Archive for the ‘Строим сеть’ Category.

Микротик. Только для России

Возникла необходимость сделать так, чтобы к роутеру Микротик могли подключаться только с российских ip адресов. Поскольку из коробки подобного не реализовано, то приходится мудрить.

Собственно, решение лежит на поверхности, — просто использовать файрволл с соответствующим правилом и адресный лист, содержащий список российских сетей.

Правило, я думаю, напишите сами, а вот готовым адресным листом могу поделиться.

Забирать скрипт создания листа можно здесь

Проброс портов SNR-CPE-ME1

Собственно, почему об этом пишу. Процедура проброса портов достаточно описана в соотвествующих руководствах. Однако бывает, что все сделано правильно, но доступа к ресурсу из локальной сети нет, только извне. А тем не менее проблема решается очень просто. Всего то нужно зайти в Сервисы — Разное — Механизм обработки и сменить режим обработки NAT на «Аппратаный». После этого ресурс виден как из локальной, так и из внешних сетей.

NeoGate TA-410 + Asterisk+WebGUI от Digium

Пытаемся подружить данный шлюз и Asterisk 13, управляемый веб-панелью от Digium. Первичную настройку шлюза расписывать не стану. Перейдем сразу к решению задачи. Итак, шлюз имеет 4 порта FXO для подключения внешних линий. Нужно сделать так, чтобы с каждого порта звонок отправлялся в разные отделы или на разные IVR. Для этого сначала требуется настроить на шлюзе VoIP канал без авторизации. Именно канал, как и рекомендует производитель. Идем в шлюз – VoIP настройки, добавить VoIP линию. Выбрать тип линии – VoIP канал:

1

Здесь имя канала – произвольное имя. Хост – IP адрес, с которого будет подключаться Астериск. Заполняем эти поля. Не забываем нажимать кнопочки “Сохранить” и “Применить”.

Идем в панель управления Астериск, создаем новый транк:

2

Здесь Provider Name – произвольное имя, Hostname – ip адрес шлюза. Больше ничего негде не пишем, жмем “Save”, Applay Changes.

Возвращаемся на шлюз, убеждаемся, что VoIP канал поднят со статусом ОК:

3

Далее на шлюзе настраиваем маршруты от портов FXO до Asterisk. Выбираем шлюз – порт FXO – VoIP/порт FXO, добавляем новый маршрут:

4

Здесь имя маршрута – произвольное имя, источник – выбранный порт FXO, назначение – созданный VoIP канал, горячая линия – это экстеншен астериска, на который отправится звонок. Дальше идем в панель астериска и создаем там в Incoming Call Rules новое правило:

5

Здесь выбираем trank — созданный транк, Time interval – временной интервал, для которого  действует правило, Pattern это шаблон, по которому правило будет обрабатывать вызов, 6400 – это тот самый номер горячей линии, который мы указали в настройках маршрута в шлюзе. Сохраняем, не забываем нажимать Applay Changes.

Теперь при входящем звонке с аналоговой линии настроенного порта FXO звонок отправится абоненту Астериска с номером 6400, в данном случае группе абонентов commerce. Маршруты от остальных портов настраиваются аналогично по этому же алгоритму.

Аки два пожара

Картинка 52 из 106Выходные ушли. На обустройство нового офиса. Из интересного — монтаж новой сети. Подключение сети к интернет по wifi. Впервые увидел устройство для сети СПАРК. Кто не знает СПАРК использует для передачи трафика обычную электрическую сеть. Модем втыкается в розетку, подключаете клиента и вуаля, интернет пошел. Прикупил беспроводной роутер, подключил его к СПАРК, в офисе поставил точку доступа в режиме «клиент». Дистанция порядка 50 метров, по прямой. Подключение на 802.11b уверенно 2,7 Мб/с. На неделе думаю ZyXEL NBG318S EEприобрести направленную антенну D-LINK ANT24-1200с широким углом и усилением 12dbi. Должно значительно улучшить связь. Надеюсь что если не улучшит, то точно сделает канал стабильнее. 12dbi по сравнению со штатными 2dbi на точке и 5dbi на роутере серьезное усиление. В идеале, конечно, нужно бы поставить пару антенн на каждую сторону. Но поскольку ранее дел с этими девайсами я не имел, то не особенно хочется рисковать деньгами попусту. Наконец поставил СНПЧ для epson 1410 корейского производства. Очень приятная штука и чернила на удивление хорошие. Думаю, теперь чернил хватит как минимум на полгода, потом докупим еще комплект. Избавился от принт-сервера непомнюкакой марки. И вот почему. Годен этот прин-сервер исключительно для того, чтобы подключить к нему несколько офисных принтеров и печатать текстовые документы. Графику в него загонять во-первых, очень долго, во-вторых уж очень часто он на этой графике зависал, останавливая все принтеры. Пока не перезагрузишь работать невозможно. Поставил вместо него обычный компьютер. Принт-сервер, кстати, могу продать, если он кому-то нужен. Вещь то в принципе неплохая. Среди множества железок, обнаружившихся snpcв офисных закромах, нашелся гигабитный хаб который и поставлен в сеть. До того стоял один гигабитник и один на 100 мегабит, идиотизм в-общем. Сегодня типа запуск всего этого железа в работу. Надеюсь, все будет замечательно и ничего вдруг не откажет.

