24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Вы тут в конец охуели? Ничего кроме анального зонда 10 не обсуждаете.
Устроился тут в одну фирму - 20 офисов, компов 100 в сумме. Повсюду полная анархия, бизнес рос из оче маленького постепенно, человеку что был до меня было на всё похуй.
В качестве шлюзов в офисах стоят чуть ли не dir320, постоянно зависающие. Все работают под админскими учетками. АМИГО вперемешку с прочим говном на всех рабочих станциях.
Задача: привести всё в нормальное состояние. Сделать возможным обслуживание офисов полностью удалённо. Закрыть доступ к вконтактам и прочим одноклассникам, попутно наставив анальных зондов, по указанию гендира.
Поэтому накопилась куча вопросов, по которым хотелось бы услышать мнение анона.
Прежде всего по железной части: закупаю микротики в качестве шлюзов. За такую цену аналогов с подобным функционалом нет.
А может всё таки есть?
>>1330885 Думаю линукс еще долго не будет готов к тому, чтобы заменить шиндоус на рабочих местах. Разве что в качестве тонких клиентов. Сам сижу на арче если что.
>>1330872 (OP) Потом по организации VPN туннелей. Какой протокол для VPN выбрать? Нихуя не понятно с безопасностью. Выпускать в интернет незашифрованный трафик даже этой никому нахуй не нужной конторы не хочу. Остановился сейчас на L2TP+IPsec туннеле. Как приятный бонус нативная поддержка Шиндоуса для удалённых сотрудников. Но уж больно заморочная настройка IPsec туннелей получается.
PPTP получается вообще не безопасен? SSTP - ебля с сертификатами.
>>1330892 >на рабочих местах. Как раз на рабочих местах rdp-клиента достаточно запустить из любой ОС, а вот на сервере... > заморочная настройка IPsec Так ты не ставь линукс, и проблем не будет. В винсервер все делается тремя кликами мышки.
>>1330872 (OP) И по поводу анархии. Решение - поднять в головном офисе контроллер домена и подключить к нему компьютеры всех офисов. Разрешенный софт настраивать политиками.
А что будет, если упадёт интернет в одном из офисов? Компы вообще залогиниться что ли блядь не смогут?
>>1330892 >микротики в качестве шлюзов Чем это лучше длинков? Кроме возможности пердолиться в консолечку - да и на длинке со сторонней прошивкой в нее тоже можно пердолиться.
Первая часть касаемо закрытия доступа к сайтам. Одно из условий - наличие групп с разными доступами. Например гендиру и главбуху нужен доступ чтобы смотреть котиков вконтакте, а менеджерам продаж закрутить всё, кроме сайта компании.
Можно было бы пустить всё через прокси, но нынче почти везде используется https. Его тоже нужно фильтровать. На ум приходит фильтрация адресов на уровне DNS.
А как это реализовано у провайдеров, которые блокируют наш любимый харкач?
>>1330922 Возможность реализовать хотспоты в офисах продаж, напердолить резервирование канала и прочие мокрописьки, типа описанных выше.
VNC. Решено установить на все машины VNC серверы. Чтобы подключаться без всякой ебли с "запустите тимвьювер". А вместе с настроенным wake on lan позволит проводить профилактику удалённо в нерабочее время.
Какая-то принципиальная разница между VNC серверами есть? Сейчас тестирую с TightVNC - вроде бы всё что нужно.
Ну и напоследок, какую систему мониторинга вы используете?
Zabbix - слишком наворочен, да и неохота поднимать на отдельной машине линукс-сервер исключительно для него.
Попробовал The dude - всё заебись, но он заброшен уже как 5 лет, да и в основном для мониторинга сетевых ресурсов предназначен, агентов для рабочих станций не имеет.
В общем-то решение для каждого вопроса найдено, но хочется услышать что анон уже использует в своей работе, чтобы не наткнуться на подводные булыжники.
Подключаюсь к треду, интересно кто чем пользуется. Про себя расскажу немного. В небольшой фирме где я работаю до меня проработало много людей и каждый нахуевертит и съебётся. И хуй пойми что они делали и как оно все работало. Лучшим вариантом для меня было поднять сеть почти с нуля, зато знаешь где что и как. И оборудование старое все на помойку к херам, ибо модемы ,например, при работе 24/7 не живут годами. Ну и машины почистил, само собой. Как то так.
>20 офисов, компов 100 в сумме Можно делать домен в каждом офисе, если есть уверенность в том, что через 2-3 года в каждом офисе будет 100+ компов и свой местный админ. Иначе делать более централизовано - два контролера одного домена в разных офисах с хорошим интернетом, все остальные ходят в эти офисы по VPN.
>закупаю микротики Не уверен, что ты правильно поступаешь. Cisco - стандарт де факто, циска предсказуема и гарантированно не подведет с микротиками ты точно здорово наебешься.
>Какой протокол для VPN выбрать? Любой. А на самом деле это зависит от того, что и в каком объеме будут поддерживать твои железки. У меня вообще впн на винде крутится и порт проброшен со шлюза, т.к. нормальную железку с поддержкой впн на шлюз так и не купили (денег нет). Впн, соответственно, pptp с авторизацией mschap и обязательным 128 битным шифрованием. У этого костыля одно преимущество - можно с любой винды штатными средствами подцепиться к сети.
>PPTP получается вообще не безопасен? Это просто протокол точка точка, труба, соединяющая две сети, что в этой трубе - отдельный вопрос, если шифрованный трафик, то мы имеем впн, если не шифрованный, то непонятно зачем вообще пптп тут нужен.
>если упадёт интернет в одном из офисов? Компы вообще залогиниться что ли блядь не смогут? По умолчанию кешируются учетные записи пользователей на компах, если домен не доступен, то пока кеш жив - люди будут входить в свои учетки, не замечая проблемы. Время жизни кеша можно настроить на контроллере.
>наличие групп с разными доступами Решений много. Самое простое - hosts.txt, который ты настраиваешь политиками. Самое сложное - аппаратный фаервол, который умеет ходить на контроллер домена, можно настроить авторизацию пользователей по доменному паролю в веб форме или через сертификаты, из преимуществ - учет трафика для каждого пользователя и индивидуальные настройки кому куда можно и нельзя ходить.
>фильтрация адресов на уровне DNS Тогда ты и у начальника тоже порежешь котов, ведь DNS то у всех клиентов сети общий!
>А как это реализовано у провайдеров У нормальных? Начать с того, что у них впн от каждого пользователя к железке, закончить тем, что там железки такие, какие нам с тобой даже не снились. У провайдеров - самое серьезное оборудование по части производительности и функционала обычно.
>установить на все машины VNC серверы Можно, но зачем? На всех же машинах винда! Я настроил у себя удаленное подключение к сеансу пользователя прямо средствами винды. Увы, не работает в 2012, поэтому приходится держать 2008 виртуальный сервак, чтобы ходить смотреть на пользователей. Зато не нужно никому ничего устанавливать - просто спустил нужные настройки через гпо и по имени компа можешь подключаться к сеансам. дмваре и внц тоже нормальные решения, но требуют установки клиента каждому, кроме того, они, вроде, не бесплатные.
>какую систему мониторинга вы используете? Никакой. Если сервер недоступен, то это заметит касперский и сообщит на почту, а если это будет сервак с 1ской, то бухгалтера прямо ночью могут позвонить - они удаленно (через впн на терминальный сервер ходят) часто работают прямо из дома. Важнее не заметить, а быстро понять что случилось и знать что в каком случае делать. Так что ежедневные резервные копии и еженедельные бекапы крайне тебе рекомендую начать делать как можно скорее. Алсо важно иметь запасное железо для развертывания из резервной копии и удаленный доступ к серверам на уровне биоса (ip kvm или iDRAC, iLO какие-нибудь). Также можно решить этот вопрос виртуализацией, но тут нужна СХД с производительной фабирокой, дисковой полкой и минимум двумя весьма недешевыми серверами. Зато если что-то упало - оно само поднимается на соседнем сервере (гугли availability). Рядовые рабочие станции отлично мониторятся тем же каспером и всусом. Заббикс и прочие монстры реально нужны, только для мониторинка всякого сетевого оборудования, ИБП и т.п. (особенно, если у тебя количество единиц оборудования исчисляется сотнями, а не единицами) но там придется много чего дописываться для них ручками, это долго и сложно, т.е. не есть задача первостепенной важности.
