Telegram-канал "MikroTik сэнсэй"
Многие знают Дмитрия Скоромнова. Практикующего инженера и официального тренера MikroTik.
У Дмитрия есть Telegram-канал, на котором он пишет про оборудование MikroTik. На канале публикуется много практической информации, которой нет в официальной документации вендора.
Некоторые из постов:
🔥 Мракобесие при настройке файрвола на MikroTik.
▪️ Почему 802.1ac Wave 2 работает только на бумаге.
▪️ Что делать, если Netinstall не видит устройство MikroTik.
▪️ Алгоритм переустановки RouterOS.
▪️ Встроенный в RouterOS механизм облачного резервного копирования.
▪️ Четыре функции кнопки Reset.
🔥 SFP-модуль на котором можно воду кипятить.
Подписывайтесь на канал реального сертифицированного практика с уникальной информацией, без воды, репостов, домыслов.
❗️Автор читает комментарии и участвует в обсуждениях. У вас есть возможность получить ответ на свой вопрос.
Многие знают Дмитрия Скоромнова. Практикующего инженера и официального тренера MikroTik.
У Дмитрия есть Telegram-канал, на котором он пишет про оборудование MikroTik. На канале публикуется много практической информации, которой нет в официальной документации вендора.
Некоторые из постов:
🔥 Мракобесие при настройке файрвола на MikroTik.
▪️ Почему 802.1ac Wave 2 работает только на бумаге.
▪️ Что делать, если Netinstall не видит устройство MikroTik.
▪️ Алгоритм переустановки RouterOS.
▪️ Встроенный в RouterOS механизм облачного резервного копирования.
▪️ Четыре функции кнопки Reset.
🔥 SFP-модуль на котором можно воду кипятить.
Подписывайтесь на канал реального сертифицированного практика с уникальной информацией, без воды, репостов, домыслов.
❗️Автор читает комментарии и участвует в обсуждениях. У вас есть возможность получить ответ на свой вопрос.
👍17👎3
SSH-туннели на службе системного администратора
Любому системному администратору приходится постоянно работать удаленно, но случаются ситуации, когда нужно срочно подключиться к узлам внутренней сети, доступ к которым снаружи закрыт.
Хорошо если есть доступ на другие узлы данной сети, но бывает, что доступа из глобальной сети нет вообще, в этих случаях обычно используют TeamViewer или аналогичное ПО, но если к такой сети есть возможность подключиться через SSH или установить соединение с промежуточным SSH-сервером, то можно быстро и просто организовать доступ без привлечения стороннего ПО.
https://interface31.ru/tech_it/2017/04/ssh-tunneli-na-sluzhbe-sistemnogo-administratora.html
Любому системному администратору приходится постоянно работать удаленно, но случаются ситуации, когда нужно срочно подключиться к узлам внутренней сети, доступ к которым снаружи закрыт.
Хорошо если есть доступ на другие узлы данной сети, но бывает, что доступа из глобальной сети нет вообще, в этих случаях обычно используют TeamViewer или аналогичное ПО, но если к такой сети есть возможность подключиться через SSH или установить соединение с промежуточным SSH-сервером, то можно быстро и просто организовать доступ без привлечения стороннего ПО.
https://interface31.ru/tech_it/2017/04/ssh-tunneli-na-sluzhbe-sistemnogo-administratora.html
👍27
🚀 🚀🚀 Fasttrack и очереди в Mikrotik
Эта история произошла с нашим читателем, поэтому ему слово:
Решил дома настроить Simple Queues. Аппарат 951Ui-2HnD ROS 7.5.
Отключил Fast Path в настройках и FastTrack в правилах. Настроил Simple Queues. Но скорость выше 50 Mbps не поднимается. Отключаю очереди, получаю 100 Mbps.
Игрался с Limit At и Max Limit. Ниже 50 Mbps отрабатывает, т.е. режет скорость, выше 50 - нет. Ставишь Max Limit 60-70-80-90-100 - скорость всё рано 50 хоть ты тресни.
