Hálózatok általános

Hello,

Van két napja egy egzotikus hibám. Jelesül az, hogy az új 750Gr3-asomtól menetrendszerűen kb. 5-10 percenként újraindul a UPC kábelmodeme (HiTron). Remek.

Ha visszarakom a régebben használt RB450G-t azzal szikla.
"Kb." ugyanaz a konfig. UPC ügyfélszolgálat VPN-ről illetve a LAN-on használt eszközről kérdezett "ami annyira megterheli a modemet, hogy az újraindul".

Mielőtt resetelném és átmásolnám a régiről a konfigot gondoltam megkérdezem, hátha valaki találkozott ilyennel. Firmware a legfrissebb, de régebbi verziókkal is ugyanez a helyzet.

Köszi!

A modembe belépve ezt látom:

11	06/11/18 22:18:36	90000000	warning	MIMO Event MIMO: Stored MIMO=-1 post cfg file MIMO=-1;CM-MAC=90:50:ca:08:0f:20;CMTS-MAC=00:01:5c:31:53:02;CM-QOS=1.1;CM-VER=3.0;
12	06/11/18 22:18:40	73040100	notice	TLV-11 - unrecognized OID;CM-MAC=90:50:ca:08:0f:20;CMTS-MAC=00:01:5c:31:53:02;CM-QOS=1.1;CM-VER=3.0;
13	06/11/18 22:18:54	82000200	critical	No Ranging Response received - T3 time-out;CM-MAC=90:50:ca:08:0f:20;CMTS-MAC=00:01:5c:31:53:02;CM-QOS=1.1;CM-VER=3.0;
14	06/11/18 22:18:55	82000300	critical	Ranging Request Retries exhausted;CM-MAC=90:50:ca:08:0f:20;CMTS-MAC=00:01:5c:31:53:02;CM-QOS=1.1;CM-VER=3.0;
15	06/11/18 22:18:55	82000600	critical	Unicast Maintenance Ranging attempted - No response - Retries exhausted;CM-MAC=90:50:ca:08:0f:20;CMTS-MAC=00:01:5c:31:53:02;CM-QOS=1.1;CM-VER=3.0;
16	06/11/18 22:18:55	85010200	warning	TCS Partial Service;CM-MAC=90:50:ca:08:0f:20;CMTS-MAC=00:01:5c:31:53:02;CM-QOS=1.1;CM-VER=3.0;
17	06/11/18 22:18:56	66040100	information	Authorized;CM-MAC=90:50:ca:08:0f:20;CMTS-MAC=00:01:5c:31:53:02;CM-QOS=1.1;CM-VER=3.0;

Sziasztok!

A kérdésem az lenne, hogy tudtok-e jó szívvel olyan céget ajánlani, amely a Nyugat-Dunántúlon (konkrétan Sopronban) hajlandó korrekt módon és korrekt áron néhány száz végpontos strukturált (és esetleg erősáramú) hálózatok és/vagy épületeket összekötő optikai gerincek generálkivitelezés jelleggel történő építésére? A cég székhelye bárhol lehet az országban, csak a munkavégzés helye lenne Sopron, de persze nem hátrány, ha minél közelebb van a cég.

Előre is köszönöm a hozzászólásokat.

Sziasztok!

Egy távoli telephelyen kell hálózatot szolgáltatnom, ehhez a telephelyen telepítettem egy Linksys LRT214 routert. A hálózat több elszeparált subnetet kell kiszolgáljon, ezért VLAN-okat használok.
A távoli adminisztráció érdekében beállítottam a routeren egy PPTP VPN kapcsolatot, ami szuperül megy is, tudok hozzá kapcsolódni Win 10, Debian és Android alól is.
Viszont, ha a hálózaton található többi hálózati eszköz webes beállítófelületéhez szeretnék hozzáférni, akkor az nem működik. Pingetni tudom a többi eszközt, HTTP nem megy. Pontosabban win10 alól nem megy, Android és Debian megy, ezért valami win10 related dolognak gondolom. Több win10-el is próbáltam, egyiken Eset Endpoint van, másikon Symantec. A hálózati eszközök külön VLAN-ban vannak, ami eszközön lehet be van állítva a ManagementVLAN. Az eszközök subnetje a 192.168.100.0/24.

