forum.opennet.ru

Mikrotik+HotSpot+radius+внешняя страница авторизации на php+SMS,

nops, (Разное) 26-Мрт-19, 23:48 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вам сюда -https www mikbill ru produkt opisanie html, universite (ok), 00:08 , 27-Мрт-19 (1)
> Дорогие коллеги.
> Встала задача организовать HotSpot на оборудовании Mikrotik.
> Попробовал в тесте запустить Hotspot на Mikrotik, с отправкой смс на телефон
> регистрации. Это делается в соблюдении законности и своей же безопасности.
Вам сюда -
https://www.mikbill.ru/produkt/opisanie.html
сообщить модератору +/– ответить

К сожалению или к счастью мне туда не надо Был я там, но могу сказать однозначно, nops (ok), 07:18 , 27-Мрт-19 (2)
>> Дорогие коллеги.
>> Встала задача организовать HotSpot на оборудовании Mikrotik.
>> Попробовал в тесте запустить Hotspot на Mikrotik, с отправкой смс на телефон
>> регистрации. Это делается в соблюдении законности и своей же безопасности.
> Вам сюда -
> https://www.mikbill.ru/produkt/opisanie.html
К сожалению или к счастью мне туда не надо.
Был я там, но могу сказать однозначно, полноценный биллинг мне не нужен.
Я хочу разобраться как это работает, понять и запустить сам, без привлечения к этому готовых билингвых решений.
Но за предложение спасибо.
сообщить модератору +/– ответить

Настраивал такое, лучше использовать радиус сервер, например Freeradius, даст во, ksiv (?), 17:48 , 29-Апр-19 (3)
Настраивал такое, лучше использовать радиус сервер, например Freeradius, даст возможности более гибко настраивать пользователей, делить по группам, ограничивать скорость и выставлять разные параметры.
Я пользовался этой статьей для настройке радиус + микротик :https://systemzone.net/mikrotik-radius-configuration-with-fr.../
Далее понадобятся apache и php.
Примеры файлов для апача и микротика в этом архиве: https://yadi.sk/d/jUu8zMVQQYiZ8g
Немножечко подправить придется для себя. Все работает, читаю и пишу тут редко.
сообщить модератору +/– ответить

Я только не знаю, как пользователей делить по группам Чтобы была возможность одн, nops (ok), 20:12 , 29-Апр-19 (4)
> Настраивал такое, лучше использовать радиус сервер, например Freeradius, даст возможности
> более гибко настраивать пользователей, делить по группам, ограничивать скорость и выставлять
> разные параметры.
> Я пользовался этой статьей для настройке радиус + микротик :https://systemzone.net/mikrotik-radius-configuration-with-fr.../
> Далее понадобятся apache и php.
> Примеры файлов для апача и микротика в этом архиве: https://yadi.sk/d/jUu8zMVQQYiZ8g
> Немножечко подправить придется для себя. Все работает, читаю и пишу тут редко.
Я только не знаю, как пользователей делить по группам.
Чтобы была возможность одному и тому же пользователю регистрироваться в разных сетях и с разными настройками и разными группами.
сообщить модератору +/– ответить

Берешь в руки perl, модуль rlm_perl к FreeRadius, и программишь, программишь В , ShyLion (ok), 07:09 , 30-Апр-19 (5)
> Я только не знаю, как пользователей делить по группам.
> Чтобы была возможность одному и тому же пользователю регистрироваться в разных сетях
> и с разными настройками и разными группами.
Берешь в руки perl, модуль rlm_perl к FreeRadius, и программишь, программишь. В процессе столько всего нового узнаешь.
сообщить модератору +/– ответить

На самом деле, я уже в принципе реализовал все средствами Mikrotik и php У меня, nops (ok), 09:23 , 30-Апр-19 (6)
>> Я только не знаю, как пользователей делить по группам.
>> Чтобы была возможность одному и тому же пользователю регистрироваться в разных сетях
>> и с разными настройками и разными группами.
> Берешь в руки perl, модуль rlm_perl к FreeRadius, и программишь, программишь. В
> процессе столько всего нового узнаешь.
На самом деле, я уже в принципе реализовал все средствами Mikrotik и php. У меня успешно открывается страница регистрации, Успешно отправляется смс и все замечательно.
Сейчас я просто хочу понять, как распределять пользователя. На данный момент я решил в принципе, как это сделать, при помощи $(location-id) и $(location-name). При этом не нужно писать что-либо на перл.
сообщить модератору +/– ответить

Я не смог найти адекватного мануала на русском языке по freeraduis, и посему хоч, nops (ok), 10:06 , 30-Апр-19 (7)
> Настраивал такое, лучше использовать радиус сервер, например Freeradius, даст возможности
> более гибко настраивать пользователей, делить по группам, ограничивать скорость и выставлять
> разные параметры.
> Я пользовался этой статьей для настройке радиус + микротик :https://systemzone.net/mikrotik-radius-configuration-with-fr.../
> Далее понадобятся apache и php.
> Примеры файлов для апача и микротика в этом архиве: https://yadi.sk/d/jUu8zMVQQYiZ8g
> Немножечко подправить придется для себя. Все работает, читаю и пишу тут редко.
Я не смог найти адекватного мануала на русском языке по freeraduis, и посему хочу понять смысл таблицы NAS.
Я понимаю, что туда добавляется устройство, которое авторизовывает пользователя, но как эта таблица участвует в формировании ответа устройству в виде дополнительных полей по скорости, по отключениям, рекламе и прочему.
сообщить модератору +/– ответить

Понимание порогов сброса в L2 QOS,

rapport, (Cisco Catalyst коммутаторы) 25-Апр-19, 09:07 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

http www anticisco ru blogs p 1990, gfh1gfh1 (ok), 13:34 , 25-Апр-19 (1)
http://www.anticisco.ru/blogs/?p=1990
сообщить модератору +/– ответить

Именно на эту статью я ссылаюсь И спрашиваю про то, что осталось непонятым посл, rapport (?), 07:17 , 26-Апр-19 (2)
> http://www.anticisco.ru/blogs/?p=1990
Именно на эту статью я ссылаюсь. И спрашиваю про то, что осталось непонятым после ее прочтения.
А именно в каких единица считать пороги сброса? В статье написано в %, но от чего отсчитываются 3200 % непонятно.
сообщить модератору +/– ответить

code The buffer space is divided between the common pool andthe reserved pool ,

gfh1gfh1 (ok), 08:47 , 26-Апр-19 (3)

The buffer space is divided between the common pool and
the reserved pool. The switch uses a buffer allocation scheme to reserve a minimum amount of buffers
for each egress queue, to prevent any queue or port from consuming all the buffers and depriving other
queues, and to control whether to grant buffer space to a requesting queue. The switch detects whether
the target queue has not consumed more buffers than its reserved amount (under-limit), whether it has
consumed all of its maximum buffers (over limit), and whether the common pool is empty (no free buffers) or not empty (free buffers). If the queue is not over-limit, the switch can allocate buffer space
from the reserved pool or from the common pool (if it is not empty). If there are no free buffers in the
common pool or if the queue is over-limit, the switch drops the frame.

...

enable a queue in the full condition to obtain
more buffers than are reserved for it. This is the maximum memory
the queue can have before the packets are dropped if the common pool
is not empty. The range is 1 to 3200 percent.

Грубо говоря есть резервированный объем памяти для исходящих очередей (для каждой) и общий набор памяти для всех исходящих очередей. Можно задавать пороги сброса (drop-threshold) до 32-х раз больше чем резервированный объем памяти очереди.

сообщить модератору +/–

ответить

Спасибо за ответ, эту статью я тоже читал Попытаюсь более кокретно сформулирова, rapport (?), 14:45 , 26-Апр-19 (4)

> Грубо говоря есть резервированный объем памяти для исходящих очередей (для каждой) и
> общий набор памяти для всех исходящих очередей. Можно задавать пороги сброса
> (drop-threshold) до 32-х раз больше чем резервированный объем памяти очереди.
Спасибо за ответ, эту статью я тоже читал.
Попытаюсь более кокретно сформулировать:
1.
Есть команада:
mls qos queue-set output 1 buffers 20 30 40 10
Которая устанавливает процентное ссотншение буферов памяти для каждой очереди.
Т.е. для очереди 1 - 20% буферной памяти (от всей выделеной интерфейсу). Так?
2.
Есть команда
mls qos queue-set output 1 threshold 1 2000 1000 60 3200
Где устанавливается 60% - зарезервированной для очереди буферной памяти.
Т.е. 60% от 20% (т.к. в п.1 для первой очереди выделено 20%) и 40% от 20% первая очередь может отдать в общак если ей самой не нужно? Так?

3.
В той же команде:
mls qos queue-set output 1 threshold 1 2000 1000 60 3200
3200% первая очередь может запросить из общего буфера интерфейса. Т.е. в 32 больше того что мы наделили в п.1 Так? Если оттуда уже какая-нибудь очередь все не забрала.
4.
Пороги сброса.
3-й (не изменяется - установлен на 100%) - 100% от чего ? От 20% (из п.1)? Или от 60% (которые уже от 20%) зарезервированных?
Какой тогда смысл брать буфера из общака (аж в 32 раза больше чем 100%), если на 100% начнут сбрасываться кадры?
Какой смысл тогда устанавливать пороги 1 и 2 выше 100% если они раньше попадаут на 3-й порог?
5.
Или 100% - это от "резервированой + той что получилось взять из общака"?
Тогда 100% - это 3200 + reserve, и пороги 1 и 2 всегда будут меньше третьего.
И если их установить меньше 100, то они будут отрабатывать в внутри зарезервированного за очередью объеме буферов.
А если установить больше 100, то будут отрабатывать во взятом взаймы из общака, а там может ничего и не осталось и тогда 1 и 2 порог вообще не отработают.
сообщить модератору +/– ответить

запрет доступа по ip к хосту,

tolyanich139, (ACL, фильтрация и ограничение трафика) 29-Мрт-19, 10:19 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Может, стоило бы это правило переместить в начало списка , allez (ok), 13:12 , 29-Мрт-19 (1)
> добрый день!
> прошу помочь с настройкой asa5506, задача разрешить доступ из вне к хосту
> только c определенных ip.
> скриншоты двух оконо из asdm:
> https://i.gyazo.com/ff263fa632955f8b12263aba748a47af.png
> сейчас несмотря на правило в "access rules", хост доступен с любого ip
> спасибо!
> и да, я понимаю всю небезопасность, и что надо поднимать в таких
> случаях впн.
Может, стоило бы это правило переместить в начало списка?
сообщить модератору +/– ответить

как, если оно разбито по интерфейсам и находится в otside выше всего , tolyanich139 (ok), 15:12 , 29-Мрт-19 (2)
>> добрый день!
>> прошу помочь с настройкой asa5506, задача разрешить доступ из вне к хосту
> Может, стоило бы это правило переместить в начало списка?
как, если оно разбито по интерфейсам и находится в otside выше всего?