Вполне ожидаемо слабый роутер уперся в производительность процессора. Казалось бы можно опустить руки.
Я тут начал копать и мне кажется, ЭВРИКА (нашёл)!!! Наткнулся на схему,
Thumbnail
согласно которой при использовании Fasttrack из всех возможных видов очередей работает очередь интерфейса Interface Queue Tree.
На сайте Микротик эта информация подтверждается:
FastTrack packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip traffic-flow(restriction removed in 6.33), IP accounting, IPSec, hotspot universal client, VRF assignment, so it is up to the administrator to make sure FastTrack does not interfere with other configuration!
Если родитель GLOBAL, то нельзя.
В моём случае родитель - это интерфейс. На загрузку родитель LAN Bridge. Вторым правилом на выгрузку родитель ether1-WAN. Хотя, в домашних условиях второе правило не очень актуально, можно и не делать.
☝️ Подводя итог: FastTrack прекрасно работает совместно с Interface Queue Tree, правила на загрузку и выгрузку отрабатывают, роутер тянет 100 Mbps даже на моей полудохлой железяке с одним ядром.
За информацию спасибо читателю McDuck
Эта история произошла с нашим читателем, поэтому ему слово:
Решил дома настроить Simple Queues. Аппарат 951Ui-2HnD ROS 7.5.
Отключил Fast Path в настройках и FastTrack в правилах. Настроил Simple Queues. Но скорость выше 50 Mbps не поднимается. Отключаю очереди, получаю 100 Mbps.
Игрался с Limit At и Max Limit. Ниже 50 Mbps отрабатывает, т.е. режет скорость, выше 50 - нет. Ставишь Max Limit 60-70-80-90-100 - скорость всё рано 50 хоть ты тресни.
Вполне ожидаемо слабый роутер уперся в производительность процессора. Казалось бы можно опустить руки.
Я тут начал копать и мне кажется, ЭВРИКА (нашёл)!!! Наткнулся на схему,
Thumbnail
согласно которой при использовании Fasttrack из всех возможных видов очередей работает очередь интерфейса Interface Queue Tree.
На сайте Микротик эта информация подтверждается:
FastTrack packets bypass firewall, connection tracking, simple queues, queue tree with parent=global, ip traffic-flow(restriction removed in 6.33), IP accounting, IPSec, hotspot universal client, VRF assignment, so it is up to the administrator to make sure FastTrack does not interfere with other configuration!
Если родитель GLOBAL, то нельзя.
В моём случае родитель - это интерфейс. На загрузку родитель LAN Bridge. Вторым правилом на выгрузку родитель ether1-WAN. Хотя, в домашних условиях второе правило не очень актуально, можно и не делать.
☝️ Подводя итог: FastTrack прекрасно работает совместно с Interface Queue Tree, правила на загрузку и выгрузку отрабатывают, роутер тянет 100 Mbps даже на моей полудохлой железяке с одним ядром.
За информацию спасибо читателю McDuck
👍23
У многих администраторов напряженные отношения с ICMP, кто-то даже полностью блокирует этот протокол, мол не хочу чтобы меня пинговали, хотя на этом же узле куча открытых наружу портов.
При этом все забывают, что ICMP - это не только ping, но и масса иных сообщений, многие из которых очень важны.
Давайте коротко их рассмотрим:
📢 эхо-запрос (тип 8, код 0) и эхо-ответ (тип 0, код 0) - это тот самый пинг и ответ на него. Не хотите, чтобы вас пинговали - запретите входящий тип 8, код 0.
🚫 сеть назначения недоступна (тип 3, код 0) и узел назначения недоступен (тип 3, код 1) - диагностические сообщения от том, что получатель пакета не имеет маршрута к указанной сети/ узлу.