>>1330892 >микротики в качестве шлюзов Возьми wdr3600 и накати openwisp. Это прошивочка на основе openwrt с централизованным управлением, vpn и radius.
>>1331171 >openwrt Можно. Но ты ведь понимаешь, что нищеебское решение и если уж дают денег на железки, то лучше на шлюзы купить таки циски и нормально их настроить.
>>1331138 >прога для мониторинга без установки всяких агентов У винды есть ряд технологий для подобного. Но они работают не лучшим образом и имеют ограничения. Так что считай, что нет.
>>1331108 >поднять сеть почти с нуля Это, конечно, круто, но на прошлой работе у меня было 500+ компов в 10 зданиях, на текущей 200+ компов в двух - если бы переконфигурил сеть с нуля в одиночку (да и даже если в команде), это бы заняло дохуя времени и привело бы к недопустимому простою. Домен и эксчендж тоже уже были запущены. Короче, иногда, хочешь не хочешь, а приходится разгребать дерьмо за другими.
Как изучить блядскую ай-пи адресацию: шлюзы, маки, пакеты, модели, уровни, вот это вот всё. Всё пытался понять - да как-то очень скудно.
Как долго нужно ебаться, чтобы уметь делать сети? Я конечно могу соеденить компьютеры в свитчи, хабы, протянуть кабеля и даже обжать витую пару - но в плане настройки - мутно представляю, что там настраивать (кроме заблокированных контактов и одноклассников).
Как заблокировать одноклассников и котиков только некоторым пользователям? Например всем, кроме директора - как это делается? Я могу заблокировать всем. В быдлоконторке пользуют ДИР300 + пара свитчей компании(?) "Switch".
>>1331435 >через 2-3 года в каждом офисе будет 100+ компов и свой местный админ Точно не будет, скорее 100 офисов с 3-10 компами. >Тогда ты и у начальника тоже порежешь котов, ведь DNS то у всех клиентов сети общий! Тут больше всего вариантов у меня есть: 1) поднять навороченный DNS сервер, дающий разные ответы разным IP. Но поднимать такое в каждом офисе негде, а ходить на DNS через vpn в центральный офис так себе идея.
2) Фаерволом заворачивать все обращения к сторонним DNS на мой собственный, на котором прописаны статические маршруты на localhost для неугодных сайтов. А с привилегированных IP адресов заворачивать на DNS гугла, например. Минус: мы или фильтруем всё или не фильтруем ничего.
3) Снифать траффик на 53 порту(DNS) и дропать обращения с неугодными адресами. Наиболее пердольный вариант, зато позволит реализовать подобие групп.
+обмазаться скриптами, чтобы время от времени актуализировать списки IP адресов для неугодных доменов, и допать обращения к ним тоже, чтобы не заходили по IP.
>но зачем? Чтобы беспалевно смотреть, что происходит на экране. :3
>Важнее не заметить, а быстро понять что случилось и знать что в каком случае делать Ну вот мне иногда звонят, и говорят что НИЧЕГО НЕ РАБОТАЕТ. Приходится проверять снизу-вверх: есть ли интернет в офисе, включен ли компьютер, настроена ли на нём сеть, есть ли интернет в серверной, включен ли сервер, работает ли терминальный сервер, работает ли база 1C, не зависла ли сессия пользователя. А система мониторинга скажет мне что прозошло еще до того, как позвонит пользователь.
>>1331492 >Оп, у тебя есть образование? Закончил институт не по телекоммуникационной специальности, но смежной. >шлюзы, маки, пакеты, модели, уровни, вот это вот всё Уложилось в курс одного семестра.
>>1331435 >У провайдеров - самое серьезное оборудование по части производительности и функционала обычно. Но при этом они всё равно не могут заглядывать внутрь https. А внутри ssl сессии не зашифрованным ходит только адрес сервера. Url же тоже зашифрованы. И как они это обходят?
Почему то всегда в мануалах и всяких книжках встречаю оборудование от ЦИСКО - что, других оборудований не существует?
Правда ли, что у свитча есть свой ай-пи адресс и он имеет такой-же веб-настройщик (ололо 192.168.1.1) и является автономным клиентом сети? Всегда думал, что это что-то типа "тройника".
Подскажите фриварный "СИМУЛЯТОР СЕТЕЙ", чтобы "поразбразывать" свитчи, протянуть сети, и научиться настраивать эти ай-пи адреса.
Что же такое прокси и нахуй он нужен в офисе?
Представьте, что в компании Х есть сервер на каком-нибудь XEON Е5*/8 Gb RAM/1Tb HDD на линукс-дистрибутиве "Дебиан" без графического окружение (только консоль). Может ли этот сервер иметь "почтовый сервер" (не знаю как называется)? Слышал что то типа "орпоративной почты". Как это работает? Где берется "домен" адреса (запись после @ в электронном адресе)? Для этого нужен статический айпи от провайдера?
>>1331492 Заблокировать определённый контент только некоторым пользователем можно через модем, если там есть такая опция. По мак адресу ставишь блокировку или с помощью родительского контроля ставишь ограничения. Ну это самые лёгкие варианты.
>>1331435 >Самое простое - hosts.txt Не катит, нужно делать на уровне оборудования - в офисах поднят вайфай. >>1331518 >Почему то всегда в мануалах и всяких книжках встречаю оборудование от ЦИСКО - что, других оборудований не существует? ЦИСКИ практически стали стандартном при построении сетей сложнее домашней. Но так-то есть еще ДЖУНИПЕР, ХУАВЕЙ и прочие МИКРОТИКИ для бомжей. >Подскажите фриварный "СИМУЛЯТОР СЕТЕЙ", чтобы "поразбразывать" свитчи, протянуть сети, и научиться настраивать эти ай-пи адреса. GNS3 же, других и нету по сути. >Что же такое прокси и нахуй он нужен в офисе? Прослойка между конечным клиентом и интернетом. Гугли же. >Может ли этот сервер иметь "почтовый сервер" (не знаю как называется)? Конечно может. Может просто почтовый сервер с доступом по pop3/imap, может и web-интерфейс хостить. >Где берется "домен" адреса (запись после @ в электронном адресе)? Покупается у регистратора доменов. >Для этого нужен статический айпи от провайдера? Есть сервисы вроде DynDNS. Но чтобы всё было серьёзно - нужен.
>>1331500 >100 офисов с 3-10 компами Не завидую. В 100 офисов нормальные железки купить тебе не дадут, а на длинк дир-100 жить, конечно, невозможно - конкретно у этой модели дхцп самопроизвольно включается (даже если прошить на последнюю прошивку и отключить его в настройках в явном виде!) со всеми вытекающими последствиями в виде поездки в удаленный офис... Мы когда это говно во втором здании обнаружили сразу все железки поменяли на более или менее приличные.
>навороченный DNS сервер DNS нужен для того, для чего нужен, изобретать велосипед я бы не стал.
>Фаерволом Уже лучше. Только совсем хорошо прямо фильтрацию адресов и урлов на фаерволе и сделать, а начальство и прочую элиту поместить в подсеть к которой не применять жеских правил. Правда для реализации этой идеи помимо фаервола на границе (при том в каждом офисе) нужно будет еще умное железо, которое может во вланы и хотя бы статическую маршрутизацию.
>беспалевно смотреть, что происходит на экране Еще раз - это можно сделать встроенными средствами виндовс, может, если мне будет не лень, завтра на работе тебе запилю видео того, как оно реализовано у меня. Алсо можешь смайлики не ставить - ничего интересного в подсматривании за пользователями нет, по крайней мере я для себя ничего в этом не нашел - использую только, чтобы не бегать по этажам из-за всякой ерунды.
>звонят, и говорят что НИЧЕГО НЕ РАБОТАЕТ Когда я был юн и зелен, тоже бросался сразу разбираться, что же случилось. Потом с опытом понял, что в 50% случаев НИЧЕГО не случилось. Еще в 40% случаев достаточно спокойно расспросить пользователя о том, что именно произошло, чтобы он сам решил проблему с моей подсказкой. Еще в 9% случаев проблема решается сама собой, если ничего не предпринимать (это когда пользователь объяснить что случилось не способен, но на самом деле ничего не случилось). И лишь в 1% случаев требуется оперативное вмешательство, т.к. действительно произошло что-то непредвиденное и может быть даже страшное.