Файловый сервер 1С

Очень не хочу покупать серверную версию виндовс. И ломать имеющуюся ХР на предмет числа подключений тоже не хочу. В связи с этим все чаще приходится обращать внимание на серверные решения от линуксоидов. И вот, откопал на просторах сети совершенно обалденный софт. NAS сервер на базе FreeBsd под названием Freenas.

freenasimg

Работает просто великолепно и стабильно. Включает в себя много различных служб и сервисов из которых, впрочем, использоваться будут только самба и ssh. Задумка состоит в том, чтобы переложить туда файлы баз даных и конфигураций 1с. В идеале было бы неплохо на нем же установить сервер защиты 1с. Так мы уйдем от необходимости платить кучу денег за лицензионный сервер windows и клиентские лицензии. Есть так же задумка создать эффективную систему хранения данных размером пару терабайт для хранения файлов и документов предприятия.

Интернет-шлюз Untangle

Совсем поистаскался мой старенький сервачок, выпускавший сетку в интернет. Стал глючить, виснуть, терять связь с интерфейсами. Подыхать, одним словом. Решил было заменить на имеющийся хлам от разрывной машины, да директор не дал. Зато разрешил купить бу машинку на сервак.

Continue reading ‘Интернет-шлюз Untangle’ »

KWF и удаленное администрирование

Удаленное администрирование штука удобная. С этим и спорить то глупо. Программ для этого есть огромное количество. Как пропустить их через KWF я уже, кажется, как-то писал. Но вот недавно возникла необходимость админить не одну машину, а сразу несколько машин внутри сети организации посредством управления удаленным рабочим столом windows.

Continue reading ‘KWF и удаленное администрирование’ »

Закупаем Хлам

Особенных сложностей здесь нет. Сейчас на рынке присутствует огромное количество различного оборудования для организации сети. Однако, при приобретении железок следует кое на что обратить особое внимание.

1. Кабель

Кабель должен быть медный, 8-жильный, витая пара 5 категории. Он бывает экранированный, неэкранированный, для наружной проводки, для внутренней проводки. Экранированные используются обычно в промышленных помещениях с высоким уровнем электромагнитных воздействий. Такие воздействия создают силовые кабели питания и мощные электроприводы технологического оборудования. Я не думаю, что вам понадобится раскладывать локалку в таких помещениях. Кабели для наружной проводки используются для организации воздушных линий между зданиями, имеют обычно экран или броню, встречаются кабели с несущим тросом. Вы вряд ли такой встретите в обычном магазине. Вам нужен обыкновенный неэкранированный кабель для внутренней проводки, 5 категории. Продается он в коробках по 1000 футов, это примерно 330 метров. Соответственно длину каналов связи делим на эту величину и получаем количество коробок. Имейте в виду, что кабели в магазинах обычно не режут. То есть если вам надо, к примеру 450 метров, то вам придется купить 2 коробки. Учтите, что вы не сможете точно промерить все расстояния и переходы, поэтому было бы неплохо предусмотреть небольшой запас кабеля. он всегда сгодится, поверьте мне.

