> Дорогие коллеги.
> Встала задача организовать HotSpot на оборудовании Mikrotik.
> Попробовал в тесте запустить Hotspot на Mikrotik, с отправкой смс на телефон
> регистрации. Это делается в соблюдении законности и своей же безопасности.

Вам сюда -
https://www.mikbill.ru/produkt/opisanie.html

Настраивал такое, лучше использовать радиус сервер, например Freeradius, даст возможности более гибко настраивать пользователей, делить по группам, ограничивать скорость и выставлять разные параметры.
Я пользовался этой статьей для настройке радиус + микротик :https://systemzone.net/mikrotik-radius-configuration-with-fr.../
Далее понадобятся apache и php.
Примеры файлов для апача и микротика в этом архиве: https://yadi.sk/d/jUu8zMVQQYiZ8g
Немножечко подправить придется для себя. Все работает, читаю и пишу тут редко.

http://www.anticisco.ru/blogs/?p=1990

> Добрый день.
> У ASA (в моем случае с какой-то из версий прошивок 9+) есть
> функция capture, позволяющая захватывать пакеты, проходящие через интерфейс с помощью
> соответствующего списка доступа. Можно ли с помощью этой функции не просто
> захватить пакеты по ip-адресу источника или назначения, но еще и как-то
> отфильтровать по содержимому информации в пакете? Другими словами, есть определенный компьютер,
> который в определенный момент времени посылает на конкретный dns-сервер (ip-адрес известен)
> запрос с целью отрезолвить один конкретный доменный адрес. Можно ли как-то
> с помощью capture захватить именно этот запрос, а не вообще все
> запросы резолвинга, направленный к этому dns-серверу?

Нет. Capture работает по L3/L4 (на основе extended ACL).
Вы хотите L7.

Если есть возможность, то можно сделать зеркалирование траффика на свиче и далее отфильтровать с помощью wireshark/tshark
https://www.wireshark.org/docs/dfref/d/dns.html

Ну а если есть доступ к хосту, то wireshark запустить прямо на нем.

>[оверквотинг удален]
> Интернет получаем через VDSL модуль:
> Firmware Source File Name
> -------- ------ ----------
> VDSL embedded VDSL_LINUX_DEV_01212008
> Modem FW Version: 130205_1433-4.02L.03.B2pvC035j.d23j
> Modem PHY Version: B2pvC035j.d23j
> Стали возникать частые обрывы связи, вижу маленький noise margin (меньше 7dB), провайдер
> говорит, что линия отличная,  грешит на роутер. Судя по всему
> прошивка vdsl-модема за 2008 год, помогите разобраться, есть ли для этой
> ревизии B2pvC035j.d23j поновее. И если есть поделитесь ссылкой?

Ищу  VA_B_38V_d24m.bin, поделитесь пожалста...

> Имеем  развернутый  AIR-CTVM-K9 version 8.3.143.0    на ESX.
> При регистрации AP локально, Flexconnect отрабатывает wlan vlan map и всё
> ОК
> Проблема: WLAN не могу пробросить на удаленные зарегистрированные точки из сторонних VPN-
> разнесенных узлов.

Читайте про ограничение виртуального контроллера на сайте производителя.

> Доброе время суток.
> На портах доступа каталистов можно указать параметр
> ip dhcp snooping limit rate <значение>
> Я предполагаю, что значения 10 должно хватить, если на порту сидит только
> один клиент, а как быть, если туда подключен какой-нибудь неуправляемый свич
> и к нему подключено, например, 5-10 пользователей? Какое значение limit rate
> стоит задавать в таком случае на таком порту?
> Есть ли какая-то, хотя бы условная, формула, по которой можно рассчитать это
> значение для подобного порта?

Cisco recommends not configuring the untrusted interface rate limit to more than 100 packets per second. The recommended rate limit for each untrusted client is 15 packets per second. Normally, the rate limit applies to untrusted interfaces. If you want to set up rate limiting for trusted interfaces, keep in mind that trusted interfaces aggregate all DHCP traffic in the switch, and you will need to adjust the rate limit to a higher value. You should fine tune this threshold depending on the network configuration. The CPU should not receive DHCP packets at a sustained rate of more than 1,000 packets per second.