🪓 требуется фрагментация (тип 3, код 4) - очень важное сообщение, требуется для нормальной работы Path MTU Discovery (PMTUD), блокирование этого типа ICMP может привести к проблемам с MTU как для вас, так и для тех, кто использует ваш маршрутизатор как промежуточный (например, сети филиалов)
☠️ время жизни пакета истекло (тип 11, код 0) - возвращается при превышении TTL пакета, нужен для нормальной работы трассировки.
🪛 проблемы с параметром (тип 12, код 0) - диагностическое сообщение, передается получателю, если указанные параметры передаваемого пакета содержат ошибки и пакет не может быть передан далее.
Разумеется, что на этом типы ICMP сообщений не исчерпываются, но это наиболее важные из них.
При этом все забывают, что ICMP - это не только ping, но и масса иных сообщений, многие из которых очень важны.
Давайте коротко их рассмотрим:
📢 эхо-запрос (тип 8, код 0) и эхо-ответ (тип 0, код 0) - это тот самый пинг и ответ на него. Не хотите, чтобы вас пинговали - запретите входящий тип 8, код 0.
🚫 сеть назначения недоступна (тип 3, код 0) и узел назначения недоступен (тип 3, код 1) - диагностические сообщения от том, что получатель пакета не имеет маршрута к указанной сети/ узлу.
🪓 требуется фрагментация (тип 3, код 4) - очень важное сообщение, требуется для нормальной работы Path MTU Discovery (PMTUD), блокирование этого типа ICMP может привести к проблемам с MTU как для вас, так и для тех, кто использует ваш маршрутизатор как промежуточный (например, сети филиалов)
☠️ время жизни пакета истекло (тип 11, код 0) - возвращается при превышении TTL пакета, нужен для нормальной работы трассировки.
🪛 проблемы с параметром (тип 12, код 0) - диагностическое сообщение, передается получателю, если указанные параметры передаваемого пакета содержат ошибки и пакет не может быть передан далее.
Разумеется, что на этом типы ICMP сообщений не исчерпываются, но это наиболее важные из них.
👍37
Настраиваем VPN. Часть 2 - Cтруктура сети
Продолжая разговор о виртуальных частных сетях (VPN) следует обязательно коснуться вопроса структуры создаваемой сети, которая в свою очередь зависит от выполняемых задач. Неверные решения на стадии проектирования могут сказаться далеко не сразу, а по мере роста и развития инфраструктуры, когда поменять что-либо "малой кровью" будет очень проблематично. В статье мы рассмотрим типовые сценарии использования VPN, области их применения, достоинства и недостатки.
https://interface31.ru/tech_it/2019/07/nastraivaem-vpn-chast-2-struktura.html
Продолжая разговор о виртуальных частных сетях (VPN) следует обязательно коснуться вопроса структуры создаваемой сети, которая в свою очередь зависит от выполняемых задач. Неверные решения на стадии проектирования могут сказаться далеко не сразу, а по мере роста и развития инфраструктуры, когда поменять что-либо "малой кровью" будет очень проблематично. В статье мы рассмотрим типовые сценарии использования VPN, области их применения, достоинства и недостатки.
https://interface31.ru/tech_it/2019/07/nastraivaem-vpn-chast-2-struktura.html
Записки IT специалиста
Настраиваем VPN. Часть 2 - Cтруктура сети
Продолжая разговор о виртуальных частных сетях (VPN) следует обязательно коснуться вопроса структуры создаваемой сети, которая в свою очередь зависит от выполняемых задач. Неверные решения на стадии проектирования могут сказаться далеко не сразу, а по мере…
👍12👎1
Какие устройства вы используете для работы и для потребления контента (чтение, музыка, фильмы).
