avatar
есть сервер с большим диском, там включено шифрование, у одной группы людей подключены одни папки, у другой группы, другие папки, сервера нужны чтобы всегда быть на связи, больше ни для чего.
у заинтересованных сотрудников подключены папки которые синкакются в прямом эфире.
в общем, все просто.
avatar
А расскажите как вы его используете, какой тариф и т.д.
Интересно как вы построили «экосистему» на resilio sync. Правильно я понимаю что у вас задействован и ваш сервер/nas, персональный компьютер/ноутбук и мобильное устройство. Как все это уживается в единой системе?
avatar
Ясно.
Ну это же несколько другое…
avatar
Ушел на resilio sync, роскошная штука и поддерживать ничего не надо
avatar
А чего не пользуетесь, на что ушли?
avatar
не могу показать, соглашение о неразглашении…
avatar
Когда VoIP АТС находится за NAT, обычно делают порт-маппинг чтобы звонящий слышал вас, бывает что вы слышите звонящего, а она вас нет
avatar
Было бы интересно посмотреть
avatar
Что простите сделать?
Как порт mapping тут поможет?
avatar
У Microsoft была какая-то тулза, которая показывает логи в читабельном виде, но давно не сталкивался уже и не помню.
Хотя у нас было самописное решение на IIS + ASP + MSSQL в которое складывались логи аудита
avatar
Здравствуйте.
Для протокола SIP нужно сделать пробос портов (port mapping)
avatar
А вы не реализовывли задачу писать логи аудита?
Кто и когда, создал или удалил файл или папку?
Т.е в читабельном виде?
avatar
А если в сети есть ip телефония, то она работать ВЕДЬ не будет? при переключении каналов!
Как быть в этом случае? Как сбросить соединения?
avatar
Делал не по этой инструкции, но всё также. Единственное что непонятно, совпадает ли у вас внутренняя подсеть с той, которую раздаёте VPN пользователям. У меня совпадает. Т.е. на bridge раздаётся 192.168.1.0/24 и впн пользователям назначаю из неё же
Внутренние ресурсы доступны, но только по IP. А вот с виндовой группой беда — не видно в ней никого. Вроде бы названия групп совпадают на всех внутренних ПК и на ПК подключающемся по удалёнке
Есть мысли как это исправить?
avatar
Здравствуйте, уже не знаю, ответите ли Вы мне, но я пробовал настраивать DNS и DHCP в сязке, как у Вас. Но по-видимому или у Вас не точности в настройке или я что-то делаю не так. В общем по Вашей статье у меня ничего не работает. Вот конфиги, чтобы не быть голосовном.
Файл /etc/bind/named.conf.options

 cat /etc/bind/named.conf.options 
options {
	directory "/var/cache/bind";

	// If there is a firewall between you and nameservers you want
	// to talk to, you may need to fix the firewall to allow multiple
	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

	// If your ISP provided one or more IP addresses for stable 
	// nameservers, you probably want to use them as forwarders.  
	// Uncomment the following block, and insert the addresses replacing 
	// the all-0's placeholder.

	// forwarders {
	// 	0.0.0.0;
	// };
	forwarders {
	    8.8.8.8;
	};
	//========================================================================
	// If BIND logs error messages about the root key being expired,
	// you will need to update your keys.  See https://www.isc.org/bind-keys
	//========================================================================
	dnssec-validation auto;

	auth-nxdomain no;    # conform to RFC1035
//	listen-on port 53 { any;};
	listen-on {
		127.0.0.1;
		192.168.10.1;
	};
	listen-on-v6 { any; };
};



Файл /etc/bind/named.conf.local

 cat /etc/bind/named.conf.local 
//
// Do any local configuration here
//
logging {
	channel bind_debug.log {
		file "/var/log/bind_debug.log";
		severity debug 3;
	};
};


key DHCP_UPDATER {
    algorithm HMAC-MD5.SIG-ALG.REG.INT;
    secret "HeEBYWgNK7trRwma6TIDxQ==";
};
zone "lkmpikt.lan" IN {
    type master;
    file "/var/lib/bind/forward.db";
    allow-update { key DHCP_UPDATER; };
};

zone "10.168.192.in-addr.arpa" {
    type master;
    file "/var/lib/bind/reverse.db";
    allow-update { key DHCP_UPDATER; };
};



// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";



Файл /var/lib/bind/forward.db

cat /var/lib/bind/forward.db
$ORIGIN .
$TTL 86400	; 1 day
lkmpikt.lan.	IN	SOA	base.lkmpikt.lan. root.lkmpikt.lan. (
				2018091901 ; serial
				10800      ; refresh (3 hours)
				3600       ; retry (1 hour)
				604800     ; expire (1 week)
				86400      ; minimum (1 day)
				)
		IN	NS	base.lkmpikt.lan.
			A	192.168.10.1
localhost	IN	A	127.0.0.1
base		IN	A	192.168.10.1
proxy1		IN	A	192.168.10.1
proxy2		IN	A	192.168.10.1
proxy3		IN	A	192.168.10.1
proxy4		IN	A	192.168.10.1



Файл /var/lib/bind/reverse.db

cat /var/lib/bind/reverse.db 
$TTL 86400 
10.168.192.in-addr.arpa.	IN	SOA	base.lkmpikt.lan.	root.lkmpikt.lan. (
				2018091901
				10800
				3600
				604800
				3600
		    		)
	IN	NS	base.lkmpikt.lan.
1	IN	PTR	lkmpikt.lan.
1	IN	PTR	base.lkmpikt.lan.
1	IN	PTR	proxy1.lkmpikt.lan.
1	IN	PTR	proxy2.lkmpikt.lan.
1	IN	PTR	proxy3.lkmpikt.lan.
1	IN	PTR	proxy4.lkmpikt.lan.