2. Разъемы RJ-45

Разъемы бывают со вставкой и без вставки. Разъемы со вставкой задумывались как некое универсальное решение для заделки как обычного кабеля, так и кабелей с экраном или промышленных кабелей, кабелей для внешнего применения. Дело в том, что у всех кабелей, кроме обычного для внутренней проводки, толще жилы. Разница между разъемом со вставкой и разъемом без оной заключается в этой самой вставке. Это такая пластиковая хрень, которая вставляется в разъем для его адаптации под обычный кабель. Ни в коем случае не берите коннектор со вставкой, намаетесь с ними потом — ужас. Покупайте обычные, без вставки. Так же предусмотрите небольшой запас, ибо не всегда удается с первого раза его правильно смонтировать и, кроме того, они бывают бракованные, при обжиме ломаются. Купите колпачки, если есть возможность.

Разъем со вставкой
Картинка 2 из 115

 

Разъем без вставки
Картинка 1 из 121

 

3. Кабельные каналы

Каналы выбирайте на свой вкус и цвет. Главное, о чем следует не забыть — если в канале будет проходить более одного кабеля, то он должен иметь соответствующий размер. Хотя сейчас и присутствует на рынке множество клеев и двусторонних скотчей, крепить каналы рекомендую все же саморезами. Так намного надежнее и при необходимости всегда можно канал быстро снять.

4. Коммутирующее оборудование

Самый отвественный элемент сети. На рынке присутствует огромное количество хабов и коммутаторов. Управляемых и неуправляемых. При выборе коммутатора я бы советовал обращать внимание на тип питания. Обычно простые и дешевые модели имеют выносной блок питания. Это снижает размеры устройства и не нагревает его элементы. Все это конечно замечательно, если бы не одно но. Блоки питания таких устройств ненадежны. Они часто норовят вылететь из розеки. Их задевают и цепляют. У них нет в вилке заземляющего контакта. Ну и так далее. Поэтому лучше брать коммутатор со встроенным блоком питания. У него такой же шнур, как у стандартного кабеля питания, с заземляющим контактом, надежно фиксируется в розетке. Насчет управляемости — не вижу смысла брать управляемый для сети малого предприятия. Берите неуправляемые, они дешевле.

5. Ящики

Есть специальные ящики для установки коммутаторов. Разных размеров под разное количество мест. Очень удобные, с прозрачной дверцей, запирающейся на ключ. Посмотрите и купите то, что подойдет именно вам. Если нет денег на специальный ящик, купите любые другие подходящие под размер, в которых можно поставить коммутатор. Если нет денег совсем, то ставьте коммутатор за фальшь-потолком. В любом случае он должен быть надежно закреплен и доступ к нему должен быть ограничен.

6. Розетки

Ненавижу розетки. Вечно с ними какие то неприятности. Поэтому советовать не буду. Скажу лишь, что дешевая розетка — не лучший выбор. Хорошо, если жилы кабеля в розетке крепятся не зажимами, а затягиваются винтами. В остальном — выбирайте сами. Для тех, кто не видел как выглядит розетка вот вам фотка:

Толковая розетка
Картинка 3 из 620

Бестолковая розетка
Бестолковая розетка

 

Справедливости ради следует сказать, что розетка с винтами или шурупами относится к категории 3, это устаревшая категория и при монтаже 100 мб/с ЛВС применяются розетки, изображенные на 2 картинке. от себя замечу, что розетки 3 категории отлично работают в 100 мегабитной сети.

7. Обжимное устройство

Пофигу какое, лишь бы обжимало. Купите такое, чтобы могло обжимать 2 типа разъемов: RJ-45 под витую пару, и RJ-11 под телефонный разъем. Сгодится в хозяйстве.

Обжимное устройство
image-2

 

8. Тестеры

Подойдет любой мультиметр. Но продаются специальные тестеры для кабельной линии. Бывают дешевые и дорогие. Дешевый только прозванивает линию на предмет наличия и правильности соединений. Дорогие, именующиеся кабель-тестерами могут еще много чего. Дорогой нафиг не нужен, достаточно возможности прозвонки.

Планирование сети

Любая сеть состоит из вертикальной и горизонтальной подсистем. Горизонтальная подсистема обслуживает, как правило, один этаж здания. Вертикальная подсистема обслуживает межэтажные коммуникации. Средой для передачи данных будет являться медная витая пара 5 категории, признанный стандарт для построения сетей. Поскольку рассматривается предприятие небольшое, то и сеть будет небольшой, поэтому заморачиваться с другими средами передачи данных не имеет смысла за редким исключением, о котором я расскажу попозже. Итак, следует определиться с:

  1. Количество этажей
  2. Количество клиентов на каждом этаже.
  3. Протяженность каналов связи.

