Сообщество - Лига Сисадминов

Лига Сисадминов

502 поста 10 713 подписчиков
36

Помогите с IPv6 маршрутизацией

Всем привет! Есть задачка как мне кажется не решаемая, но я могу ошибаться т.к тут используется IPv6 а "IPv6 - это весело"

нужно реализовать маршрутизацию из одной подсети fd00:0:0:1::/64 в другую fd00:0:0:2::/64

НО! вторая сеть физически разделена на много сетей (на картинке выделены цветом)

Помогите с IPv6 маршрутизацией Маршрутизация, Ipv6

понимаю что нужно делать разные подсети fd00:0:0:3::64  -  fd00:0:0:ffff::/64 но это не устраивает заказчика, пытаюсь объяснить что так как бы нельзя, нужно делать разные или делать подмену IP, но это тоже не устраивает. Делал статическую маршрутизацию не работает, поднимал OSPF, результат тот же. Может есть еще какие-то протоколы которые могут это реализовать? Или может еще что..

З.Ы. Мост не подходит т.к. интерфейс смотрящий в эти сети на маршрутизаторах это tun, а tun не умеет в мост.

339

0 урок DevOps

0 урок DevOps, Теория.

В этом видео рассматриваем микросервисные и монолитные архитектуры, базовые составляющие Kubernetes.

Ссылка на предыдущий урок: -1 Урок DevOps

TG канал где можно позадавать вопросы: https://t.me/pikabu_devops

5

Управление 4Pin вентилятором на материнской плате Asus m5a97 r2

Всем доброй ночи! 2 вопроса:

1) разъемы cha_fan(2,3) не управляют вентилятором. Всегда макс обороты. В биосе их настройки нет, но видно что разъемы считывают обороты. Что то можно сделать?



2) Как работает 4pin вентилятор?

Везде пишут что на 4ый пин подаётся шим с разной скважностью, но у меня материнка делает иначе:

на 4 пине всегда +4.9V

На 2 пине от +5.5 до +12.2v


Я понимаю что происходит управление по напряжению,но вопрос, зачем тогда 4ый пин? Резервное питание?

Вне зависимости от настроек системы и биоса на 4 пине всегда одинаковое напряжение. Даже смотрел осцилографом.


Объясните пожалуйста...

82

Знающие люди, подскажите с непонятным глюком компа. Или не глюком, хрен его знает... Без рейтинга

Доброго всем.

В общем, ситуация следующая. Комп домашний работает в режиме 24/7. Регулярно нужен удалённый доступ к нему, поэтому вот так. более или менее регулярно стараюсь его пылесосить, чтобы вдруг чего не случилось.

Сегодня с утра с работы заходил на него, всё работало. Вечером пришёл - стоит вдруг выключенный. При нажатии на кнопку питания реакции ноль. То есть отсюда я понимаю, что проблема с железом, скорее всего. На интуиции залез под стол и на несколько секунд буквально вырубил блок питания рубильником сзади. Потом включил - и комп завёлся.

Вот здесь я бы уже начал однозначно грешить на блок питания, но дело в том, что комп завёлся вот через такую картинку

Знающие люди, подскажите с непонятным глюком компа. Или не глюком, хрен его знает... Без рейтинга Без рейтинга, Компьютерная помощь, Помощь

Ну и, соответственно, я ещё и материнку подозревать начал. Когда процесс дошёл до 100 процентов, комп благополучно загрузился.

Собственно основной вопрос - чего бояться?

И дополнительный - можно ли этого "чего" избежать какими-нибудь профилактиками?
ЗЫ. Пришёл только что с работы со второй смены, у меня тут уже ночь ночная, так что комменты читать буду завтра, уж простите...

ЗЗЫ. Решился обнаглеть и опубликовать это вот всё в лигу сисадминов. Не пинайте сильно, если был неправ.

649

PhisonWP - утилита для снятия защиты от записи USB носителей с Windows10

PhisonWP – консольная утилита от товарища null21, для управления статусом WriteProtect на флешках с контроллером Phison. Поможет как свободно блокировать на запись флешку, так и снимать эту защиту в нужный момент.


