• Руководство по организации удалённого подключения к промышленному ПЛК посредством OpenVPN
    0

    Возможно, в программировании Вы разбираетесь гораздо лучше. Но арзитектура сетей — это пока не Ваше.
    Создавать большие L2-broadcast сегменты воообще так-себе решение. Тем более, "растягивать" их через интернет и удаленный доступ.
    По поводу сертификации — покадите сертификаты. ФСТЭК на примененное Вами ПО OpenVPN.
    Из-за таких непродуманных решений КИИ оказывается уязвимой.
    За оформление статьи с иллюстрациями "5".
    А за сетевую арзитектуру "троечка", увы.

  • Руководство по организации удалённого подключения к промышленному ПЛК посредством OpenVPN
    –1

    Статья из серии "какой нельзя создавать архитектуру промышленной системы".
    Опять 192.168.1.х в рабочих сетях. А если "192.168" привели "для примера" — поглядите в RFC. Там есть диапазоны для этого "TEST-NET" называются.
    Еще один автор не знает, как использовать маршрутизацию.
    Еще один костыль из стороннего несертифицированного продукта очень "обрадует" безопасников. Хотя, в конторе, где шлюз на keenetic, денег на безопасность наверняка совсем нет.

  • Дайджест IT-событий сентября (часть первая)
    0

    Читаем "Дайджест IT-событий сентября (часть первая)


    Web@Cafe #20
    Когда: 31 августа"


    Совсем плохо с цифрами у автора.

  • Окей, Google! Ты добро или зло?
    +1
    Кстати, различные приложения по доставке товаров и всякие «такси» тоже собирают данные о местоположении. И пытаются его определить всякий раз без дополнительных вопросов. Особенно такси. Часто после пользования их софтом вижу в фоне задачу и индикатор обращения к геолокации.
  • Окей, Google! Ты добро или зло?
    +1
    Адвокаты «за долю от выигрыша», это миф. Нынче адвокаты как в гражданском, так и в административном и уголовном процессе просто отрабатывают свои часы. Зачастую берутся за самые безнадежные дела, давая обещания разного уровня, в зависимости от своей совести. В любом случае исходят из того, что «услуга оказана и должна быть оплачена независимо от результата». Написал заяву, пришел на процесс, заявил 1-2 ходатайства, почитал бумажки — всё. «Долю от выигрыша» иногда оговаривают дополнительно, как премию к основному вознаграждению. Соответственно, ставки за работу у них такие, что можно позволить себе сказать «проиграем, да и фиг с ней с премией.»
  • Рекурсивная маршрутизация в MikroTik через шлюзы назначемые DHCP
    0
    Для интерфейсов типа «точка-точка», таких как PPPoE, допустимо в качестве шлюза использовать имя самого интерфейса. И да, там есть проблема — рекурсивный маршрут не строится когда gateway=интерфейс.
    Спасибо за скриптик.
  • Рекурсивная маршрутизация в MikroTik через шлюзы назначемые DHCP
    0
    Для запасного — да. Но если речь об основном провайдере, который выдаёт адреса и маршрут по DHCP, то приходится использовать скрипт.
  • Рекурсивная маршрутизация в MikroTik через шлюзы назначемые DHCP
    0
    Потому, что в RouterOS существует штатный инструмент «check-gateway», специально для этого созданный и не требуется городить костылей.
  • Рекурсивная маршрутизация в MikroTik через шлюзы назначемые DHCP
    0
    и этот огород с рекурсивными маршрутами не нужен

    Похоже, Вы вообще не понимаете для чего нужна рекурсивная маршрутизация.
    Да, в dhcp-client скрипт появился давно, с выходом 6.39.rcxx Только многие его до сих пор «не заметили». Именно поэтому, такой вопрос возникает у людей с завидной периодичностью. О том и статья.
  • Рекурсивная маршрутизация в MikroTik через шлюзы назначемые DHCP
    0
    Спасибо. Хороший скрипт. Много труда в него вложено. Но начинающие в нем заблудятся.
    Моя статья написана как раз для упрощения понимания решения проблемы с dhcp.
  • Лечим проблему FHRP asymmetric routing
    0
    Написав «в дефолтном перечне правил фаервола микротика есть правило в цепочке forward», имел ввиду устройства маршрутизации «routerboard».
    На CHR/PC/cAP дефолтный фаервол иной. Т.к. на CHR/PC неизвестно заранее сколько каких будет интерфейсов и куда они будут подключены, а у cAP задачи иные.
    Для 90% случаев, две основные причины «загадочной проблемы» отсутствия связности: 1) нет маршрута 2) неправильная настройка фаервола.
  • Лечим проблему FHRP asymmetric routing
    0
    Описаная проблема выглядит высосанной из пальца.
    «Что в этом плохого?
    Если все маршрутизаторы находятся в пределах одной LAN — скорее всего, ничего.
    Проблемы начинаются, если сетевая топология выглядит так»

