Skip to content

Метка: nat

Mikrotik для небольшого офиса

Вводная: небольшой офис. В наличии имеется один канал от провайдера (впрочем, их может быть два), проводная сеть, служебный и гостевой WiFi.
При этом к проводной сети подключены сервера (ну и админ, конечно ;)), а сотрудники сидят через служебный WiFi. Для гостей (и личных устройств сотрудников) есть гостевой WiFi (может быть, даже с hotspot) c обычной PSK-аутентификацией или без неё.
Чтобы было ещё веселее — добавим DMZ с почтовым сервером (как его настроить, можно почтитать, например, тут). По организации DMZ есть много толковых мануалов, так что заострять на этом внимания не буду — для простоты, почтовый сервер будет жить в одной сети со всеми остальными.

В этой статье я намеренно не буду пытаться охватить все аспекты существования офисного роутера (например, обеспечение резервирования или удалённого доступа сотрудников) — вы без труда найдёте на этом сайте нужную информацию воспользовавшись поиском или облаком тэгов.
netdiag2
Мы же остановимся именно на разграничении трафика между тремя сетями — для каждой будет отдельное адресное пространство, интерфейсы и правила фаервола.
Хорошей идеей было бы ограничить гостевую сеть с помощью очередей (queues), но это оставим для следующей статьи.
Приступим?
Читать далее Mikrotik для небольшого офиса

Leave a Comment

Виртуальная лаба в домашних условиях. Часть 1: Сеть

На новогодних каникулах появилось, наконец, свободное время, чтобы заняться домашним сервером. Вместо Ubuntu 12.04 LTS был установлен VMWare ESXi 6.5, а сама система была разделена на несколько виртуалок, каждая под свою задачу.
С контейнерами пока решил не связываться — я пока не могу придумать реальную задачу, чтобы ради неё засесть за изучение Docker или LXC. Так что у нас будет классика — Debian 8 с последними апдейтами, свежая VMWare и Mikrotik («железный») в качестве роутера для всего этого счастья.
Читать далее Виртуальная лаба в домашних условиях. Часть 1: Сеть

Leave a Comment

Настойка можжевельника: готовим Juniper SRX. Часть 2: IPSec

Не так давно мы пощупали немножко Juniper SRX, настроили его , и собрали отказоустойчивый кластер. Теперь начнем поднимать на нем «боевые» схемы, ради которых все и затевалось.
Например, соберем мысленно вот такую схему:
jpsrxvpn

На схеме видим центральный офис и подключенную к нему ноду — это может быть как филиал, так и какой-то удаленный заказчик/клиент, для связи с которыми требуется защищенное соединение. Разумеется, их может быть несколько (об этом ниже). Способ связи при этом нам абсолютно не важен: хоть Интернет, хоть «темное волокно» — данные все равно нужно шифровать, чтобы свести к нулюминимуму риск их утечки. И чем выше стойкость шифра и совершенней способ фильтрации, тем целее будут нервы администратора (как вы, наверное, знаете, сисадмин, как и любая замкнутая система, всегда стремится к состоянию покоя).

Сегодня мы будем поднимать IPSec-туннели.
Читать далее Настойка можжевельника: готовим Juniper SRX. Часть 2: IPSec

2 комментария