Russian Users MikroTik | Форум пользователей MikroTik

Obi Van писал(а): ↑09 фев 2018, 16:00

Sertik писал(а): ↑09 фев 2018, 11:44 А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...

В какой-то степени от этого спасает использование теггированого vlan в котором "ходит" вполне определённая сеть. Между удалёнными участками сети (условно 2 коммутатора) пусть транк и туда теггированные виланы.

И в какой же степени это спасает?
Раз уж речь пошла о "режь провод", то что мешает любым снифером узнать по заголовку номер тега и настроить порт под этот vlan?

algerka, так я ж и писал, что в какой-то степени. А это не подразумевает абсолют, верно? Ну так вот, когда уже будут становиться сниффером (например тем же микротиком), как вы говорите, то очевидно это кому-то нужно и меры которые должны быть приняты уже в другой простите плоскости? В общем и целом, воткнувшись тупым свичём, просто компьютером, в теггированную сеть вы как попадёте??
Тогда уж придётся между разными участками туннель поднимать например на базе IPSec.
Sertik, виланы объединяют разрозненные участки сети так, будто бы они находятся в одном широковещательном домене. Грубо говоря, будто бы они воткнуты в один свич (а в реальности как раз может быть вовсе не так, а устройства могут быть в разных зданиях подключены к разным свичам).

Obi Van писал(а): ↑21 фев 2018, 14:36 В общем и целом, воткнувшись тупым свичём, просто компьютером, в теггированную сеть вы как попадёте??

Так тупым свитчем или компьютером?
У компьютера сетевая карта ни разу не тупая.

а варшарк вам покажет все теги даже если сама плата не умеет тегировать трафик

enzain, верно Wireshark то покажет, только если сеть теггированая на ПК приходит, как попасть то в неё в конечном итоге? Ну вот например если в компе стоит что-то типа Intel i210T, то драйвер поддерживает теггированные виланы и можно будет подключиться к сколько угодно. В ином случае как (речь не и линукс системе, там то понятно)?

Obi Van писал(а): ↑22 фев 2018, 08:40 enzain, верно Wireshark то покажет, только если сеть теггированая на ПК приходит, как попасть то в неё в конечном итоге? Ну вот например если в компе стоит что-то типа Intel i210T, то драйвер поддерживает теггированные виланы и можно будет подключиться к сколько угодно. В ином случае как (речь не и линукс системе, там то понятно)?

Вряд-ли тот, кто придет резать провод - будет с картой без возможности протегировать трафик, хотя еще проще - с линуксом и все дела, там это делается на раз ...
Да и почти все сетевые карты даже если не имеют в драйвере обычном тегирования, имеют утилиту которую доставить можно :)

ПС: Берешь тот же mAP, и вопрос решен, ну или mAP Lite

Ну тогда уж если трястись за безопасность, то поднимать шифрованный туннель на полной скорости сети. В туннель толкать весь трафик гуляющий между этими участками сети.

Obi Van писал(а): ↑27 фев 2018, 10:25 Ну тогда уж если трястись за безопасность, то поднимать шифрованный туннель на полной скорости сети. В туннель толкать весь трафик гуляющий между этими участками сети.

Зачем тоннель?

ИПсек настроить достаточно между всеми узлами.
И да, это вполне реально, так некоторые и делают.

Вопрос в другом: если кому-то, что-то понадобится, это получат. Так или иначе ... Всякого рода например шантаж, никто не отменял ..

enzain писал(а): ↑27 фев 2018, 10:37Зачем тоннель?

Ну так IPSec и запускать же в этом режиме работы. Согласно WiKi:

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция.

Obi Van писал(а): ↑27 фев 2018, 10:46

enzain писал(а): ↑27 фев 2018, 10:37Зачем тоннель?

Ну так IPSec и запускать же в этом режиме работы. Согласно WiKi:

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция.

Вы не поняли.

В политиках например того же ПК.
Можно прописать что он использует IPSec Для общения со всеми хостами в сети допустим 10,0,0,0/24

Это будет не тоннель. Это будет просто трафик шифрованый. от всех всем.