Hálózatok általános

haho!

A google drive, facebook es a skype rendszeresen offline kerul, vagy nem elerheto.
A dolog elegge randomnak tunik. Ilyenkor a fentiek pingelese eseten minden nehanyadik ping
timed out lesz, de a traceroute is kimeny a celhoz. (eth lan-rol van szo)
Ugyanakkor, ha atmegyek wifi-re (egy masik halozat), de a upc masodik modeme,
ott minden ok)

A helyi halozat emigyen nez ki:

modem -> 1db switch-be megy majd onnan szet meg 2db 24 portos switchbe, majd innen a vegpontokig, illetve 3 darab 8 portos switchbe.

A halozaton nem volt valtoztatas evek ota, a jelenseg kb. egy honapja van.
upc elofizetes (hitron modem, "wifi-mode"-ban, vagyis ez tolja befele dhcp-vel.
kb. 15-20 felhasznalo.

A modemet most csereltek le, nehany napig ok, aztan megint hiba.
A halozaton az osszes switchet mar kicsereltem (3db), de ez se segitett.
A hiba az osszes felhasznalonal jelentkezik.
Egyszer a modemet lehuztam a belso halorol, es bedugtam egy laptopot immar onmagaban
a modembe, a hiba ekkor is jon!

Minden segitseget koszonok.

Gondom adódott egy hálózati beállítással.

Központban működik egy Asterisk, PJSIP 5060-as porton, CAHN_SIP 5160-ason. Helyi telefonok vannak, jól érzik magukat, köszönik szépen, mindkét drivert használjuk. Nincsen semmi gond belső hálózatról.
Kívülről (egyetlen IP-ről, az "A" telephelyről) elérhető szintén a rendszer, szoftveres SIP telefonok szépen rálátnak, Yealink is megy.

Nos, adottak ezek a jó öreg masinák, akik kívülről nem igyekeznek fellépni a központra, s nem regisztrálnak. Még idáig sem jutok el. (Tudom, baromi régiek, de itt most ez van!) PJSIP-et nem tudnak - tudtommal - így marad a CHAN_SIP.

Az "A" telephely össze van kötve VPN-nel, alapvető szolgáltatások mennek rendben. Központ 192.168.1.0/24, telephely 192.168.3.0/24, a VPN pedig 192.168.8.0/24. Központ Mikrotik ebből 192.168.8.8-at kap. Mindkettő rendelkezik publikus IP-vel,
mindkettőn Mikrotik a hálózat atyja, és oda-vissza tudok VPN-t nyitni, ha akarok, jelenleg a központ "tárcsáz" kifelé a telephelyre.

L2TP/IPSEC van belőve, plusz egy route szabály van felvéve a telephelyre, hogy a 192.168.1.0/24-et a vpn-en keresztül érje el.

Idáig jutottam:
Figyeltem az asterisken a bejövő UDP kapcsolódásokat. Míg a helyi hálóról pár üzenet jön percenként a Cisco-król, addig kívülről ugyan jön, de semmi reakció az asterisk-től. Azaz, talán mégis van pár csomag, párokban láttam pl ezt:

13:47:33.587817 IP 192.168.1.2.5160 > 192.168.8.1.5160: UDP, length 579
13:47:33.627639 IP 192.168.8.1.50302 > 192.168.1.2.5160: UDP, length 1175

Rengeteg hülyeséget kipróbáltam már, próbáltam a visszalökött csomagokat irányítgatni, mangle, route, mark packet, mark routing, ...
Megpróbáltam azt is, hogy helyi IP címet adok ki VPN-en a központi Mikrotiknek, de semmi.
És én itt elveszek! Nem tudom, hogyan tovább.

Ha ugyanezt a SIP fiókot kipróbálom androidról kívülről, vagy VPN mögül, mindig megy.

Becsatolom ide a Cisco configját is, lehet,hogy ott toltam el! NAT kérdése lesz?

https://pastebin.com/Khh9FbDP

A nagyérdemű segítségét kérem. Az új munkahelyemen Ububiquiti unifi wifi rendszer van. A rendszer 3 AP, egy ubiquiti TOUGHSwitch PoE, és a windowsos controller szoftverből (ver.: 5.4.11.2) áll. A gondom, hogy miközben mindenki vidáman, gond nélkül használja a wifit, addig a controller szoftver egyik napról a másikra meggárgyult: nem látja az AP-ket, véleménye szerint semmi nem működik, ezért például nem is loggol. A gépről egyébként pingelhető az összes AP, a Switch admin felületébe be lehet lépni.

A verziófrissítés megoldotta a problémát.

Sziasztok!

Adott egy OpenWrt router amin fut egy openvpn kliens, amely egy távoli, nem általam menedzselt szerverhez csatlakozik. Azt szeretném elérni, hogy a LAN hálózatban futó 1-2 kliens forgalma (pl. SmartTV) ne a router WAN interfészére, hanem a VPN-re essen és úgy menjen ki internet felé.

Ábra:
+------------+ +-------------+ +---------------+ +-----------------+
| Kliens +---->| Router +----->| VPN +----->| internet |
+------------+ +-------------+ +---------------+ +-----------------+

Próbáltam Policy Based Routing-al megvalósítani, de sajnos nem jött össze (ip rule létrehozva, külön routing tábla elkészítve, mark szabályok kialakítva).

