров Амиго и guard@mail.ru? Да и кроме того - если компьютер просто попадет не в те руки? Пароль дает хоть какую то гарантию... Может я в чем то ошибаюсь? Может на OpenVPN сервере помимо подключения по сертификату и ключам есть возможность поставить пароль?

Страницы: [1] 2 3 ... 6