сообщить модератору +/– ответить

Гадать по скриншотам о всей картие происходящего на самом деле - невозможно Я б, Денис (??), 21:18 , 29-Мрт-19 (3)
>>> добрый день!
>>> прошу помочь с настройкой asa5506, задача разрешить доступ из вне к хосту
>> Может, стоило бы это правило переместить в начало списка?
> как, если оно разбито по интерфейсам и находится в otside выше всего?
Гадать по скриншотам о всей картие происходящего на самом деле - невозможно. Я бы порекомендовал прогнать "пробный" трафик через утилиту packet-tracer на самой ASA. Будет видно, на каком этапе и почему трафик либо блокируется либо пропускается. Вас интересует второе.
сообщить модератору +/– ответить

у тебя 2 правило в access rules разрешает все пакеты, а нат точно также все па, sn (??), 10:36 , 01-Апр-19 (4)

> скриншоты двух оконо из asdm:
> https://i.gyazo.com/ff263fa632955f8b12263aba748a47af.png
> сейчас несмотря на правило в "access rules", хост доступен с любого ip
у тебя 2 правило в "access rules" разрешает все пакеты, а нат точно также все пакеты пробрасывает.
одним словом запретов никаких нет в твоем конфиге.
сообщить модератору +/– ответить

Не хватает памяти Cisco 2821,

Gunsfeel, (Диагностика и решение проблем) 20-Мрт-19, 23:04 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Штатные телепаты в отпуске show vershow run, ShyLion (ok), 07:06 , 21-Мрт-19 (1)

2821 show verCisco IOS Software, 2800 Software C2800NM-ADVIPSERVICESK9-M , Vers, Gunsfeel (ok), 08:32 , 21-Мрт-19 (2)

Ну а теперь логи , Pofigist (?), 10:07 , 21-Мрт-19 (3)

а вот логи то и не настроены последнее что есть Mar 21 06 59 46 747 VPN_HW-6, Gunsfeel (ok), 10:38 , 21-Мрт-19 (6)

Коллега, в этих логах про память ничего нет А вот про пропеллеры которые не крут, eek (ok), 10:53 , 21-Мрт-19 (8)
gt оверквотинг удален Этого - достаточно Более чем Она у тебя тупо перегрева, Pofigist (?), 13:14 , 21-Мрт-19 (12)

Да и IOS древний как окаменелое г-но мамомнта Яб обновил Самый последний пра, Pofigist (?), 10:10 , 21-Мрт-19 (4)
gt оверквотинг удален Вероятнее всего NAT ужирает всю память, как вариант 1 с, fantom (??), 10:12 , 21-Мрт-19 (5)

gt оверквотинг удален самое обидное что нет ни бэкапа ни сохраненной конфы с н, Gunsfeel (ok), 10:42 , 21-Мрт-19 (7)

gt оверквотинг удален заливаете IOS, рестартуете и УСЕ накой вам второй м, fantom (??), 11:04 , 21-Мрт-19 (9)

gt оверквотинг удален еще момент, обновляться до самой новой или есть более с, Gunsfeel (ok), 11:09 , 21-Мрт-19 (10)

gt оверквотинг удален Pool Processor Free 473048 Cause Memory fragmentati, Gunsfeel (ok), 11:18 , 21-Мрт-19 (11)

Перегрев - разбирай и смазывай пропеллеры Или лучше замени, насколько я помню т, Pofigist (?), 13:19 , 21-Мрт-19 (14)
Недавно столкнулись с такой проблемой на нескольких 2821, помогло обновление до , asser (?), 13:43 , 21-Мрт-19 (18)

Самая новая не влезет на твою фешку - там нужно минимум 128Мб, а у тебя 64Мб По, Pofigist (?), 13:23 , 21-Мрт-19 (15)

Ах да - прежде чем проверять флешки на совместимость, обнови ROM System Bootstr, Pofigist (?), 13:25 , 21-Мрт-19 (16)

copy run tftp твой тфтп-сервер и готов бекап конфига А вообще нажимай в ко, Pofigist (?), 13:18 , 21-Мрт-19 (13)

да бэкап сделал думал залить сразу прошивку, не тут то было, придется удалять в, Gunsfeel (ok), 14:25 , 21-Мрт-19 (19)

Как выяснилось - банальный перегрев похоже Хотя сначала я думал на битое ОЗУ , Pofigist (?), 13:34 , 21-Мрт-19 (17)

по-моему дело в другом у меня почти все хосты в сети посылают запрос на 192 XXX, Gunsfeel (ok), 16:03 , 21-Мрт-19 (20)

gt оверквотинг удален http 66 117 6 174 ver txtи вот такие херовины еще лови, Gunsfeel (ok), 16:10 , 21-Мрт-19 (21)
ну это вроде адреса гугла, но все равно можно попробовать зароутить в ноль ip ro, 1 (??), 16:44 , 21-Мрт-19 (22)

Сначала - просто посмотри sh env all перед зависанием Я все-таки думаю что проб, Pofigist (?), 16:54 , 21-Мрт-19 (23)

Ну не 65к, а таки 131к на один адрес Про UDP не забываем При достаточной инт, fantom (??), 11:35 , 22-Мрт-19 (24)

Меня больше всего интересует - помогла ли топикпастру замена вентиляторов , Pofigist (?), 15:29 , 22-Мрт-19 (25)

да, что-то он молчит, а таки интересно , 1 (??), 16:30 , 22-Мрт-19 (26)

сегодня только буду их менять и вообще вскрывать за 12 лет первый раз что т, Gunsfeel (ok), 05:42 , 25-Мрт-19 (28)

это лишнее и вероятно даже вредное, включает режим NAT NVI при котором nat insid, ShyLion (ok), 07:16 , 26-Мрт-19 (32)
> ip nat enable
это лишнее и вероятно даже вредное, включает режим NAT NVI при котором nat inside/outside не нужен
т.е. у тебя одновременно включено два, взаимоисключающих режима NAT
NAT NVI нужен в особых случаях и не поддерживает некоторые ALG
```
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 123.456.789.10 255.255.255.252
 ip nat outside
interface GigabitEthernet0/1
 ip address 192.168.21.1 255.255.255.0
 ip nat inside
!
ip nat inside source list 108 pool NAT_COMSTAR overload
```
Конфиг привел обрезаный, так что назначение роутмапов непонятно
сообщить модератору +/– ответить

Кроме вентиляторов , NAT конфигурация неправильная , зачем и то и NAT NVI и клас, Serb (?), 20:16 , 24-Мрт-19 (27)

вообщем снял, разобрал его, включил, все вентиляторы вращаются, со скрипом конеч, Gunsfeel (ok), 11:42 , 25-Мрт-19 (29)
вообщем снял, разобрал его, включил, все вентиляторы вращаются, со скрипом конечно но скорость приличная, подключил к консоли ошибок не выдает, подергал кулера, в итоге разобрал их промыл помазал, поставил обратно, скрип и шум пропал, ошибок пока нет, часа через 2 будет заметно что не так.
сегодня тестирую
сообщить модератору +/– ответить

Ну расскажи по результатам - интересно же , Pofigist (?), 17:59 , 25-Мрт-19 (30)

> сегодня тестирую
Ну расскажи по результатам - интересно же.
сообщить модератору +/– ответить

зависания и ошибки на кулера пропали спасибо кто чего советовал я конечно еще б, Gunsfeel (ok), 23:13 , 25-Мрт-19 (31)
>> сегодня тестирую
> Ну расскажи по результатам - интересно же.
зависания и ошибки на кулера пропали. спасибо кто чего советовал.я конечно еще буду тестить.
также пропала ошибка соеденения по. телнету
сообщить модератору +/– ответить

Ожидаемый результат Но IOS поновей залей все же и конфиги поправь как советов, Pofigist (?), 13:24 , 26-Мрт-19 (33)
Ожидаемый результат... Но IOS поновей залей все же и конфиги поправь как советовали...
Кошка это очень мощная железка с одной стороны, с другой - она требует бережного отношения к ресурсам, вот такой парадокс...
сообщить модератору +/– ответить

так мне с конфигами предстоит долгий процесс ни одного влана нет, все в одной , Gunsfeel (ok), 15:43 , 26-Мрт-19 (34)
> Ожидаемый результат... Но IOS поновей залей все же и конфиги поправь как
> советовали...
> Кошка это очень мощная железка с одной стороны, с другой - она
> требует бережного отношения к ресурсам, вот такой парадокс...
так мне с конфигами предстоит долгий процесс.. ни одного влана нет, все в одной сети.
сообщить модератору +/– ответить
ох тыж мать их Mar 25 19 45 26 489 CRYPTO-4-RECVD_PKT_INV_SPI decaps rec d , Gunsfeel (ok), 09:39 , 27-Мрт-19 (35)
> Ожидаемый результат... Но IOS поновей залей все же и конфиги поправь как
> советовали...
> Кошка это очень мощная железка с одной стороны, с другой - она
> требует бережного отношения к ресурсам, вот такой парадокс...
ох тыж мать их
*Mar 25 19:45:26.489: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha s invalid spi for destaddr=xxx.xxx.xxx.xxx, prot=17, spi=0x30303030(808464432), s rcaddr=185.142.236.35
*Mar 25 13:39:00.159: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha s invalid spi for destaddr=xxx.xxx.xxx.xxx, prot=17, spi=0x30303030(808464432), s rcaddr=71.6.199.23
зачем так? кто то пытается проникнуть?
сообщить модератору +/– ответить

gt оверквотинг удален Mar 27 07 46 57 948 IP_VFR-4-FRAG_TABLE_OVERFLOW Gig, Gunsfeel (ok), 09:42 , 27-Мрт-19 (36)
>[оверквотинг удален]
> *Mar 25 13:39:00.159: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet ha
>
>
>
>  s invalid spi for destaddr=xxx.xxx.xxx.xxx, prot=17, spi=0x30303030(808464432), s
>
>
>
>   rcaddr=71.6.199.23
> зачем так? кто то пытается проникнуть?
*Mar 27 07:46:57.948: %IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/0: the fra                                      gment table has reached its maximum threshold 16
и вот еще
сообщить модератору +/– ответить
В интернете постоянно кто-то пытается поиметь твои хосты, тычась на все известны, ShyLion (ok), 07:10 , 28-Мрт-19 (37)
> зачем так? кто то пытается проникнуть?
В интернете постоянно кто-то пытается поиметь твои хосты, тычась на все известные дыры в ОС.
сообщить модератору +/– ответить

Именно Поэтому можно начать танцевать от этой статьи - https habr com ru post, Pofigist (?), 10:09 , 28-Мрт-19 (38)
>> зачем так? кто то пытается проникнуть?
> В интернете постоянно кто-то пытается поиметь твои хосты, тычась на все известные
> дыры в ОС.
Именно. Поэтому можно начать танцевать от этой статьи - https://habr.com/ru/post/436280/
И вот тогда ты действительно познакомишься с нехваткой памяти на кошке... :)
сообщить модератору +/– ответить

Cединить 2 PoE коммутатора,

toge, (Другое оборудование) 28-Фев-19, 16:25 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Вы бы модели свитчей озвучили , Andrey (??), 17:15 , 28-Фев-19 (1)
Можно, они сначала общаются друг с другом Прокинуть питание разумеется не пол, abi (?), 20:23 , 28-Фев-19 (2)
В зависимости от моделей, их можно обедненить в стек, Dok2d (?), 00:01 , 01-Мрт-19 (3)
> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.
В зависимости от моделей, их можно обедненить в стек
сообщить модератору +/– ответить
Всегда можно принудительно выключить питание на любом порту, если боитесь , Pofigist (?), 10:27 , 01-Мрт-19 (4)
> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.
Всегда можно принудительно выключить питание на любом порту, если боитесь.
сообщить модератору +/– ответить

Это если коммутаторы с мозгами , на безмозглых не факт , fantom (??), 13:23 , 01-Мрт-19 (7)
>> Добрый день.
>> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
>> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
>> один, то же с такой функцией, т.к. он будет соединять камеры.
>> Можно-ли соединить 2 устройства, у которых на портах будет еще и
>> питание, друг с другом? Мне главное, что бы ничего не сгорело
>> :)
>> Спасибо.
> Всегда можно принудительно выключить питание на любом порту, если боитесь.
Это если коммутаторы с "мозгами", на безмозглых не факт.
сообщить модератору +/– ответить

Ни разу не видел тупого коммутатора с PoE Хотя конечно в способности наших узко, Pofigist (?), 10:25 , 02-Мрт-19 (8)

>> Всегда можно принудительно выключить питание на любом порту, если боитесь.
> Это если коммутаторы с "мозгами", на безмозглых не факт.
Ни разу не видел тупого коммутатора с PoE. Хотя конечно в способности наших узкоглазых друзей - верю.
сообщить модератору +/– ответить

Не там смотрели их толпами О прошлом годе был в одной гостиннице, так там вид, fantom (??), 10:50 , 04-Мрт-19 (9)
>>> Всегда можно принудительно выключить питание на любом порту, если боитесь.
>> Это если коммутаторы с "мозгами", на безмозглых не факт.
> Ни разу не видел тупого коммутатора с PoE. Хотя конечно в способности
> наших узкоглазых друзей - верю.
Не там смотрели ;)
их толпами.
О прошлом годе был в одной гостиннице, так там видеонаблюдение с телефонией полностью на безмозглых PoE коммутаторах, и вся прочая сеть тоже "без мозгов".
Причем банальный RJ45 с закороченными прием-передача (1 в 3, 2 в 6) воткнутый вместо IP телефона в номере нафиг кладет наблюдение, телефонию, интернет ТВ и ресепшен :)
сообщить модератору +/– ответить

Ох йопта Вроде STP, который сейчас реализуют даже в тупых коммутаторах, долже, Pofigist (?), 10:55 , 04-Мрт-19 (10)
> Причем банальный RJ45 с закороченными прием-передача (1 в 3, 2 в 6) воткнутый вместо IP телефона в номере нафиг кладет наблюдение, телефонию, интернет ТВ и ресепшен :)
Ох йопта... Вроде STP, который сейчас реализуют даже в тупых коммутаторах, должен такие фокуса на раз отсекать, уводя порт в даун?
сообщить модератору +/– ответить