Anonymous Poll
67%
Работа - ПК
52%
Работа - ноутбук
29%
Работа - смартфон
3%
Работа - планшет
42%
Контент - ПК
33%
Контент - ноутбук
70%
Контент - смартфон
15%
Контент - планшет
27%
Контент - ТВ/приставка
1%
Прочее (укажу в комментариях)
👍1
Установка и настройка Рутокен VPN Community Edition
Выбирая решения для организации VPN администратору приходится учитывать множество факторов, как технологических, так и эксплуатационных. Мало просто установить сервер удаленного доступа, нужно еще выполнить настройку клиентов, а затем управлять ими. Если вы ищите комплексное решение, то следует обратить внимание на Рутокен VPN - который построен на базе OpenVPN и кроме всех присущих этой технологии плюсов реализует поддержку аутентификации по токенам и простое и удобное управление пользователями.
https://interface31.ru/tech_it/2022/10/ustanovka-i-nastroyka-rutoken-vpn-community-edition.html
Выбирая решения для организации VPN администратору приходится учитывать множество факторов, как технологических, так и эксплуатационных. Мало просто установить сервер удаленного доступа, нужно еще выполнить настройку клиентов, а затем управлять ими. Если вы ищите комплексное решение, то следует обратить внимание на Рутокен VPN - который построен на базе OpenVPN и кроме всех присущих этой технологии плюсов реализует поддержку аутентификации по токенам и простое и удобное управление пользователями.
https://interface31.ru/tech_it/2022/10/ustanovka-i-nastroyka-rutoken-vpn-community-edition.html
👍16
Linux - начинающим. Установка и первоначальная настройка Ubuntu 22.04 LTS для сервера
Ubuntu - один из самых популярных Linux дистрибутивов, широко применяющийся как в настольных системах, так и на серверах, а также в облаках и контейнерах. И, следует сказать, популярность эта вполне заслужена, долгое время Ubuntu шла в качестве более свежей и продвинутой версии Debian, но с некоторых пор идет своим путем, предлагая новые подходы и инструменты, но в тоже время сохраняя совместимость с родительским дистрибутивом. В данной статье мы пошагово рассмотрим установку и первоначальную настройку серверного дистрибутива Ubuntu 22.04 LTS.
https://interface31.ru/tech_it/2022/10/linux-nachinayushhim-ustanovka-i-pervonachal-naya-nastroyka-ubuntu-2204-lts-dlya-servera.html
Ubuntu - один из самых популярных Linux дистрибутивов, широко применяющийся как в настольных системах, так и на серверах, а также в облаках и контейнерах. И, следует сказать, популярность эта вполне заслужена, долгое время Ubuntu шла в качестве более свежей и продвинутой версии Debian, но с некоторых пор идет своим путем, предлагая новые подходы и инструменты, но в тоже время сохраняя совместимость с родительским дистрибутивом. В данной статье мы пошагово рассмотрим установку и первоначальную настройку серверного дистрибутива Ubuntu 22.04 LTS.
https://interface31.ru/tech_it/2022/10/linux-nachinayushhim-ustanovka-i-pervonachal-naya-nastroyka-ubuntu-2204-lts-dlya-servera.html
🔥9👍5
Настраиваем Port Knocking в Mikrotik
Достаточно часто системные администраторы сталкиваются с дилеммой: необходимо иметь возможность подключиться к собственным системам из любой точки мира, но при этом не выставлять открытыми наружу служебные порты. Отчасти это решается использованием VPN, но такая возможность присутствует не всегда, а в некоторых ситуациях единственной возможностью может оказаться только прямое подключение к системе. Но есть и другой способ, называемый Port Knocking, дословно обозначающий "постучать в порт", но не просто постучать, а особым образом, после чего вы сможете получить доступ, стучите - и вам откроют.
https://interface31.ru/tech_it/2020/04/nastraivaem-port-knocking-v-mikrotik.html
Достаточно часто системные администраторы сталкиваются с дилеммой: необходимо иметь возможность подключиться к собственным системам из любой точки мира, но при этом не выставлять открытыми наружу служебные порты. Отчасти это решается использованием VPN, но такая возможность присутствует не всегда, а в некоторых ситуациях единственной возможностью может оказаться только прямое подключение к системе. Но есть и другой способ, называемый Port Knocking, дословно обозначающий "постучать в порт", но не просто постучать, а особым образом, после чего вы сможете получить доступ, стучите - и вам откроют.
https://interface31.ru/tech_it/2020/04/nastraivaem-port-knocking-v-mikrotik.html
👍27🔥1
Установка консольного клиента Яндекс.Диск на Debian / Ubuntu
Яндекс.Диск - популярный отечественный облачный сервис для хранения и синхронизации пользовательских данных. Многие администраторы широко применяют его в своей повседневной деятельности для организации обмена файлами или хранения резервных копий.
