С версии 7.15 в микротике OpenVPN стал более мнее похож на человеческий. И хотя все равно остались нюансы, характерные для Mikrotik-way, но им уже можно пользоваться чтобы настроить ВПН для небольшого офиса. Ниже чеклист по настройке
Continue ReadingПрием логов и добавление их в Zabbix метрики
Настало время записать настройку позволяющую принимать логи на наш Zabbix сервер (как минимум) и делать триггеры на их основе (для продвинутых). Пройдемте под кат
Continue ReadingZabbix сервер на Ubuntu 22.04 (VPS)
Короткие заметки по установке Zabbix-сервера на простейшей VPS для личных нужд
Статья не претендует ни на что — просто заметки чтоб если понадобится, не вспоминать потом
В качестве подопытного VPS сервер у одного из российских хостеров, 1vCPU,1Gb RAM, 20 SSD, за смешные $2,5/месяц. Для моих пары десятков хостов под мониторинг — вполне хватает
Continue ReadingЕдиницы размерности памяти в Zabbix
Стоит помнить о том, что Zabbix поддерживает РАЗНЫЕ обозначения для измерения объемов памяти, скоростей интерфейса и т.д. везде где используются биты и байты
Если мы указываем b — тогда нужно быть готовым к тому, что все последующие действия с этим значением Zabbix будет производить исходя из 10-ной системы (т.е. 1 Кb=1000б, 1 Мb=1000Кб и т.д.)
Если мы указываем B — тогда нужно быть готовым к тому, что все последующие действия с этим значением Zabbix будет производить исходя из 2-ной системы (т.е. 1 KB=1024B, 1 MB=1024КB и т.д.)
Это применимо и к размерности Items и к формулам и к Macros
VPN для удаленного доступа сотрудников в офис с помощью Mikrotik
Это не полноценный гайд по настройке, а некоторые важные моменты, которые мне встретились и решение которых было тем или иным образом найдено. Сознательно не рассматривается OpenVPN на базе Mikrotik — а именно L2TP-туннели. OpenVPN в микротике — штука специфическая, и требует установки дополнительного ПО на стороне клиента(что иногда — недоступно), а L2TP-VPN-подключение — настраивается штатными средствами Windows
Continue ReadingWindows 7 и TLS 1.2
ДА, Win7 нужно уже списывать со счетов
ДА, Win10-11 наше будущее
НО, кое-где все еще стоят Win7 и отсутствие поддержки Microsoft приводит к непонятным проблемам, например
Continue ReadingПроблемы с Windows Search на терминальном сервере
Иногда на терминальных серверах Windows 2012R2 происходили странные проблемы, в частности:
- при открытии меню ПУСК с плитками и попытке ввода чего-либо в строке поиска — все зависает
- ярлыки на рабочем столе у некоторых пользователей становятся «белыми»
- открытие проводника — приводило к зависанию на 15-60 секунд, пока прорисуются локальный и\или сетевые диски
- не работал поиск в приложениях (например в Outlook)
- перезапуск службы Windows Search проходит нештатно (сначала зависает на останове, потом выдает ошибку (служба не отвечает) потом долгое время висит в состоянии Starting через 5-15 минут все таки перезапускается
- перезапуск службы Windows Search РЕШАЛ проблему на какое-то время
- пересоздание индекса — НЕ РЕШАЛО проблему
При этом никаого дополнительного ПО кроме стандартного MS Office на сервере не стояло (одна из причин может быть проблема с PDF iFilter, подробнее вот тут )
Решение очень простое и элегантное: добавить ключ в реестр и перезагрузить сервер
Name : CoreCount
Type : DWORD
Value : 1
Location : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search
Это ограничит службу поиска в использовании только одного потока на запрос и во всех случаях у нас проблема была решена.
Shadowsocks на базе Ubuntu (VPS)
Шпаргалка по установке голого Shadowsocks без обфускации на дешевом VPS\VDS сервере с установленной Ubuntu 18.04 64bit Minimal (также подходит для Ubuntu 20.04)
Continue ReadingИспользование EXCEL для server-side автоматизации — плохая идея.
Уже довольно давно Microsoft написала большую статью, где рассказывала почему не стоит использовать Excel для различного рода автоматических заданий.
Continue ReadingМонторинг ESX-хоста в Zabbix
В Zabbix есть уже готовые шаблоны для мониторинга основных показателей гипервизоров на базе Vmware ESX. Чеклист для подключения ESX к мониторингу — такой
Continue ReadingПричесываем логи в Микротик
Задача: скрыть из лога устройства тысячи сообщений от сaps При настроенном CAPsMAN лог заполоняет множество info-сообщений от топика caps. Полезность этих сообщений — довольно условная, поэтому неплохо бы их скрыть или перенаправить в другой приемник логов.
Решение простое:
Continue ReadingSSH подключение к Mikrotik c android-смартфона
Учитывая богатые возможности Mikrotik-оборудования, бывает удобно некоторые вещи делать со смартфона. Простой пример — отключать интернет для конкретных устройств в домашней сети. Для этого достаточно запустить скрипт, который гасит нужный интерфейс, или меняет настройки Firewall, например выключает NAT только для конкретного IP (в этом случае домашние ресурсы — остаются доступны, выключается только интернет и только для конкретного устройства)
Задачу решаем последовательно
Continue Reading«Киоск» на базе Raspberry Pi
Задача: организовать «информационный киоск» минимальными средствами, максимально самодостаточно (например без подключения к терминальному серверу)
Решение: использовать Raspberry Pi с монитором. Поставить на него какой-нибудь линукс и запускать там автоматически браузер в полноэкранном режиме открывающем нужный сайт.