Расплетения и обжим кабеля нарушают его структуру, индуктивность и сопротивление, что снижает волновые характеристики кабеля. Это приводит к отражениям сигнала и создает в сети определенный помеховый шум. На скоростях в 10 мб/с он почти не мешает жить, а на скоростях 100 мб/с и более весьма затрудняет работу. Поэтому необходимо помнить, что максимальная длина канала связи на витой паре составляет 100 метров. Это значит, что максимальная протяженность одного кабеля, идущего от этажного коммутатора до клиента не должна быть более 100 метров. Таким образом диаметр сети с топологией звезда, центром которой является один коммутатор, составляет 200 метров. Если у вас протяженность каналов связи больше, — придется ставить несколько промежуточных коммутаторов.

Обычно все каналы связи горизонтальной подсистемы сводятся на один этажный коммутатор. Бывают ситуации, когда в каком либо отделе очень много рабочих мест. Для этого, чтобы не тянуть большое количество кабелей до клиентов, в таких отделах устанавливаются собственные хабы, связанные одним кабелем с этажным коммутатором.

Перед расчетом длины каналов связи необходимо просмотреть предположительную трассу прокладки, наметить места технологических отверстий в стенах, если таковых не предусмотрено, подумать как вы намереваетесь прокладывать кабели внутри помещений. Было бы неплохо иметь хотя бы примерную схему расстановки рабочих мест. И совсем отлично иметь такую схему, утвержденную руководством. Нужно определиться в каких местах будут стоять межэтажные коммутаторы. Здесь следует остановиться чуть подробнее. Я рекомендую ставить межэтажные коммутаторы в специальных ящиках, с прозрачной дверцей, но обязательно запирающейся на ключ. Все они должны быть надежно закреплены. О питании коммутирующих систем поговорим позже.

Протяженность сетки посчитали? Ну примерно? Считаем количество портов, занятых каналами связи. Не забудьте, что в любом коммутаторе должен быть резерв портов. Величину резерва все считают по разному, я лично предпочитаю оставлять избыточность от 30 до 50 процентов. То есть, если мне требуется 16 портов, я покупаю коммутатор на 24 порта. Это связано с тем, что неизвестно в какой момент времени вам понадобится увеличить число клиентов или перекинуть кабель со сгоревшего порта на живой. И не забудьте, что этажный коммутатор входит в вертикальную подсистему, то есть нужно иметь 2 порта как минимум для соединения с нижним и верхним горизонтальными уровнями. Подсчитав количество портов можно определиться где и какие коммутаторы будем устанавливать.

Далее вам понадобятся разъемы RJ-45. Нужно как минимум 2 разъема на каждый кабель. Или 3, если у вас будут стоять розетки. Не знаю кто как, а я их не считаю, просто покупаю сотню-другую, запас карман не тянет.

Что касается розеток. Розетки хороши, если вы планируете сделать скрытую проводку, заложенную в стенах. В других случаях ставить розетку я бы не советовал, так как это приводит к увеличению числа контактных переходов, а значит снижению надежности сети. С другой стороны, если вам неизвестно расположение компьютеров в помещениях, то розетки установить целесообразнее, а клиента подключить патч-кордом. Еще советую купить колпачки на разъемы. Это не просто декоративный элемент, как многие думают, они предохраняют кабели от вырывания и изломов на входе в коннектор.

Также нужно продумать как вы намереваетесь прокладывать кабели внутри помещений. Обычно кабели укладываются в плинтуса, внутри которых проходит кабельный канал. Если таковых в помещении не оказалось нужно будет закупить кабельных каналов и соответствующего крепежа.

Еще будет нужен инструмент для монтажа разъемов. Что то вроде вот такого:

image_2

Пишем правила для KWF

Меня часто достают вопросами про написание правил для Kerio Firewall. Ребята, все очень просто. Главное — понять принцип написания этих правил. Принцип очень простой:

  1. откуда
  2. куда
  3. по какому протоколу или порту
  4. разрешено или нет
  5. использовать NAT или нет
  6. в какое время верно

Откуда называется source. может принимать значения:

  1. host — ip адрес конкретного компьютера внутри сети
  2. ip range — диапазон ip адресов
  3. ip address group — адресная группа или группы, определенные вами при конфигурации
  4. network/mask — сеть и маска подсети, которой вы разрешаете проход в интернет
  5. network connected to interface — сеть, подключенная к интерфейсу с указанным именем. имена задаются на вкладке interfaces
  6. vpn — разрешает проход vpn-клиентам
  7. users — имя пользователя, задается на вкладке users
  8. firewall host — правило будет действительно только для компьютера, на котором установлен KWF

destination может принимать значение такие же, как source service — список сервисов, думаю там все просто и понятно action может принимать значения permit — разрешено, deny — запрещено, drop — сброшено NAT может принимать значения:

  1. no translation — не транслировать
  2. translate to ip address of outgoing interface — транслировать на исходящий интерфейс. По умолчанию — в интернет.
  3. translate to ip address of interface — транслировать адреса в адресное пространство заданного интерфейса
  4. translate to ip address — транслировать на заданный адрес

port mapping может иметь значения no translation — никак не транслировать, translate to — адрес или имя машины внутри сети, порт указывается, если нужно входящий запрос по определенному порту перебросить на порт машины с заданным адресом. временной интервал определяется на вкладке time intervals и является очень полезной функцией. Таким образом, если мы хотим разрешить, например, полный доступ из локальной сети к сети интернет всем юзерам по любому протоколу, то правило выглядит так:

source

destination

service

action

translation

valid on

локальная сеть

интернет

any

permit

nat

ваш интервал

Допустим, что мы хотим разрешить проход всем пользователям сети в интернет, но только по определенным протоколам, например http, icq, pop3, smtp тогда правило выглядит так:

source

destination

service

action

translation

valid on

локальная сеть

интернет

HTTP ICQ POP3 SMTP

permit

nat

ваш интервал

Если вы хотите, чтобы у вас не было в статистике неопознанного трафика (unrecognized users) то в поле source следует указать users, тогда только юзеры, авторизованные на файрволле, смогут проходить в интернет. Бывает, что нужно получить доступ из интернет к серверу SQL или WEB, расположенных на компьютере внутри локальной сети. Для этого нужно будет написать соответствующее правило. Для начала следует понять, что все запросы, приходящие на ваш внешний IP приходят к компьютеру, на котором установлен KWF, так как только он имеет внешний адрес, на который зарегистрирован домен. Рассмотрим ситуацию на примере моей конфигурации. На постоянный внешний IP адрес зарегистрировано имя notes.blogsite.org. Сервер, поддерживающий сайт физически, расположен внутри локальной сети и имеет адрес, например 192.168.1.2 Порт, по которому отвечает web сервер 8080. Любой запрос по адресу http://notes.blogsite.org будет приходить на файрволл, то бишь на firewall host, а оттуда он должен перенаправляться на локальную машину с адресом 192.168.1.2 на порт 8080. Правило для такого случая будет выглядеть так:

source

destination

service

action

translation

valid on

интернет

firewall host

HTTP

permit

map 192.168.1.2:8080

always

Правило сие, в переложении на русский язык, звучит так: перенаправить любой запрос из интернет по протоколу HTTP на компьютер с адресом 192.168.1.2 на порт 8080. В данном случае при указании преобразования адресов вам нужно выбрать translate to ip address и указать порт 8080. Как только вы нажмете кнопку apply ваш внутренний сервер будет виден снаружи. Аналогичным способом можно открыть любую машину по любому протоколу, будь то почтовый сервер, сервер баз данных, веб-сервер и т.д. Еще один любопытный момент. Допустим, вы разрешили проход из интренет к вашему серваку. но при обращении к доменному имени notes.blogsite.org вдруг получаете ответ "сервер не найден". Все правильно, файрволл не допускает таких вольностей. Чтобы получать доступ по доменному имени к внутренним серверам потребуется написать еще одно правило. И выглядеть оно будет так:

source

destination

service

action

translation

valid on

локальная сеть

notes.blogsite.org

HTTP

permit

NAT (подключение по локальной сети)
MAP 192.168.1.2:8080

always

То есть при создании правила трансляции вы используете translate to ip address of inteface: указываете имя интерфейса, к которому подключена локальная сеть и включаете портмаппинг на адрес вашего веб-сервера 192.168.1.2 и порт 8080. Жмите кнопку apply и наслаждайтесь, теперь ваш внутренний сервер доступен из локальной сети по доменному имени, в моем случае notes.blogsite.org Надеюсь, я доступно изложил порядок написания правил для KWF. Если у вас что то не получилось или что то не понятно — спрашивайте, отвечу.