> добрый день!
> прошу помочь с настройкой asa5506, задача разрешить доступ из вне к хосту
> только c определенных ip.
> скриншоты двух оконо из asdm:
> https://i.gyazo.com/ff263fa632955f8b12263aba748a47af.png
> сейчас несмотря на правило в "access rules", хост доступен с любого ip
> спасибо!
> и да, я понимаю всю небезопасность, и что надо поднимать в таких
> случаях впн.

Может, стоило бы это правило переместить в начало списка?

> скриншоты двух оконо из asdm:
> https://i.gyazo.com/ff263fa632955f8b12263aba748a47af.png
> сейчас несмотря на правило в "access rules", хост доступен с любого ip

у тебя 2 правило в "access rules" разрешает все пакеты, а нат точно также все пакеты пробрасывает.
одним словом запретов никаких нет в твоем конфиге.

> Доброй ночи. Моя проблема в том что я начинаю уже тупить с
> с маршрутизатором за одно. Уже 2 дня пропадает интернет. После перезагрузки
> маршрутизатора худо бедно работает. Но хватает часа на 2. Вываливает ошибки
> что не хватает памяти. Я начинающий сисадмин. Сильно не печальтесь уж.
> Направьте на путь куда копать проблему. Есть подозрение что организовано что
> то топа DDoS

Штатные телепаты в отпуске.

show ver
show run

> Доброй ночи. Моя проблема в том что я начинаю уже тупить с
> с маршрутизатором за одно. Уже 2 дня пропадает интернет. После перезагрузки
> маршрутизатора худо бедно работает. Но хватает часа на 2. Вываливает ошибки
> что не хватает памяти. Я начинающий сисадмин. Сильно не печальтесь уж.
> Направьте на путь куда копать проблему. Есть подозрение что организовано что
> то топа DDoS

Кроме вентиляторов , NAT конфигурация неправильная , зачем и то и NAT NVI и классический NAT на одних и Техе че интерфейсах . Это безобразие убрать срочно надо , на 12 iOS лучше использовать классический NAT (если nvi не нужен, а тут он не нужен ) , так как он более стабилен и работает быстрее

> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.

Вы бы модели свитчей озвучили..

> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)

Можно, они сначала общаются друг с другом. "Прокинуть питание" разумеется не получится, мощности не те.

> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.

В зависимости от моделей, их можно обедненить в стек

> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.

Всегда можно принудительно выключить питание на любом порту, если боитесь.

> Добрый день.
> Не пользовался ранее таким видом коммутаторов, поэтому возник вопрос. Имеется один центральный
> коммутатор с 16-ю портами с PoE на портах. Надо подключить еще
> один, то же с такой функцией, т.к. он будет соединять камеры.
> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело
> :)
> Спасибо.

Разрешаю соединить. Ничего не сгорит, но вот запитать один коммутатор от другого вряд ли получится.

> Можно-ли соединить 2 устройства, у которых на портах будет еще и
> питание, друг с другом? Мне главное, что бы ничего не сгорело

В теории можно. На практике, автоматизированно настраивая несколько сот коммутаторов от Eltex с подключением их к D-Link (не PoE), мы поимели 1.5 десятка "бух" и выгорание портов (там и там), т. к. чип, реализующий PoE, неправильно определял тип коммутатора (по сопротивлению линий и напряжениям на них). Все обменяли по гарантии.
Так что если они управляемые, я бы сперва принудительно отключил PoE на портах, или соединял бы их только транковыми портами.

Но с вероятностью 99% — всё будет хорошо. :)

https://www.opennet.me/opennews/art.shtml?num=50241 новость уже тут, по возможности уходить от netup

> Необходимо подключить к серверу ещё два устройства из Интернета с одним адресом
> 10.10.10.10 но с разными портами 5001 и 5002.

В интернете не может быть такого IP

гуг в помощь:

https://networkengineering.stackexchange.com/questions/6237/...
http://ciscosetup.blogspot.com/2011/12/cisco-router-l2tp-cli...