Возможности STP сильно переоцениваются, обычно Для борьбы с вышеописаным лучше , ShyLion (ok), 08:46 , 06-Мрт-19 (11)
>> Причем банальный RJ45 с закороченными прием-передача (1 в 3, 2 в 6) воткнутый вместо IP телефона в номере нафиг кладет наблюдение, телефонию, интернет ТВ и ресепшен :)
> Ох йопта... Вроде STP, который сейчас реализуют даже в тупых коммутаторах, должен
> такие фокуса на раз отсекать, уводя порт в даун?
Возможности STP сильно переоцениваются, обычно. Для борьбы с вышеописаным лучше использовать loop-detection, а на пользовательских портах STP отключать. Иначе любое втыкание/вытыкание пользовательского порта приводит к TCN и юникаст-флуду.
сообщить модератору +/– ответить

Разрешаю соединить Ничего не сгорит, но вот запитать один коммутатор от другого, Нургалиев (?), 11:54 , 01-Мрт-19 (5)
> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.
Разрешаю соединить. Ничего не сгорит, но вот запитать один коммутатор от другого вряд ли получится.
сообщить модератору +/– ответить

Спасибо У каждого свое автономное питание, PoE только для камер , toge (?), 12:05 , 01-Мрт-19 (6)
>> Добрый день.
>> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
>> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
>> один, то же с такой функцией, т.к. он будет соединять камеры.
>> Можно-ли соединить 2 устройства, у которых на портах будет еще и
>> питание, друг с другом? Мне главное, что бы ничего не сгорело
>> :)
>> Спасибо.
> Разрешаю соединить. Ничего не сгорит, но вот запитать один коммутатор от другого
> вряд ли получится.
Спасибо.
У каждого свое автономное питание, PoE только для камер.
сообщить модератору +/– ответить

В теории можно На практике, автоматизированно настраивая несколько сот коммутат, ABATAPA (ok), 19:05 , 11-Мрт-19 (12)
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
В теории можно. На практике, автоматизированно настраивая несколько сот коммутаторов от Eltex с подключением их к D-Link (не PoE), мы поимели 1.5 десятка "бух" и выгорание портов (там и там), т. к. чип, реализующий PoE, неправильно определял тип коммутатора (по сопротивлению линий и напряжениям на них). Все обменяли по гарантии.
Так что если они управляемые, я бы сперва принудительно отключил PoE на портах, или соединял бы их только транковыми портами.
Но с вероятностью 99% — всё будет хорошо. :)
сообщить модератору +/– ответить

Подключение внешних IP устройств к внутренней сети.,

gen.tranzit, (Маршрутизация) 20-Фев-19, 11:11 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

В интернете не может быть такого IP, Pofigist (?), 11:46 , 20-Фев-19 (1)

а так пойдет 37 x x x, gen.tranzit (ok), 12:00 , 20-Фев-19 (2)

маршрутизатору можно взять внешний 109 х х хвнутренний 192 168 0 121 , gen.tranzit (ok), 12:09 , 20-Фев-19 (3)
Вот уже лучше Фактически у тебя две сети, подключенные к интернету То есть зад, Pofigist (?), 13:17 , 20-Фев-19 (4)

А проще как-то можно Всего-то две удаленные IP-камеры интегрировать в общую сис, gen.tranzit (ok), 15:20 , 21-Фев-19 (5)
> Вот уже лучше. Фактически у тебя две сети, подключенные к интернету. То
> есть задача выглядит так:
> 1. Объединять эти две сети - поднять тунель, настроить роутинг между ними.
> Изучаем например тут - https://community.cisco.com/t5/networking-documents/how-to-c...
> но не обязательно GRE тунель, можно L2Tp или кучу других вариантов.
> Роутинг либо статический, либо rip/eigrp/ospf - по вкусу, но статику -
> не рекомендую.
> 2. Настраиваем трансляцию адресов.
> Все этом можно сделать на любом ISR от Cisco.
А проще как-то можно? Всего-то две удаленные IP-камеры интегрировать в общую систему!
сообщить модератору +/– ответить

Без извращений с NAT-ами, PAT-ами и VPN-ами нельзя Ну или перевести весь интерне, fantom (??), 15:37 , 21-Фев-19 (6)
>> Вот уже лучше. Фактически у тебя две сети, подключенные к интернету. То
>> есть задача выглядит так:
>> 1. Объединять эти две сети - поднять тунель, настроить роутинг между ними.
>> Изучаем например тут - https://community.cisco.com/t5/networking-documents/how-to-c...
>> но не обязательно GRE тунель, можно L2Tp или кучу других вариантов.
>> Роутинг либо статический, либо rip/eigrp/ospf - по вкусу, но статику -
>> не рекомендую.
>> 2. Настраиваем трансляцию адресов.
>> Все этом можно сделать на любом ISR от Cisco.
> А проще как-то можно? Всего-то две удаленные IP-камеры интегрировать в общую систему!
Без извращений с NAT-ами, PAT-ами и VPN-ами нельзя.
Ну или перевести весь интернет на ipv6, ВСЕМ устройствам валидные инетовские адреса и усё :)
сообщить модератору +/– ответить

gt оверквотинг удален NAT, PAT и даже NVI я согласный без VPN хотелось бы, gen.tranzit (ok), 16:13 , 21-Фев-19 (7)
>[оверквотинг удален]
>>> Изучаем например тут - https://community.cisco.com/t5/networking-documents/how-to-c...
>>> но не обязательно GRE тунель, можно L2Tp или кучу других вариантов.
>>> Роутинг либо статический, либо rip/eigrp/ospf - по вкусу, но статику -
>>> не рекомендую.
>>> 2. Настраиваем трансляцию адресов.
>>> Все этом можно сделать на любом ISR от Cisco.
>> А проще как-то можно? Всего-то две удаленные IP-камеры интегрировать в общую систему!
> Без извращений с NAT-ами, PAT-ами и VPN-ами нельзя.
> Ну или перевести весь интернет на ipv6, ВСЕМ устройствам валидные инетовские адреса
> и усё :)
NAT, PAT и даже NVI я согласный... без VPN хотелось бы
сообщить модератору +/– ответить

Поверь - грамотно настоить VPN проще чем NAT , Pofigist (?), 17:42 , 21-Фев-19 (9)

> NAT, PAT и даже NVI я согласный... без VPN хотелось бы
Поверь - грамотно настоить VPN проще чем NAT :)
сообщить модератору +/– ответить

Можно просто забить на настройку трансляции адресов - она вообщем-то не нужна по, Pofigist (?), 17:41 , 21-Фев-19 (8)
Можно просто забить на настройку трансляции адресов - она вообщем-то не нужна после объедения сетей :)
Можно даже не шифровать - просто настроить туннель и прописать статический роутинг.
Но это как-то... небезопасно имхо.
сообщить модератору +/– ответить

Про туннели и VPN понятно всё это требует доп оборудования В будущем може, gen.tranzit (ok), 11:49 , 22-Фев-19 (10)
> Можно просто забить на настройку трансляции адресов - она вообщем-то не нужна
> после объедения сетей :)
> Можно даже не шифровать - просто настроить туннель и прописать статический роутинг.
> Но это как-то... небезопасно имхо.
Про туннели и VPN понятно... всё это требует доп.оборудования. В будущем... может быть...
Задача СЕГОДНЯ подключить к сети 192.168.1.0/24 из IP-камер и сервера 192.168.1.1
ещё две камеры из Интернета с одним адресом 37.x.x.1, но с разными портами 5001 и 5002.
Удаленные камеры подключены к интернету через GSM шлюз 37.x.x.1
Просто подключение сервера к интернету не решает проблему, т.к. сервер видит устройства только из своей сети 192.168.1.0/24
Т.е необходимо чтобы сервер обращаясь к локальному адресу типа 192.168.1.101:5001 попадал на 32.х.х.1:5001.
Из оборудования есть CISCO 2811 1 шт
маршрутизатору можно взять адреса
внешний 109.х.х.1
внутренний 192.168.0.121
сообщить модератору +/– ответить

Хммм статью не прочитал А ведь что проще - поднять туннель между 37 x x 1 и , Pofigist (?), 12:09 , 22-Фев-19 (11)
Хммм... статью не прочитал. А ведь что проще - поднять туннель между 37.x.x.1 и 109.х.х.1
> Т.е необходимо чтобы сервер обращаясь к локальному адресу типа 192.168.1.101:5001 попадал на 32.х.х.1:5001.
- Как почесать правое ухо левой пяткой?
- Почеши левой рукой...
- Нет это слишком сложно!
сообщить модератору +/– ответить
Типовая задача настройки NAT, возможно с элементами настройки маршрутизации Како, PavelR (??), 08:09 , 23-Фев-19 (12)
> Т.е необходимо чтобы сервер обращаясь к локальному адресу типа 192.168.1.101:5001 попадал
> на 32.х.х.1:5001.
Типовая задача настройки NAT, возможно с элементами настройки маршрутизации.
Какой ещё ответ ожидается?
сообщить модератору +/– ответить
Либо дай серверу ещё один адрес - из сети 192 168 0 0 24Либо Cisco 2811 дай адре, ACCA (ok), 22:21 , 26-Фев-19 (13)
> Просто подключение сервера к интернету не решает проблему, т.к. сервер видит устройства
> только из своей сети 192.168.1.0/24
Либо дай серверу ещё один адрес - из сети 192.168.0.0/24
Либо Cisco 2811 дай адрес из сети 192.168.1.0/24
Потом сможешь объяснить серверу, как попасть в интернет (через Cisco).
Потом сможешь добратся до 37.x.x.1
сообщить модератору +/– ответить

Всем спасибо Решили копать тоннель , gen.tranzit (ok), 12:18 , 27-Фев-19 (14)
>> Просто подключение сервера к интернету не решает проблему, т.к. сервер видит устройства
>> только из своей сети 192.168.1.0/24
> Либо дай серверу ещё один адрес - из сети 192.168.0.0/24
> Либо Cisco 2811 дай адрес из сети 192.168.1.0/24
> Потом сможешь объяснить серверу, как попасть в интернет (через Cisco).
> Потом сможешь добратся до 37.x.x.1
Всем спасибо. Решили "копать тоннель"....
сообщить модератору +/– ответить

Cisco 890,

skytix, (Маршрутизация) 11-Фев-19, 09:28 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

http_sfree_ws , eek (ok), 10:06 , 11-Фев-19 (1)
> Не выручите? Нет возможности скачать:
> software.cisco.com/download/home/282540334/type/280805680/release/15.7.3M3?i=!pp
> c890-universalk9_npe-mz.157-3.M3.bin
> Заранее благодарю!!!
http_sfree_ws?
сообщить модератору +/– ответить

Нема там npe Может у кого есть доступ Help , skytix (ok), 12:03 , 11-Фев-19 (2)
>> Не выручите? Нет возможности скачать:
>> software.cisco.com/download/home/282540334/type/280805680/release/15.7.3M3?i=!pp
>> c890-universalk9_npe-mz.157-3.M3.bin
>> Заранее благодарю!!!
> http_sfree_ws?
Нема там npe (((
Может у кого есть доступ? Help!
сообщить модератору +/– ответить

https www dropbox com s 0dk55bvok2zfgrr c890-universalk9_npe-mz 157-3 M3 bin d, ShyLion (ok), 14:42 , 11-Фев-19 (3)
>>> Не выручите? Нет возможности скачать:
>>> software.cisco.com/download/home/282540334/type/280805680/release/15.7.3M3?i=!pp
>>> c890-universalk9_npe-mz.157-3.M3.bin
>>> Заранее благодарю!!!
>> http_sfree_ws?
> Нема там npe (((
> Может у кого есть доступ? Help!
https://www.dropbox.com/s/0dk55bvok2zfgrr/c890-universalk9_n...
сообщить модератору +/– ответить

Удаляю, ShyLion (ok), 07:15 , 19-Фев-19 (5)
>>>> Не выручите? Нет возможности скачать:
>>>> software.cisco.com/download/home/282540334/type/280805680/release/15.7.3M3?i=!pp
>>>> c890-universalk9_npe-mz.157-3.M3.bin
>>>> Заранее благодарю!!!
>>> http_sfree_ws?
>> Нема там npe (((
>> Может у кого есть доступ? Help!
> https://www.dropbox.com/s/0dk55bvok2zfgrr/c890-universalk9_n...
Удаляю
сообщить модератору +/– ответить