    Маршрутизаторы в вашей зоне ответственности должны поддерживать PMTU-Discovery. Для этого надо, как минимум, не запрещать «на всякий случай все icmp». Хотябы в пределах LAN+VPN. На крайний случай, mtu можно установить вручную и не забывать дополнительно корректировать tcp-mss.
    Пакеты отлично пройдут по ассиметричным маршрутам, лишь бы админ не наколхозил с SRC-NAT/DST-NAT. Много раз я видел «шедевры» типа "/ip firewall nat add chain=src-nat action=masquerade".

    В случае колхоза с nat и firewall, связь вполне закономерно развалится — в дефолтном перечне правил фаервола микротика есть правило в цепочке forward, «drop» для пакетов принадлежащих соединению со статусом «invalid». Оно и срабатывает при ассиметричном роутинге.
    Не надо изобретать велосипедов.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Очень часто на внутреннем накопителе забывают удалить файл autosupout.rif, который занимает много места. Из-за этого не происходит автоапгрейд.
    Расширенный набор пакетов, включая редкоиспользуемые — «calea»,«openflow» и всякие «ups», «gps», занимает не более 12Мб и на внутреннюю ФС входят без проблем. Даже вместе с ipv6 и mpls.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Очень часто на внутреннем накопителе забывают удалить файл autosupout.rif, который занимает много места. Из-за этого не происходит автоапгрейд.
    Расширенный набор пакетов, включая редкоиспользуемые — «calea»,«openflow» и всякие «ups», «gps», занимает не более 12Мб и на внутреннюю ФС входят без проблем. Даже вместе с ipv6 и mpls.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Вполне корректно. RB750Gr3 был лидером в соотношении «производительность_IPSec»/цена.
    Этот аппарат не менее производителен, плюс имеет бонусом 2-диапазонный WiFi с MIMO
  • Краткий обзор нового MikroTik hAP AC2
    0
    /system health print на этой железяке ничего не показывает.
    Термометром не замерял. Чисто по ощущению рукой — корпус становится очень тёплый, но не горячий.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Насколько я вижу по скриншоту вы не обновили Firmware

    Скрин был сделан сразу после обновления, до следующей перезагрузки отображается прежний номер версии. Спасибо, как-то не обратил на этот скрин внимания.
  • Краткий обзор нового MikroTik hAP AC2
    0
    sfp для дома не слишком актуально. Провайдеры домашним абонентам в основном дают xPON, куда собственные абонентские модули не подключают. Абонентский модуль в сети GPON/GePON, должен быть «прописан» на головном устройстве и иногда это требует доп лицензий. Так, что воткнуть свою sfp в xPON-сеть почти никогда не получается.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Не вижу причин по которым могут возникнуть проблемы с роумингом. Все настройки аналогичны.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Поправка. Размер flash-памяти одинаков.
    Но элементная база другая. Нет PoE-Out. PoE-in есть в обоих.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Или я что-то перепутал. Сейчас проверил у производителя — действительно те же убогие 16М флеш-памяти у hAP AC
  • Краткий обзор нового MikroTik hAP AC2
    0
    В соотношении цена/функции — лучше. Но в отличие от hap ac, в этом нету гнезда под оптический sfp-модуль и flash-память сильно урезана.
    Выбирать нужно исходя из функционала необходимого лично Вам.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Хранить на ФС роутера образ для восстановления? Что за чушь. Он в случае чего погибнет вместе с роутером. Да и небезопасно это.
    Вот, за dude обидно.
  • Краткий обзор нового MikroTik hAP AC2
    0
    Вскрытие пока не делал, чтобы не потерять гарантию если вылезут явные проблемы.
    Чуть позже, возможно, полезу внутрь и дополню статью.
    Железка нынче стОит в розницу 3600-4000р.
  • Краткий обзор нового MikroTik hAP AC2
    0
    На длительной полной нагрузке еще не тестировал. Пока еще было некогда. Из дома аплинк 100Mbit/s. Вечером погоняю под iperf или торрентом — погляжу.
  • Mikrotik: Ограничение скорости скачивания для определенных IP-адресов
    +1
    add action=mark-connection chain=prerouting dst-address-list=mega.nz \
    new-connection-mark=upload-conn passthrough=yes

    В критерии недурно бы добавить «connection-state=new», чтобы соединение маркировалось единожды в момент его установки.
  • Mikrotik: Ограничение скорости скачивания для определенных IP-адресов
    0
    Вот и выйдет что у тебя выйдет не 1 Simple Queue, а 6 как минимум для каждого диапазона с выбранной маской.

