Ответы пользователя по тегу Сетевое администрирование
  • Как организовать систему балансировки нагрузки во время работы доменных пользователей Active Directory?

    hint000
    @hint000
    у админа три руки
    1. Вы пишите, что у вас только один контроллер домена. Второй сервер вы только собираетесь сделать контроллером домена? Делается в два шага: (а) ввести сервер в существующий домен, (б) добавить на нём роль AD DC и объявить его новым контроллером.

    2. Два контроллера домена нужны не для балансировки нагрузки, а для надёжности работы всего домена.

    3. О какой-то нагрузке на контроллер домена можно начинать рассуждать, когда в домене 1000+ пользователей; в этом случае у вас уже будет развитая сетевая инфраструктура, и вы можете два контроллера разместить в двух сайтах (в терминах AD), каждому сайту назначить подсеть, пользователи из определённой подсети будут обслуживаться своим контроллером;
    Но если у вас пользователи распределены территориально и работают в разных подсетях, то даже при малом количестве пользователей есть смысл распределить контроллеры по тому же принципу - не для распределения нагрузки, а для надёжности.
    Ответ написан
    3 комментария
  • Как включить интернет только у виртуалки?

    hint000
    @hint000
    у админа три руки
    Самое простое - использовать мостовое подключение
    Правильно, мостовое подключение является необходимым условием (если не изобретать сумасшедшие схемы). Но сам способ ограничения зависит от конкретных целей (от кого или чего хотите защититься, это важно) и имеющихся средств (например, доступности/недоступности сетевой инфраструктуры за пределами хоста и т.д.). Вспоминать и описывать все возможные варианты лень, не хочется тратить столько времени. Так что уточняйте.

    Насчёт настройки сети QEMU через мост:
    Как подключить виртуальную машину qemu к основной сети?
    и в целом https://www.google.com/search?q=qemu+bridge+networking
    Ответ написан
    Комментировать
  • Можно ли раздать интернет на Access Point?

    hint000
    @hint000
    у админа три руки
    Посмотрите в настройках eltex (вы не указали конкретную модель, ну да ладно; на оф.сайте eltex восемь разных моделей точек доступа в офисном (indoor) исполнении), позволяет ли она переключиться в режим клиента (что-то типа client mode или wisp mode или station mode), если да, то нужно будет в него и переключиться, выбрав для подключения имя сети от вашего роутера (ну и и пароль). Разумеется, лучше переводить в этот режим точку, ближайшую к роутеру, а остальные перенастраивать не надо, они будут связываться с той точкой по кабелю.
    типо WDS
    забудьте это ругательное слово. ;) Это очень плохой вариант уровня last hope, т.е. когда нет никаких возможностей сделать по-человечески.
    Если у точек нет режима клиента (скорее всего, он есть), тогда рекомендую заменить одну точку на устройство, имеющее такой режим (их навалом, даже среди дешёвых), но только не связывайтесь с WDS.
    Ответ написан
    Комментировать
  • Можно ли восстановлени резервной копии Windows server на другом железе?

    hint000
    @hint000
    у админа три руки
    Ситуация: умер важный сервер и нужно срочно его восстановить
    Если он на самом деле важный, то у вас два (с половиной) пути.

    (1) Если он на самом деле важный, то у вас есть резервное железо, в точности такое же (вы об этом позаботились заранее, потому что сервер важный), восстановление из резервной копии проверено на этом железе - успешно восстанавливается;

    (1a)
    Если он на самом деле важный, но об этом подумали слегка поздновато, и уже нет возможности найти в точности такое же железо, тогда берёте такое железо, какое есть, и проверяете на нём восстановление из бэкапа, если не восстанавливается, то берёте какое-нибудь другое железо и проверяете... пока не найдёте то, на котором проверка успешно пройдёт;

    (2) Если он на самом деле важный, то виртуализируйте его. Тогда всё становится на порядок проще в аспекте вашего вопроса - вы имеете какое угодно резервное железо с заранее поднятым на нём гипервизором (выбор гипервизора на ваш вкус), а виртуальной машине фиолетово на железо, если только не требуется пробрасывать в неё какой-нибудь контроллер, видеокарту и т.п., но это экзотические ситуации.
    Ответ написан
    Комментировать
  • Таблица маршрутизации?

    hint000
    @hint000
    у админа три руки
    Чем по-вашему маршрутизатор отличается от ПК?
    Тем, что маршрутизатор маршрутизирует для других, а ПК маршрутизирует для себя. Сам процесс маршрутизации тот же самый.
    Ну ладно, посмотрим на ПК. Вот какая-то программа сгенерировала tcp-пакет с адресом назначения 11.23.45.67, а другая программа получила пакет с адреса 192.168.1.100 и хочет на него ответить своим пакетом. А таблицы маршрутизации нет, предположим. И что дальше делать с пакетами первой и второй программы? Просто хочется понять вашу логику, как вы хотите обойтись без таблицы маршрутизации, но продолжать отправлять пакеты куда следует.
    Ответ написан
    Комментировать
  • Как включить пропавшие уведомления в outlook?