>система мониторинга скажет Правда в том, что она скажет, если только сеть работает. Если же сеть легла где-то, то только об этом ты и узнаешь, но никак не о причинах, хуже того, если нет сети - удаленно проблему уже не решить. Так что мониторинг множества мелких удаленных офисов интересная задача и весьма сложная в решении.
>Url же тоже зашифрованы Внутри ssl? Не знал, если честно (а можно пруф, кстати?). Но на самом деле это всё равно бесполезно, ведь ты всё равно через DNS прогоняешь каждый урл перед тем как на него зайти. Даже если у тебя сторонний резольвер (типа 8.8.8.8) провайдеру не составит никакого труда перехватить твой трафик к нему и подменить ответ. Думаю, именно так они и делают.
>>1331518 >ЦИСКО Вот тебе пример из жизни - у нас HP коммутаторы во всем здании (достались нам вместе со зданием). Сервер был в дефолтном влане, а клиенты в разных других. Всё работало замечательно, кроме одной программы - с ней tcp соединение у клиентов неожиданно разрывалось. Три недели мы меняли прошивки, железки, переставляли серверную часть на другое железо, сидели с вайршарком изучали каждый пакет, пригласили разработчиков ПО к себе - ничто не помогало! В итоге кто-то случайно поставил серверную часть на своей машине, которая была не в дефолтном влане - проблема ушла. Так как весь пул серверов мы тогда еще не были готовы перевести в свой отдельный влан, то перевели только один, тот, который в дефолтном не работал. Что это за хуйня была до сих пор никто не знает... Нужны тебе эти мистические проблемы? Используй железки от рандомных вендоров - рано или поздно наткнешься.
>у свитча есть свой ай-пи адресс У свитча нету адреса. У коммутатора - есть. Свитч - глупая железка, которая просто повторяет пакеты во все порты. Коммутатор смотрит от кого и кому пакет, знает кто на каком порту и шлет пакет только в нужный порт. Коммутатором можно управлять и для этого у него есть админка (web, tlenet, ssh) доступ к которой ты получаешь по ип адресу (можно и по com порту, конечно, тогда не нужен IP, лол). А еще есть маршрутизаторы - устройства третьего уровня (гугли модель ISO/OSI), они реализуют уже очень сложные алгоритмы и протоколы, в частности маршрутизируют трафик между себе подобными узлами в соответствии с метриками и правилами настроенными администраторами. В самом сложном случае есть шасси - это такая коробка, в которую можно втыкать самые разные железки: коммутаторы, маршрутизаторы, аппаратные фаерволы - это позволять динамически маштабировать мощность системы: наращивать или адаптировать к изменяющимся требованиям инфраструктуры (например, заменить оптику на медь и т.п.). Но при этом шасси имеет централизованное управление и нет нужды настраивать каждую железку по отдельности. Подобные штуки стоят десятки миллионов рублей и требуют специально обученных людей для настройки.
>прокси и нахуй он нужен в офисе? Прокси пропускает весь твой трафик через себя. Нужен, например, чтобы подменять трафик и не пускать тебя на запрещенные админом страницы. Ну или для того, чтобы отдавать из кеша страницы к которым часто обращаются пользователи и снижать нагрузку на внешний канал связи. Сейчас прокси в офисах уже особо не используются.
>без графического окружение (только консоль) На linux без графического окружения можно сделать что угодно. Более того, большая часть веб-серверов (тех самых, которые отдают веб страницы тебе в броузер) и почтовых серверов крутится именно на unix-серверах без всякого графического интерфейса. Настраиваются они только через консольные команды и конфигурационные файлы.
Получается незашифрован только DNS запрос из которого можно вычленить только домен, а не сам url. Потом устанавливается ssl соединение с сервером, который пришел в DNS ответе, и всё последующее общение идёт внутри ssl.
>Думаю, именно так они и делают. Но они как-то блокируют https по url, а не по домену. (Хотя в этом не уверен, может они и не могут по полному url блокировать.
>>1330872 (OP) Если фирма постоянно растет и развивается то могу посоветовать только пересадить всех на толстые клиенты, и закупить нормальных серверов. Сервера обойдутся дорого, но это того стоит. Зато потом для админа полная халява, такую систему очень легко наращивать и администрировать но на серверах экономить нельзя. Если сервер наебнется то наебывается работа всей компании. Лол. Мне для того чтоб открыть новый офис с 20 рабочими станциями нужно всего 3 часа времени на создание новых учеток и установку оборудования, сейчас я один справляюсь с 400+ рабочими станциями и 6 вспомогательными серверами. До меня эту работу выполняли 6 админов и еще в каждом офисе сидел аникейщик. Экономия на персонале колоссальная, за счет больших вливаний в инфраструктуру.
>>1330909 Я объединяю офисы опенвпном. Похуй что не нативно, зато позволяет реализовывать самые извращенные фантазии. К тому же, так как протокол реализован на прикландом уровне, то работает везде (с l2tp/ipsec и pptp были проблемы из-за провайдера, который жопил организациям выдавать белые ip и просто всех натил и это при конских тарифах для юриков). Еще одна плюшка опенвпна - автоматическое переподключение при обрыве. В спермореализации л2тп с этом тоже были проблемы, правда не частые.
>>1330962 VNC ссань полная, практически независимо от реализации, оно умудряется тормозить даже на гигабитной локалке. Про доступ через инет это вообще... ну ты понял
>привести всё в нормальное состояние Шиндовс ставь, АД с забором админки - по усмотрению.
>Сделать возможным обслуживание офисов полностью удалённо Едва ли возможно при таком количестве машин. Ну откроешь rdp.
>Закрыть доступ к вконтактам и прочим одноклассникам Касперский решает эту задачу, forefront tmg (или что там вместо него сейчас), либо белый список адресов на нате. Иначе анонимайзеры не прибить.
>наставив анальных зондов, по указанию гендира тут проблем не вижу
>>1331515 Никак не обходят. Но в конторе, где все компы под контролем, можно заюзать squid с плюшкой ssl-bump, предварительно раскидав свои сертификаты по рабочим станциям. Пикрелейтед лог сквида с трафиком https и http
>>1332415 >У свитча нету адреса. У коммутатора - есть. Свитч - глупая железка, которая просто повторяет пакеты во все порты. Ты по-моему путаешь хаб с управляемым/неуправляемым l2-свитчом/коммутатором. Хабов уже и нет почти нигде.
>>1331454 > лучше на шлюзы купить таки циски Эй, микротикодебил, при чем тут циски? Тебя спрашивают - нахуя нужен микротик, когда есть божественный опенврт?
>>1332827 >божественный опенврт Ты, наверно, из той когорты, что вланами не пользуется, а дхцп раздает клиентам с единственного контроллера домена, а шлюз на тазике с опенврт держит. Так вот, любое софтверное решение того для чего есть специальная железка - говно по определению.
>>1332809 Насколько знаю, неуправляемый коммутатор шлет таки во все порты разом. Его я и называю свтичом. Хабы же - это совсем древние железки, тупо пассивные коробки, коммутирующие провода. Впрочем, это вопрос номенклатуры и истории - неуправляемых коммутаторов в природе, считай, уже нет.
>>1330962 Как и обещал вебм и политика для настройки компов. Всё только штатными средствами винды - никаких сторонних клиентов на компах пользователей. Тут два недостатка: оснастка "Диспетчер служб удаленных рабочих столов" есть только в 2008/R2 винде, из 2012й ее убрали почему-то. Второй недостаток - пользователь должен быть залогинен и активен, чтобы подсоединиться к его сессии - если он залочит экран, подключиться уже не удастся (впрочем, в таком случае уже гораздо удобнее рдп).
>>1332864 >14386761426340.webm >2015 год >дергать мышкой по сети под носом у пользователя Неужели вам так и не завезли мини терминальный сервер, чтобы администрировать все через гуй прозрачно для пользователя или хотя бы curtain, чтоб заблокировать ему экран?
>>1333533 Не понимаю как и чем тебе поможет терминальный сервер. Но даже если и поможет, во многих фирмах уже есть сотни толстых клиентов и на тонкие никто переходить не собирается (и вообще если кто думает, что это дешевле, то он сильно ошибается - за удоства надо платить!), а поддерживать пользователей бывает нужно вот прямо сейчас.
