За время моей работы с nextcloud у меня сложилось впечатление, что доверять ему данные нельзя. Как минимум три или четыре раза за два года при обновлении у меня что-то отваливалось, при этом об этом в патч ноутах никто не предупредил - то онлайн редактор отъехал, то база просит какие-то ключи добавлять. Буквально недавно тут на хабре была статья, при обновлении на 27 версию сдохло шифрование. Так то оно круто, "персональное облако", платить злым капиталистам не надо и все такое, но имхо - оно ненадежное и неудобное, медленное и похоже на аналоговнетную замену сервисам MS и Google. Хотя замену получше если честно я и не знаю.
Остановил чтение статьи там, где объясняют про коридор 2-4%. То есть 3% от капитала автора - это годовые расходы на семью из 4-х человек. Я примерно оцениваю ежемесячные траты на такую семью по нижней границе в $3к/мес (скорее всего сильно больше) Несложными арифметическими операциями получаем (с округлением с учетом ранее допущенной нижней границы), что у автора капитала на полтора ляма USD плюс квартира в собственности.
Автор молодец, хорошо работал, грамотно инвестировал, базару нет, но понятия не имею, кому могут пригодиться знания о том, как жить на куче бабла
Я извиняюсь, но это Вы кажется ничего не предлагаете, кроме "можем повторить заместить" и очень размытых формулировок типа "ведь будут и результаты", "поднимать лапки тоже не выход". У промышленность РФ были десятилетия на то, чтобы встроиться в мировую промышленность и развивать собственные высокотехнологичные производства для мирового рынка. А теперь все, гипс сняли, клиент уехал.
Плюс, мировое распределение труда придумали не просто так. Зачем самому производить какие-нибудь шестеренки одного определенного размера для одной конкретной машины, которых во всей стране счетное количество штук? В статье же есть пример для этого - Китай штампует их для всего мира, выходная цена ниже в разы. Самому такое делать просто нет смысла - будет хуже и дороже.
Опираясь на абзац выше, а как вы собираетесь окупать дорогущий процесс разработки и производтва тех же самолетов? Гонять туда-обратно рейсом Моксва-Владивосток бюджетников под субсидии государства?
Не хочу показаться токсичным, статья написано в целом грамотно, но
1) Очень базово и кратко. Настройка netplan не закончена. После этого зачем-то пихают какой-то tcpdump, новичок знать не знает что это и зачем. Что такое "проброс" и почему DMZ называется DMZ не объяснено. Зачем настраивать фаервол при пробросе и как можно себе отстрелить таким образом ноги - тоже.
Про самое интересное - ssh и fail2ban. В ssh написано про какие-то ключи и отправку их через ssh на сервер используя учётку root, при этом 1) авторизация по паролю изначально для рута отключена (мы же ещё не скинули туда ключ, верно?) 2) зачем этот ключ прописывать в рута, если мы будем заходить под другим пользователем? Как выключить после этого авторизацию по паролю тоже не написано.
Настройки fail2ban в статье вообще нет, только ссылка. Да и вообще, зачем fail2ban для ssh, если мы до этого отключили авторизацию по паролю?
Извините, я понимаю что это новичковая статья, но если бы я был новичком, я бы только запутался, потому что новички обычно просто копируют команды, а их тут мало, а что происходит не особо объясняется, да ещё и с небольшими, но очень неприятными ошибками.
Бонусом в конце проверяем наш сервер из локальной сети. А зачем мы до этого делали все эти действия?
Я тут не пишу статьи и комментарии, возможно меня сейчас утопят, но просто хочу обезопасить неопытных юзеров, которые пришли сюда за знаниями по администрированию.
У вас в статье «олдфажная» настройка vlan, сейчас по-другому делается, на одном бридже.
По поводу VPN:
Сначала помечаем соединение:
add action=mark-connection chain=prerouting new-connection-mark=VPN_conn_mark passthrough=yes src-address=172.16.2.128/26
Потом ставим метки маршрутов:
add action=mark-routing chain=prerouting connection-mark=VPN_conn_mark new-routing-mark=VPN_route_mark passthrough=yes
Эффект тот же, но ходят слухи, что так уменьшается нагрузка на маршрутизатор.