    Ничего подобного. Диапазон IP-адресов заносится единожды в address-list и по нему проводятся дальнейшие действия с маркировкой пакетов.
    Метод описанный Louie с предварительным использованием «action=mark-connection» и последующей маркировкой по критерию «connection-mark=upload» более эффективен и, вот почему: все транзитные пакеты проверяются на принадлежность ранее помеченному соединению (1 критерий), а не списку IP-адресов. Хотя address-list, это аналог линуксового ipset, но проверка принадлежности к connection должна быть быстрее, чем проверка по хэшу IP-адреса и сверка со списком. Особенно, когда этих проверок две (два правила), одно для SRC-IP, другое для DST-IP.
    Далее, simple queue позволяет в одном правиле ограничить сразу и upload и download (если нужно), а не расползаться по двум веткам дерева — правила в дереве не учитывают направление трафика.
  • Mikrotik: Ограничение скорости скачивания для определенных IP-адресов
    0
    Как писал выше в комментариях, во-первых, simple queue не позволяет ограничивать трафик по имени маркированных пакетов. Во-вторых, он не позволяет ограничивать трафик по диапазону из нескольких IP-адресов

    Во-первых, simple queue вполне позволяет ограничивать трафик по имени маркированых пакетов. Смотрите параметр «packet-marks=». В winbox вкладка «advanced». Если у Вас не сработало, вероятно или Вы что-то сделали не так или набрели на некий баг.
    Во-вторых, прямо по диапазону ограничить не даёт и tree. Для диапазонов используется маркировка пакета в firewall-mangle.
    В simple queue можно легко ввести ограничение по IP или подсети. Их нужно указать в «target=» сколько угодно, через запятую в консоли. Либо в winbox кликнув справа от поля ввода на символ «стрелка вниз».
    И, да, для simple queue нужно обязательно указывать target. Относительно target считается направление upload/download.
  • MikroTik — несколько адресов и несколько разных MAC на одном интерфейсе
    0
    Наблюдал одного провайдера, у которого долгое время было жесткое правило «Один IP = один MAC». Потом узнал, что ограничение было связано как-то с их биллингом. То ли самописный он был, то ли просто специалистов по настройке этого биллинга небыло в штате.
  • MikroTik — несколько адресов и несколько разных MAC на одном интерфейсе
    0
    Интересный способ. Главное, относительно простой.
    Но к сожалению, для vrrp-интерфейса невозможно задать произвольный MAC-адрес, т.к. он определен стандартом «0000:5E00:01xx, где xx — номер группы VRRP».
    Из других моментов: vrrp пытается искать соседа по мультикасту и трафик может быть перехвачен с последующим захватом роли master. Версия VRRP v3 включаемая по-умолчанию не поддерживает аутентификацию, что настораживает.
    Если делать это на том же роутере, где на основном интерфейсе поднят DHCP-сервер то, dhcp-client не получает IP.
  • MikroTik — несколько адресов и несколько разных MAC на одном интерфейсе
    0
    1) Когда провайдер даёт два IP с привязкой к разным макам на одном физическом порту.
    2) Имитировать физическое присутствие некоего оборудования на площадке, фактически висящего в другой отдаленной сети — не зависит от удаленного маршрутизатора, т.к. не требует L2 туннелирования через EoIP или VPLS.
  • MikroTik — несколько адресов и несколько разных MAC на одном интерфейсе
    0
    В данном случае с dhcp не всё получится, т.к. в arp-reply идет работа с заранее известным IP-адресом. Нормально dhcp-client отработает только на основном интерфейсе «bridge-local»
  • MikroTik — несколько адресов и несколько разных MAC на одном интерфейсе
    +1
    Мне кажется Вы недооцениваете мощность процессора. На неоптимизированной системе «из коробки», при наличии простого фаервола прирост нагрузки CPU составил в среднем +2%, в редких пиках подскакивал до +10%. См. результат теста в конце статьи.
  • MikroTik — несколько адресов и несколько разных MAC на одном интерфейсе
    +1
    Конечно, процессор всегда нагружается при дополнительной обработке пакетов. Но иногда приходится с этим смириться, если нет другого варианта.
    Кстати, вот пример вопроса на соседнем ресурсе: toster.ru/q/276217
    Альтернатива — в разрыв линка установить отдельный свитч и два патч-корда в два разных порта МТ, или в один порт на два VLAN опять же, через внешний «умный» свитч.
  • MikroTik — несколько адресов и несколько разных MAC на одном интерфейсе
    0
    Спасибо, вкралась опечатка. Исправил.
  • Рекомендации, рекомендательные письма, скрипты для проверки рекомендаций — опыт HR-практика
    0
    Бывают единичные случаи, когда бывшие работодатели ссылаются на факты, которые явно негативно характеризуют соискателей