Раньше у меня был эникей с телефоном и компом. Звонил юзер, эникей брал трубку, просил назвать имя компа (bginfo + GPO), подключался, смотрел и помогал решить проблему. Сейчас пользователей не так много, поэтому эникея мне не дают, так что иногда приходится и самому смотреть.
По поводу свитчей, хабов и хуябов. Хабы не умеют в нихуя, они принимают отовсюду и раздают везде. Сейчас уже нахуй никому не нужны.
Обычные свитчи (или коммутаторы, это одно и то же), или глупые свитчи, или свитчи 2-го уровня (по OSI), они умеют в адресацию, но не по IP, а по MAC-адресам. Это уже получше.
Умные же свитчи, или свитчи 3-го уровня по OSI, умеют в дохуя всего, и в маки, и в айпи, и вланы, хуяны, даже небо, даже Аллаха. На самом деле, охуенная штука.
>>1333834 Давайте посмотрим, сколько здесь спецов. Есть небольшой офис, комната, 5 на 4 метра, 8 компов, у каждого по одной сетевой карте. Из стены торчит кусок витухи с локалочкой. У вас есть только нож, и кусок витой пары, метров на 50. Коннекторов - полный карман. Задача: за час подключить 8 компов к торчащей локалочке, используя только нож и кусок витухи. Справитесь?
>>1333882 >Спец без оборудования. Подключу 1 комп управлявшего офисом и поеду за оборудованием. Нахуй мне ножом обжимать? Так и порезаться можно. Времянки не нужны - их заебешься потом обслуживать. На прошлой неделе 2 часа потратил бегая из подвала на 2 второй этаж из-за того, что какой-то мудак пустил по 1 кабелю 2 сети, а по второму такому же 4 телефона.
>>1333718 Речь как раз об администрировании толстых клиентов и о том что делать это следует через отдельную учетную запись, не отвлекая пользователя от работы. И если хочется это делать через гуй, то сам толстый клиент должен иметь функционал терм. сервера. >>1333882 Отрезаем 8 хвостов и скручиваем все проводники одного цвета зеленой и оранжевой пар. На расстоянии пары метров может быть и заработает. На одной из машин поднять dhcp или прописать ip вручную. Вот только все равно потребуется хоть одна дополнительная сетевушка - провайдеры редко позволяют использовать хабы, да и длина кабеля опять же.
>>1333964 >Отрезаем 8 хвостов и скручиваем все проводники одного цвета зеленой и оранжевой пар. На расстоянии пары метров может быть и заработает Верно, но неэффективно. Есть способ увеличить расстояние на порядок. >На одной из машин поднять dhcp или прописать ip вручную Не обязательно - раз есть локалка, где-то там есть и dhcp >Вот только все равно потребуется хоть одна дополнительная сетевушка - провайдеры редко позволяют использовать хабы, да и длина кабеля опять же. В локалке не обязательно.
>>1333987 >Верно, но неэффективно. Есть способ увеличить расстояние на порядок. А потом через неделю тебе звонят и говорят "ой что-то наш %printer_name% не печатает иногда". И ты в первую очередь переделываешь всё согласно стандартам, А если пошлёшь кого нибудь другого, то он еще и охуеет от твоей вермишели, прежде чем начнет переделывать всё с нуля.
Блять, тут постоянно трутся какие то мутные "спецы" из днищезажопинска с опенврт, хабами, 97 офисом и ножом вместо обжимки. Гоните их, насмехайтесь над ними.
>>1333999 С которой, тем не менее, справляются не все, хотя это основы. >>1334012 Кольцом, да. Будет ли оно работать, если хотя бы один компьютер окажется выключен? >>1334016 А это в задачу не входит. Главное чтоб через час все работало, и кроме ножа и проводов тебе ничего не дадут. Представь, что ты в армии, лол, теперь ты в армии.
>>1334077 >Кольцом, да. Такое кольцо без гальваноразвязки и фильтров будет охуительной антенной. Как бы хуже не стало. >Будет ли оно работать, если хотя бы один компьютер окажется выключен? Почему нет?
>>1334077 >Главное чтоб через час все работало, и кроме ножа и проводов тебе ничего не дадут. Предложи им возвести 20и этажку за неделю имея в распоряжении лишь газельку. Выйти провести IPO для компании с уставным капиталом 10000 рублей. Или там обслужить клиента в ресторане, когда из посуды одни чайные ложки.
>А это в задачу не входит. Нахуя только нужна такая инфраструктура? Съездить за хабом и кримпером - дело двух часов. Тем более задача ебанутая - если в офисе нету протянутой сети, значит это новый офис? А хули компы с мебелью привезли, а сетевое оборудование позабыли? А хули тогда ты его заказать забыл? А хули людей на работу выпускают в неподготовленное помещение?
>>1334192 >Ты исполнитель Ты ж выше говорил, что ты спец. Ты озабочен тем, чтобы обеспечить надежную инфраструктуру. Например избежав простоя этого вновьоткрывшегося и оттого незагруженного офиса в течении пары часов сегодня, ты можешь попасть на простой в самый разгар работы в будущем. Даже в моей обоссаной конторе 1 продажа приносит больше прибыли, чем стоит кримпер и говносвич в ближайшем магазине. >скажут копать - копаешь, скажут не копать - не копаешь. Скажу, что нужно оборудование. Даже, если есть существует возможность нахуевертить скруток или еще какой хуйни. Так-то вероятно есть теоретическая возможность подавать воду в квартиры через канализационные трубы, за счет разности в плотности.
Заебись топик, поясните за свичи и vlan'ы. На каком уровне работают vlan? Если есть самый простой свич за 3 копейки, он же будет пропускать всё и везде независимо от vlan'ов?
И вот еще - в свич воткнуты 2 девайса, между которыми нужно запретить возможность связи. Я так понимаю это как раз задача для vlan'ов?и Нужны свичи с поддержкой vlan'ов? Или они все их поддерживают?
Ну и еще: если в свич воткнуты клиенты, с разными IP адресами, из например 3 подсетей. Без всяких vlan. Всё будет работать?
>>1333964 >и скручиваем все проводники одного цвета зеленой и оранжевой пар. Посоны, подкиньте где можно матчасть почитать на эту тему? Я сейчас понял, что если бы мне на собеседовании задали этот вопрос, то я вероятнее всего обосрался бы.
>>1334749 Если бы мне на полном серьезе задали этот вопрос на собеседовании я бы съебал бы в ужасе из такой конторы. Это значит что у них почти вся инфраструктура из говна и палок, и за все косяки,включая косяки мудаков с ножами(твоих предшественников) будут ебать тебя лично. >>1334168>>1334253 всё правильно написал.
>>1334806 > съебал бы в ужасе из такой конторы. А по-моему очевидно, что никто никого не будет заставлять обжимать витуху ножом и скручивать гирлянду на 8 компов из-за отсутствия свитча за 500 рублей. Тут сам вопрос про другое.
Алсо >>1334105 Гальваноразвязка на современных сетевухах есть по идее.
>>1334584 >На каком уровне работают vlan? На L2, лол. Не проще гуглить такие вещи? Про то как ethernet-фреймы тегируются для определения к какому влану они принадлежат сходу мало кто из присутствующих расскажет.
>Если есть самый простой свич за 3 копейки, он же будет пропускать всё и везде независимо от vlan'ов? Да. Можно и в управляемом свитче сделать один влан, тогда он будет работать как "простой за 3 копейки".
>И вот еще - в свич воткнуты 2 девайса, между которыми нужно запретить возможность связи. Я так понимаю это как раз задача для vlan'ов? В принципе да.
>Нужны свичи с поддержкой vlan'ов? Или они все их поддерживают? Честно говоря, я не видел управляемых свитчей, которые не умели бы влан, лол
>Ну и еще: если в свич воткнуты клиенты, с разными IP адресами, из например 3 подсетей. Без всяких vlan. Всё будет работать? Пакеты будут ходить между клиентами одной подсети. Если настроена маршрутизация на шлюзах, то и между подсетями.