Нафига тебе npe c890-universalk9-mz 157-3 M3 bin все тоже самое, только с подде, Pofigist (?), 10:12 , 12-Фев-19 (4)
>>> Не выручите? Нет возможности скачать:
>>> software.cisco.com/download/home/282540334/type/280805680/release/15.7.3M3?i=!pp
>>> c890-universalk9_npe-mz.157-3.M3.bin
>>> Заранее благодарю!!!
>> http_sfree_ws?
> Нема там npe (((
> Может у кого есть доступ? Help!
Нафига тебе npe? c890-universalk9-mz.157-3.M3.bin все тоже самое, только с поддержкой шифрования. NPE - это специально кастрированная версия для РФ.
сообщить модератору +/– ответить

Надо объединить локальную сеть с виртуальным сервером у хостера,

Андрей, (VPN, VLAN, туннель) 04-Окт-18, 17:41 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

CCNA для начинающих Я бы пробросил Openvpn между проксом и внешней VPS Далее под, universite (ok), 19:30 , 04-Окт-18 (1)
> Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
> и что пробросить на линуксе в PROXMOX.
CCNA для начинающих.
Я бы пробросил Openvpn между проксом и внешней VPS.
Далее поднял туннель с 192.168.150.1? какой удасться завести, на эту внешнюю VPS.
Далее, эти два туннели соединил бы в мост. Там же выравнивал mtu, чтоб все пакетики пролетали бы.
Ну, средствами прокса пробросил бы или влан или туннель в 12.0.0.101.
P.S. используя чужое адресное пространство внутри сети вы нарываетесь на кучу недиагностируемых проблем. Используете специальные диапозоны, предназначенные для внутренних целей.
сообщить модератору +/– ответить
gt оверквотинг удален Для начала нужно получить доступ к астериску Для этого , Александр (??), 04:28 , 11-Окт-18 (2)
>[оверквотинг удален]
> Задача поднять VPN типа IPIP между микротиком(123.123.123.123)(на микротике просто создаи
> интерфейс IPIP) и астериском(12.0.0.101)
> приэтом IP адресса в тунеле будут микротик 10.60.60.2 астериск 10.60.60.1
> Proxmox натит все что надо в Астериск.
> Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
> и что пробросить на линуксе в PROXMOX.
> Ко сожалению Тип ВПН-на именно этот.
> и организованно именно так! ВПН между микротиками нельзя.
> Нарисовано все тут (ibb.co/ezB3Oe)
> https://ibb.co/ezB3Oe
Для начала нужно получить доступ к астериску. Для этого пробросить порт для випиэна в микротике 234.234.234.234 и если нужно в прохмоксе. А потом уже настроить випиэн. Либо на микротике 192.168.150.1 настороить vpn сеть и к ней подрубаться с астерикса.
сообщить модератору +/– ответить

gt оверквотинг удален Может это подойдет https ru wikipedia org wiki Virtua, fantom (??), 10:42 , 15-Фев-19 (4)
>[оверквотинг удален]
>> Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
>> и что пробросить на линуксе в PROXMOX.
>> Ко сожалению Тип ВПН-на именно этот.
>> и организованно именно так! ВПН между микротиками нельзя.
>> Нарисовано все тут (ibb.co/ezB3Oe)
>> https://ibb.co/ezB3Oe
> Для начала нужно получить доступ к астериску. Для этого пробросить порт для
> випиэна в микротике 234.234.234.234 и если нужно в прохмоксе. А потом
> уже настроить випиэн. Либо на микротике 192.168.150.1 настороить vpn сеть и
> к ней подрубаться с астерикса.
Может это подойдет??
https://ru.wikipedia.org/wiki/Virtual_Extensible_LAN
сообщить модератору +/– ответить

Проброс портов Микротик,

летнаб, (Другое оборудование) 28-Окт-17, 10:04 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

ip firewall nat add action netmap chain dstnat dst-port 80 in-interface beeline, eRIC (ok), 12:32 , 28-Окт-17 (1)

action netmap пробовал - результат тот же forward тоже добавлял Инпут, правда,, летнаб (ok), 13:00 , 28-Окт-17 (2)

результат по прежнему нулевой , летнаб (ok), 13:05 , 28-Окт-17 (3)
сам веб сервер 192 168 1 29 выходит через микротик и beeline интерфейс по идее n, eRIC (ok), 13:07 , 28-Окт-17 (4)

Microtik какой адрес от Beeline получает Случайно не из Shared Address Space , DN (ok), 16:45 , 28-Окт-17 (5)

Получает чистый белый статичный адрес 95 31 xx xx , летнаб (ok), 16:48 , 28-Окт-17 (6)

Да Инет работает Это рабочая станция одного из разработчиков Ему необходимо св, летнаб (ok), 16:49 , 28-Окт-17 (7)

как я и говорил, обратки нет а ты в сети на своей компе 192 168 1 29 сайт откры, eRIC (ok), 17:45 , 28-Окт-17 (8)

Открывается нормально Я ради теста пробросил на него RDP - и всё завелось без п, летнаб (ok), 17:52 , 28-Окт-17 (9)

вас совсем-совсем не смущает что для проброса rdp вы задействуете 3 правила а дл, ыы (?), 18:24 , 28-Окт-17 (11)
>>> Я пробовал 8080 перенаправлять на 192.168.1.29:80, но проскакивал только первый пакет,
>>> потом тишина. Обратного "рукопожатия" нет.
>> как я и говорил, обратки нет. а ты в сети на своей
>> компе 192.168.1.29 сайт открываешь нормально?
>> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
>> и DNAT с netmap, если отрабатывает, включай по одному правилу и
>> проверяй. RDP правила норм, должны так же работать а вот остальные
>> правила видно что у тебя дефолтные или копи-паст
> Открывается нормально. Я ради теста пробросил на него RDP - и всё
> завелось без проблем. Но вот 80 - ни в какую.
вас совсем-совсем не смущает что для проброса rdp вы задействуете 3 правила а для проброса 80 порта- упорно пытаетесь использовать одно?
сообщить модератору +/– ответить

gt оверквотинг удален Остальные два нужны для обращения изнутри сети к внешнем, летнаб (ok), 18:47 , 28-Окт-17 (12)
>[оверквотинг удален]
>>> как я и говорил, обратки нет. а ты в сети на своей
>>> компе 192.168.1.29 сайт открываешь нормально?
>>> выставим всем правилам Disable и оставь только в нате SNAT c Masquerade
>>> и DNAT с netmap, если отрабатывает, включай по одному правилу и
>>> проверяй. RDP правила норм, должны так же работать а вот остальные
>>> правила видно что у тебя дефолтные или копи-паст
>> Открывается нормально. Я ради теста пробросил на него RDP - и всё
>> завелось без проблем. Но вот 80 - ни в какую.
> вас совсем-совсем не смущает что для проброса rdp вы задействуете 3 правила
> а для проброса 80 порта- упорно пытаетесь использовать одно?
Остальные два нужны для обращения изнутри сети к внешнему адресу.
Впрочем их я тоже создавал, так как они тоже нужны для тех же целей. Но эффект нулевой - через них не идёт ни один байт трафика.
root@vadim:~# curl --connect-timeout 5 http://xxx.xxx.ru
curl: (28) Connection timed out after 5000 milliseconds
root@vadim:~#
А вот результат с "тремя" правилами. Эффекта, увы, нет:
[admin@MikroTik] > /ip firewall export
# oct/28/2017 18:45:19 by RouterOS 6.35
# software id = 356A-NAW9
#
/ip firewall filter
add action=fasttrack-connection chain=forward comment="default configuration" connection-state=established,related
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration" connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat out-interface=beeline src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=192.168.1.0/24
add action=netmap chain=dstnat comment=WWW dst-port=80 in-interface=beeline protocol=tcp to-addresses=192.168.1.29 to-ports=80
add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.29 to-ports=80
add action=src-nat chain=srcnat dst-address=192.168.1.29 dst-port=80 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp to-addresses=192.168.1.12 to-ports=3389
add action=netmap chain=dstnat dst-port=3389 in-interface=beeline protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.12 to-ports=3389
add action=src-nat chain=srcnat dst-address=192.168.1.12 dst-port=3389 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add chain=srcnat
Я уже начинаю подозревать что у разраба на компе есть какая-то хрень, которая саботирует трафик на порты 80/8080.
сообщить модератору +/– ответить

не, это проблема чисто на микротике Я поднял вебсервер на компе к которому проб, летнаб (ok), 19:57 , 28-Окт-17 (13)
> Я уже начинаю подозревать что у разраба на компе есть какая-то хрень,
> которая саботирует трафик на порты 80/8080.
не, это проблема чисто на микротике. Я поднял вебсервер на компе к которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к нему. тот же результат :(
сообщить модератору +/– ответить

Посмотрите запущенные на микротике сервисы IP Service List www, www-ssl , DN (ok), 13:01 , 29-Окт-17 (14)
> не, это проблема чисто на микротике. Я поднял вебсервер на компе к
> которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к
> нему. тот же результат :(
Посмотрите запущенные на микротике сервисы (IP Service List: www, www-ssl).
сообщить модератору +/– ответить

отключены на других портах висят 8888,8443 admin MikroTik ip service pri, летнаб (ok), 09:58 , 30-Окт-17 (15)
>> не, это проблема чисто на микротике. Я поднял вебсервер на компе к
>> которому проброшен RDP(192.168.1.12) и перенастроил правила на проброс 80 порта к
>> нему. тот же результат :(
> Посмотрите запущенные на микротике сервисы (IP Service List: www, www-ssl).
отключены + на других портах висят (8888,8443)
[admin@MikroTik] >  ip service print
Flags: X - disabled, I - invalid
#   NAME      PORT ADDRESS                                        CERTIFICATE
0   telnet      23
1   ftp         21
2 XI www       8888
3   ssh         22
4 XI www-ssl   8443                                                none
5   api       8728
6   winbox    8291
7   api-ssl   8729                                                none
сообщить модератору +/– ответить

не, не работает telnet c mikrotik нормально подключается, а вот проброс не рабо, летнаб (ok), 17:59 , 28-Окт-17 (10)

gt оверквотинг удален Полезные статьи, спасибо за вклад автора, jessicawhite999 (ok), 13:15 , 30-Окт-17 (16)
>[оверквотинг удален]
> <html>
> <head><title>400 Bad Request</title></head>
> <body bgcolor="white">
> <center><h1>400 Bad Request</h1></center>
> <hr><center>nginx/1.11.7</center>
> </body>
> </html>
> Connection closed by foreign host.
> Welcome back!
> [admin@MikroTik] >
Полезные статьи, спасибо за вклад автора
сообщить модератору +/– ответить

gt оверквотинг удален Если вы про Конт - рад, что были интересны Вам , летнаб (ok), 10:00 , 31-Окт-17 (17)
>[оверквотинг удален]
>> <head><title>400 Bad Request</title></head>
>> <body bgcolor="white">
>> <center><h1>400 Bad Request</h1></center>
>> <hr><center>nginx/1.11.7</center>
>> </body>
>> </html>
>> Connection closed by foreign host.
>> Welcome back!
>> [admin@MikroTik] >
> Полезные статьи, спасибо за вклад автора
Если вы про Конт - рад, что были интересны Вам.
сообщить модератору +/– ответить

получилось решить пробовали к примеру 9999 на 80 порт переправить внутри и пров, eRIC (ok), 22:12 , 04-Ноя-17 (18)
получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и проверить как идет соединение?
сообщить модератору +/– ответить

Увы 80-й порт ни в какую На другом порту всё работает отлично Так что, остано, летнаб (ok), 09:56 , 09-Ноя-17 (19)
> получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и
> проверить как идет соединение?
Увы. 80-й порт ни в какую. На другом порту всё работает отлично. Так что, остановились на этом решении, хотя оно и не самое оптимальное для нас, по ряду причин.
сообщить модератору +/– ответить

ip service disable wwwи будет Вам щастье, Toxa (??), 15:22 , 15-Янв-19 (20)
>> получилось решить? пробовали к примеру 9999 на 80 порт переправить внутри и
>> проверить как идет соединение?
> Увы. 80-й порт ни в какую. На другом порту всё работает отлично.
> Так что, остановились на этом решении, хотя оно и не самое
> оптимальное для нас, по ряду причин.
ip service disable www
и будет Вам щастье
сообщить модератору +/– ответить

Периодически перестаёт работать Wifi До перезагрузки точки дост,

StudentBot, (Разное) 11-Янв-19, 17:12 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

