В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

RouterOS Security

3752 membersпожаловаться на группу
2020 November 25

AN

Alexey Nechitaylo in RouterOS Security
буду на выходных переключать всю нагрузку на CHR
через пару недель дам повторный фидбэк
источник
22:49пожаловаться#1

AN

Alexey Nechitaylo in RouterOS Security
В связи с тем, что CHR похоже будет основным маршрутизатором в моей среде, вопрос.
При использовании нескольких публичных IP адресов в рамках единой физики (сетевой порт хостового сервера) правильным ли будет   такой конфиг CHR - один WAN интерфейс с несколькими адресами на нём?
источник
22:56пожаловаться#2

AN

Alexey Nechitaylo in RouterOS Security
цели использования разных IP:
- туннели между клиентскими сетями
- публикация (dst-nat) на одинаковых стандартных портах сервисов из ДЦ
источник
22:58пожаловаться#3

AK

Alexey Konstantinov in RouterOS Security
Alexey Nechitaylo
Шановне панство.
Докладываю промежуточные итоги по моему недавнему вопросу о проблеме с IPSec туннелями между офисными микротиками и виртуальным PFSense в ДЦ.

Вместо PFSense запилил CHR и перевёл на него одного клиента, у которого канал залипал чуть ли не каждый день.
За полторы недели ни единого разрыва.
стоило ожидать.
источник
23:33пожаловаться#4

AK

Alexey Konstantinov in RouterOS Security
Alexey Nechitaylo
цели использования разных IP:
- туннели между клиентскими сетями
- публикация (dst-nat) на одинаковых стандартных портах сервисов из ДЦ
я бы попросил в ДЦ сетку которую можно прокинуть внутрь CHR....
источник
23:34пожаловаться#5

AK

Alexey Konstantinov in RouterOS Security
маршрутизируемую.
источник
23:34пожаловаться#6

AN

Alexey Nechitaylo in RouterOS Security
Alexey Konstantinov
я бы попросил в ДЦ сетку которую можно прокинуть внутрь CHR....
Не совсем понятно, что значит прокинуть.

Я могу добавлять самостоятельные интерфейсы в VM и цеплять отдельные адреса к ним.
НО.
Проблема несколько с другой стороны.
Судя по техническим характеристикам VMware ограничивает вертушку десятью интерфейсами. А у меня потенциально может быть больше, и надо как-то ограничиться с этой стороны.
источник
23:39пожаловаться#7

IR

Igor Rudakov in RouterOS Security
Alexey Konstantinov
я бы попросил в ДЦ сетку которую можно прокинуть внутрь CHR....
Дорожче будет, лучше один адрес и на нем все разрулить
источник
23:39пожаловаться#8

AK

Alexey Konstantinov in RouterOS Security
Alexey Nechitaylo
Не совсем понятно, что значит прокинуть.

Я могу добавлять самостоятельные интерфейсы в VM и цеплять отдельные адреса к ним.
НО.
Проблема несколько с другой стороны.
Судя по техническим характеристикам VMware ограничивает вертушку десятью интерфейсами. А у меня потенциально может быть больше, и надо как-то ограничиться с этой стороны.
Прокинуть это значит взять доп сетку например /28 и зароутить ее через адрес микрота
источник
23:42пожаловаться#9

AK

Alexey Konstantinov in RouterOS Security
Igor Rudakov
Дорожче будет, лучше один адрес и на нем все разрулить
Разные сервисы, разные адреса.
CHR как файрвол - как по мне оно не сильно дороже но сильно управляемее
источник
23:42пожаловаться#10

C

Chumayu in RouterOS Security
Alexey Nechitaylo
цели использования разных IP:
- туннели между клиентскими сетями
- публикация (dst-nat) на одинаковых стандартных портах сервисов из ДЦ
С туннелями ещё как то понятно а вот второй пункт, подробнее можно?
источник
23:42пожаловаться#11

AN

Alexey Nechitaylo in RouterOS Security
Alexey Konstantinov
Прокинуть это значит взять доп сетку например /28 и зароутить ее через адрес микрота
Это меня не избавит от необходимости создания на роутере соответствующего количества интерфейсов.
А уйти надо именно от этого.
источник
23:43пожаловаться#12

AK

Alexey Konstantinov in RouterOS Security
Chumayu
С туннелями ещё как то понятно а вот второй пункт, подробнее можно?
Порт 22 на разных адресах ведет на разные хосты
источник
23:43пожаловаться#13

AN

Alexey Nechitaylo in RouterOS Security
Chumayu
С туннелями ещё как то понятно а вот второй пункт, подробнее можно?
HTTPS на 443 порту без возможности реверс прокси
источник
23:43пожаловаться#14

AK

Alexey Konstantinov in RouterOS Security
Alexey Nechitaylo
Это меня не избавит от необходимости создания на роутере соответствующего количества интерфейсов.
А уйти надо именно от этого.
Избавит.
Интерфейса всего два будет на роутере
источник
23:43пожаловаться#15

C

Chumayu in RouterOS Security
Alexey Nechitaylo
HTTPS на 443 порту без возможности реверс прокси
Это один клиент (заказчик) или разные?
источник
23:45пожаловаться#16

AK

Alexey Konstantinov in RouterOS Security
Alexey Nechitaylo
Это меня не избавит от необходимости создания на роутере соответствующего количества интерфейсов.
А уйти надо именно от этого.
Просто в портгруппе той же будут все хосты и у них будут адреса из той самой сети /28 и микрот шлюзом
источник
23:45пожаловаться#17

AN

Alexey Nechitaylo in RouterOS Security
Chumayu
Это один клиент (заказчик) или разные?
разные
и у каждого одинаковый сервис на 443
а то и не один
источник
23:46пожаловаться#18

AN

Alexey Nechitaylo in RouterOS Security
Alexey Nechitaylo
разные
и у каждого одинаковый сервис на 443
а то и не один
я понимаю, что тут тоже можно поиграться, но пока красота с дефолтными портами в приоритете
источник
23:47пожаловаться#19

AK

Alexey Konstantinov in RouterOS Security
Alexey Nechitaylo
разные
и у каждого одинаковый сервис на 443
а то и не один
Ну вот тем более можете разным из той сети давать разнве адреса и всё ...
Но в целом можно конечно на один интерфейс адреса вешать да - не проблема . Просто менее наглядно и менее управляемо имхо
источник
23:47пожаловаться#20