А вообще я бы дополнил эту схему address-list'ом с адресами, куда нужно ходить через VPN, обычно их не так много, плюс можно в листе указать доменные имена и они сами отрезолвятся в IP. Остальной трафик при этом не нужно гонять вокруг света через VPN.
При желании можно даже телеграм-бота сделать, который будет добавлять сайты в этот адрес лист, надо кстати попробовать заняться этим вопросом, было бы неплохо :)
Все круто, но у меня есть пара вопросов:
1) Настройка VLAN какая-то очень некрасивая. Можно сделать все намного красивее и проще, без вланов в бриджах, можно же просто один бридж сделать, создать на нем три влана и там указать trunk и access порты, и все будет прекрасно работать. Более того, я не уверен, что ваша настройка задействует свич-чип. Поправьте, если ошибаюсь.
2) При настройке mangle для впн нужно отмечать соединения (mark connection), а потом на основе метки делать mark-routing. Вроде как бест-практис.
3) В качестве придирки — а зачем vlsm'ить сеть? Выглядит не очень красиво, да и удобнее когда vlan тэги связаны с подсетями как-то, типа vlan10 — 172.16.1.0/24, vlan20 — 172.16.2.0/24 и так далее.
Присоединяюсь к вопросу про карту — как составляли? Интересно было бы почитать, есть ли доступные способы сделать такое же «для чайников» :)
Не понимаю, почему http и dns маркируются через mark-routing, а рутрекер прописывается в маршрутах. Если строить мангл, то проще же сделать правило для пометки траффика на адреса из какого-нибудь адрес листа vpn_out
После этого можно просто добавлять нужные сервисы в /ip firewall address-list
Более того, теперь можно вписывать туда доменные имена, он их сам резолвит. Например, рутрекер:
/ip firewall address-list add address=rutracker.org list=vpn_out
За время моей работы с nextcloud у меня сложилось впечатление, что доверять ему данные нельзя. Как минимум три или четыре раза за два года при обновлении у меня что-то отваливалось, при этом об этом в патч ноутах никто не предупредил - то онлайн редактор отъехал, то база просит какие-то ключи добавлять. Буквально недавно тут на хабре была статья, при обновлении на 27 версию сдохло шифрование. Так то оно круто, "персональное облако", платить злым капиталистам не надо и все такое, но имхо - оно ненадежное и неудобное, медленное и похоже на аналоговнетную замену сервисам MS и Google. Хотя замену получше если честно я и не знаю.
Остановил чтение статьи там, где объясняют про коридор 2-4%. То есть 3% от капитала автора - это годовые расходы на семью из 4-х человек. Я примерно оцениваю ежемесячные траты на такую семью по нижней границе в $3к/мес (скорее всего сильно больше)
Несложными арифметическими операциями получаем (с округлением с учетом ранее допущенной нижней границы), что у автора капитала на полтора ляма USD плюс квартира в собственности.
Автор молодец, хорошо работал, грамотно инвестировал, базару нет, но понятия не имею, кому могут пригодиться знания о том, как жить на куче бабла
Я извиняюсь, но это Вы кажется ничего не предлагаете, кроме "можем
повторитьзаместить" и очень размытых формулировок типа "ведь будут и результаты", "поднимать лапки тоже не выход". У промышленность РФ были десятилетия на то, чтобы встроиться в мировую промышленность и развивать собственные высокотехнологичные производства для мирового рынка. А теперь все, гипс сняли, клиент уехал.Плюс, мировое распределение труда придумали не просто так. Зачем самому производить какие-нибудь шестеренки одного определенного размера для одной конкретной машины, которых во всей стране счетное количество штук? В статье же есть пример для этого - Китай штампует их для всего мира, выходная цена ниже в разы. Самому такое делать просто нет смысла - будет хуже и дороже.