> Не выручите? Нет возможности скачать:
> software.cisco.com/download/home/282540334/type/280805680/release/15.7.3M3?i=!pp
> c890-universalk9_npe-mz.157-3.M3.bin
> Заранее благодарю!!!

http_sfree_ws?

> Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
> и что пробросить на линуксе в PROXMOX.

CCNA для начинающих.
Я бы пробросил Openvpn между проксом и внешней VPS.
Далее поднял туннель с 192.168.150.1? какой удасться завести, на эту внешнюю VPS.
Далее, эти два туннели соединил бы в мост. Там же выравнивал mtu, чтоб все пакетики пролетали бы.
Ну, средствами прокса пробросил бы или влан или туннель в 12.0.0.101.

P.S. используя чужое адресное пространство внутри сети вы нарываетесь на кучу недиагностируемых проблем. Используете  специальные диапозоны, предназначенные для внутренних целей.

>[оверквотинг удален]
> Задача поднять VPN типа IPIP между микротиком(123.123.123.123)(на микротике просто создаи
> интерфейс IPIP) и астериском(12.0.0.101)
> приэтом IP адресса в тунеле будут микротик 10.60.60.2 астериск 10.60.60.1
> Proxmox натит все что надо в Астериск.
> Вопрос что надо пробросить протоколы/порты на микротике у хостера (WANIP 234.234.234.234)
> и что пробросить на линуксе в PROXMOX.
> Ко сожалению Тип ВПН-на именно этот.
> и организованно именно так! ВПН между микротиками нельзя.
> Нарисовано все тут (ibb.co/ezB3Oe)
> https://ibb.co/ezB3Oe

Для начала нужно получить доступ к астериску. Для этого пробросить порт для випиэна в микротике 234.234.234.234 и если нужно в прохмоксе. А потом уже настроить випиэн. Либо на микротике 192.168.150.1 настороить vpn сеть и к ней подрубаться с астерикса.

/ip firewall nat add action=netmap chain=dstnat dst-port=80 in-interface=beeline protocol=tcp to-addresses=192.168.1.29 to-ports=80

так же добавить в input и forwad разрешение на интерфейс beeline для приема tcp по порту 80

> какая то возможность замены данного таймкода на обычное время коммутатора? Или
> только с калькулятором сидеть?

RTFM, страница 10-8. logging timestamps datetime

> В чём может быть проблема?

В питании, в помехах, в прошивке, в электронике, в людях, во всем вышеперечисленном сразу и в различных комбинациях.

> Здравствуйте! Офис находится на территории завода, в определённый момент(совпало с появлением
> соседей) Начались проблемы с Wifi сетью.
> Соединение с Wifi сохраняется но трафик не идёт, причём эффект аналогичен как
> на зукселе(роутер который использовался как Wifi) так и на убикьюти(профильная точка
> доступа).
> И так до тех пор пока не выдернешь и не воткнёшь в
> розетку обратно.
> Такая ситуация может не проявиться за день или проявиться от одного до
> пяти раз.
> В чём может быть проблема?

syslog сообщения собираете? Логи с точек читаете?

Правильно понимаю, что перезагрузка через web/ssh/telnet не помогает, только хардкор, только передергивание по питанию?

> Добрый вечер, уважаемые коллеги! Помогите советом!Нужно настроить кольцо как резервный
> канал связи, для этого есть одна циско 3850, 4шт. циско 2960td-l
> - они соеденены оптикой, канал 10Gb. Соответсвенно есть еще 24шт. циски
> 2960 они соеденены оптикой с 3850 тоже 10GB. Сейчас все работает
> на заводских настройках, периодически отваливаются каналы 10Gb. Подскажите пожалуйста
> как оптимизировать.

3850 это однозначно L3
2960 c 10GbE это видимо что-то в стиле 2960Х, то есть - тоже L3.

Внимание вопрос - ну нафига тебе городить адов гиморой с различными вариантами STP (L2), когда можно сделать все на OSPF или eigrp (L3)?

С L3 ты получаешь:
1. Надежность и предсказуемость.
2. Трафик ходит по оптимальному пути, а не через все кольцо.
3. Возможность наращивать кольца с балансировкой нагрузки по ним.