Инструкция: открываем консоль (Пуск-Выполнить-CMD), переходим в директорию куда вы положили утилиту и пишем:

PhisonWP ‘буква диска’ ‘WP-статус для установки’

Примеры использования:

PhisonWP.exe I ; Получить текущий статус

PhisonWP.exe I ON ; Активировать защиту от записи

PhisonWP.exe I OFF ; Отключить защиту от записи

где I, это буква диска, которая присвоена вашей флешке.



Проверил - сняла защиту с трёх флешек, которые валялись у меня давно в ящике, по 14 Гб каждая.


Источник: https://www.usbdev.ru/files/phison/phisonwp/

PhisonWP - утилита для снятия защиты от записи USB носителей с Windows10 Windows 10, USB, Флешки
4553

Как начать в IT

Смотрели вакансии жене, заодно посмотрел, что там в IT по рынку родного города и тут

Как начать в IT Работа, Вакансии, Ошибка, Сисадмин, Длиннопост, Скриншот

Вот это я понимаю. Сидит Главный Одмин, а помошник ему напитки подает и порядок поддерживает.

Показать полностью 1
168

Сага о переезде

Итак, несколько человек под прошлым постом сказали, что им будет интересно почитать про переезд компании.


Сразу скажу - история не про то, как классно все данные и сервисы размещены в облаке или ЦОДе, как у всех макбуки и мы провели сертифицированный тренинг по их правильному отсоединению от зарядки и складыванию в сумочку. Нет. История о большой компании, которая давно отделилась от другой большой компании, с кучей костылей, множеством «так исторически сложилось» и ограниченным бюджетом. Обычная, короче, компания, не модный стартап со смузи.


Вводные – переезжал головной офис. Сотрудников около 170 человек. Две с половиной стойки оборудования (сеть и сервера). На этих серверах крутятся те сервисы, которые централизованы для филиалов (филиалов на тот момент было чуть больше 30, от Камчатки до Калининграда часовые пояса). На тот момент уже появился круглосуточный call-центр, который тоже крутился у нас. То есть, для call-центра перерыва связи быть не должно. Некоторые сервисы, которые используются в филиалах – перерыв может быть с 20:00 до 00:00, всё остальное должно заработать к понедельнику. Ну и конечно, у бухгалтерии был квартальный отчет и им лучше бы к воскресенью всё сделать. Нас команда: четверо айтишников, включая меня и всех начальников, плюс один безопасник, плюс еще двое ребят от принимающей стороны скорее в качестве физической силы. Это был уже второй такой переезд и что-то мы учли, что-то нет.


В филиалах локально есть контроллеры домена, сервер со специфическим ПО, которое нужно для работы. То есть филиал со скрипом, но может работать автономно. Но без почты, документооборота, лицензий на 1с и прочего ему немного грустно.


Про то, что «скоро переезд, морально готовьтесь» мы узнали за месяц. Про точную дату – дней за 10. Переезд был в ночь с пятницы на понедельник.


Подготовка, первый этап:

Как только известно помещение и туда начинают пускать – выдвигается бригада туда на осмотр. Смотрят помещение под серверную – оно есть или его надо выделять и оборудовать. Смотрят на помещение серверной – должна быть железная дверь, кондиционирование, отсутствие окон, либо решетки на них, должно быть место, чтоб влезли стойки, желательно газовое или порошковое пожаротушение, но ни в коем случае не водяное. Смотрят на расположение серверной относительно офиса – от каждого рабочего места не более 100 метров по изгибам потолка, а если больше, то планируется дополнительно кроссовая (под патч панели и свичи). Смотрят на рабочие места – расшиты ли сетевые розетки, сколько на рабочее место, есть ли запас под всякие принтеры и прочее. Завхоз рисует план рассадки.


Мы переезжали с одного на два этажа, соответственно проверяли ещё, что есть пучок проводов с одного этажа на другой.


При необходимости ищутся подрядчики и заключаются договора по прокладке СКС, монтажу кондиционеров и прочей лабуды.


Подготовка, второй этап:

Решение вопроса с интернетом и телефонией. У нас это выглядело следующим образом:


- запрашиваем КП у текущих провайдеров на перенос канала на новое место + еще парочку провайдеров на подключение на новом месте.

- Выбирается одно лучшее из новых и одно лучшее из старых провайдеров.

- готовимся все сервисы ужать в одного провайдера, который остается на старом месте

- Договариваемся примерно по срокам, они начинают протяжку и подключение, но час Х обговаривается позже. Обычно это за 3-5 дней до переезда у старого провайдера и за 7-10 дней до переезда у нового провайдера, чтоб успеть туда съездить и протестировать.