Опираясь на абзац выше, а как вы собираетесь окупать дорогущий процесс разработки и производтва тех же самолетов? Гонять туда-обратно рейсом Моксва-Владивосток бюджетников под субсидии государства?
за 0.6 не знаю, а за 1.5 есть
AlienVDS, RoboVPS. Mikrotik CHR туда идеально встает
Не хочу показаться токсичным, статья написано в целом грамотно, но
1) Очень базово и кратко. Настройка netplan не закончена. После этого зачем-то пихают какой-то tcpdump, новичок знать не знает что это и зачем. Что такое "проброс" и почему DMZ называется DMZ не объяснено. Зачем настраивать фаервол при пробросе и как можно себе отстрелить таким образом ноги - тоже.
Про самое интересное - ssh и fail2ban. В ssh написано про какие-то ключи и отправку их через ssh на сервер используя учётку root, при этом 1) авторизация по паролю изначально для рута отключена (мы же ещё не скинули туда ключ, верно?) 2) зачем этот ключ прописывать в рута, если мы будем заходить под другим пользователем? Как выключить после этого авторизацию по паролю тоже не написано.
Настройки fail2ban в статье вообще нет, только ссылка. Да и вообще, зачем fail2ban для ssh, если мы до этого отключили авторизацию по паролю?
Извините, я понимаю что это новичковая статья, но если бы я был новичком, я бы только запутался, потому что новички обычно просто копируют команды, а их тут мало, а что происходит не особо объясняется, да ещё и с небольшими, но очень неприятными ошибками.
Бонусом в конце проверяем наш сервер из локальной сети. А зачем мы до этого делали все эти действия?
Я тут не пишу статьи и комментарии, возможно меня сейчас утопят, но просто хочу обезопасить неопытных юзеров, которые пришли сюда за знаниями по администрированию.
По поводу VPN:
Сначала помечаем соединение:
add action=mark-connection chain=prerouting new-connection-mark=VPN_conn_mark passthrough=yes src-address=172.16.2.128/26
Потом ставим метки маршрутов:
add action=mark-routing chain=prerouting connection-mark=VPN_conn_mark new-routing-mark=VPN_route_mark passthrough=yes
Эффект тот же, но ходят слухи, что так уменьшается нагрузка на маршрутизатор.
А вообще я бы дополнил эту схему address-list'ом с адресами, куда нужно ходить через VPN, обычно их не так много, плюс можно в листе указать доменные имена и они сами отрезолвятся в IP. Остальной трафик при этом не нужно гонять вокруг света через VPN.
При желании можно даже телеграм-бота сделать, который будет добавлять сайты в этот адрес лист, надо кстати попробовать заняться этим вопросом, было бы неплохо :)
1) Настройка VLAN какая-то очень некрасивая. Можно сделать все намного красивее и проще, без вланов в бриджах, можно же просто один бридж сделать, создать на нем три влана и там указать trunk и access порты, и все будет прекрасно работать. Более того, я не уверен, что ваша настройка задействует свич-чип. Поправьте, если ошибаюсь.
2) При настройке mangle для впн нужно отмечать соединения (mark connection), а потом на основе метки делать mark-routing. Вроде как бест-практис.
3) В качестве придирки — а зачем vlsm'ить сеть? Выглядит не очень красиво, да и удобнее когда vlan тэги связаны с подсетями как-то, типа vlan10 — 172.16.1.0/24, vlan20 — 172.16.2.0/24 и так далее.
Присоединяюсь к вопросу про карту — как составляли? Интересно было бы почитать, есть ли доступные способы сделать такое же «для чайников» :)
И сделать маршрут для помеченных пакетов
add dst-address=0.0.0.0/0 gateway=%VPN_INTERFACE% routing-mark=vpn_out distance=1
После этого можно просто добавлять нужные сервисы в /ip firewall address-list
Более того, теперь можно вписывать туда доменные имена, он их сам резолвит. Например, рутрекер:
/ip firewall address-list add address=rutracker.org list=vpn_out