В питании, в помехах, в прошивке, в электронике, в людях, во всем вышеперечислен, Аноним (1), 20:24 , 11-Янв-19 (1)
> В чём может быть проблема?
В питании, в помехах, в прошивке, в электронике, в людях, во всем вышеперечисленном сразу и в различных комбинациях.
сообщить модератору +/– ответить
syslog сообщения собираете Логи с точек читаете Правильно понимаю, что перезагр, Andrey (??), 23:27 , 11-Янв-19 (2)
> Здравствуйте! Офис находится на территории завода, в определённый момент(совпало с появлением
> соседей) Начались проблемы с Wifi сетью.
> Соединение с Wifi сохраняется но трафик не идёт, причём эффект аналогичен как
> на зукселе(роутер который использовался как Wifi) так и на убикьюти(профильная точка
> доступа).
> И так до тех пор пока не выдернешь и не воткнёшь в
> розетку обратно.
> Такая ситуация может не проявиться за день или проявиться от одного до
> пяти раз.
> В чём может быть проблема?
syslog сообщения собираете? Логи с точек читаете?
Правильно понимаю, что перезагрузка через web/ssh/telnet не помогает, только хардкор, только передергивание по питанию?
сообщить модератору +/– ответить

Совершенно верно , StudentBot (?), 17:26 , 07-Фев-19 (3)
Совершенно верно!
сообщить модератору +/– ответить

Не понятно на какой конкретно вопрос вы ответили Попробуйте поставить на питание, Andrey (??), 16:36 , 08-Фев-19 (4)
> Совершенно верно!
Не понятно на какой конкретно вопрос вы ответили.
Попробуйте поставить на питание точек фильтры, стабилизиторы или on-line ИБП. Некоторое время понаблюдайте.
Если точки получают питание по PoE - поменяйте кабели на экранированные, проверьте заземление, экраны от витой пары - на зазаемление. Заземление должно соответствовать нормам.
сообщить модератору +/– ответить

Настройка RSTP в топологии кольцо ,

Yohan, (Cisco Catalyst коммутаторы) 05-Фев-19, 18:34 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

3850 это однозначно L32960 c 10GbE это видимо что-то в стиле 2960Х, то есть - то, Pofigist (?), 22:56 , 05-Фев-19 (1)
> Добрый вечер, уважаемые коллеги! Помогите советом!Нужно настроить кольцо как резервный
> канал связи, для этого есть одна циско 3850, 4шт. циско 2960td-l
> - они соеденены оптикой, канал 10Gb. Соответсвенно есть еще 24шт. циски
> 2960 они соеденены оптикой с 3850 тоже 10GB. Сейчас все работает
> на заводских настройках, периодически отваливаются каналы 10Gb. Подскажите пожалуйста
> как оптимизировать.
3850 это однозначно L3
2960 c 10GbE это видимо что-то в стиле 2960Х, то есть - тоже L3.
Внимание вопрос - ну нафига тебе городить адов гиморой с различными вариантами STP (L2), когда можно сделать все на OSPF или eigrp (L3)?
С L3 ты получаешь:
1. Надежность и предсказуемость.
2. Трафик ходит по оптимальному пути, а не через все кольцо.
3. Возможность наращивать кольца с балансировкой нагрузки по ним.
С L2 ты получаешь:
1. Менее стабильную и предсказуемую работу
2. Не оптимальный путь пакетов = меньшая производительность
3. Не возможность повышения производительности/отказоустойчивости путем наращивания числа колец.
4. Общий широковещательный домен.
И учти - STP во всех его вариантах протокол простой и его знает любой CCNA. Но его реализации и их взаимодействие друг с другом - имеют такую кучу нюансов, что не каждый CCIE разберется.
P.S. У тебя примерно такое?
>[оверквотинг удален]
> sw-01(config)#router ?
>   bgp       Border Gateway Protocol (BGP)
>   eigrp     Enhanced Interior Gateway Routing Protocol (EIGRP)
>   isis      ISO IS-IS
>   iso-igrp  IGRP for OSI networks
>   mobile    Mobile routes
>   odr       On Demand stub Routes
>   ospf      Open Shortest Path First (OSPF)
>   ospfv3    OSPFv3
>   rip       Routing Information Protocol (RIP)
сообщить модератору +/– ответить

Да блин У тебя примерно такое sw-01 sh verCisco IOS Software, C2960X Software, Pofigist (?), 22:58 , 05-Фев-19 (2)
Да блин... У тебя примерно такое?
sw-01#sh ver
Cisco IOS Software, C2960X Software (C2960X-UNIVERSALK9-M), Version 15.2(6)E1, RELEASE SOFTWARE (fc4)
...
cisco WS-C2960X-48FPD-L (APM86XXX) processor (revision A0) with 524288K bytes of memory.
Processor board ID FOC1736Z1AG
Last reset from power-on
9 Virtual Ethernet interfaces
1 FastEthernet interface
50 Gigabit Ethernet interfaces
4 Ten Gigabit Ethernet interfaces
...
Model number                    : WS-C2960X-48FPD-L
...
sw-01(config)#router ?
  bgp       Border Gateway Protocol (BGP)
  eigrp     Enhanced Interior Gateway Routing Protocol (EIGRP)
  isis      ISO IS-IS
  iso-igrp  IGRP for OSI networks
  mobile    Mobile routes
  odr       On Demand stub Routes
  ospf      Open Shortest Path First (OSPF)
  ospfv3    OSPFv3
  rip       Routing Information Protocol (RIP)
сообщить модератору +/– ответить

gt оверквотинг удален Спасибо за ответ Да, 4шт С2960X 24TD-L в кольце,а 20шт, Yohan (ok), 07:55 , 06-Фев-19 (3)
>[оверквотинг удален]
>   isis      ISO IS-IS
>   iso-igrp  IGRP for OSI networks
>   mobile    Mobile routes
>   odr       On Demand stub
> Routes
>   ospf      Open Shortest Path First
> (OSPF)
>   ospfv3    OSPFv3
>   rip       Routing Information Protocol
> (RIP)
Спасибо за ответ! Да, 4шт. С2960X 24TD-L в кольце,а 20шт. С2960X 24FPD-L и 4шт. С2960X 48FPD-L для конечных устройств. Маршрутизацию нужно настраивать только в кольце или на всех коммутаторах? Можете написать пример маршрутизации egpr для кольца. И какие прописать IP для всех коммутаторов, в одной подсети или в несколько сделать?
сообщить модератору +/– ответить

Ну можно только в кольце разумеется Ноя лично предпочитаю все устройства L3 д, Pofigist (?), 00:35 , 07-Фев-19 (5)
> Спасибо за ответ! Да, 4шт. С2960X 24TD-L в кольце,а 20шт. С2960X 24FPD-L
> и 4шт. С2960X 48FPD-L для конечных устройств. Маршрутизацию нужно настраивать только
> в кольце или на всех коммутаторах? Можете написать пример маршрутизации egpr
> для кольца. И какие прописать IP для всех коммутаторов, в одной
> подсети или в несколько сделать?
Ну можно только в кольце разумеется... Ноя лично предпочитаю все устройства L3 делать маршрутизаторами - задел на будущее так сказать.
С eigrp - вещь хорошая, настраивается просто, но... работает только с кошками по факту. Яб все-таки задумался об OSPF в вашем случае. Вообщем не обижайтесь, но кольцо на eigrp я не делал, а думать и писать - лень. Но по крайней мере примеры конфигов OSPF для кольцевой технологии - гуглятся на раз, вы быстрее нагуглите рабочий конфиг чем я его напишу :)
Ну и еще совет - для бесчеловечных экспериментов с кошками используйте https://www.gns3.com/ :) Заодно и узнаете что мозилла, оракл и фотошоп - не самые ресурсоемкие приложения :)
сообщить модератору +/– ответить

gt оверквотинг удален Спасибо за ответ , Yohan (ok), 07:23 , 07-Фев-19 (7)
>[оверквотинг удален]
> делать маршрутизаторами - задел на будущее так сказать.
> С eigrp - вещь хорошая, настраивается просто, но... работает только с кошками
> по факту. Яб все-таки задумался об OSPF в вашем случае. Вообщем
> не обижайтесь, но кольцо на eigrp я не делал, а думать
> и писать - лень. Но по крайней мере примеры конфигов OSPF
> для кольцевой технологии - гуглятся на раз, вы быстрее нагуглите рабочий
> конфиг чем я его напишу :)
> Ну и еще совет - для бесчеловечных экспериментов с кошками используйте https://www.gns3.com/
> :) Заодно и узнаете что мозилла, оракл и фотошоп - не
> самые ресурсоемкие приложения :)
Спасибо за ответ)
сообщить модератору +/– ответить
А подскажите еще пожалуйста как лучше сконфигурировать есть 3850, от нее оптик, Yohan (ok), 07:42 , 07-Фев-19 (8)
А подскажите еще пожалуйста. как лучше сконфигурировать: есть 3850, от нее оптика к коммутаторам с2960x, от них уже к контроллерам скуд. спасибо)

сообщить модератору +/– ответить

А что на выходе-то получить хотите , Pofigist (?), 13:28 , 07-Фев-19 (9)
> А подскажите еще пожалуйста. как лучше сконфигурировать: есть 3850, от нее оптика
> к коммутаторам с2960x, от них уже к контроллерам скуд. спасибо)
А что на выходе-то получить хотите? :)
сообщить модератору +/– ответить

STP в принципе не предназначен для резервирования каналов связи Основной задач, NAI (ok), 10:26 , 06-Фев-19 (4)
> Добрый вечер, уважаемые коллеги! Помогите советом!Нужно настроить кольцо как резервный
> канал связи, для этого есть одна циско 3850, 4шт. циско 2960td-l
> - они соеденены оптикой, канал 10Gb. Соответсвенно есть еще 24шт. циски
> 2960 они соеденены оптикой с 3850 тоже 10GB. Сейчас все работает
> на заводских настройках, периодически отваливаются каналы 10Gb. Подскажите пожалуйста
> как оптимизировать.
*STP в принципе не предназначен для резервирования каналов связи. Основной задачей STP является устранение петель в топологии произвольной сети Ethernet. Резервирование это так сказать нестандартное использование протокола + маркетинг.
Достаточно задать вопрос любому продавану - Как рассчитать время за которое дерево сойдется? Продаван радостно ответит - 10 с.
1. т.е. 10 с. сеть может лежать - так себе резервирование.
2. т.е. 10 с. как для 2х коммутаторов так и для 100500?
3. т.е. STP не зависит от загруженности канала?
на п.2 и 3. продаваны ломаются и оказывается, что никто не знает, как рассчитать время сходимости сети для n-коммутаторов при 90-100% загрузки каналов.
Так что *STP надо вешать на порты доступа (клиентские) чтобы защититься именно от петель (ну мало ли кто патч-корд в 2 розетки воткнет). А магистральные линии лучше организовывать на чем-нибудь другом (от промышленных MRP, *-Ring, PRP до всяких RIP, BGP и OSPF).
сообщить модератору +/– ответить

Не скажите - не только на клиентские Недавно тут прихожу к заказчику - они все , Pofigist (?), 00:38 , 07-Фев-19 (6)
> Так что *STP надо вешать на порты доступа (клиентские) чтобы защититься именно
> от петель (ну мало ли кто патч-корд в 2 розетки воткнет).
Не скажите - не только на клиентские. Недавно тут прихожу к заказчику - они все в мыле бегают, в сети шторм... Оказалось что один коммутатор агрегации подвис и организовал петлю... :) Ну порт разумеется в портфасте чтоб быстрее поднималось :)
сообщить модератору +/– ответить

cisco sg300 и intel i350 не поднимается гигабит,

Marina, (Cisco маршрутизаторы) 01-Фев-19, 18:51 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

На порте принудительно выставлено 100 мбит , NAI (ok), 12:52 , 04-Фев-19 (1)
> В чём может быть дело ?
На порте принудительно выставлено 100 мбит?
сообщить модератору +/– ответить