- Договариваемся с провайдером телефонии о переноси, они тоже тянут кабели. Тут час Х обычно в день переезда часов в 14-16.

- У нас 8800 приходит по IP, потому уведомляем Ростелеком, что в цепочку IP добавится еще один адрес (нового провайдера).


Как только известны IP нового провайдера, на них прописываются MX с низким приоритетом, договариваемся, что они на почтовик нам обратную зону пропишут и прочее такое, чтоб при переезде подрубиться частично к новому провайдеру. Также всем филиалам рассылается новый будущий IP для подключения по IPSec, у кого есть возможность (D-Link), он прописывается в адресную книгу. Всем составляется инструкция – как менять самим по отмашке.


Подготовка, третий этап

Выясняем план рассадки у завхоза, едем сверять его с помещением. Обязательно найдутся места, где нет не то что сетевых, а даже электрических розеток. По срокам смотрим: успеют сделать монтаж или нет, и если нет, срочно закупаем пару бухт витухи и удлинители.


Пытаемся понять, есть ли на новом месте стойки в серверной для монтажа. В этот раз 2 стойки ехали с нами и полторы в сумме были свободны у принимающей стороны для точечного втыкания чего-нибудь. Это важно, от этого зависит план переезда.


За неделю начинаем накидывать поэтапный план на день переезда, но об этом дальше.

Уговариваем начальство, что сотрудников перевозят специальные грузчики (Они отсоединяют компы, пакуют, подсоединяют на новом месте по плану рассадки). Поясню – один админ в средне физической форме может распаковать, расставить и подключить в среднем 20-25 рабочих мест за рабочий день без перекуров. То есть, если не тянуть кабели, быстро кроссировать куда попало, то нам на четверых как раз 2 дня не разгибаясь, а, как вы понимаете, сервера сами себя не поставят в стойку и не настроят. Да, у этих перевозчиков куча косяков, но это не ваши косяки, а их. Примерно 20% они подключат не так или не воткнут моник или еще что, но это можно будет решить в понедельник, главное, они всё расставят, снимая с вас физическую работу.


Думаем, что-как распределить в кроссовой и серверной и не надо ли чего купить (нам нужны были гребёнки для проводов и дополнительные розетки в стойку).


Смотрим, что там с электричеством и сколько киловатт надо на наши UPSы. Мы этот этап продолбали и срочно искали электриков за день до переезда, так что советую озаботиться заранее – там ещё и предохранители иногда надо менять. Также для подключения большого UPS может понадобиться электрик на месте – надо озаботиться, чтоб он там в ночь дежурил.


За три дня до переезда

Всем сотрудникам напоминаем, что надо подписать всё своё оборудование – наклейки на комп, монитор, ИБП, телефон, наушники и т.д. Для фирмы-перевозчика еще и номер рабочего места пишут, а у них есть план рассадки с этими номерами – по нему расставляются рабочие места в новом офисе.


Собираем по максимуму личные вещи и всякое со стеллажей. Выкидываем весь хлам (мертвые списанные принтеры «авось пригодится», старые доки на гарантию, разбитые моники и прочее барахло). Иногда можно договориться с фирмой на утилизацию, которая всё бесплатно заберет – мы так делали. Всё, что не хлам – пакуем под переезд (не новое, но рабочее оборудование, которое лежит про запас, для тестов).


Откладываем: консольные кабели ко всем железкам, один удлинитель, пару полутораметровых патчиков, 2 мышки, 2 клавиатуры, 2 монитора, обжимка. Один комплект монитор-мышка-клава можно увезти в новую серверную, провода пойдут вам в рюкзак в день переезда.


Сверяем схему сети с текущим положением вещей – освежаем, если что не так. На схеме должны быть подписаны все транковые порты с указание VLAN в них, порты на всяких криптошлюзах и все неочевидные соединения, а также все порты, куда приходят белые IP напрямую, порты в LACP, зазеркалированные порты. Мы разъезжались на два этажа, а потому я рисовала еще прикидочную схему для нового расположения.


Проверяем, что все сервера подписаны.


Еще раз дублируем филиалам, что скоро мы переезжаем, да, сервисы будут недоступны, можно не звонить, сервер будет в машине ехать. Дублируем им инструкции, говорим, что переключаться после 23:00 в пятницу. Или можно раньше для дальневосточных регионов.