>>1334584 Вланы - это логическое сегментирование сети. Например, широковещательные пакеты не могут выйти за предел влана. Соответственно у каждого влана своя адресация, а между вланами существует какая-то маршрутизация. Проще говоря, если раньше у тебя были адреса 192.168.1.-192.168.5. с маской 255.255.0.0 и шлюзом 192.168.0.1, то теперь у тебя будут те же адреса но с маской 255.255.255.0 и шлюзом в каждой подсети вида 192.168.*.1 Очевидно, что внутри каждого влана придется делать и свой дхцп сервер (железки могущие во вланы, могут и в дхцп, конечно).
>свич за 3 копейки Если он не может во вланы, то максимум куда ты его можешь поставить - это в комнату, где надостаточно точек, чтобы подключить больше компов. Т.е. в рамках одного из уже сущеуствующих вланов.
>в свич воткнуты 2 девайса, между которыми нужно запретить возможность связи Да, это можно сделать вланами. Так поступают, например, для управляющего влана из которого доступны админки сетевого оборудования, всякие ipmi модули, внутренние служебные сервера и т.п. - доступ к этому влану кроме оборудования имеют компьютеры админов, а все остальные пользователи нет, т.е. они просто не могут даже попробовать подключиться к коммутатору или модулю ipmp сервера.
>в свич воткнуты клиенты, с разными IP адресами, из например 3 подсетей. Без всяких vlan. Всё будет работать? Будет. Но в случае с вланами клиент не может сменой у себя адреса получить доступ к другим вланам, а в твоем случае - сможет. Кроме того, как у тебя будет работать тот же дхцп при такой схеме? Никак. Будешь ручками всем клиентам разные адреса ходить прописывать?
>>1333964 >Речь как раз об администрировании толстых клиентов и о том что делать это следует через отдельную учетную запись, не отвлекая пользователя от работы. И если хочется это делать через гуй, то сам толстый клиент должен иметь функционал терм. сервера.
Что за хуйню ты несешь? У клиента не важно тонкого или толстого по определению нет никакого серверного функционала и уж тем более нет "терминального сервера" - загугли значение, чтобы больше так не позориться.
Алсо задача именно в том, чтобы посмотреть на проблему пользователя и показать ему как она решается в интерактивном режиме. Если же нужно сделать что-то не мешая пользователю, то есть масса способов: групповые политики, удаленная консоль (psexec \\192.168.2.22 cmd), различные оснастки, которые могут подключаться к удаленным компам и управлять почти чем угодно, средства централизованного развертывания софта на клиентах и т.д.
>>1334891 А какая разница ходить на клиентах прописывать IP или ходить на дхцп сервер прописывать маки, которые ты всё равно предварительно посмотрел на самих компах?
>>1334897 Ты написал что дхцп работать не будет, я предложил тебе два варианта при которых он будет работать. Не пиши хуйни, не придётся оправдываться.
>>1334897 > предварительно посмотрел на самих компах Открой для себя арп-пинг и таблицу маков управляемого свича по портам. Более того, иди скажи провайдерам, что их сети говно оказывается и им надо к каждому клиенту домой приходить, чтоб авторизовать его потом на своём биллинге. > какая разница ходить на клиентах прописывать IP или ходить на дхцп Разница в удобстве. Понадобилось тебе шлюз сменить дефолтный ты что будешь ногами потом бегать и всем менять? А ДНС?
>>1334928 Анон накатал большой пост, описал несколько best practice, не углубляясь в тонкости технологий, как тут же мимокроки указали на тонкости, использование которых выпадает из best practice. Пиздец.
>>1334932 >арп-пинг Ты всю ветку обсуждений в треде прочитал? Вопрос видел? Задача была на одном коммутаторе сделать разную адресацию без использования вланов. Чем тебе тут арпинг поможет, когда у компов еще нет никаких адресов и с дхцп они их получать нормально не могут, т.к. разным макам надо разные адреса отдать? Или ты по одному маку сразу способен определить в какую "подсеть" нужно забросить комп?
>Разница в удобстве Это правда. Как правда и то, что лучше сразу делать на коммутаторе вланы с нормальными дхцп в каждом из них.
>>1334749 Ну хуй знает, я бы не стал такого кузьмича на работу брать. Если ему норм с такой сеточкой, значит он это просто не в курсе какой пиздец там будет происходить при минимальной нагрузке, шлюз пинганулся и похуй.
>>1330980 сейчас сдаю сложный проект по технологическому видеонаблюдению. виндовая часть построена на ad, причем в свободной реализации на базе samba. сами сервера домена запущены в контейнерах lxc. работает норм, хоть и поебаться на этапе разработки пришлось по неопытности.
>>1330872 (OP) Начальник ИТ отдела из 2,5 долбоёбов включая себя ИТТ. Сколько готовы потратить на лицензии? Исповедуете ли правовой нигилизм? Могу пояснить как сделать отказоустойчивую систему, в которой юзверь даже ВИРОС толком словить не может.
>>1336156 Я бы на вашем месте потратился на VDI. Суть в полной изоляции юзеропараш и возможности откатиться на начало рабочего дня даже если юзверь словил криптотроян. Понадобятся лицензии, возможно еще парочка серверов и SAN. Зато юзверские компы в ближайшие 5 лет можно не апгрейдить даже если они уже старые. В качестве банилки втентаклика можно использовать виртуальный роутер на линуксах, решение спорное с точки зрения архитектуры, но мощное и почти бесплатное (стоит половинку ядра, 512 мозгов и 10Гб стораджа). Ну или ставь микротик и постигай его дзен. Если VDI не получится, осиливай групповые спермополитики и насилуй ими юзверей. Про АД, домен и прочее сам догадаешься, надеюсь.
>>1334953 > Или ты по одному маку сразу способен определить в какую "подсеть" нужно забросить комп Если делить по вендорам - то вполне. Яблоки к пораше, десктопы - мужики и стремящиеся, вёдра - черти, чуханы и козлы. > Задача была на одном коммутаторе сделать разную адресацию без использования вланов > Вопрос видел? Я-то видел. Открою тебе старшный секрет - маки светятятся даже без присваивания валидных (с точки зрения твоей сети) адресов. Технически, на портах коммутаторов, будут арп-таблицы с приватными адресами. Дальше больше, арп запросы/ответы массово рассылаются по всему широковещательному домену. Достаточно анализировать это на интерфейсе дхцп сервера и составлять таблицы шкрептом на коленке за пять минут по ойпимаку. Ну и последнее, ты проигнорировал, что можно просто зайти в морду управляемого свича и посмотреть его текущую таблицу кто, с каким маком, к какому порту подрубился. Удобно это? Нет. Придётся пердолиться? Ещё как! Но это возможно - иметь разную адресацию без использования вланов и без необходимости хождения по пользователям с целью переписывания их маков.
>>1336966 >Придётся пердолиться? Ещё как! Рассказываю, как это будет на самом деле, а не в твоих фантазиях. Приходишь ты и видишь 50+ рандомных компов с разными версиями винды, использующиеся неизвестно кем и неизвестно для чего. Твоя задача - обойти их все и понять какой комп в какую подсеть заводить. Чуть более оптимистичный сценарий, ты приходишь и видишь 100+ совершенно новых и абсолютно одинаковых компов от одного производителя. Известно как и между кем они будут распределены - твоя задача в случае отсутствия нормального дхцп и вланов та же самая - ручками узнать мак какждого компа и записать какой мак где будет стоять.
В случае с нормальными вланами и дхцп - ты просто кидаешь каждый этаж/кабинет/подразделение в свой влан, раздаешь во всех вланах адреса и не имеешь никаких проблем с сегментированием сети. Винду разворачиваешь по сети с автоматическим заведением в домен (если компы старые и не в домене, тогда по-любому ходить заводить в домен и переносить профили пользователей, но для этого уже эникей есть).