    hint000
    @hint000
    у админа три руки
    у части пользователей
    Сравните группы, в которые входят беспроблемные пользователи и группы, в которые входят проблемные пользователи. Возможно, проблема возникает при вхождении в какую-то группу, а возможно и наорот - при невхождении в какую-ту группу.
    Ответ написан
    Комментировать
  • Зачем нужна рабочая группа Windows?

    hint000
    @hint000
    у админа три руки
    Низачем не нужна. Просто наследие. Была в 1992 году такая Windows 3.11 для рабочих групп. Потом Windows 95, Windows 95 OSR2, Windows 98, Windows 98 SE, Windows Millenium...
    Вот это вот всё...
    Идея была в том, что в сети есть сто ПК, ты их распределяешь на десять рабочих групп. Пользователь тыкает на ярлык Network neighborhood (Сетевое окружение) и видит в первую очередь компьютеры из своей рабочей группы. А уж если пользователю приспичит, тогда он дополнительными кликами может увидеть другие рабочие группы. Т.е. примитивная иерархическая структура в сети. Условно "рабочая группа" - это отдел в офисе, и 99% общения на работе происходит в пределах своего отдела.
    Сейчаc не актуально, ибо уже не принято расшаривать папки на ПК пользователей, а вместо этого централизовано используется файловый сервер.
    647f05e442957601550677.png
    Ответ написан
    1 комментарий
  • Iptables, в чем назначение состояние NEW в цепочке INPUT?

    hint000
    @hint000
    у админа три руки
    Давайте по аналогии. Вы заходите в автобус или в вагон поезда. В этот момент вы - NEW. К вам подходит кондуктор. В автобусе вы покупаете билет, а в поезде предъявляете ранее купленный билет. Кондуктор запоминает ваше лицо и больше к вам не пристаёт, потому что теперь вы - ESTABLISHED. А ещё у вас может быть с собой чемодан - это ваш RELATED.
    Когда вы делаете ... --state RELATED,ESTABLISHED,NEW -j ACCEPT -это значит что кондуктор спит или бухает, вошедших NEW зайцев никто не проверяет, они спокойно едут.
    Не забывайте, что после срабатывания -j ACCEPT или -j DROP дальнейшие правила в цепочке не применяются, так что не важно, что в следующей строчке вы хотите закрыть доступ по какому-то порту, если вы уже применили -j ACCEPT раньше.
    Ответ написан
    4 комментария
  • По каким портам слушается ответ на TCP запрос?

    hint000
    @hint000
    у админа три руки
    Это называется исходящий порт или порт источника. Он часто не фиксированный, а меняется в широких пределах (от 1025 до 65535).
    С какого порта был отправлен запрос, на тот порт и придёт ответ. Это обязательный принцип.
    Ответ написан
    6 комментариев
  • Получить WAN по WISP и анонсировать эту же сеть по DHCP?

    hint000
    @hint000
    у админа три руки
    Режим WISP неуместен для решения задачи, если я эту задачу правильно понял. Тут нужен режим station (он же ещё может называться "wi-fi client", не знаю, есть ли на Кинетике и если есть, то как он там называется). В этом режиме беспроводной и проводной интерфейсы в бридже.

    Роутинг между интерфейсами не работает, когда разные интерфейсы принадлежат одной сети. WISP - это роутинг.
    Ответ написан
    1 комментарий
  • Как программно решить проблему потери пакетов или хотя бы сгладить её?

    hint000
    @hint000
    у админа три руки
    Попробую уточнить вопрос, как я его понял.
    В UDP тупо перепосылать пакеты нельзя.
    Про UDP согласен, забудем про него.
    В TCP пакеты и так перепосылаются при недоставке.
    Есть ли тонкие настройки (для ядра Linux и т.п.) параметров TCP, такие, чтобы минимизировать задержки при повторной отправке пакетов, ценой большей утилизации пропускной способности, когда заведомо известно о больших потерях?

    Исходя из уточненной формулировки гуглим: https://www.google.com/search?q=high+tcp+packet+lo...
    Попадаем сюда: xgu.ru/wiki/TCP_tuning
    Потом сюда: https://www.linux.org.ru/forum/talks/10310095
    И сюда: https://habr.com/ru/post/168407/
    И, наконец, попытаемся призвать в топик самого ValdikSS , может быть с момента публикации статьи появилось что-то новое по этой теме.