Если что-то требует ребута после установки обновлений – вечерком всё ребутаем. В день переезда сервера должны выключаться быстро.


Проверяем работу провайдеров в новом офисе.

Проверяем наличие всех бэкапов.

Оформляем круглосуточные пропуска в новый и в старый офис на всю команду.

Окончательно формируем план на день переезда.


Договариваемся, кто принесет шуруповерты из дома – необходимо минимум 2 шуруповерта и 2 большие плоские отвертки из фикспрайса (ими удобно поддевать крепления в стойках, а также из них получается отличный рычаг, если что поддеть, поднять и т.д.).


День переезда (пятница)

Приезжаем на работу с ноутбуком, зарядкой к нему. Помним про 2 шуруповерта. Я ещё беру набор фломастеров – рисовать поверх схем. Рекомендую моток малярного скотча.


Проверяем еще раз наличие бэкапов.


На сайт вешаем баннер, что «с 18:00 технические работы, возможны перебои в работе call-центра».

Все инструкции по восстановлению, IP адресацию, схемы сетей, телефонные справочники копируем на ноутбук. Вы же помните, ваша справочная система и шары будут отключены. Еще хорошо бы дистрибутивы серверной винды и live-cd к линуху. А также Putty, tftp32, Wireshark.

Распечатывается в 4 экземплярах текущая схема сети и будущая схема сети. Печатаются все контакты всех поддержек провайдеров, а также то, что они спрашивают: ИНН, номер личного кабинета или что ещё. Печатается телефонный справочник админов филиалов.


К 12 дня выключаются все дублирующие контуры: по 1 серверу из кластеров. 1 контроллер домена, один почтовик, один edge и т.д. Также к 12 ИТ выключает свои ПК и переходит на ноутбуки. Эта первая партия грузится кому-то в машину и уезжает в новый офис.


У организации в пятницу рабочий день до 16, но все всё равно пакуют вещи и трындят, так что основной народ выпинывают по домам в 14. Но бизнес-процессы филиалов завязаны на ГО. Так что грузчики носят мебель, пакуют людей, а мы пока выключаем вторую партию – то, что не нужно для работы филиалов или без чего можно пережить – это сервер антивируса, FTP, мониторинг, сервер видеоконференций, WSUS, все пользовательские коммутаторы и телефония ГО.


Также где-то в 15 у нас назначено переключение городских телефонов. Как только доезжает но нового офиса партия с телефонией – я подключаю и проверяю. Городской телефон – последний резерв для нашего 8800, а значит должен работать хотя бы один аппарат. В новый офис уезжает один из маршрутизаторов и проверяется, что остальные специалисты call-центра из ночной смены смогут подключиться через него по VPN. Эту ночь они будут работать на удалёнке, кроме одного на физическом городском телефоне в самый переезд.


Начиная с 16 стараемся освободить одну стойку и UPS, на новом месте всё ещё некуда втыкать сервера. 2 сетевухи в NIC Team и два блока питания на разных упсах этому способствуют. Сервер можно переставить из стойки в стойку попеременно отключая по одной паре проводов. Часть серверов просто кладем на пол работать. Ребята разбирают стойку, отдают грузчикам. И один UPS (120 кг) тоже.


Кто-то в новом офисе собирает стойку и подключает ИБП, у остальных перерыв до восьми вечера где-то.


В 20:00 выключается всё, кроме call-центра и того, что нужно операторам для работы (а им нужна почта, единая БД с данными, маршрутизатор, коммутатор под это… короче, в сумме серваков 5 + кусок сети). Разбираем вторую стойку. Все грузимся и едем монтировать на новом месте.


Я занимаюсь сетью: первая задача инет, всё распределить, всё связать, коммутаторы под серваки и IPMI. У нас инет получился на одном этаже, а все сервера и большая часть сетевого оборудования на другом, соответственно, всё прокинуть через межэтажные розетки, всё подписать на схеме, потом DHCP, Контроллеры домена, почта. Проверяю каналы с филиалами дальше, чем +5 часов от мск – если не осилили по инструкции, перенастраиваю (да, авто-failover там очень херово отрабатывает, поэтому ручками). Перебиваю вся внешнюю зону DNS под новые адреса.