Amiket néztem:
SetVpnConnection -Name "xyz" -SplitTunnel $True megvolt, nem segített
Tűzfalak tiltása nem segített
route tábla módosítása, egyik kombináció se segített, próbáltam a Debian route táblát alapul venni, de nem segített. Ettől függetlenül én itt érzem a leginkább, hogy valamit én rontok el.

https://pastebin.com/fmmBxmUX

Kérem, ha van ötletetek akár a megoldásra, akár weben való kutakodáshoz oldalakra/keresőszavakra, akkor azt megköszönöm!

Hello,

A következőt vettem a fejembe.

Szeretnék hozni két AP-t, külön VLAN-ba téve őket. A hEX ether5-ös portja lesz az átjáró, amit
nat-olok a megfelelő szabályokkal. VLAN nélkül megy is szépen a dolog, de én szeretek szívni ezért mindig a nehezebb utat járom. 2 nap alatt össze is raktam a cAP konfigját, mindkét bridge-n keresztül lehet pingetni a másik oldalon lévő gw-t.
DCHP stb. szépen megy, de a netre nem lát ki az eszköz. Már én sem látok ki a fejemből így remélem akad valaki aki rábök a problémára. Köszönöm!

R1:

# may/29/2018 22:16:54 by RouterOS 6.42.3
# software id = J7FN-6G25
#
# model = RouterBOARD 750G r3
# serial number = 6F3808C20F9E
/interface bridge
add fast-forward=no name=LAN-bridge
/interface ethernet
set [ find default-name=ether1 ] mtu=1492 name=WAN
set [ find default-name=ether5 ] l2mtu=1520 name="WIFI ether5"
set [ find default-name=ether2 ] l2mtu=1520 name=ether2-master-local
set [ find default-name=ether3 ] l2mtu=1520 name=ether3-slave-local
set [ find default-name=ether4 ] l2mtu=1520 name=ether4-slave-local
/interface vlan
add interface="WIFI ether5" name=vlan100 vlan-id=100
add interface="WIFI ether5" name=vlan200 vlan-id=200
/interface bridge port
add bridge=LAN-bridge interface=ether2-master-local
add bridge=LAN-bridge interface=ether4-slave-local
add bridge=LAN-bridge interface=ether3-slave-local
add bridge=LAN-bridge interface="WIFI ether5"
/interface bridge vlan
add bridge=LAN-bridge tagged=vlan100 untagged="WIFI ether5" vlan-ids=100
add bridge=LAN-bridge tagged=vlan200 untagged="WIFI ether5" vlan-ids=200
/interface list member
add list=mactel
add interface="WIFI ether5" list=mactel
add list=mac-winbox
add interface=ether4-slave-local list=mactel
add interface="WIFI ether5" list=mac-winbox
add interface=ether3-slave-local list=mactel
add interface=ether4-slave-local list=LAN
add interface=ether3-slave-local list=LAN
add interface=ether2-master-local list=LAN
add interface=WAN list=LAN
add interface=LAN-bridge list=LAN
/ip address
add address=192.168.1.254/24 interface=LAN-bridge network=192.168.1.0
add address=10.1.2.254/24 interface=vlan100 network=10.1.2.0
add address=10.2.2.254/24 interface=vlan200 network=10.2.2.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=WAN
/ip firewall nat
add action=masquerade chain=srcnat src-address=10.1.2.0/24
add action=masquerade chain=srcnat src-address=10.2.2.0/24

R2:

# may/29/2018 22:13:31 by RouterOS 6.42.3
# software id = TBDE-121Z
#
# model = RouterBOARD cAP L-2nD
# serial number = 792E07072F94
/interface bridge
add fast-forward=no name=bridge1
add fast-forward=no name=bridge2
/interface vlan
add interface=ether1 name=vlan100-ether1 vlan-id=100
add interface=ether1 name=vlan200-ether1 vlan-id=200
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\
bs-office supplicant-identity="" wpa-pre-shared-key=***** \
wpa2-pre-shared-key=*****
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=bs-guest supplicant-identity="" \
wpa-pre-shared-key=+++++* wpa2-pre-shared-key=+++++*
/interface wireless
set [ find default-name=wlan1 ] disabled=no distance=indoors mode=ap-bridge \
security-profile=bs-office ssid=BS vlan-id=100 vlan-mode=use-tag
add disabled=no mac-address=66:D1:54:F7:93:B0 master-interface=wlan1 name=\
wlan2 security-profile=bs-guest ssid=BS-GUEST vlan-id=200 vlan-mode=\
use-tag
/interface vlan
add interface=wlan1 name=vlan100-wlan1 vlan-id=100
add interface=wlan2 name=vlan200-wlan2 vlan-id=200
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool-office ranges=10.1.2.1-10.1.2.252
add name=pool-guest ranges=10.2.2.1-10.2.2.252
/ip dhcp-server
add address-pool=pool-office disabled=no interface=bridge1 name=server1
add address-pool=pool-guest disabled=no interface=bridge2 name=server2
/interface bridge port
add bridge=bridge1 interface=vlan100-ether1
add bridge=bridge1 interface=vlan100-wlan1
add bridge=bridge2 interface=vlan200-ether1
add bridge=bridge2 interface=vlan200-wlan2
/interface bridge vlan
add bridge=bridge1 tagged=vlan100-ether1,vlan100-wlan1 untagged=ether1 \
vlan-ids=100
add bridge=bridge1 tagged=vlan200-ether1,vlan200-wlan2 untagged=ether1 \
vlan-ids=200
/interface list member
add interface=ether1 list=WAN
add interface=wlan1 list=LAN
/ip address
add address=10.1.2.253/24 interface=vlan100-ether1 network=10.1.2.0
add address=10.2.2.253/24 interface=vlan200-ether1 network=10.2.2.0
/ip dhcp-server network
add address=10.1.2.0/24 dns-server=10.1.2.254 domain=office \
gateway=10.1.2.254 netmask=24
add address=10.2.2.0/24 dns-server=10.2.2.254 domain=guest \
gateway=10.2.2.254 netmask=24
/ip dns
set servers=8.8.8.8

Hello,

Adott egy projekt, amelynek egy resze fizikai labon fog allni (a tobbi cloud), tobb kis node lesz szetszorva az EU-ban. (jogaszok...)
A kis node alatt 2-3x 2U gep ertendo, nagy szamolgatas nem lesz a gepeken, inkabb csak a rendundancia miatt lesz lerakva tobb gep, szigoruan veve HA sem lesz, nincs ra szukseg.

Korabban, ha olcsobb (de nagyobb, tobbgepes) node-t kellett epiteni, vettunk mondjuk ket Aruba 2920 (leanykori neven HP) switchet, stacking modul, uplink LACP - mindegy hogy rezes vagy optika, plusz esetleg maguk a gepek is helybol bondolt ifaceval lettek bekotve a switchekbe, aztan csokolom...

Ami miatt most gondolkodoba estem a jelenlegi feladatnal az a node merete. Egyreszt szukos a keret (nyilvan), masreszt 5-6 node lenne kiepitve. Overkillnek erzem (valamint a budgetbol sem biztos, hogy kijon), hogy 6x2 2920-ast vegyunk, csak erre kb 12-13k EUR menne el...
Tutinak tuti lenne, meg kb barmilyen vegzodest tudnank fogadni, csakhat...