>>1336484 У ОПа же 20+ офисов по 3 компа, представь себе насколько хуево всё будет работать при медленном интернете (грузить профили по сети - это пипец долго же) или проблемах с инетом (люди вообще не смогут работать). Алсо стоимость VDI решения достаточно высока, одна только дисковая полка и фабрика будут стоит миллионы рублей. А еще ведь нужны физические достаточно мощные по памяти и процам сервера, ПО для виртуализации и ПО для VDI. Старые компы в качестве тонких клиентов также никто не использует, т.к. поддерживать подобный зоопарк нереально при большом числе клиентов. Выгода от такого решения бывает только если тонких клиентов реально много ну хотя бы от 1000 штук и при этом они все в одной достаточно быстрой сети. И выгода от внедрения не в том, что это дешевле, а в том, что позволяет сократить армию эникеев до 2-3 человек. В случае проблем на стороне клиенты, ему просто приходят и меняют коробочку на новую. Запорол винду - накатывают новый образ, а документы всё равно в переносимом пользовательском профиле. Проебал документ - есть бекап профиля за прошлые дни. Абсолютно всё, кроме замены тонкого клиента можно сделать не вылезая из-за своего компа.
>>1336156 Физические характеристики серверов то у тебя какие? Надеюсь, не на тазиках всё крутится? Бекапиться как и куда собираешься?
>>1332565 Что ты вкладываешь в понятие "тонкий" и "толстый". Грубо говоря разница в наличии жесткого диска (который может быть впаян в мать) с образом системы.
>>1337184 В том, что толстый клиент предполагает выполнение программ на нём. Ну там офис, аутлук и всё это запущено локально на компьютере.
На тонком же клиенте запускается лишь клиент удалённого доступа, и пользователь дальше работает в удалённом доступе, его сессия с программами крутится на сервере.
>>1337263 >толстый клиент предполагает выполнение программ на нём. Это ПЭКа уже? "Толстый клиент" это, как правило, как я уже написал миникоробка в формате "тонкого", но с диском для запуска образа системы.
Посоны, а где микрософт выкладывает образы своих операционок? Есть ли возможность накатывать win7 максимально актуальную на сегодняшний день, чтобы новый пользователь потом не ебался трое суток с обновлениями? Мне же только ключ и наклейка нужны.
>>1338212 В таком случае необходимость встроенного жд отпадает, это и будет "тонкий клиент". >>1338485 >Посоны, а где микрософт выкладывает образы своих операционок? https://msdn.microsoft.com >чтобы новый пользователь потом не ебался трое суток с обновлениями? Образов таких нет, раньше были апдейт-паки, чтобы не качать все время по-новой, но сейчас интернет достаточно быстр, чтобы подтянуть 300-400 мб данных.
>>1337988 >"Толстый клиент" это, как правило, как я уже написал миникоробка в формате "тонкого", но с диском для запуска образа системы. Что за хуйню ты несешь? Толстый клиент - это любой, который может хоть как-то работать без обслуживающего его сервера. Тонкий без сервера работать не может, например, профиль пользователя и специализированное ПО работает на сервере, а на тонком клиенте полноценная винда на жестком. Такой тонкий клиент без сервера бесполезен, т.к. можно только загрузиться и куковать.
>>1330909 За пределами openvpn - жизни нет. L2TP это круто ибо L2, нативная поддержка и прочее. Но нахуй это кому-то нужно в 2015 openvpn на клиенте настраивается в два клика, даже самому тупому работнику опенвпн дома настроить будет проще. Сервер можно поднять на любой платформе, в общем это лучший вариант.
>>1335661 >>1338572 Вы ебанулись оба - 20 офисов по 3 компа и в каждом делать дочерний домен? ОП также сказал, что офисов будет становиться только больше, развертывать каждый раз дочерний домен ради нескольких новых человек - это абсолютно лишняя работа. Алсо как будет вести себя система в целом с таким огромным количеством дочерних доменов тоже хороший вопрос, прозреваю, постоянные поломки репликации или как минимум необходимость время от времени ее чинить...
>>1338763 В чем проблема загрузиться то? Ось может по сети раздаваться с одного сервера (или стартовать локально с флеш-памяти), а данные и сервера приложений недоступны, т.к. они на других серверах.
>в архитектуре клиент-сервер — это приложение, обеспечивающее (в противовес тонкому клиенту) расширенную функциональность независимо от центрального сервера. Часто сервер в этом случае является лишь хранилищем данных, а вся работа по обработке и представлению этих данных переносится на машину клиента.
>компьютер или программа-клиент в сетях с клиент-серверной или терминальной архитектурой, который переносит все или большую часть задач по обработке информации на сервер.
>>1338773 Ты ебанутый? Я тебе написал, что все разница в наличии жд. Ты свою то ссылку сам читал? >Тонкий клиент в большинстве случаев обладает минимальной аппаратной конфигурацией, вместо жёсткого диска для загрузки локальной специализированной ОС используется DOM (DiskOnModule) [модуль с разъёмом IDE, флэш-памятью и микросхемой, реализующей логику обычного жёсткого диска — в BIOS определяется как обычный жёсткий диск, только размер его обычно в 2-3 раза меньше]. В некоторых
>>1338775 Тебе уже сказали, что способ загрузки тонкого клиента абсолютно неважен. Можно образ по сети подтянуть, а можно с флешки, один хуй, если ты потом пошел на терминальный сервер работать - ты тонкий клиент, а если не пошел, а подгрузил данные к себе и начал их обрабатывать - толстый. Единственное что важно - где именно идет обработка данных.
>>1338581 с лесом тоже много трахаться приходиться. проще в удалённые офисы RODC накидать. единственная проблема: данные реплицируются относительно долго. приходится минут по 10-20 ждать после созданию юзера в AD до заведения его же в Exchange. хотя, если в каждом домене есть свой полноценный админ или, хотя бы, толковый эникейщик - то можно. к слову, джва года ждал такой тред! а то одни спермо-прыще-срачи.
>>1338554 >Образов таких нет, раньше были апдейт-паки, чтобы не качать все время по-новой, но сейчас интернет достаточно быстр, чтобы подтянуть 300-400 мб данных. Так сами апдейты ищутся и ставятся ёбаную вечность. Сейчас готовлю новую рабочую станцию, установил win7 sp2 из msdn образа. Раньше отдавал компьютеры без обновлений и не парился, а сейчас решил накатить все обновления. Уже 8 часов прошло с момента, как я нажал на кнопку "поиск обновлений". Установлено 130 из 140 обновлений. И это еще при ребуте будет их "настройка" на пару часов. Получается что целый рабочий день уходит только на установку обновлений на новом компьютере.
Пагни, тут какие-то поехавшие предлагают делать леса доменов для каждого офиса на 10 человек не слушайте этих наркоманов. У нас в компании-лидере своей отрасли один домен на 30 тысяч юзеров и всё заебись пашет. Опять же дали кошерный совет про VDI. В нашей конторе тыщи человек лезут на VDI, который физически может быть расположен за сотни километров. Естественно, никакого бреда вроде "VPN на DIR-300". Все компы сидят в сети 10.x.x.x, работающей на цисках. В итоге местных админов разогнали, оставили только эникеев для задач уровня подключения клавиатуры и перезагрузки принтера. мимо пердолю vdi-инфрастуктуру на несколько тыщ персон
>>1330946 >Можно было бы пустить всё через прокси, но нынче почти везде используется https. Его тоже нужно фильтровать. На ум приходит фильтрация адресов на уровне DNS.
Файрволл же на домене. В живую видел Comodo парашу с настроенными правилами.
>>1331435 >Не уверен, что ты правильно поступаешь. Cisco - стандарт де факто, циска предсказуема и гарантированно не подведет с микротиками ты точно здорово наебешься. А вот и лояльная манька пожаловала. С дивана слазь давай.
>>1332864 >Насколько знаю, неуправляемый коммутатор шлет таки во все порты разом. Хуёво знаешь. Неуправляемый коммутатор (свитч) шлёт пакеты в соответствии с автоматически составленной arp таблицей. Управляемый уже можно крутить и эту самую таблицу пердолить. А во все порты срёт хаб.
>>1339495 Поссал в литсо нюфане. Леса и сайты запиливались для случаев когда необходимо было обьединить кучу офисов с хуевыми каналами связи. Хотя откуда тебе знать, сыну шлюхи, про репликации по smtp. Ты же дитя 2010-х когда кудпокпок цыскахциска 10 гбит между офисами. Обоссал нюфаню
>>1338787 В воркаче есть нормальный тред сисадминов, хотя там правда больше обсуждают зарплату и кто где работает, всё же тематика.
>>1338790 Тут же одни сперма-дети и прыще-подростки, чего ты хотел?