Все монтируют сервера, проверяют их работу. Это не быстро, так как грузчики их замотали в пупырку, а снаружи они не подписаны, а начать хочется опять же с критичного.

Сага о переезде Системное администрирование, Переезд, План, Длиннопост

Где-то в 22 прерываемся и едем за call-центром в старый офис. Всё отрубаем, всё забираем – всё, сюда больше не вернёмся в ближайшее время.


Врубаем всё для call-центра на новом месте, проверяем, что операторы могут работать. Параллельно продолжаем монтировать сервера.

Добиваю каналы со всеми филиалами. Попутно разгребаем неизбежные косяки, втыкаем сеть в соответствии со схемой. Проверяем, что всё запустилось. Втыкаем остальные сервера (те, что еще в первой партии – дубли и ненужное). Синхронизируем и реплицируем всё, что рассинхронизировалось. Кроссируем кабинет для операторов контакт-центра. Всё, к 3-4 утра разъезжаемся спать.


В 8 нас будит следующая смена операторов – им косячно перевозчики подключили компы. У двух нет сетевого кабеля, одной не подключили монитор и т.д. Но у них есть пара работающих мест и они пока переживут.


К 10 утра мы снова в офисе. Теперь делимся – один идет проверяет компы по списку приоритеа – у нас это call-центр, бухгалтерия, топ-менеджмент. Потом сколько успеет остальных. Много где надо тянуть кабель, много где наоборот - длинную мотню заменить коротким. Всех нужно скроссировать. Попутно принтеры надо подключить и тоже скроссировать отдельно, проверяем на свежую голову, что всё работает. Рассасываемся дальше спать часов в 18. В Воскресенье все появляемся на пару часов в разное время – подключить свои рабочие места, помочь бухгалтерии, у которой отчет, проверить еще сколько-то компов на местах у юзеров, порешать всё, что не работает.


Понедельник – решаем проблемы по мере поступления – у кого-то умер винт при переезде, у кого-то моник коцнули, у кого-то розетка не туда скроссирована. Часть телефонов попали в сеть другой организации и требую теперь только шифрованный конфиг и прочие мелочи. Ну и начинается месячник "мне дует" и "меня облучает, пересадите".


Итого:

У нас был большой косяк с электричеством, мы про него забыли.

У меня был косяк с тем, что Ростелеом не отрабатывал failover как обещал, а я не проверила заранее.

Еще косяк с контакт-центром, можно было взять ip АТС c десятком номеров на месяц – на время переезда было бы проще, не подумала.

Если у вас есть пустые стойки в новом офисе – всё гораздо быстрее.

Перевозить много юзеров малым составом эникейщиков не стоит, лучше нанять фирму. Фирма косячит, но это лучше, чем самим, просто поверьте (если у вас конечно нет бригады в 4 эникейщика в хорошей физической форме).


Послесловие:

Я не буду как в прошлом посте отвечать на каждый коммент и оправдываться, почему так, а не иначе. С удовольствием почитаю ваши советы и что-то мы возьмем на вооружение в следующий раз. А что-то проигнорирую, ибо на то есть причины.

Цель данного поста – описать переезд глазами админа. Мне бы такой пост очень помог в первый наш переезд, когда у нас был косяк на косяке. Постаралась упомянуть всё, что вспомнила. А на хабре пишут ванильные посты про супер-современные офисы.

Показать полностью 1
16

Windows Server 2012 r2 не запускается брандмауэр код ошибки 5 [Решена]

Решение: #comment_181711981

Доброго времени суток уважаемому Сообществу.

Собственно проблема в заголовке поста.
Имеется старенький сервак HP Proliant с одним 8-ядерным ксеоном и 32 гигами ОЗУ
На нём уже 4й год работает Windows Server 2012 r2 x62 + 1С сервер + TerminalServer
Клиенты 1С подключаются как по локалке, так и по RDP, также и через VPN, который поднят на другой машине в той же сети.
Наружу - белый IP
Из стороннего софта на сервере стоит только собственно 1С, всякие .NET и архиватор. Больше ничего. Никто сервак не трогал уже пару лет.
Проблема с службой брандмауэра, которая была отключена каким-то зверским образом (возможно через реестр) при установке винды. До сих пор она и не требовалась.
Сегодня утром сервак пропал из сети, перестал пинговаться, отвалился доступ через VPN и RDP.
При попытке запуска службы брандмауэра, выдаётся ошибка с специфическим кодом 5. Описание гласит, что это ошибка доступа к службе. То есть нет прав на запуск. В параметрах самой службы прописано, чтобы запускалась как LOCAL SERVICE.
Я пробовал переключать этот параметр на другие учётные записи - то же самое, только код ошибки меняется на 1079.
На оф.сайте мелкомягких есть масса вариантов решения этой проблемы, но всё только для десктопных версий винды. Для серверов я ничего не нашёл.
Кто-нибудь сталкивался с таким?
В какую сторону копать?

