Я поднимал IPSEC.
Маршрут должен уходить в дефолт.
При этом важно чтобы пакеты не попадали в НАТ.
В address-list DST-NO-NAT-FOR-REMOTE-OFFICES сложил список удаленных локальных сеток чтобы не попадали в НАТ.
Для этого я сделал так (первое правило исключает попадание в нат избранным):
В вашем варианте открыты пароли и адреса доступа на микротики.
Чтобы непривелигированные пользователи с этого сервера не могли подсмотреть доступы нужно принимать меры по скрытию списка процессов и ограничению доступа к файлу скрипта.
Если процесс передачи бэкапов происходит по общественной сети — то злоумышленник может подсмотреть фтп-трафик (пароли и ип).
winbox для начинающих или для любителей или для случая когда клиент доступ не дает, а помощь просит…
конечно, когда появляется опыт, то в командной строке становится все быстро и удобно! Тем более что работают подсказки и дополнения команд.
Ну на 100 метрах обещают предельные скорости, тут прелесть в том, что можно скорости около 100мбит подавать по существующей меди. В любом случае остается масса гостинец в которых в каждый номер проведена телефонная пара и сделаны евро-ремонты, проложить что-то другое нереально, а расстояния крошечные. Ну то такое…
Такие мысли были при появлении DSL, ADSL и тд. Раньше тоже было удивительно слышать сперва 2Мбит, потом 8Мбит и тд. А теперь у каждого школьника дома от 1 до 100мбит и это никого не удивляет! :-)
Если у вас есть tftp сервер, то, наверное, и dhcp-сервер есть и им можно выдавать на девайс настройки tftp, настройки sntp и адреса-маски-шлюзы. Тогда ваш цискофон еще и время правильное будет показывать. Можно, в крайнем случае сервер времени задавать в xml-конфиге параметром sntp_server.
Маршрут должен уходить в дефолт.
При этом важно чтобы пакеты не попадали в НАТ.
В address-list DST-NO-NAT-FOR-REMOTE-OFFICES сложил список удаленных локальных сеток чтобы не попадали в НАТ.
Для этого я сделал так (первое правило исключает попадание в нат избранным):
Сами настройки туннелей (в моем случае с cisco-linksys какими-то, точно уже не помню):
При помощи команды:
можно посмотреть состояние туннелей.
Вроде работает :)
Если есть вопросы — можете в личку обратится за подробностями.
Есть замечания.
В вашем варианте открыты пароли и адреса доступа на микротики.
Чтобы непривелигированные пользователи с этого сервера не могли подсмотреть доступы нужно принимать меры по скрытию списка процессов и ограничению доступа к файлу скрипта.
Если процесс передачи бэкапов происходит по общественной сети — то злоумышленник может подсмотреть фтп-трафик (пароли и ип).
конечно, когда появляется опыт, то в командной строке становится все быстро и удобно! Тем более что работают подсказки и дополнения команд.
В командной строке это делается так (к сожалению не успел скопировать — он обновился и перегрузился..):
Нужно следить за результатами обновлений, чтобы версии firmware всегда были одинаковы.
В winbox обновление делается так:
Список изменений тут www.FreeBSD.org/releases/10.0R/relnotes.html
Скажите, пожалуйста, а почему вы себе не делаете операцию, раз под боком такое передовое оборудование?
п.с. я сам в очках.
:))
Молодцы!
Спасибо!
Спасибо! Не останавливайтесь!
То есть на сервере с астериском у вас синхронизированное время и циска на основании tzoffset тоже синхронизируется? Хм…