    Собственно,
    sysctl -w net.ipv4.tcp_congestion_control=westwood
    Ответ написан
    Комментировать
  • Как настроить микротик под большое кол-во пакетов?

    hint000
    @hint000
    у админа три руки
    Как сделать, чтобы все пакеты не попадали в какое то узкое горлышко
    Попробуйте копать в эту сторону: https://yandex.ru/search/?text=mikrotik+fasttrack
    Ответ написан
    Комментировать
  • Опять resolv.conf?

    hint000
    @hint000
    у админа три руки
    Радикальное решение - отключить нафиг
    sudo systemctl disable systemd-resolved.service
    и вместо него поднять локальный кэширующий DNS по своему вкусу.
    Ответ написан
    Комментировать
  • Запуск OpenVPN клиента и сервера на одной машине. Как?

    hint000
    @hint000
    у админа три руки
    На VPS я решил организовать "транзитный VPN"
    А всего-то надо было настроить на промежуточном узле DNAT через iptables. И не нужно там ни клиента, ни сервера OpenVPN.

    Update: DNAT + SNAT.
    Ответ написан
    6 комментариев
  • Как настроить ACL списки в debian?

    hint000
    @hint000
    у админа три руки
    iptables -A INPUT -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -p tcp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
    4.4.4.100 - это сам debian, вид снаружи?
    iptables -A INPUT -p udp --dport 53 -j ACCEPT
    5.5.5.1 - это кто? Отечественные телепаты попали под западные санкции. А правила будут разные в зависимости от того, где находится сетевой интерфейс с данным адресом. Если на самом debian, то INPUT, если на другом хосте, то FORWARD. И это мы ещё не знаем, насколько свеж debian. Потому что сейчас в тренде nftables вместо iptables и старый добрый iptables, например, на последней убунте уже не работает (делает вид, будто работает, но на самом деле нет).
    Ответ написан
  • Можно ли настроить одну сеть для wan и lan портов?

    hint000
    @hint000
    у админа три руки
    Про маску сети забыли.
    Если 10.0.0.12-10.0.0.20 будут в одной сети, то согласно простой математике 10.0.0.10 будет в той же самой сети (маска /27 или меньше (/26, /25, /24,..) и вы не придумаете такую маску, чтобы отделить 10.0.0.10).

    Но можно WAN 10.0.0.10/28 (от 10.0.0.1 до 10.0.0.14) и LAN 10.0.0.17/28, под DHCP 10.0.0.18..10.0.0.30
    Можно ли настроить одну сеть для wan и lan портов?
    Одну - нельзя, потому что маршрутизация так не работает. А маршрутизация - это основная функция маршрутизатора. Маска как раз и разделяет диапазон адресов на разные сети. Предложенный мной пример - это не одна сеть, а две разные сети.
    Ответ написан
    1 комментарий
  • Видно ли использование Vpn для установленной программы внутри виртуальной машины?

    hint000
    @hint000
    у админа три руки
    Нет, достоверно определить нельзя, при условии что через VPN будет пущен весь трафик виртуальной машины.
    Но если VPN-сервер размещён где-то на хостинге, то можно по пулу адресов сделать обоснованное предположение насчёт использования VPN. Грубо говоря:
    мой трафик идёт через Amazon, с чего бы это? Это VPN, наверное.

    И ещё относительно легко обнаружить, что система запущена в виртуальной машине, если это имеет значение.
    Ответ написан
    Комментировать
  • Как найти причину пропадания сети в Debian 11?

    hint000
    @hint000
    у админа три руки
    link со стороны роутера отсутствует, link на ноуте имеется
    Т.е. нетбук подключен кабелем? Похоже на проблему железа.
    1. попробовать подключить в другой порт роутера;
    2. поменять кабель (хотя его трудно заподозрить, но...);
    3. если не поможет 1 и 2, то провести простой опыт: взять любой исправный свитч (хоть пятипортовый за 300 рублей), воткнуть между роутером и нетбуком и смотреть, с какой стороны линк сохраняется, а с какой теряется; если и с промежуточным свитчём будет пропадать линк на роутере, значит неисправен роутер; в противном случае может быть неисправен ethernet-адаптер нетбука, тогда можно купить USB-ethernet-адаптер.
    Ответ написан
    Комментировать
  • Что значит migration to the new range на сервере?

    hint000
    @hint000
    у админа три руки
    Значит можно получить адрес из другого диапазона адресов (new range). Если захотите.
    Ответ написан
    Комментировать
  • Пропадает интернет на удалённой Windows?

    hint000
    @hint000
    у админа три руки
    Проблема с DNS.
    Входящим RDP-соединениям пофиг DNS, поэтому работало.
    Ответ написан
    Комментировать