574

Один пинг проходит и тишина – решение проблемы

Кому не интересно, можно сразу переходить к блоку «как лечить».


Симптомы:

Итак, ранним осенним утром внезапно отвалились почти все сервисы для одного из филиалов. Симптомы: один пинг проходит и дальше «тишина». Иногда может пролететь еще 1 icmp, но редко. При повторном запуске пинга даже одного пакета уже не пролетает, если не выдержать паузу в несколько минут. Отвалились не все сервисы, но большинство.

Та часть схемы сети, которая нас интересует:

Один пинг проходит и тишина – решение проблемы Системное администрирование, Пинг, Перенаправление, Сети, Маршрутизация, Длиннопост

Понятно по схеме, что грешить сразу стали на красный ящик WatchGuard Firebox, но на нём явно никаких блокировок в логах не обнаружено. Поэтому коллега пока пускал трафик до самых важных сервисов в обход, а я ставила WireShark на то, что не столь нужно вот-прям-щас.


Что происходит:

Итак, что показал WireShark:

Один пинг проходит и тишина – решение проблемы Системное администрирование, Пинг, Перенаправление, Сети, Маршрутизация, Длиннопост

А показал он нам, что после первой же пары request/reply нам прилетело от Watchguard сообщение ICMP redirect (type 5; code 1), в котором сказано примерно следующее «братюнь, да что ты мне своими реквестами отвечаешь, я тут посмотрел – у меня есть более крутой маршрут для этого хоста – шли всё на шлюз 10.77.10.254».


Вот тут и дошло до меня, что ICMP – это не только пинги, но и «Internet Control Message Protocol». Из вики: «ICMP-сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя». Далее, собственно, request по-прежнему приходит с WatchGuard, а reply уходит на D-Link. При этом, на сервере есть статический маршрут в сеть 10.97.0.0/16 (через 10.77.10.3), а системе строго срать на этот маршрут! Всё потому, что на самом деле при получении сообщения redirect, маршрут на хост (то есть более специфический) добавляется в таблицу маршрутизации на 10 минут. Но route print его не показывает. И не нужно гнать на винду: во всех debian были всё те же симптомы.


Почему это происходит:

Беда Особенность Watchguard, как и микротиков, что Site-to-Site IPSec не является интерфейсом, не участвует в таблице маршрутизации, и, соответственно, маршруты на сеть за поднятым туннелем вы в ней не увидите. На нашем ватче был маршрут 10.0.0.0/8 на 10.77.10.254, так как за D-Link находятся все остальные филиалы (агрегированные по /16 каждый), чтоб не писать маршрут на каждый филиал (их 50, а динамической маршрутизации нет). Из-за особенностей Watchguard получилось так, что на 10.97.0.0/16 маршрута он не видел. Раньше, кстати, всё было ок до последнего обновления прошивки.


Почему некоторые сервисы и все компы были доступны: на них стоял касперский с сетевым модулем, который отбрасывал эти сообщения как небезопасные.


Что было сделано и не помогло:

Попробовали задрать метрику на маршруте 10.0.0.0/8 на WatchGuard – не помогло. Попробовала сделать правило фильтрации по типу ICMP и блочить эти сообщения – не помогло, через это правило трафик с сообщением редиректа не проходил.

Один пинг проходит и тишина – решение проблемы Системное администрирование, Пинг, Перенаправление, Сети, Маршрутизация, Длиннопост

Ну и были перечитаны кучи мануалов по отключению редиректа на WatchGuard – ничего рабочего не нашлось.


Как лечить в итоге:

На линухе лечится тремя командами (2 чтоб прям вот сейчас, одна, чтоб прям вообще).