Azon gondolkodtam, hogy az irodaban es mas telephelyeken is MikroTik RB3011UiAS-RM eszkozoket raktam le, IPSec/VPN, rackmount, SFP, vegulis minden van benne... Lehet, hogy eleg lenne ez az eszkoz a node kiszolgalasara? BGP, OSPF, etc igazabol nem lesz, halozati forgalom sem lesz sok, ebbol a szempontbol nem lesz gond. Inkabb az zavar, hogy a Mikrotik nem stackelheto, valamint csak 1 SFP van rajta, tehat az LACP-s uplink is csak rezes lehet... De meg ha lerakok egy cold spare-t is rogton az aktiv eszkoz ala, akkor is joval alatta vagyok a 2920-asok osszkoltsegenek... (meg akkor is, ha csak 1x 2920 felallast valasztok)... elvegre 12x150 az csak 1.8k...

(Masik nagy elonye lenne a Mikrotiknak, hogy nem kellene kulon VPN eszkozrol gondoskodni.)

Igazabol a node-t elveszthetem akar 1-2-tobb orara is (1-1-et, nem az osszeset egyszerre), tehat belefer, amig mondjuk a remote hands atpakolja a kabeleket a cold spare-ba... De azert nyugodtabban aludnek, ha valami stackelheto dolog "megoldana magatol" ejjel 3-kor...

Csak en aggodom tul ezt, vagy boven el lehetne ketyegni Mikrotikokkal is stacking nelkul is? Vagy csak ideiglenes setupkent, amig nem szerzek penzt komolyabb eszkozokre? Esetleg letezik olyan gyarto, amely olcso(bb), stackelheto termekei felette elsiklottam? Bar vegulis, ha nem kell sokkilences HA, akkor minek az LACP-s uplink...

Hangosan gondolkodok csak, gondoltam, hatha valaki kiigazitja a gondolatmenetemet...

Adott egy Windows 2008R2 Server, benne 35 db kliens Windows 7 és Windows 10 vegyesen.
Szeretnénk a kedves kollégák elsősorban webes tevékenységét, hálózati forgalmát (terhelés) monitorozni, nem nyitna-e meg szándékosan biztonsági szempontból kiemelkedően veszélyes honlapokat, mivel a pendriveról futtatható telepítés nélkül használható alkalmazások korát éljük van is visszaélés rendesen. Természetesen van végpontvédelem, de nem árt az óvatosság, továbbá a szándékosan felelőtlen és károkozó munkatársak kiszűrése a cél.
Nyilván megfelelő routerrel lenne a legcélszerűbb ezt megtenni, van is egy komolyabb Mikrotik routerünk, de mivel a várostól kapjuk a netet, nem kaptunk root jogot a router manageléséhez, még a port nyittatás is körülményes.

Elsősorban ingyenes megoldás kellene, de ennek hiányában, továbbá a későbbi költségvetési terv elkészítéséhez jöhet fizetős, de lehetőleg örök licences és ne bérleti konstrukció, azzal már tele van a padlás, továbbá pályázati szempontból is körülményesebb.

Sziasztok!

Átkerült pár domainem a GTS-től a T-Sys-hez és NS-t kéne módosítanom. A megpróbáltatásaim ott kezdődnek, hogy egyetlen olyan elérhetőséget nem lelek, ahova, ha írnék/felhívnám, akkor tudnának segíteni... Van a Telekom általános ügyfélszolgálata, ott nincs domain menüpont.. Nincs MT azonosítom, meg egyéb okosságom, nem tudom hogy álljak neki egy árva email cím, telefonszám hiányában a dolognak. Szenvedett hasonló problémákkal bárki, vagy én bénázok? :P

Köszi

Beállítottam egy teszt környezetet 1AP-vel és capsman-el, de valamiért ha a capsman vezérli az ap wifijét, akkor maximum 30-40Mbit letöltési sebességem van, capsman nélkül megvan a 90-100Mbit és nem tudom miért.

Előtörténet:
A mostanában felvetődött XMPP szerveres kérdéshez kapcsolódva kitaláltam, hogy akkor én most működtetni fogok egy RocketChat instance-t, privát/családi üzenetküldési megoldásként. ( Persze, tudom, hogy van akinek megkérdőjelezhető az értelme, de most ettől tekintsünk el. )

Az első tesztek elég pozitívak voltak így gondoltam, oké mehet élesbe a dolog.
Viszont ekkor futottam bele a kérdésbe, hogy oké, de hová?!