>>1339228 Очень странно. У меня 7-ка с сп1 все обновы накатывает где-то за час с парой перезагрузок. Но! Я ставлю через свой всус сервер только обновления безопасности и критические обновления. А также выборочные обновы, вроде часовых поясов. Кроме того, никогда не ставлю дотнет - его обновления реально занимают просто дохуя времени, а на медленных компах (1-2 Гб памяти) это может длиться больше суток при 100% загрузке памяти и проца. Вообще если есть домен и всус нормально настроен, то можно отдавать пользователям компы без обнов - они сами накатятся в течение пары дней в фоновом режиме. Разумеется, пользователь также должен получить под роспись инструкцию в которой объясняют, что нельзя выключать комп, выдергиванием вилки из розетки.
>>1339269 Это вредных советов тред? Образ делать даже с отвязкой от железа нельзя, т.к. некоторые внутренние виндозные идентификаторы генерятся только в момент установки и позднее уже не обновляются. В том числе идентификатор необходимый для работы со всус сервером. Итог - клонированные машины не видятся на всус сервере. Исправить это очень тяжело - нужно писать политику в которой обновлять внутренние идентификаторы - в свое время у меня ушла масса времени, чтобы нагуглить как же правильно это делать, но это было во времена XP, может в 8-10-ках получше с этим.
Единственно правильный вариант установки винды (помимо офицального образа записанного на DVD) - это создание образа установки через AIK и его распространение по сети через WDS (службы развертывания windows). Но в случае со старым парком, а точнее зоопарком, приходится помучаться с драйверами и всё равно рано или поздно выявляются/появляются компы драйевра для которых в образ не вошли, а пересобирать этот образ каждый раз тот еще геморрой.
>>1340063 В дополнении к своему вопросу прошу подсказать: есть инет в офисе с динамикой, дома настроил динднс, можно ли организовать тунель между компами и как? По сути нужен только ссх.
Сейчас идей никаких нет, коллега по работе посоветовал юзать ssh -R до компа с динднс, потом запилить скрипт на баше проверяющий наличие ссх в процессах (если что перезапускающий его) и запилить это все в cron.
Особо интересна безопасность тунеля. И делиться своими NAS или ещё чем-нибудь в сторону офиса не хочется
>>1340068 >В дополнении к своему вопросу прошу подсказать: есть инет в офисе с динамикой, дома настроил динднс, можно ли организовать тунель между компами и как?
ОП итт Хочешь из дома получить доступ в офисную сеть? Настрой на шлюзе в офисе впн. Или openvpn или IPsec+L2TP. На шлюзе же, настрой связь с dynDNS.
>>1340069 >Настрой на шлюзе в офисе впн. Или openvpn или IPsec+L2TP. IPsec ту хард фор ми. Или ты предлагаешь настраивать его на роутере? Опять же, если настраивать впн - оба компа должны иметь статику?
>На шлюзе же, настрой связь с dynDNS РОУТЕР БИЛАЙН. Организация уровня /b. Наверно можно опять же пилить какой-нибудь скрипт в крон с машины за натом, которая каким-нибудь образом узнаёт свою внешку и связывает её с dyndns.
>Схуяли ты дома это всё настраиваешь? Дома я делаю что хочу, а на работке нужно все это согласовывать и я не хочу общаться с начальником.
>>1340069 И да, раз уж я удалюсь спать скоро - расскажи пожалуйста разницу между pptp, l2tp, ipsec, ipip, gre. Просто я не вижу никакой, лол. Гре вроде как инкапсулирует пакеты в какую-то шифрованную штуку (или нет) и это все что я знаю.
>>1340070 >Опять же, если настраивать впн - оба компа должны иметь статику? >скрипт в крон с машины за натом, которая каким-нибудь образом узнаёт свою внешку и связывает её с dyndns Ты уж определись, тебе NAT мешает или динамический IP?
В случае с NAT - впн сервер за натом поднять не выйдет - провайдер же не будет тебе порты прокидывать. За нат ты можешь только исходящее соединение инициировать. Если динамический IP - это решается dynDNS или еще каким костылём, который бы оповещал тебя, какой IP адрес сейчас присвоен.
>Или ты предлагаешь настраивать его на роутере? По уму VPN настраивается на шлюзе - если в твоём случае роутер выступает в качестве шлюза - да. Хотя можешь прокинуть необходимые для выбранного тобой протокола VPN порты на компьютер, на котором поднимешь сервер.
>Дома я делаю что хочу, а на работке нужно все это согласовывать и я не хочу общаться с начальником. Так и попроси его поднять VPN сервер. А то за несанкционированный туннель из корпоративной сети могут и выебать.
Ну и как бы исходя из здравого смысла сервер поднимается в той сети, к которой нужно подключиться. В обратном варианте тоже конечно работать будет, но нахуя?
>разницу между pptp, l2tp, ipsec, ipip, gre Примерно так: >pptp Поддерживает шифрование, но дырявый до невозможности. MS рекомендует его не использовать, поскольку не безопасен в связи с найденными уязвимостями. >ipsec Обеспечивает шифрование, но не обеспечивает vpn. То есть просто позволяет шифровать любой траффик между двумя узлами. Зато внутри шифрованного канала уже можно поднимать vpn. Является де факто стандартом отрасли. >l2tp, ipip, gre Протоколы для создания vpn туннелей. Со своими + и -, ни один из них не подразумевает возможности шифрования(как я понимаю), так что если нужна безопасность - нужно поднимать их поверх того же IPsec.
>>1340074 >Схуяли ты дома это всё настраиваешь? Нат мне мешает узнать мою внешку. Дома, например, у меня микротик, куда я впилил скрипт для no-ip.org и не парюсь. А на работке >еще каким костылём, который бы оповещал тебя, какой IP адрес сейчас присвоен. но уже на машину, а не на БИЛАЙН РОУТЕР.
>А то за несанкционированный туннель из корпоративной сети могут и выебать. Да не, там вопрос не в том, что я делаю что-то нелегальное у себя в организации.
За объяснение разницы между протоколами спасибо.
На твоем опыте - если я абсолютно нулевой сложно ли мне будет настраивать ipip/gre+ipsec? Читал что гре тунели довольно легко настраиваются, но вот айписек...
>>1340083 >Нат мне мешает узнать мою внешку. >Дома, например я впилил скрипт для no-ip.org Мимо проходил, на всякий пощу пасту. А то мне кажется, ты из этих. - Серый (неанонсированный, внутренний, локальный, частный) = адрес в частных сетях 10.X.X.X, 172.16.X.X, 192.168.X.X. Ты не можешь принимать внешние подключения на этот адрес, т.к. он не маршрутизируется вне твоей локальной сети. Белый (анонсированный, внешний, реальный) = адрес в сети Интернет, на который ты можешь принимать подключения. Статический адрес — адрес, выдающийся тебе на продолжительный промежуток времени. Динамический адрес — адрес, выдающийся тебе на неопределённый (часто небольшой) промежуток времени; может быть сменён без уведомления. Адрес может быть серым статическим, серым динамическим, белым статическим, белым динамическим.
>Нат мне мешает узнать мою внешку. Если скрипт работает методом "беру айпишник интерфейса и отдаю его сервису dyndns" (а он так и работает, ведь в нем указан мой l2tp интерфейс) то с машиной за натом я пососу немного, а со шлюзом не пососу. Микротик дома поддерживает такие вещи, билайн в офисе не думаю.
>Дома, например я впилил скрипт для no-ip.org Дома порт форвардинг на 22 порт моей машины.
Может быть тебя смутил вопрос >Опять же, если настраивать впн - оба компа должны иметь статику?
Это отдельный вопрос, мне интересно возможно ли вообще построение тунелей если у 1 компа статика, а у другого нет. Получается впн вида клиент-сервер. GRE, IPIP исходя из моего понимания - точка-точка, поэтому и спросил про другие.
>>1339787 >КО-КО-КО ДА Я ЛИЧНО ТАСКАЛ БАЙТЫ ПОД ОГНЁМ НЕМЕЦКО-ФАШИСТСКИХ ЗАХВАТЧИОВ Пошёл ты на хуй, а репликация по smtp пусть бежит перед тобой. Я в своё время наелся всего этого говна и очень рад, что забыл его как страшный сон. Ебал я тебя и твои перфокарты, пидорас-ретроград.