Запрет приёма редиректа:

/sbin/sysctl -w net.ipv4.conf.eth0.accept_redirects=0

Запрет отправки редиректа:

/sbin/sysctl -w net.ipv4.conf.eth0.send_redirects=0

И чтоб вообще:

echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

Ну и может networking рестартануть, делала машинально.

При этом редиректы продолжают падать, но эффекта не оказывают:

Один пинг проходит и тишина – решение проблемы Системное администрирование, Пинг, Перенаправление, Сети, Маршрутизация, Длиннопост

На винде правится параметрами реестра, но эффекта до перезагрузки не оказывает (даже если выключить-включить сетевой интерфейс). Параметр в ветке

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

называется EnableICMPRedirect и выставляется в 0. По некоторым советам гугла (про Windows 2000 простихосподи), добавляла еще EnableICMPRedirects (во множественном числе). НО! После ребута сообщения redirect на машинах с исправленном параметром вообще не регистрируются WIreShark’ом, что меня несколько смутило (а вдруг вернутся?). Ну и ребутать over 100 серваков – такая себе идея.


Так что в итоге убрала маршрут 10.0.0.0/8 и добавила вместо него два:

10.0.0.0/10 и 10.64.0.0/11 – получились все сети от 10.0 до 10.95 включительно, а 97-ая, как видите, не вошла, что нас в принципе устроило. Проблема ушла.


То, что обычно пишут в начале поста:

Предыдущий мой пост на ИТ тематику был более 2 лет назад.

Чуть раньше этого я познакомилась на пикабу с классным чуваком, а полтора года назад мы поженились. Сисадмин и программист – норм сочетание оказалось =)


Я попробовала писать на хабр (мне даже одобрили аккаунт за тот пост), но мне не понравилось – на пикабушечке и аудитория поживее и можно не так цензурить текст.


А ещё наш офис вместе с серверной, которая уже стала мини-ЦОД для компании два раза за два года переехал. Если кому интересно – напишите в комментах, могу сделать пост о том, как происходит такой переезд, что мы планируем на каких этапах и т.д. На идеал не претендуем, происходит та ещё трешанина, но рассказать могу.

Показать полностью 3
13

Прошу помощи и подсказки в настройке VPN Asus

Всем гуру администрирования пламенный привет!

Столкнулся на днях с такой проблемой

У знакомых есть два офиса, которые потребовалось соединить по VPN

1. В офисе "А" из которого будут подключаться стоит роутер Zyxel Keenetic Lite II, подсеть 192.168.1.0/24

2. В офисе "В" к которому будут подключаться стоит роутер Asus RT-N19, подсеть 192.168.2.0/24

Мои действия:

1. Включил VPN сервер в офисе "В" на Асусе (завел логин, пароль, диапазон адресов 192.168.10.1-10

Прошу помощи и подсказки в настройке VPN Asus VPN, Помощь, Длиннопост

2. На стороне офиса "А" создал подключение к офису "В"

Прошу помощи и подсказки в настройке VPN Asus VPN, Помощь, Длиннопост

Подключение проходит без проблем и из офиса "А" я могу попасть на роутер в офисе "В" по его IP адресу

Прошу помощи и подсказки в настройке VPN Asus VPN, Помощь, Длиннопост

Вот пинг до роутера из первой сети

Прошу помощи и подсказки в настройке VPN Asus VPN, Помощь, Длиннопост

Но не могу попасть ни на один компьютер за роутером, ни по имени ни по адресу.

Но стоит мне только в VPN клиенте поставить галку на получение интернета через это подключение, как мне тут же становится видна вся сеть за роутером 192.168.2.1

Прошу помощи и подсказки в настройке VPN Asus VPN, Помощь, Длиннопост

Но при этот внешний белый IP адрес у офиса "А" становится конечно же таким же как и у офиса "В"

Скажите мне пожалуйста что я делаю не так???? гуглил серфил читал листал и так далее, но так и не наткнулся на решение данной проблемы.

Как мне сделать так, чтоб сети оставались со своими внешними айпи, но при этом видели компы за роутерами. Хотя бы с офиса "А" в офисе "В".

А в идеале в обе стороны

Заранее всем спасибо за помощь

Показать полностью 4
Мои подписки
Подписывайтесь на интересные вам теги, сообщества,
пользователей — и читайте персональное «Горячее».
Чтобы добавить подписку, нужно авторизоваться.
Отличная работа, все прочитано!