Hogyan lehetne ezt iptables-el megvalósítani?

Eddig ezeket próbáltam:

1. - forward szabály létrehozva, engedje át a br-lan --> tun0 , illetve a tun0 --> br-lan irányt is a router.
- NAT tábla prerouting láncánál megadtam az alábbit: iptables -t nat -I PREROUING 1 -p tcp -s 192.168.1.10 -j DNAT --to-destination 10.10.0.5:1196 --> ugyanez udp-vel is
- iptables -t nat -I POSTROUTING 1 -o tun0 -j MASQUERADE

A fentieknél sajnos nem igazán volt a kliensnél netkapcsolat, halott ötlet. Próbáltam debuggolni a LOG lánccal, de nem sok sikerrel.

Nem vagyok túl nagy iptables guru, ezért kellene egy kis segítség, hogy megértsem hol rontom el.

Sziasztok,

Keresek szoftver megoldást, vagy web proxy appliance-ot egy 100-200 végpontos hálózat internet használatának szabályozásához.

Minimális elvárás, az ACL kezelés és karbantartott URL kategóriák, amivel az egyes felhasználói
csoportok internet használatát lehessen korlátozni. (pl. XY csoport social media engedélyezett, pron tiltott. )

Előny ha nem kell sokat reszelni a beüzemeléshez, úgyhogy kereskedelmi termékek és hardware appliance-ok is szóba jöhetnek.

Köszönettel vennék pár javaslatot + tapasztalatot.

Sziasztok!

Szeretnék egy olyan beállítást létrehozni, ahol a bejelentkező felhasználó bármilyen parancsot használhasson, a copy kivételével (nem szeretném, ha agyonvágná az alap konfigurációmat, szeretném, hogy azt bármikor vissza tudjam másolni).
Beállítottam, hogy a bejelentkező felhasználó a nyolcas szinten dolgozhasson, és a

privilege configure level 8 parancs

paranccsal engedélyeztem parancsokat. A gondom az, hogy a dhcp-t nem tudom teljesen engedélyezni.
Beállítottam:

privilege configure all level 8 ip
privilege configure all level 8 ip dhcp
privilege configure all level 8 ip dhcp pool

Amikor kiadom a nyolcas szintű jogosultsággal rendelkező felhasználóval az
ip dhcp pool xyz
parancsot, beléptet a dhcp-config-ba, de ott csak az exit parancs engedélyezett... Természetesen a 15-ös szinten látszik a többi lehetséges parancs is.

Sziasztok!

VPN sebesség kérdés...

Mikrotik CCR1009-7G-1C-1S+ router
pptp: KB 12/12 Mbps
l2TP: 25/25 Mbps
OpenVPN: 20/20 Mbps

Mindez 5-6% CPU mellett, és nem tudok vele mit kezdeni. Most eszközt kéne választanom 2 telephely összekötésére de ott közel 100/100 -ra van szükség.

Mit vegyek? Mikrotik nem tud többet?

Sziasztok!

Otthon minden gépemen MX Linux fut, amit nagyon megkedveltem az utóbbi időben. Az egyik masina egy letöltő szerverecske, ami a meghajtóit Samba segítségével osztja meg, a letöltéseket pedig webUI-n keresztül menedzselem. A gondom, hogy időnként ellenőriznem kell, hogy mennyi még a szabad hely, de ez az adat nem stimmel a felcsatolt könyvtárban. 1 terrás könyvtár esetében durván 50Gb-al több szabad helyet látok mint a valós. Eddig teamviewer segítségével néztem meg, de ez így elég macerás. Van erre valami frappáns megoldás, hogy mindig láthatsam a másik gépről a szükséges adatot, lehetőleg pontosan?

Az ügyfeleim az UpCloud-on laknak.
Egy ős-Dural 6 fut Apache 2.4-en PHP-FPM-mel.
https://agrya.hu/fiatal-gazda-klub-szekszard-februar-13

A fenti űrlap ürenesen beküldve 8+KB.
Két vidéki (UPC és Telekom) látogató nem tudta elküldeni az űrlapot.

- HTTP/408 Request Timeout-ot kapnak (a timeout-unk 10 mp) amikor ezt a pici űrlapot küldik be
- mindkét látogató pontosan 4361 byte-os HTTP/POST kérést küld a timeout előtt
- mindketten HTTP/1.1-en kapcsolódnak a HTTP2-es webszerverünkhöz (csak https)
- senkinek semmi más problémája nincs a szerveren lévő honlapokkal, e néhány látogatónak is csak ez a POST kérés hibás

A 4361-es méret egy TCP szegmensre emlékeztet engem.
Lehet hogy szétkapcsol valami út közben (~10 hop messzire vannak a szervertől, 30 msec-re)

Tudnátok segíteni?

Sziasztok,

Hogy lehetne olyan self-signed ssl cert-et generálni, amit a Chomre/Firefox is elfogad Secure-nak, a probléma az, hogy egy belső domainről van szó, szóval nem tudok rá certet venni.

Köszönöm,
G.