Гигабитовый ведущий или ведомый режимНекоторые устройства с несколькими портами , Marina (??), 22:12 , 04-Фев-19 (2)
>> В чём может быть дело ?
> На порте принудительно выставлено 100 мбит? Нет авто...
Гигабитовый ведущий или ведомый режим
Некоторые устройства с несколькими портами могут быть принудительно переведены в режим основного устройства. Если устройство сделано основным принудительно, оно может отключить или выполнить понижение скорости канала 100 Мбит/с. Эта проблема также может возникнуть у подчиненного устройства при его использовании с другим подчиненным устройством. Изменение этой настройки может привести к кратковременной потере подключения.
Если воткнуть кабель в комп или ноут то гигабит есть, если в циску, то нет (((
Может сама циска решает что сервер не основное устройство?
сообщить модератору +/– ответить

gt оверквотинг удален Еще, раз У цисок и всех прочих управляемых коммутатора, NAI (ok), 12:26 , 05-Фев-19 (3)
>[оверквотинг удален]
>> На порте принудительно выставлено 100 мбит? Нет авто...
> Гигабитовый ведущий или ведомый режим
> Некоторые устройства с несколькими портами могут быть принудительно переведены в режим
> основного устройства. Если устройство сделано основным принудительно, оно может отключить
> или выполнить понижение скорости канала 100 Мбит/с. Эта проблема также может
> возникнуть у подчиненного устройства при его использовании с другим подчиненным устройством.
> Изменение этой настройки может привести к кратковременной потере подключения.
> Если воткнуть кабель в комп или ноут то гигабит есть, если в
> циску, то нет (((
> Может сама циска решает что сервер не основное устройство?
Еще, раз. У цисок (и всех прочих управляемых коммутаторах), можно принудительно выставить скорость на порте хоть 10 мб\с. Без вот этой вот цитаты фиг пойми откуда. Ищите параметр: Auto Advertisement. На моем SF200 выделил желтым (он не гигабитный если что, но куда смотреть более менее понятно) см. скриншот - https://1drv.ms/u/s!AipLklc3JL-knXeSMuqhRgfIf19a
сообщить модератору +/– ответить

In the Preference Mode field, select a radio button to determine whether the por, Marina (??), 16:09 , 05-Фев-19 (4)
In the Preference Mode field, select a radio button to determine whether the port should act as the Master or Slave during auto-negotiation. This field is only available if auto-negotiation is enabled. Configuring the port as a master causes it to control and impose its settings on the remote port, and vice-versa. The Neighbor Advertisement displays the advertised capabilities of the remote port.
Помог пункт Preference Mode
Спасибо!
сообщить модератору +/– ответить

ASA5506 + anyconnect VPN,

cr1m2, (VPN, VLAN, туннель) 29-Янв-19, 09:34 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Для личного пользования должно хватать Покажите конфиг и sh webvpn anyconnect, Andrey (??), 10:07 , 29-Янв-19 (1)
> AnyConnect Premium Peers
> : 2
>     perpetual
> не достаточно лицензий?
Для личного пользования должно хватать.
Покажите конфиг и sh webvpn anyconnect
сообщить модератору +/– ответить

ВОт кусок конфигаip local pool anyconnect_pool 192 168 133 10-192 168 133 60 mas, cr1m2 (ok), 10:24 , 29-Янв-19 (2)
>> AnyConnect Premium Peers
>> : 2
>>     perpetual
>> не достаточно лицензий?
> Для личного пользования должно хватать.
> Покажите конфиг и sh webvpn anyconnect
ВОт кусок конфига
ip local pool anyconnect_pool 192.168.133.10-192.168.133.60 mask 255.255.255.0
interface GigabitEthernet1/8
nameif outside
security-level 90
ip address X.X.X.X 255.255.255.192

access-list outside_access_in extended permit icmp any4 any4 unreachable
access-list outside_access_in extended permit icmp any4 any4 time-exceeded
access-list outside_access_in extended permit icmp any4 any4 echo
access-list outside_access_in extended permit icmp any4 any4 echo-reply
access-list outside_access_in extended permit icmp any4 any4 traceroute
access-list outside_access_in extended permit tcp any4 any4 eq https
access-list SPLIT_Tunnel remark To the local network
access-list SPLIT_Tunnel standard permit 192.168.0.0 255.255.0.0
access-list AnyConnect_Client_Local_Print extended deny ip any4 any4
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq lpd
access-list AnyConnect_Client_Local_Print remark IPP: Internet Printing Protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 631
access-list AnyConnect_Client_Local_Print remark Windows' printing port
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 9100
access-list AnyConnect_Client_Local_Print remark mDNS: multicast DNS protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.251 eq 5353
access-list AnyConnect_Client_Local_Print remark LLMNR: Link Local Multicast Name Resolution protocol
access-list AnyConnect_Client_Local_Print extended permit udp any4 host 224.0.0.252 eq 5355
access-list AnyConnect_Client_Local_Print remark TCP/NetBIOS protocol
access-list AnyConnect_Client_Local_Print extended permit tcp any4 any4 eq 137
access-list AnyConnect_Client_Local_Print extended permit udp any4 any4 eq netbios-ns
nat (inside,outside) source dynamic internet_access_via_asa interface
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.133.0_26 NETWORK_OBJ_192.168.133.0_26 no-proxy-arp route-lookup
access-group outside_access_in in interface outside
Настройки ааа опущу, т.к. авторизация через ssh работает нормально, далее
http server enable 8443
crypto ipsec ikev2 ipsec-proposal AES256
protocol esp encryption aes-256
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
protocol esp encryption aes-192
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
protocol esp encryption aes
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal DES
protocol esp encryption des
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map infolada_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto ca trustpoint ASDM_TrustPoint0
enrollment self
subject-name CN=ASA5506
crl configure
crypto ca trustpool policy
crypto ca certificate chain ASDM_TrustPoint0
certificate 292c585b
    <...>
    20d92d3d 279f9610 05a84344 beb322ba 0a41
  quit
crypto ikev2 policy 1
encryption aes-256
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 10
encryption aes-192
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 20
encryption aes
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 policy 40
encryption des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outsiede client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0
ssl cipher default custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl cipher tlsv1 custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl cipher tlsv1.1 low
ssl cipher tlsv1.2 low
ssl cipher dtlsv1 custom "AES256-SHA:AES128-SHA:DES-CBC3-SHA"
ssl trust-point ASDM_TrustPoint0 outside
ssl certificate-authentication interface outside port 443
webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.1.05187-k9.pkg 1
anyconnect profiles Anyconnect_VPN_client_profile disk0:/Anyconnect_VPN_client_profile.xml
anyconnect enable
tunnel-group-list enable
cache
  disable
error-recovery disable
group-policy GroupPolicy_Anyconnect_VPN internal
group-policy GroupPolicy_Anyconnect_VPN attributes
wins-server none
dns-server value 192.168.1.2 192.168.1.3
vpn-tunnel-protocol ikev2 ssl-client
split-tunnel-policy tunnelspecified
split-tunnel-network-list value SPLIT_Tunnel
default-domain value corp.test.com
webvpn
  anyconnect keep-installer installed
  anyconnect dpd-interval client 20
  anyconnect profiles value Anyconnect_VPN_client_profile type user
  anyconnect ask none default anyconnect
dynamic-access-policy-record DfltAccessPolicy
tunnel-group Anyconnect_VPN type remote-access
tunnel-group Anyconnect_VPN general-attributes
address-pool anyconnect_pool
authentication-server-group actdir-srv1
default-group-policy GroupPolicy_Anyconnect_VPN
tunnel-group Anyconnect_VPN webvpn-attributes
group-alias Anyconnect_VPN enable
сообщить модератору +/– ответить

На всякий случай сделал еще иsysopt connection permit-vpnНо порт 443 на внешнем, cr1m2 (ok), 08:55 , 30-Янв-19 (3)
На всякий случай сделал еще и
sysopt connection permit-vpn
Но порт 443 на внешнем интерфейсе не поднимается.
сообщить модератору +/– ответить

И еще, добавил внутренний интерфейс в webvpnwebvpn enable insideИ по внутреннему, cr1m2 (ok), 12:48 , 30-Янв-19 (4)
> На всякий случай сделал еще и
> sysopt connection permit-vpn
> Но порт 443 на внешнем интерфейсе не поднимается.
И еще, добавил внутренний интерфейс в webvpn
webvpn
enable inside
И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл, в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но почему-то никак не коннектится.
сообщить модератору +/– ответить

Конфиг копи-пастили или вручную набивали сюда Может проблема в том, что crypto i, Andrey (??), 13:01 , 30-Янв-19 (5)
>> На всякий случай сделал еще и
>> sysopt connection permit-vpn
>> Но порт 443 на внешнем интерфейсе не поднимается.
> И еще, добавил внутренний интерфейс в webvpn
> webvpn
> enable inside
> И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл,
> в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но
> почему-то никак не коннектится.
Конфиг копи-пастили или вручную набивали сюда?
Может проблема в том, что crypto ikev2 enable outs<b>i</b>ede client-services port 443 ?
сообщить модератору +/– ответить

gt оверквотинг удален копипастил, изменил только псевдоним внешнего интерфейса, cr1m2 (ok), 13:50 , 30-Янв-19 (6)
>[оверквотинг удален]
>>> Но порт 443 на внешнем интерфейсе не поднимается.
>> И еще, добавил внутренний интерфейс в webvpn
>> webvpn
>> enable inside
>> И по внутреннему интерфейсу подключился через anyconnect. На внешнем листами все открыл,
>> в webvpn интерфейс присутствует (все как в конфиге, приведенном выше), но
>> почему-то никак не коннектится.
> Конфиг копи-пастили или вручную набивали сюда?
> Может проблема в том, что crypto ikev2 enable outs<b>i</b>ede client-services port 443
> ?
копипастил, изменил только псевдоним внешнего интерфейса вручную для простоты понимания на outside, поэтому ошибся. Я честно говоря уже оставил только ssl.
сообщить модератору +/– ответить

ВОобще конечно странно, добавилhttp server enable 8443http 0 0 0 0 0 0 0 0 outsi, cr1m2 (ok), 15:25 , 30-Янв-19 (7)
ВОобще конечно странно, добавил
http server enable 8443
http 0.0.0.0 0.0.0.0 outside
и В правило на внеший интерфейс

access-list outside_access_in extended permit udp any4 any4 eq 8443
где
access-group outside_access_in in interface outside
Изнутри пускает на asdm, с внешки также нет. Но никак не пойму чем в конфиге режется.
Ну security-level 90 на внешнем интерфейсе, на внутренних 100, но думаю это роли не играет.
Так и vpn ssl похоже аналогично режет.

сообщить модератору +/– ответить

Все оказалось до банальности просто дефолтный маршрут был через другой интерфей, cr1m2 (ok), 09:17 , 31-Янв-19 (8)
Все оказалось до банальности просто: дефолтный маршрут был через другой интерфейс (на котором роутер). Надо видимо сделать route-map что трафик с 443 отправлять через outside.

сообщить модератору +/– ответить

Есть ли на ASA что-то вроде ip local policy как на роутерах как бы задать это в, cr1m2 (ok), 10:53 , 31-Янв-19 (9)
> Все оказалось до банальности просто: дефолтный маршрут был через другой интерфейс (на
> котором роутер). Надо видимо сделать route-map что трафик с 443 отправлять
> через outside.
Есть ли на ASA что-то вроде ip local policy как на роутерах? как бы задать это в дефолтной политике?
сообщить модератору +/– ответить

Стекирование коммутаторов HP FlexNetwork 5130,

Mayers, (Разное) 14-Дек-18, 09:27 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Я делал так с DAC кабелями https networkguy de p 1124, StreSS.t (ok), 11:30 , 14-Дек-18 (1)
Я делал так с DAC кабелями https://networkguy.de/?p=1124
сообщить модератору +/– ответить

А как правильно должны быть настроены коммутаторы Первый коммутатор irf member 1, Mayers (ok), 11:25 , 18-Дек-18 (2)
> Я делал так с DAC кабелями https://networkguy.de/?p=1124
А как правильно должны быть настроены коммутаторы?
Первый коммутатор:
irf member 1 renumber 1
Второй коммутатор:
irf member 2 renumber 2
Или как-то по другому?
Никак не получается организовать стек.
сообщить модератору +/– ответить

Если мне память не изменяет то они оба будут id 1 Нужно перенумеровать только о, StreSS.t (ok), 11:32 , 18-Дек-18 (3)
Если мне память не изменяет. то они оба будут id 1.
Нужно перенумеровать только один из них.
сообщить модератору +/– ответить

Первый коммутатор irf member 1 renumber 1Второй коммутатор irf member 2 renumber, Mayers (ok), 11:48 , 18-Дек-18 (4)
> Если мне память не изменяет. то они оба будут id 1.
> Нужно перенумеровать только один из них.
Первый коммутатор:
irf member 1 renumber 1
Второй коммутатор:
irf member 2 renumber 1
Так?
сообщить модератору +/– ответить

перенумирацию нудно сделать только на втором узле, StreSS.t (ok), 11:49 , 18-Дек-18 (5)
перенумирацию нудно сделать только на втором узле
сообщить модератору +/– ответить

Второй коммутатор irf member 2 renumber 1, Mayers (ok), 12:16 , 18-Дек-18 (6)
> перенумирацию нудно сделать только на втором узле
Второй коммутатор:
irf member 2 renumber 1
сообщить модератору +/– ответить