Чаще всего Яндекс.Диск используют на платформе Windows, для которой существует простое и удобное графическое приложение. Но далеко не все знают, что существует не менее удобный консольный клиент для ОС семейства Linux, о котором мы сегодня хотим вам рассказать.
https://interface31.ru/tech_it/2019/07/ustanovka-konsolnogo-klienta-yandeksdisk-na-debian-ubuntu.html
P.S. Юнит для systemd прилагается 👍
Яндекс.Диск - популярный отечественный облачный сервис для хранения и синхронизации пользовательских данных. Многие администраторы широко применяют его в своей повседневной деятельности для организации обмена файлами или хранения резервных копий.
Чаще всего Яндекс.Диск используют на платформе Windows, для которой существует простое и удобное графическое приложение. Но далеко не все знают, что существует не менее удобный консольный клиент для ОС семейства Linux, о котором мы сегодня хотим вам рассказать.
https://interface31.ru/tech_it/2019/07/ustanovka-konsolnogo-klienta-yandeksdisk-na-debian-ubuntu.html
P.S. Юнит для systemd прилагается 👍
👍19
Записки IT специалиста pinned «Linux - начинающим. Установка и первоначальная настройка Ubuntu 22.04 LTS для сервера Ubuntu - один из самых популярных Linux дистрибутивов, широко применяющийся как в настольных системах, так и на серверах, а также в облаках и контейнерах. И, следует сказать…»
Спрашивали - отвечаем.
Сегодня поступил вопрос от читателя по поводу настройки сети в Debian 11:
А как будет выглядеть interfaces с двумя интерфейсами? Тоже прописывать с использованием allow-hotplug?
По умолчанию в Debian сетевой интерфейс конфигурируется как:
🔹
🔹
Очевидно, что
Так что на самом деле все просто. Никакого вреда от
Сегодня поступил вопрос от читателя по поводу настройки сети в Debian 11:
А как будет выглядеть interfaces с двумя интерфейсами? Тоже прописывать с использованием allow-hotplug?
По умолчанию в Debian сетевой интерфейс конфигурируется как:
allow-hotplug ens33Что это значит? Давайте разбираться. Что значит
allow-hotplug и чем это отличается от auto.🔹
auto <interface_name> - обеспечивает старт интерфейса при загрузке системы.🔹
allow-hotplug <interface_name> - старт интерфейса произойдет только после того, как ядро получит событие hotplug от этого устройства.Очевидно, что
allow-hotplug нужен только для съемных устройств, таких как USB-сетевые карты, модемы и т.д. и т.п. Если у вас обычные, стационарные сетевые карты, то смело меняйте allow-hotplug на auto.Так что на самом деле все просто. Никакого вреда от
allow-hotplug не будет, но не стоит усложнять там, где можно все сделать просто.👍38
Какую систему виртуализации вы используете?
Anonymous Poll
37%
Hyper-V
40%
VMWare
40%
Proxmox
1%
oVirt
2%
Xen
12%
KVM
3%
Прочее (укажу в комментариях)
🔥7
«Старые кеды». 26-й день рождения KDE
Современное человечество пока еще не нашло ответа на множество важных вопросов. Есть ли жизнь на Марсе? Едят ли курицу руками? Как пропатчить KDE под FreeBSD? Кстати, по поводу KDE: сегодня исполняется ровно 26 лет со дня основания этого сообщества, подарившего миру одну из самых популярных графических сред для Unix-подобных операционных систем.