    К сожалению, видимо Вы судите по данным одного (или нескольких близких к Вам) регионов.
    В России есть несколько «суровых промышленных» и добывающих регионов, где в порядке вещей считается вслед ушедшему сотруднику давать самые гадкие характеристики. Просто потому, что он «посмел уйти от нас таких крутых и красивых». Полубарские-полубандитские замашки руководства исходящего из принципа «из нашего казино просто так не уходят». Они особенно ярко выражаются в небольших городах, с одним-двумя градообразующими предприятиями, руководство которых (небезосновательно, кстати) мнит себя «хозяевами городов». В плохом смысле этого словосочетания. У соседей в добывающем регионе часто такая беда. Справедливости ради сказать — не сплошная. И информацию порой удавалось добывать неофициально, у бывших коллег «по горизонтали», т.к. запрос к руководству и HR почти гарантированно приносил поток грязи.
  • Рекомендации, рекомендательные письма, скрипты для проверки рекомендаций — опыт HR-практика
    0
    может быть чревато — ежегодный отпуск+полный учебный отпуск каждую сессию=отсутствие на работе 2 месяца в году

    Главная проблема работодателей и HR, это отношение к людям как к материальному ресурсу. Как к деньгам или к автоматам по обслуживанию бизнеса. Порочное стремление использовать рабочее время каждого нанятого человека на 99,9% закладывает серьезную бомбу как под отдельные бизнес-процессы, так и под бизнес в целом.
    Приличные компании, при управлении материальными ресурсами предусматривают, резервы по оборудованию. Простой пример — в ИТ для отказоустойчивости, принято иметь дублирующее оборудование. Cold standby-сервера, это норма. Компании помельче, вместо резервных серверов, бывает держат критический ЗИП для оборудования. При этом менеджмент не воет, что «вон у вас лежат четыре SAS-HDD купленные за наши $$$ и ничего не делают». В своих автомобилях директора и HR-менеджеры тоже возят запасное колесо, и никто не пищит, про лишний вес и неоправдвнный расход бензина.

    Но как только дело касается людей, понимание необходимого резервирования моментально исчезает. Имея отдел, где HR расчитал штат с загрузкой сотрудников хотя бы 95%, имеем над бизнесом серьезную угрозу в случае выхода одного из сотрудников из строя (по любой причине). Кто виноват? Жадность. Жадность и непредусмотрительность. Привычка «отжимать» из человека по-максимуму. Абсолютное непонимание, что выйти из строя может не только техника, но и человек.
    Отсюда и все негативные проявления. Начиная с проблемами выхода в очередной отпуск( «а кто работать будет?»), продолжая выходами на больничные, выездами сотрудников на конференции и обучение, и заканчивая «проблемным увольнением» сотрудника.
  • Скрипт, который пишет другой скрипт и настраивает роутеры
    0
    При наличии соединения с Интернетом, проще использовать сервис www.random.org
    У него есть API, можно запросами получать данные нужного формата в plaintext, чтобы использовать в скриптах.
  • Настройка VLAN на операционной системе routerOS
    0
    К сожалению, иногда в функционале бриджей проскакивал «неуловимый баг». По непонятной причине иногда трафик разных Vlan'ов висящих в одном бридже начинал смешиваться. Т.е. трафик Vlan11 мог «протекать» в Vlan22 и наоборот. В новых версиях вроде, пофиксили, но лично я на всякий случай стараюсь избегать «замыкания» нескольких vlan в общий бридж.
  • Настройка VLAN на операционной системе routerOS
    0
    Немного уточню:
    В старых CCR1009 (из «CCR» только в них) был свитч-чип. После модернизации, в новых версиях CCR1009 свитч-чип убрали. Теперь его нет ни в одном из устройств линейки CCR