илиВторой коммутатор irf member 1 renumber 2, Mayers (ok), 12:17 , 18-Дек-18 (7)
>> перенумирацию нудно сделать только на втором узле
> Второй коммутатор:
> irf member 2 renumber 1
или
Второй коммутатор:
irf member 1 renumber 2
сообщить модератору +/– ответить

Это вроде должно быть , StreSS.t (ok), 12:19 , 18-Дек-18 (8)
Это вроде должно быть.
сообщить модератору +/– ответить

при командеirf member 1 renumber 2вываливается ошибкаThe device is not in the cu, Mayers (ok), 12:23 , 18-Дек-18 (9)
> Это вроде должно быть.
при команде
irf member 1 renumber 2
вываливается ошибка
The device is not in the current IRF.
сообщить модератору +/– ответить

https community hpe com t5 Web-and-Unmanaged Stacking-IRF-three-1950-switches , StreSS.t (ok), 12:27 , 18-Дек-18 (10)
https://community.hpe.com/t5/Web-and-Unmanaged/Stacking-IRF-... - второй пост.
сообщить модератору +/– ответить

Скорость и мощность wifi,

Кирсук, (Другое оборудование) 03-Ноя-18, 01:15 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

- Ну-с, на что жалуемся - Вах Зачэм жаловаться Хвастаюс , Аноним (1), 11:31 , 03-Ноя-18 (1)
- Ну-с, на что жалуемся?
- Вах! Зачэм жаловаться? Хвастаюс!
сообщить модератору +/– ответить
Оптику уже надо сразу тянуть Вдруг еще хороший звук захочется послушать , universite (ok), 14:13 , 03-Ноя-18 (2)
> Переехал в новую квартиру. 4 комнаты. Конфигурация Г образная. Решил сразу делать
> сеть по плинтусам.
> Протянул везде кабель 6е сат. Чтобы через некоторое время 10гбит можно было
> (а вдруг).
Оптику уже надо сразу тянуть.
Вдруг еще хороший звук захочется послушать?
сообщить модератору +/– ответить

я глухой на всю голову нелюблю музыку , Кирсук (?), 01:47 , 04-Ноя-18 (5)
>> Переехал в новую квартиру. 4 комнаты. Конфигурация Г образная. Решил сразу делать
>> сеть по плинтусам.
>> Протянул везде кабель 6е сат. Чтобы через некоторое время 10гбит можно было
>> (а вдруг).
> Оптику уже надо сразу тянуть.
> Вдруг еще хороший звук захочется послушать?
я глухой на всю голову. нелюблю музыку.
сообщить модератору +/– ответить

gt оверквотинг удален 4 комнаты точки без 5ГГЦ wifi без роуминга напом, Andrey (??), 22:18 , 03-Ноя-18 (3)
>[оверквотинг удален]
> что и на 100 процентах. Дом панельнобетонный. И скорость выдает одинаковую
> по iperf порядка 230 мбит (ноутбук + каббелем стационарный компьютер.
> Рабиус действия горадзо меньше чем у 2.4 (что естественно).
>  Есть возможность взять еще 2 такие точки. Но они не поддерживают
> wifi  roaming. Тк. все это железо работает врежиме бриджа, а
> роутер один, может имеет смысл их поставить и настроить один ssid
> и не париться? При переходе из комнаты в комнату будет переключаться
> на более мощную. И не покупать дорогие микротики или ubquity c
> роумингом?
> Или это не по феншую и неправильно?
4 комнаты... точки без 5ГГЦ... wifi без роуминга...
напоминает шутку про бэнтли в минимальной комплектации.
А на Ubiquity роуминг уже нормальный? Пару лет назад на форумах жаловались что там роуминг считается условным понятием.
сообщить модератору +/– ответить

Это не москва и не подмосковье 4-х комнатная 80 квадратов в панельке стоит 180, Кирсук (?), 01:46 , 04-Ноя-18 (4)
> 4 комнаты... точки без 5ГГЦ... wifi без роуминга...
> напоминает шутку про бэнтли в минимальной комплектации.
Это не москва и не подмосковье. 4-х комнатная 80 квадратов в панельке стоит 1800. А работа быдлокодером позволяет удаленно зарабатывать около 100-120 тыс в месяц на php и go. Что позволяет купить такую квартиру мне как студенту в ипотекку с первоначальным взносом в 50 процентов, учитывая
инфляцию платить остальные 900 с ещемесячным платежом в 20000. Хорошо работать в москве а жить не в москве. а еще самья и маленький вот. и дача (тут это модно) так что денег в обрез.
> А на Ubiquity роуминг уже нормальный? Пару лет назад на форумах жаловались
> что там роуминг считается условным понятием.
На микротиках работал. на стенде как минимум проверял - какбы работало. на openwrt тоже работало, но тплинки самые простые, памяти нехватает для роуминга.
сообщить модератору +/– ответить
gt оверквотинг удален А еще родители помогают До покупки жили уних А родите, Кирсук (?), 01:49 , 04-Ноя-18 (6)
>[оверквотинг удален]
>> wifi roaming. Тк. все это железо работает врежиме бриджа, а
>> роутер один, может имеет смысл их поставить и настроить один ssid
>> и не париться? При переходе из комнаты в комнату будет переключаться
>> на более мощную. И не покупать дорогие микротики или ubquity c
>> роумингом?
>> Или это не по феншую и неправильно?
> 4 комнаты... точки без 5ГГЦ... wifi без роуминга...
> напоминает шутку про бэнтли в минимальной комплектации.
> А на Ubiquity роуминг уже нормальный? Пару лет назад на форумах жаловались
> что там роуминг считается условным понятием.
А еще родители помогают. До покупки жили уних. А родители - значит еще и покормят. ТАк что, не бентли, а старенкий crown victoria
сообщить модератору +/– ответить
50 человек работают каждый жень, 7 точек UniFy-AP-PRO, жалоб не поступалоИногда,, vg (??), 20:39 , 04-Ноя-18 (7)
> А на Ubiquity роуминг уже нормальный? Пару лет назад на форумах жаловались
> что там роуминг считается условным понятием.
50 человек работают каждый жень, 7 точек UniFy-AP-PRO, жалоб не поступало
Иногда, раз в 2-3 месяца, глючат по одному, перегрузка помогает. Клиенты сразу переходят на другую точку, работают дальше без вопросов.

сообщить модератору +/– ответить

Новые версии unifi controller и AP PRO поддерживают fast roaming, но не все wifi, cr1m2 (ok), 15:43 , 08-Ноя-18 (8)
>> А на Ubiquity роуминг уже нормальный? Пару лет назад на форумах жаловались
>> что там роуминг считается условным понятием.
> 50 человек работают каждый жень, 7 точек UniFy-AP-PRO, жалоб не поступало
> Иногда, раз в 2-3 месяца, глючат по одному, перегрузка помогает. Клиенты сразу
> переходят на другую точку, работают дальше без вопросов.
Новые версии unifi controller и AP PRO поддерживают fast roaming, но не все wifi адаптеры поддерживают 802.11r.
сообщить модератору +/– ответить

gt оверквотинг удален Ну Hap Lite - 1500Р, XMen (?), 13:36 , 10-Дек-18 (9)
>[оверквотинг удален]
> что и на 100 процентах. Дом панельнобетонный. И скорость выдает одинаковую
> по iperf порядка 230 мбит (ноутбук + каббелем стационарный компьютер.
> Рабиус действия горадзо меньше чем у 2.4 (что естественно).
>  Есть возможность взять еще 2 такие точки. Но они не поддерживают
> wifi  roaming. Тк. все это железо работает врежиме бриджа, а
> роутер один, может имеет смысл их поставить и настроить один ssid
> и не париться? При переходе из комнаты в комнату будет переключаться
> на более мощную. И не покупать дорогие микротики или ubquity c
> роумингом?
> Или это не по феншую и неправильно?
Ну Hap Lite - 1500Р
сообщить модератору +/– ответить

Настройка сертификата SSC cisco AP1242ag,

Xastur, (Диагностика и решение проблем) 19-Янв-17, 16:32 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Разве она не должна все получить с контроллера Скинь ее к заводским настройкам , ShyLion (??), 17:23 , 19-Янв-17 (1)

Должна Но говорю ж, сертификат родной просрочен, я настроил на AP SSC, теперь н, Andrey (??), 20:16 , 19-Янв-17 (2)

Чесс говоря не сталкивался А нельзя временно отключить проверку сертификата на , ShyLion (ok), 07:06 , 20-Янв-17 (3)

Можно, но такое решение не подходит, т к не на всех контроллерах такое можно сд, Xastur (ok), 19:16 , 20-Янв-17 (5)
>>>> Здравствуйте, есть AP 1242ag, она в режиме LWAPP
>>> Разве она не должна все получить с контроллера? Скинь ее к заводским
>>> настройкам.
>> Должна. Но говорю ж, сертификат родной просрочен, я настроил на AP SSC,
>> теперь нужно сохранить его, как это сделать не знаю. В этом
>> и вопрос "как на AP сохранить конфигурацию, когда она в режиме
>> LWAPP?". Ответ никак не принимается.
> Чесс говоря не сталкивался. А нельзя временно отключить проверку сертификата на контроллере?
Можно, но такое решение не подходит, т.к. не на всех контроллерах такое можно сделать.

сообщить модератору +/– ответить

что у вас за контроллер и версия софта на нем , crash (ok), 18:17 , 20-Янв-17 (4)

Считайте, что необходимо для разных делать, а не привязываться к конкретному кон, Xastur (ok), 19:19 , 20-Янв-17 (6)
>>>> Здравствуйте, есть AP 1242ag, она в режиме LWAPP
>>> Разве она не должна все получить с контроллера? Скинь ее к заводским
>>> настройкам.
>> Должна. Но говорю ж, сертификат родной просрочен, я настроил на AP SSC,
>> теперь нужно сохранить его, как это сделать не знаю. В этом
>> и вопрос "как на AP сохранить конфигурацию, когда она в режиме
>> LWAPP?". Ответ никак не принимается.
> что у вас за контроллер и версия софта на нем?
Считайте, что необходимо для разных делать, а не привязываться к конкретному контроллеру. Да, есть контроллеры, где можно отключить проверку времени сертификата, а есть на которых нет, решается задача где нет такой возможности.
сообщить модератору +/– ответить

gt оверквотинг удален так все-таки, модель какая Например, для какого сейчас , crash (ok), 19:33 , 20-Янв-17 (7)
>[оверквотинг удален]
>>>> Разве она не должна все получить с контроллера? Скинь ее к заводским
>>>> настройкам.
>>> Должна. Но говорю ж, сертификат родной просрочен, я настроил на AP SSC,
>>> теперь нужно сохранить его, как это сделать не знаю. В этом
>>> и вопрос "как на AP сохранить конфигурацию, когда она в режиме
>>> LWAPP?". Ответ никак не принимается.
>> что у вас за контроллер и версия софта на нем?
> Считайте, что необходимо для разных делать, а не привязываться к конкретному контроллеру.
> Да, есть контроллеры, где можно отключить проверку времени сертификата, а есть
> на которых нет, решается задача где нет такой возможности.
так все-таки, модель какая? Например, для какого сейчас решаем проблему?
сообщить модератору +/– ответить

gt оверквотинг удален Сейчас решаем проблему с AP 1242ag Работаю на WLC, кото, Xastur (ok), 20:13 , 20-Янв-17 (8)
>[оверквотинг удален]
>>>>> настройкам.
>>>> Должна. Но говорю ж, сертификат родной просрочен, я настроил на AP SSC,
>>>> теперь нужно сохранить его, как это сделать не знаю. В этом
>>>> и вопрос "как на AP сохранить конфигурацию, когда она в режиме
>>>> LWAPP?". Ответ никак не принимается.
>>> что у вас за контроллер и версия софта на нем?
>> Считайте, что необходимо для разных делать, а не привязываться к конкретному контроллеру.
>> Да, есть контроллеры, где можно отключить проверку времени сертификата, а есть
>> на которых нет, решается задача где нет такой возможности.
> так все-таки, модель какая? Например, для какого сейчас решаем проблему?
Сейчас решаем проблему с AP 1242ag. Работаю на WLC, которой можно убрать проверку времени (2100).
сообщить модератору +/– ответить

Ну так и отключите проверку И будет у вас работать как есть, вряд ли получится , crash (ok), 20:15 , 20-Янв-17 (9)
> Сейчас решаем проблему с AP 1242ag. Работаю на WLC, которой можно убрать
> проверку времени (2100).
Ну так и отключите проверку. И будет у вас работать как есть, вряд ли получится что-то другое, кроме отключения
сообщить модератору +/– ответить