Файл /etc/network/interfaces

cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto enp2s0
iface enp2s0 inet dhcp

auto ens1
iface ens1 inet static
address 192.168.10.1
netmask 255.255.255.0
dns-search lkmpikt.lan
dns-nameservers 127.0.0.1

auto ens1:0
iface ens1:0 inet static
address 192.168.20.1
netmask 255.255.255.0

auto ens1:1
iface ens1:1 inet static
address 192.168.30.1
netmask 255.255.255.0

auto ens1:2
iface ens1:2 inet static
address 192.168.40.1
netmask 255.255.255.0


post-up /etc/nat



Файл /etc/resolv.conf

cat /etc/resolv.conf 
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain lkmpikt.lan
search lkmpikt.lan
nameserver 127.0.0.1

nameserver 192.168.1.1
nameserver 127.0.0.1
search lkmpikt.lan



Файл /etc/resolvconf/resolv.conf.d/head

cat /etc/resolvconf/resolv.conf.d/head 
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
domain lkmpikt.lan
search lkmpikt.lan
nameserver 127.0.0.1



Ну и напоследок файл iptables

cat /etc/nat
#!/bin/sh

#Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Очищающие правила
iptables -F
iptables -t nat -F

iptables -X
iptables -t nat -X

# Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i ens1 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:0 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:1 -o enp2s0 -j ACCEPT
iptables -A FORWARD -i ens1:2 -o enp2s0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.10.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.20.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.30.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o enp2s0 -s 192.168.40.0/24 -j MASQUERADE

# Разрешаем ответы из внутренней сети
iptables -A FORWARD -i enp2s0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i enp2s0 -o ens1 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:0 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:1 -j REJECT
iptables -A FORWARD -i enp2s0 -o ens1:2 -j REJECT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i ens1 ! -d 192.168.10.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3127
iptables -t nat -A PREROUTING -i ens1:0 ! -d 192.168.20.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3128
iptables -t nat -A PREROUTING -i ens1:1 ! -d 192.168.30.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3129
iptables -t nat -A PREROUTING -i ens1:2 ! -d 192.168.40.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to-destination 192.168.10.1:3140


Проверка работоспособности:
dig base

 dig base

; <<>> DiG 9.10.3-P4-Ubuntu <<>> base
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56517
;; flags: qr aa rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;base.				IN	A

;; ANSWER SECTION:
base.			0	IN	A	192.168.1.188

;; Query time: 0 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Sep 19 10:07:49 MSK 2018
;; MSG SIZE  rcvd: 38


dig base.lkmpikt.lan

dig base.lkmpikt.lan

; <<>> DiG 9.10.3-P4-Ubuntu <<>> base.lkmpikt.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 7943
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;base.lkmpikt.lan.		IN	A

;; Query time: 3001 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Sep 19 10:16:39 MSK 2018
;; MSG SIZE  rcvd: 45



dig lkmpikt.lan

dig lkmpikt.lan

; <<>> DiG 9.10.3-P4-Ubuntu <<>> lkmpikt.lan
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 44424
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;lkmpikt.lan.			IN	A

;; Query time: 3001 msec
;; SERVER: 192.168.1.1#53(192.168.1.1)
;; WHEN: Wed Sep 19 10:17:36 MSK 2018
;; MSG SIZE  rcvd: 40



nslookup base


nslookup base
;; Got SERVFAIL reply from 192.168.1.1, trying next server
;; connection timed out; no servers could be reached



nslookup base.lkmpikt.lan


nslookup base.lkmpikt.lan
;; Got SERVFAIL reply from 192.168.1.1, trying next server
;; connection timed out; no servers could be reached



nslookup lkmpikt.lan


nslookup lkmpikt.lan
;; Got SERVFAIL reply from 192.168.1.1, trying next server
;; connection timed out; no servers could be reached

avatar
Здравствуйте.
Вот держите: Настройка IPTV на MikroTik ( IPTV + MikroTik + Beeline )
avatar
Просто прекрасный материал! Спасибо огромное, настроил все за 15 минут. А до этого сутки возился с разными мануалами.
avatar
Возможно настройки отличаются от тех что описаны в статье, но у меня нет возможности проверить
avatar
Тоже Билайн. Но судя по форумам настройки в регионах могут отличаться.
avatar
Здравствуйте.
У вас какой провайдер, возможно параметр DHCP клиента добавлять и не нужно, в Москве, точно не нужно!
Раз от маршрутизатора пакеты доходят внешних адресов, значит подключение работает нормально, остается разрешить маршрутизацию пакетов из локальной сети во вешнюю, настроив NAT, проверьте настройки согласно пункту Настройка локальной сети