>>1334894 >psexec >2015 Мда. >>1336484 >VDI И канал на 1 гбит, как минимум, видал я клованов, которые его на 100 мбит поднимали, а потом удивлялись, почему так хуево работает. >>1339495 >один домен на 30 тысяч юзеров Ты же не хочешь сказать, что у тебя один контроллер домена? >кошерный совет про VDI Не нужно в мелких и средних конторах, тем более, никто в здравом уме не будет поднимать vdi с одной точкой отказа. Проще говоря, дороговато. >>1339764 >Файрволл же на домене Огнестена нужна только на границе. Если хочешь сегментацию без затрат, делай вланы, а не городи костыли. >>1339928 >сккм Хорошая штука, но, к сожалению, цена удручает. >>1340101 >возможно ли вообще построение тунелей если у 1 компа статика, а у другого нет Попробуй включить логику и подумать. Роль сервера на себя берет хост со (за) статикой, к нему идет подключение. Смекаешь?
>>1330872 (OP) Вводи домен, поднимай групповые политики. Приводи инфраструктуру к одной экосистеме постепенно разворачивая одну ось на компах. Пользователям запретить всё, что не разрешено. Шлюзы на микротиках - аппаратный VPN между офисами
>>1340063 >Посоветуй что-нибудь >по тунелям, шифрованию, бэкапам Нужно не читать, а решать реальные задачи. Лучше всего решать их в команде, где есть кто-то более опытный, чем ты сам, чтобы набраться хороших идей и паттернов, которые в будущем пригодятся.
Тунели и шифрование обычно годятся любые, главное, чтобы тебе было удобно с ними работать. Особые требования только у госкомпаний (там нужны алгоритмы и железки сертефицированные в ФСБ, а таких мало и их функционала зачастую не хватает), а также у банков, но там тоже свои спецы и свои требования.
Бекапы - тема вообще необъятная. Главное правило: несколько копий в разных местах (например, лента с еженедельным бекапом может храниться у директора дома в сейфе, еще одна в сейфе в офисе и еще одна в серверной). Также не путай снапшоты, резервные копии и бекапы - это три принципиально разных инструмента резервирования нужные для разных целей. Инструментарий же бекапов в основном платный, особенно если речь идет о бекапах виртуальных машин.
>>1340071 pptp - это ppp овер tcp l2tp - этот работает на канальном уровне Оба они обеспечивают тунелирование, без шифрования. ipsec - этот уже шифрует IP пакеты, но ты заебешься его внедрять и настраивать. ipip не работает через нат, т.е. нужны белые адреса на обоих концах тунеля. gre еще один протокол сетевого уровня не дружащий с натом. последние два также сами по себе ничего не шифруют, а являются просто способом соединения двух точек.
Спрошу, пожалуй, здесь. Сделал сеть из виртуалок, пикрелейтед. В неё входят 2 компа в общем домене и один без. Проблема состоит в том, что клиентские компы не пингуют друг друга, при том что с dns'а пинг спокойно проходит, как и в обратную сторону. Фаерволы везде отключены. В чём может быть проблема?
>>1341229 хм, маршрутизация действительно не настроена была. включение проблему не решило. >>1341241 В общем ситуация такая. Справа комп, находящийся в домене, слева простой. Подсети действительно разные выходят (по маске же можно об этом судить?) и клиент без домена почему-то не видит мой внутренний dns, только провайдерский. как так-то?
>>1341620 Всё, настроил подсеть как надо - оказывается, это я с сетевыми адаптерами проебался. Но основной шлюз у компов не появился, интернет с них не пашет. Как вообще включить автоматическую настройку шлюза?
Микротикоебы есть итт? Я очень хочу на dhcp привязать ip-адреса к конкретным компам не по маку, а по нетбиос имени. Слышал что это вроде как возможно. Подскажете как?
>>1333208 Как-раз таки коммутатор, если у него таблица мак-адресов пустая, шлёт фреймы во все порты, кроме того, откуда он пришел (ну ещё всякие фишки типа rstp в более-менее продвинутых железках есть)
>>1330872 (OP) Посоны, напомните как там выводить информацию о воспроизводимом видео в mpc-hc? Хочу поиграться с фильтрами, настроить HWA, нужно видеть реальный фпс, биттрейт и прочее прочее. Оно там обычно красным шрифтом на всё окно понаписано. Забыл как эту хуйню вообще назвать-то для гуглежа.
>>1347724 Я не линуксовый админ я noc, но считаю, что эбольшинство из этого должен знать каждый кто решил связать себя с ит индустрией, ероме весьма специфичных и узкоспециализировнных вопросов.
>>1347724 Странный опросник. Вопросы резко различаются от совсем общих, до каких-то узкоспециализированных, ответы на которые не узнать, если не было нужды заниматься этим вопросом. Хотя ответы гуглятся за минуту.
Вон например динамический шейпинг в freebsd/linux или по mysql вопрос.
>>1347724 >12. Как в консоли посмотреть МАС адрес другого сервера без доступа к нему по ssh. Ну охуеть вообще. И как же, если он не в одной подсети с доступным тебе? >14. Web-сервер не пингуется. Ясно. >У Вас выгорел жесткий диск на Linux сервере, Вы заменили диск, восстановили систему из бэкап стартует. Почему? >восстановили систему из бэкап стартует. Почему? Потому что сразу же после этого я банку кока-колы. >От чего удалось и переходе на 64-битные системы. Ой, всё.
>>1334077 >С которой, тем не менее, справляются не все, хотя это основы. >Кольцом, да.
Пиздец, бля. Электрик, что ли? У меня на старой работе в одном ящике такие "спецы" напроектировали Ethernet через какой-то мудацкий 3 МГц разъем. Потом удивлялись, смотря сигналы осциллом, какое говно получилось. Что Link Test Pulses - и те превращались в кашу из-за отражений. Немного купировали отрезком витухи, да так и спихнули. Все равно там говна было еще дофига, и ящики возвращались не раз и не два
>>1334861 >Гальваноразвязка на современных сетевухах есть по идее
Возьми как-нибудь дохлую сетевуху, и вскрой черную коробку с 16 выводами. Это легко, внутри найдешь 4 трансформатора. Это и есть гальваническая развязка.
На нем коммутация. Я, помню, делал всю маршрутизацию на шлюзе (потому что там реальная маршрутизация с NAT'ом нужна была). Шлюз у меня сидел в 3 VLAN'ах и все теги обрабатывал сам
>У Вас выгорел жесткий диск на Linux сервере, Вы заменили диск, восстановили систему из бэкап стартует. Почему? >От чего удалось и переходе на 64-битные системы. > Назовите широковещательный адрес для подсети 192 1680 1/32
Стекломой?
>фaйловыми системами нового типа (BTRFS, XFS) XFS 100 лет в обед
>>1330872 (OP) Сетку вначале в порядок приведи, поставь в филиалах хоть что-нибудь, что может в ВПН Объединение для бога объединения, чтобы в усть-зажопинске директор мог печатать на днищепринтер. Потом насильно всех перетараканить на тонкие клиенты, хоть те же тв-приставки на ведроиде оче даже норм (на некоторые есть даже норм линух, только придется клонзилой или еще как-нибудь массово пихать) и вендосервак по желтую пизду и будет тебе только пиздец с виндосервером.
>>1330872 (OP) >dir320 Обладатель оного. Начал виснуть, я его просто сбросил кнопкой, не виснит от уже джва года. Не выебывайся и лепи из того что есть
>>1370081 > При стандартных настройках Apache, как установить из консоли другого работает ли он? > Web-сервер не пингуется. > Стекломой? Скорее пикрелейтед.
Устроился тут в одну фирму - 20 офисов, компов 100 в сумме.
Повсюду полная анархия, бизнес рос из оче маленького постепенно, человеку что был до меня было на всё похуй.
В качестве шлюзов в офисах стоят чуть ли не dir320, постоянно зависающие. Все работают под админскими учетками. АМИГО вперемешку с прочим говном на всех рабочих станциях.
Задача: привести всё в нормальное состояние. Сделать возможным обслуживание офисов полностью удалённо. Закрыть доступ к вконтактам и прочим одноклассникам, попутно наставив анальных зондов, по указанию гендира.
Поэтому накопилась куча вопросов, по которым хотелось бы услышать мнение анона.