, я знаю этот прием, спрашиваю за совсем другое Мне нужно поднять SSC на AP и, Xastur (ok), 20:18 , 20-Янв-17 (10)
>> Сейчас решаем проблему с AP 1242ag. Работаю на WLC, которой можно убрать
>> проверку времени (2100).
> Ну так и отключите проверку. И будет у вас работать как есть,
> вряд ли получится что-то другое, кроме отключения
:(, я знаю этот прием, спрашиваю за совсем другое. Мне нужно поднять SSC на AP и попытаться его сохранить.
сообщить модератору +/– ответить

тогда пытайтесь Cisco рекомендует отключать Думаю был бы другой вариант, они б, crash (ok), 20:19 , 20-Янв-17 (11)
>>> Сейчас решаем проблему с AP 1242ag. Работаю на WLC, которой можно убрать
>>> проверку времени (2100).
>> Ну так и отключите проверку. И будет у вас работать как есть,
>> вряд ли получится что-то другое, кроме отключения
> :(, я знаю этот прием, спрашиваю за совсем другое. Мне нужно поднять
> SSC на AP и попытаться его сохранить.
тогда пытайтесь. Cisco рекомендует отключать. Думаю был бы другой вариант, они бы его предложили.
сообщить модератору +/– ответить
Получилось У меня таже проблема Никак не могу получить ключ сертификата SSC По, McKolinz (ok), 19:28 , 04-Сен-18 (12)
>>> Сейчас решаем проблему с AP 1242ag. Работаю на WLC, которой можно убрать
>>> проверку времени (2100).
>> Ну так и отключите проверку. И будет у вас работать как есть,
>> вряд ли получится что-то другое, кроме отключения
> :(, я знаю этот прием, спрашиваю за совсем другое. Мне нужно поднять
> SSC на AP и попытаться его сохранить.
Получилось? У меня таже проблема. Никак не могу получить ключ сертификата SSC.
Поделитесь, пожалуйста, опытом.
сообщить модератору +/– ответить

Нет, не получилось Один раз поднялось, но когда решил записать как делал, больш, Xastur1 (?), 22:15 , 04-Сен-18 (13)
>>>> Сейчас решаем проблему с AP 1242ag. Работаю на WLC, которой можно убрать
>>>> проверку времени (2100).
>>> Ну так и отключите проверку. И будет у вас работать как есть,
>>> вряд ли получится что-то другое, кроме отключения
>> :(, я знаю этот прием, спрашиваю за совсем другое. Мне нужно поднять
>> SSC на AP и попытаться его сохранить.
> Получилось? У меня таже проблема. Никак не могу получить ключ сертификата SSC.
> Поделитесь, пожалуйста, опытом.
Нет, не получилось. Один раз поднялось, но когда решил записать как делал, больше не получалось:(.

сообщить модератору +/– ответить

1 На WLC отключаем проверку валидности сертификата For 7 0 252 0 WLC config a, Qwert (?), 18:45 , 23-Ноя-18 (14)
>>>>> Сейчас решаем проблему с AP 1242ag. Работаю на WLC, которой можно убрать
>>>>> проверку времени (2100).
>>>> Ну так и отключите проверку. И будет у вас работать как есть,
>>>> вряд ли получится что-то другое, кроме отключения
>>> :(, я знаю этот прием, спрашиваю за совсем другое. Мне нужно поднять
>>> SSC на AP и попытаться его сохранить.
>> Получилось? У меня таже проблема. Никак не могу получить ключ сертификата SSC.
>> Поделитесь, пожалуйста, опытом.
> Нет, не получилось. Один раз поднялось, но когда решил записать как делал,
> больше не получалось:(.
1. На WLC отключаем проверку валидности сертификата:
For 7.0.252.0:
(WLC)>config ap lifetime-check {mic|ssc} enable
For 7.4.140.0 and later:
(WLC)>config ap cert-expiry-ignore {mic|ssc} enable
2. Если не помогло, то на WLC откатываем системное время на несколько лет назад.
И еще - желательно старым точкас с контроллера сделать Clear All Config
сообщить модератору +/– ответить

доступ к сайту rabota.ua,

astaldo131, (Диагностика и решение проблем) 23-Июл-18, 11:24 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

Смотрите исходники страниц проблемного сайта либо логи прокси про обращении к не, Аноним (1), 12:23 , 23-Июл-18 (1)
> Вывод-циска что-то блокирует, возможно порт или хз что, не могу разобраться.
> Помогите плз
Смотрите исходники страниц проблемного сайта либо логи прокси про обращении к нему. 146% что содержимое сайта загружается с разных источников, отслеживайте и открывайте до достижения результата.
В современном уэб-пространстве редко когда удается обойтись открытием 1 адреса на 1 сайт...
сообщить модератору +/– ответить
одним ACL не открыть потому что rabota ua расположена в облачных ресурсах где ис, eRIC (ok), 13:18 , 23-Июл-18 (2) +2
> Сайт work.ua без проблем
> работает через прокси, а вот rabota.ua какая то ахинея-без картинок. Пробовал
> и мимо прокси ганять, в ацл прописывал
> permit ip host xxx.xxx.xxx.xxx host 62.149.24.180 -тоже самое
> а когда пишу permit ip host xxx.xxx.xxx.xxx any то все норм отображатся.
> Вывод-циска что-то блокирует, возможно порт или хз что, не могу разобраться.
> Помогите плз
одним ACL не открыть потому что rabota.ua расположена в облачных ресурсах где используются дополнительные адреса и CDN ресурсы: images.cf-rabota.com.ua, logo-frankfurt.cf-rabota.com.ua, d3r3v3xnalu9ia.cloudfront.net и т.д.
вот и получается у вас что сам основной rabota.ua открывается, а что подтягивается с различных других ресурсов нет (потому что режутся по ACL в Cisco). пустите через SQUID и в нем возможно попробовать открыть ресурсу на *.rabota.ua
сообщить модератору +2 +/– ответить

спс есть какое-то решение, или нужно тупо посмотреть все ресурсы в коде сайта , astaldo131 (ok), 13:23 , 23-Июл-18 (3)

> вот и получается у вас что сам основной rabota.ua открывается, а что
> подтягивается с различных других ресурсов нет (потому что режутся по ACL)
спс)) есть какое-то решение, или нужно тупо посмотреть все ресурсы в коде сайта и добавить их все в исключения?
сообщить модератору +/– ответить

Победил проблему следующим образом-добавил в исключения прокси эти ресурсы rabot, astaldo131 (ok), 14:36 , 23-Июл-18 (4)

> Вывод-циска что-то блокирует, возможно порт или хз что, не могу разобраться.
> Помогите плз
Победил проблему следующим образом-добавил в исключения прокси эти ресурсы
.rabota.ua .rabota.kharkov.ua .gde-default.hit.gemius.pl .d3r3v3xnalu9ia.cloudfront.net .images.cf-rabota.com.ua .ssl.googleanalytics.com .css.rabota.com.ua .googletagservices.com .stats.g.doubleclick.net .logo-frankfurt.cf-rabota.com.ua
Может еще кому то придется заниматься такой ерундой:)
сообщить модератору +/– ответить

Спасибо тебе, добрый человек Ситуация один в один Добавил перечень адресов в и, Casper5011 (?), 16:34 , 12-Ноя-18 (5)

> Может еще кому то придется заниматься такой ерундой:)
Спасибо тебе, добрый человек! Ситуация один в один.
Добавил перечень адресов в исключения squid - и всё заработало.

сообщить модератору +/– ответить

пжлст , astaldo131 (ok), 17:14 , 12-Ноя-18 (6)
пжлст)

сообщить модератору +/– ответить

cisco 29XX не срабатывает idle timeout для ssh,

cr1m2, (Безопасность) 26-Окт-18, 13:25 [⋘ | ☳ | ⋙ | ⚟ ] [линейный вид] [смотреть все] [раскрыть новое]

exec-timeout min sec У вас таймаут 360 минут, а пользователь в idle меньше 11, Andrey (??), 13:33 , 26-Окт-18 (1)
>  exec-timeout 360 0
>  388 vty 0     user1   idle  00:10:58 192.168.85.55
> *389 vty 1     user2   idle  00:00:00 192.168.85.55
exec-timeout <min> <sec>
У вас таймаут 360 минут, а пользователь в idle меньше 11 минут.
сообщить модератору +/– ответить

Да вот были пользователи, которые в idle по 2 недели висели, просто сбросил их у, cr1m2 (ok), 14:33 , 26-Окт-18 (2)
>>  exec-timeout 360 0
>>  388 vty 0     user1   idle  00:10:58 192.168.85.55
>> *389 vty 1     user2   idle  00:00:00 192.168.85.55
> exec-timeout <min> <sec>
> У вас таймаут 360 минут, а пользователь в idle меньше 11 минут.
Да вот были пользователи, которые в idle по 2 недели висели, просто сбросил их уже.
А так я понимаю, что
exec-timeout это ограничение на сессию в любом случае, а session-timeout  - это ограничение на сессию в idle.
Но по факту если я видел свои сессии висящие по несколько дней в idle, не  отрабатывали оба таймаута.
Версия IOS не самая старая  - 15.7(3)M1
Сейчас поставил exec-timeout 10, сбросило активную сессию через 10 минут. Мне же важно, чтобы неактивные скидывались.
сообщить модератору +/– ответить

gt оверквотинг удален Протестировал, вроде бы сбрасываются сессии с session-ti, cr1m2 (ok), 14:55 , 26-Окт-18 (3)
>[оверквотинг удален]
> Да вот были пользователи, которые в idle по 2 недели висели, просто
> сбросил их уже.
> А так я понимаю, что
> exec-timeout это ограничение на сессию в любом случае, а session-timeout  -
> это ограничение на сессию в idle.
> Но по факту если я видел свои сессии висящие по несколько дней
> в idle, не  отрабатывали оба таймаута.
> Версия IOS не самая старая  - 15.7(3)M1
> Сейчас поставил exec-timeout 10, сбросило активную сессию через 10 минут. Мне же
> важно, чтобы неактивные скидывались.
Протестировал, вроде бы сбрасываются сессии с session-timeout 10
сообщить модератору +/– ответить

gt оверквотинг удален session-timeout - для любых сессий ppp, telnet ssh и т , Andrey (??), 15:15 , 26-Окт-18 (4)
>[оверквотинг удален]
>> сбросил их уже.
>> А так я понимаю, что
>> exec-timeout это ограничение на сессию в любом случае, а session-timeout  -
>> это ограничение на сессию в idle.
>> Но по факту если я видел свои сессии висящие по несколько дней
>> в idle, не  отрабатывали оба таймаута.
>> Версия IOS не самая старая  - 15.7(3)M1
>> Сейчас поставил exec-timeout 10, сбросило активную сессию через 10 минут. Мне же
>> важно, чтобы неактивные скидывались.
> Протестировал, вроде бы сбрасываются сессии с session-timeout 10
session-timeout - для любых сессий (ppp, telnet/ssh и т.д).
exec-timeout - для сессий управления устройством (только telnet/ssh и console на AUX).
Если не ставить, то по умолчанию для обоих параметров - 10мин.
Смотрите первоисточник при возникновении вопросов.
сообщить модератору +/– ответить

gt оверквотинг удален Спасибо за исчерпывающий ответ , cr1m2 (ok), 08:50 , 29-Окт-18 (5)
>[оверквотинг удален]
>>> Но по факту если я видел свои сессии висящие по несколько дней
>>> в idle, не отрабатывали оба таймаута.
>>> Версия IOS не самая старая - 15.7(3)M1
>>> Сейчас поставил exec-timeout 10, сбросило активную сессию через 10 минут. Мне же
>>> важно, чтобы неактивные скидывались.
>> Протестировал, вроде бы сбрасываются сессии с session-timeout 10
> session-timeout - для любых сессий (ppp, telnet/ssh и т.д).
> exec-timeout - для сессий управления устройством (только telnet/ssh и console на AUX).
> Если не ставить, то по умолчанию для обоих параметров - 10мин.
> Смотрите первоисточник при возникновении вопросов.
Спасибо за исчерпывающий ответ!
сообщить модератору +/– ответить


Пометить прочитанным Создать тему	1 \| 2 \| 3 \| 4 \| 5 \| 6 \| 7 \| 8 \| 9 \| 10 \| Архив \| Избранное \| Мое \| Новое \| ☳ \| ☶ \| ⚟