Jelenleg ESXI 6.7 felett fut egy OPNsense aminek most két lába van. WAN/LAN. A LAN-ra egy Unifi US-8-60W van kötve, amibe a többi gép meg egy AP van csatlakoztatva.
( Jelenleg összesen 4+2 NIC áll rendelkezésre. Amiből 2-t már az opnsense használ.)

Az hamar kiderült, hogy LAN-ba nem tehetem ezt a virtuális gépet, mert akárcsak egy web/mail..stb server, ez a gép is elérhető lesz az Internet felől és mint támadási felület nem biztonságos a LAN-ban hagyni. Szóval kell egy DMZ terület...
(DDNS-t már beállítottam korábban így az elérhetőséggel nem lesz gond változó IP miatt.)

Elveszve a rengetegben:
Némi olvasgatás után belegabalyodtam a témába mint majom a házicérnába...

I. 1 tűzfalas vs 2 tűzfalas megoldás. Otthoni környezetben valószínűleg elég lenne OPNsense alatt egy újabb interfészt(subnetet) felvenni DMZ névvel. De sok helyen írták, hogy a 2 tűzfal jobb a zsilip jellege miatt. Ha az első tűzfal kompromittálódik akkor még mindig van egy második mielőtt a LAN-hoz érne a támadás... Viszont itt van pár kérdőjel. Ha 2 ugyanolyna tűzfalat használok, akkor adott sérülékenység miatt a második is sebezhető lehet?
Konkrét példánál maradva, lenne két OPNsense alapú rendszer. Egyiket nevezzük EXT-nek a másikat INT-nek. Az EXT lenne a bejárat, WAN és DMZ lábakkal és a DMZ egyik eleme lenne az INT rendszer ami nek a WAN-ja lenne a DMZ-felé és a LAN lenne a másik ága.
Szóval ez így okés, vagy érdemes lenne 2 eltérő tűzfalat használni?

II. Switch-es csatlakozások. Vegyesen voltak a vélemények a DMZ és a LAN szeparálásáról ami a fizikai közeget illeti. Mivel fontos lenne, hogy a jelenlegi eszközökkel oldjam meg a dolgot, így felmerült, hogy egy switch lenne, de két VLAN, és így lenne elkülönítve a két hálózat. De voltak ellen vélemények miszerint ez annyira nem biztonságos és inkább fizikailag is külön switchre kellene átvezetni a DMZ-t. Ezzel kapcsolatban mi a vélemény? Tényleg nem biztonságos VLAN-al megoldani?

III. FW szabályok.
A DMZ-be telepített gépeket azért időnként karban kell tartani..stb. Szóval jó lenne ha mondjuk SSH-n lenne hozzáférés LAN-ból. Ez mennyire sérti a DMZ filozófiáját?

A kérdéseim és problémáim nyilván próbáltam jól megfogalmazni, de nem ezzel foglalkozom napi szinten, csak érdekel a téma és szeretném megérteni. Ezért kérem, hogy ne hülyézzetek le azonnal, ha valami triviálisnak tűnő kérdést tettem fel.

Hello,

Router beszerzés előtt állok, szeretném a tanácsotokat kérni.

A jelenlegi helyzet a következő:

Jelenleg egy 450G-t használunk az irodánkban ami ipsec-el össze van lőve a hosting szolgáltatónknál lévő RB2011UiAS eszközzel illetve NAT-ol a belső hálóra (kb. 20 szabály).
A 450G mellett van még egy wifi router, amin max. 5-en lógnak minimális forgalommal.
Az elsődleges szempont, hogy legyen USB port rajta és legyen egy tartalék eszközünk (450G) illetve ha lehet akkor ne kelljen külön wifi router, hanem egyben legyen ez megoldva.

Sorrendben ezeket néztem ki:

1. RB2011UiAS-2HnD-IN
2. RB750Gr3
3. RB951G-2HnD

A keret rá max. 40e Ft nettó.

Köszönöm!