С L2 ты получаешь:
1. Менее стабильную и предсказуемую работу
2. Не оптимальный путь пакетов = меньшая производительность
3. Не возможность повышения производительности/отказоустойчивости путем наращивания числа колец.
4. Общий широковещательный домен.

И учти - STP во всех его вариантах протокол простой и его знает любой CCNA. Но его реализации и их взаимодействие друг с другом - имеют такую кучу нюансов, что не каждый CCIE разберется.

P.S. У тебя примерно такое?

>[оверквотинг удален]
> sw-01(config)#router ?
>   bgp       Border Gateway Protocol (BGP)
>   eigrp     Enhanced Interior Gateway Routing Protocol (EIGRP)
>   isis      ISO IS-IS
>   iso-igrp  IGRP for OSI networks
>   mobile    Mobile routes
>   odr       On Demand stub Routes
>   ospf      Open Shortest Path First (OSPF)
>   ospfv3    OSPFv3
>   rip       Routing Information Protocol (RIP)

> Добрый вечер, уважаемые коллеги! Помогите советом!Нужно настроить кольцо как резервный
> канал связи, для этого есть одна циско 3850, 4шт. циско 2960td-l
> - они соеденены оптикой, канал 10Gb. Соответсвенно есть еще 24шт. циски
> 2960 они соеденены оптикой с 3850 тоже 10GB. Сейчас все работает
> на заводских настройках, периодически отваливаются каналы 10Gb. Подскажите пожалуйста
> как оптимизировать.

*STP в принципе не предназначен для резервирования каналов связи. Основной задачей STP является устранение петель в топологии произвольной сети Ethernet. Резервирование это так сказать нестандартное использование протокола + маркетинг.
Достаточно задать вопрос любому продавану - Как рассчитать время за которое дерево сойдется? Продаван радостно ответит - 10 с.
1. т.е. 10 с. сеть может лежать - так себе резервирование.
2. т.е. 10 с. как для 2х коммутаторов так и для 100500?
3. т.е. STP не зависит от загруженности канала?

на п.2 и 3. продаваны ломаются и оказывается, что никто не знает, как рассчитать время сходимости сети для n-коммутаторов при 90-100% загрузки каналов.

Так что *STP надо вешать на порты доступа (клиентские) чтобы защититься именно от петель (ну мало ли кто патч-корд в 2 розетки воткнет). А магистральные линии лучше организовывать на чем-нибудь другом (от промышленных MRP, *-Ring, PRP до всяких RIP, BGP и OSPF).

> В чём может быть дело ?

На порте принудительно выставлено 100 мбит?

> AnyConnect Premium Peers          
> : 2          
>     perpetual
> не достаточно лицензий?

Для личного пользования должно хватать.
Покажите конфиг и sh webvpn anyconnect

> request-dialin

Вы клиента настраиваете или сервер/терминатор?

Я делал так с DAC кабелями https://networkguy.de/?p=1124

- Ну-с, на что жалуемся?
- Вах! Зачэм жаловаться? Хвастаюс!

> Переехал в новую квартиру. 4 комнаты. Конфигурация Г образная. Решил сразу делать
> сеть по плинтусам.
> Протянул везде кабель 6е сат. Чтобы через некоторое время 10гбит можно было
> (а вдруг).

Оптику уже надо сразу тянуть.
Вдруг еще хороший звук захочется послушать?

>[оверквотинг удален]
> что и на 100 процентах. Дом панельнобетонный. И скорость выдает одинаковую
> по iperf порядка 230 мбит (ноутбук + каббелем стационарный компьютер.  
> Рабиус действия горадзо меньше чем у 2.4 (что естественно).
>  Есть возможность взять еще 2 такие точки. Но они не поддерживают
> wifi  roaming. Тк. все это железо работает врежиме бриджа, а
> роутер один, может имеет смысл их поставить и настроить один ssid
> и не париться? При переходе из комнаты в комнату будет переключаться
> на более мощную. И не покупать дорогие микротики или ubquity c
> роумингом?
> Или это не по феншую и неправильно?

4 комнаты... точки без 5ГГЦ... wifi без роуминга...
напоминает шутку про бэнтли в минимальной комплектации.

А на Ubiquity роуминг уже нормальный? Пару лет назад на форумах жаловались что там роуминг считается условным понятием.