14 октября 1996 года студент Тюбингенского университета Маттиас Эттрих анонсировал свой новый проект: графическую оконную среду KDE, название которой являлось отсылкой к проприетарному пакету Common Desktop Environment (CDE) для Unix, созданному HP, IBM и Sun на основе X11. KDE разрабатывался на языке С++ с использованием кросс-платформенного фреймворка Qt.
https://habr.com/ru/company/timeweb/blog/692378/
Современное человечество пока еще не нашло ответа на множество важных вопросов. Есть ли жизнь на Марсе? Едят ли курицу руками? Как пропатчить KDE под FreeBSD? Кстати, по поводу KDE: сегодня исполняется ровно 26 лет со дня основания этого сообщества, подарившего миру одну из самых популярных графических сред для Unix-подобных операционных систем.
14 октября 1996 года студент Тюбингенского университета Маттиас Эттрих анонсировал свой новый проект: графическую оконную среду KDE, название которой являлось отсылкой к проприетарному пакету Common Desktop Environment (CDE) для Unix, созданному HP, IBM и Sun на основе X11. KDE разрабатывался на языке С++ с использованием кросс-платформенного фреймворка Qt.
https://habr.com/ru/company/timeweb/blog/692378/
🔥18👍9
Одна из причин, по которой не следует совмещать роль контроллера домена с другими ролями.
☝️ Контроллер домена всегда выключает кеширование записи на тот физический диск где находится база AD.
При совмещении роли контроллера с ролями требующими дисковой производительности: сервер СУБД, сервер 1С, Exchange и т.д. вы получите на выходе жесткие тормоза. Ну или придется городить костыли.
Поэтому всегда выносите контроллер на отдельный ПК или виртуалку!
☝️ Контроллер домена всегда выключает кеширование записи на тот физический диск где находится база AD.
При совмещении роли контроллера с ролями требующими дисковой производительности: сервер СУБД, сервер 1С, Exchange и т.д. вы получите на выходе жесткие тормоза. Ну или придется городить костыли.
Поэтому всегда выносите контроллер на отдельный ПК или виртуалку!
👍47
При удалении контроллера AD вы можете получить ошибку, что нет доступа. Это значит, что у объекта стоит защита от случайного удаления.
😕 Везде советуют снимать ее в свойствах контроллера в оснастке Сайты и службы. Но это не помогает, более того, там вообще может этой галочки не стоять.
👆 А нужно зайти в оснастку Пользователи и компьютеры перейти в меню Вид и включить Дополнительные компоненты. Затем в свойствах объекта перейти к Параметрам NTDS и убрать защиту там.
И попадаем вроде бы в одно и тоже место, но с разным результатом. 🤷♂️
😕 Везде советуют снимать ее в свойствах контроллера в оснастке Сайты и службы. Но это не помогает, более того, там вообще может этой галочки не стоять.
👆 А нужно зайти в оснастку Пользователи и компьютеры перейти в меню Вид и включить Дополнительные компоненты. Затем в свойствах объекта перейти к Параметрам NTDS и убрать защиту там.
И попадаем вроде бы в одно и тоже место, но с разным результатом. 🤷♂️
🔥21👍9
This media is not supported in your browser
VIEW IN TELEGRAM
🙈 И снова про плохие интерфейсы...
Уже довольно давно в 1С завезли штатное резервное копирование для файловых баз, так сказать, для самых маленьких.
Идея хорошая, нужная. И, казалось бы, что могло пойти не так...
Оказывается, абсолютно все. На словах передать трудно, смотрите короткий ролик.
В общем, не надо больше так делать, пожалуйста... 🙏
Уже довольно давно в 1С завезли штатное резервное копирование для файловых баз, так сказать, для самых маленьких.
Идея хорошая, нужная. И, казалось бы, что могло пойти не так...
Оказывается, абсолютно все. На словах передать трудно, смотрите короткий ролик.
В общем, не надо больше так делать, пожалуйста... 🙏
👍21😁7🤬2