>[оверквотинг удален]
> что и на 100 процентах. Дом панельнобетонный. И скорость выдает одинаковую
> по iperf порядка 230 мбит (ноутбук + каббелем стационарный компьютер.  
> Рабиус действия горадзо меньше чем у 2.4 (что естественно).
>  Есть возможность взять еще 2 такие точки. Но они не поддерживают
> wifi  roaming. Тк. все это железо работает врежиме бриджа, а
> роутер один, может имеет смысл их поставить и настроить один ssid
> и не париться? При переходе из комнаты в комнату будет переключаться
> на более мощную. И не покупать дорогие микротики или ubquity c
> роумингом?
> Или это не по феншую и неправильно?

Ну Hap Lite - 1500Р

Думаю уже может в прошивке дело...
обновиться не могу, нет действующего контракта.

> Всем доброго дня!
> Уже неделю мучаюсь с подключением по VPN. перелопатил все что есть.
> Проблема следующая: впн сервер на ASA поднят, клиенты подключаются но не могут
> получить доступ (пинг) ко внутренним сетям. прошу подсказать где дальше копать.
> ниже выкладываю ран. с Уважением.

> Здравствуйте, есть AP 1242ag, она в режиме LWAPP

Разве она не должна все получить с контроллера? Скинь ее к заводским настройкам.

> Вывод-циска что-то блокирует, возможно порт или хз что, не могу разобраться.
> Помогите плз

Смотрите исходники страниц проблемного сайта либо логи прокси про обращении к нему. 146% что содержимое сайта загружается с разных источников, отслеживайте и открывайте до достижения результата.
В современном уэб-пространстве редко когда удается обойтись открытием 1 адреса на 1 сайт...

> Сайт work.ua без проблем
> работает через прокси, а вот rabota.ua какая то ахинея-без картинок. Пробовал
> и мимо прокси ганять, в ацл прописывал
> permit ip host xxx.xxx.xxx.xxx host 62.149.24.180 -тоже самое
> а когда пишу permit ip host xxx.xxx.xxx.xxx any то все норм отображатся.
> Вывод-циска что-то блокирует, возможно порт или хз что, не могу разобраться.
> Помогите плз

одним ACL не открыть потому что rabota.ua расположена в облачных ресурсах где используются дополнительные адреса и CDN ресурсы: images.cf-rabota.com.ua, logo-frankfurt.cf-rabota.com.ua, d3r3v3xnalu9ia.cloudfront.net и т.д.

вот и получается у вас что сам основной rabota.ua открывается, а что подтягивается с различных других ресурсов нет (потому что режутся по ACL в Cisco). пустите через SQUID и в нем возможно попробовать открыть ресурсу на *.rabota.ua

> Вывод-циска что-то блокирует, возможно порт или хз что, не могу разобраться.
> Помогите плз

Победил проблему следующим образом-добавил в исключения прокси эти ресурсы
.rabota.ua .rabota.kharkov.ua .gde-default.hit.gemius.pl .d3r3v3xnalu9ia.cloudfront.net .images.cf-rabota.com.ua  .ssl.googleanalytics.com .css.rabota.com.ua .googletagservices.com .stats.g.doubleclick.net .logo-frankfurt.cf-rabota.com.ua

Может еще кому то придется заниматься такой ерундой:)

>  exec-timeout 360 0
>  388 vty 0     user1   idle  00:10:58 192.168.85.55
> *389 vty 1     user2   idle  00:00:00 192.168.85.55

exec-timeout <min> <sec>
У вас таймаут 360 минут, а пользователь в idle меньше 11 минут.

> Здравствуйте! Кто может выручить дампом прошивки SG300-28, убили напрочь аппарат...

сисько-ком!

https://www.cisco.com/c/en/us/support/switches/sg300-28-28-p...

> Добрый день.
> Поднят vpn сервер. https://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/g...
> Подскажите. Есть ли возможность зарезервировать ip адрес для одного подключения? Т.е. чтоб
> одному клиенту присваивался всегда один ip адрес?

Правильный вариант: отдавать с radius server

Простой вариант: пользователя в отдельную группу, группе отдельный пул из одного адреса.