Continue ReadingУстановка Windows через WDS в филиале
Исходные данные: Есть основной офис с работающим сервисом WDS. Есть филиальная сеть, с VPN-каналами в центральный офис. В филиалах — свои DHCP-сервера.
Задача: дать возможность клиентам в филиале — пользоваться центральным WDS-сервисом.
Решение(кратко):
- выделяем отдельный интерфейс на роутере в филиале, на котором настраиваем dhcp-relay на центральный офис(не забыв в список DHCP-серверов добавить и WDS-сервер. Это важно!).
- На DHCP-сервере центрального офиса — создаем Scope под нужные филиалы(чтобы центральный DHCP выдавал им правильные настройки).
- компьютеры, которые требуется переустановить — втыкаем в этот интерфейс, и наблюдаем за процессом установки, длительность которого зависит от ширины ваших интернет-каналов
Автоматический апгрейд Firmware на Mikrotik
Те, кто пользуется устройствами Микротик знают, что есть такая штука как «The Dude», с ее помощью много чего можно делать по части управления сетевыми устройствами, но также можно и массово обновлять пакеты на Микротиках.
Все бы хорошо, но обновляются только пакеты, а кроме пакетов нужно обновлять также и Firmware, а Dude так не умеет… Что же делать?
Continue ReadingПримитивная защита опубликованного RDP-сервера
Ранее писал про простую, но довольно эффективную «защиту от брутфорсеров», но что делать если у вас нет роутера, на котором можно такую защиту построить?
Можно сделать «наколеночное» примитивное, но все таки работающее решение внутри самого сервера. Единственное ограничение — ОС на сервере должна быть минимум Windows Server 2012 R2.
Continue ReadingОчень долгий поиcк Updates в свежеустановленном сервере
На свежеустановленном сервере Windows Server 2012 R2 поиск апдейтов занимает очень длительное время. Анти-рекорд составил более 7 суток. Прогресс-бар searching updates просто бегает и все, и ничего не происходит.
Даже отдельно скачанные MSU-пакеты — не устанавливаются, зависая ровно на том же этапе: searching installed updates.
Анализ лога WindowsUPdates.log ничего полезного не дает. Все вроде работает, ошибок нет, просто не качает обновления.
Помогло вот что:
- в настройках Windows Updates — выбрать пункт Never Check for updates (по сути выключить службу обновления).
- Перегрузить сервер
- После этого становится возможно ставить отдельные msu-пакеты
- Скачать свежую версию Windows Update Client (на текущий момент вот версия для Server 2012 R2 а вот версия для Sever 2008 R2 )
- Обновить клиента, перегрузиться
Ура, после этого работа с обновлениями пошла в штатном режиме!
Защита опубликованного RDP-сервера с помощью Mikrotik
Простой способ автоматически блокировать «брутфорсеров», пытающихся подобрать пароли к какому-либо из ваших опубликованных через Микротик сервисов.
Идея:
- тем или иным образом отфильтровываем «новое подключение» злоумышленника. Обратите внимание! Если речь идет про DST-NAT (т.е. некий внутренний сервер, входящий порт которого опубликован снаружи), то фильтрация будет в forward-chain.
- Заносим src-IP этого «нового подключения» в временный «список 1 уровня» с таймаутом скажем 30 минут
- Далее делаем еще несколько уровней, куда последовательно будем заносить Src-IP из предыдущего уровня. Таким образом, если за время жизни списка некто попытается несклько раз подключиться (типовая ситуация — брутфорс логинов-паролей), то он последовательно попадет в списки 1,2,3 и т.д. уровней
- Итоговое правило: из последнего списка занести Src-IP в постоянный бан-лист
Ярлык в терминальной сессии на папку \\tsclient\D\bla-bla-bla
Если при подключении в терминальную сессию поставить галочку «подключать локальные диски», то в самой сессии эти диски становятся доступны например, как \\tsclient\D
Если пользователь делает стандартным способом (например из меню — «отправить на рабочий стол», или перетащив мышкой и выбрав пункт «создать ярлык» ) ярлык на рабочий стол на какую-то папку, на своем локальном диске (подключенном в терминальную сессию), то этот ярлык остается работоспособным до конца сессии. При перелогине — ярлык перестает работать.
Решение: сделать ярлык следующим способом (делаем строго по описанной последовательности)
1) Click on the desktop session on RDS and choose New -> Shortcut.
Then navigate to the folder on drive c: TS client that you want to connect.
When you have finished the shortcut will refer to a path like \ \ tsclient \ c $ \ Windows for example.
This link will work throughout the session RDS. After log off and on, the shortcut will still work.
Получать уведомления о наступлении определенного события в EventLog Windows Server
В Task Schedule создаем задание. В Trigger — выбираем » on an event «, указываем параметры искомого события, в Action выбираем Run Program и настраиваем запуск любого простого скрипта отправки почты.
Все просто — но варианты фильтрации в разделе On an event — довольно скудные. Можно выбрать только Log, Source и EventID. И даже если выбрать расширенные настройки — все равно кардинально ничего не добавится.
Если этих параметров — хватает для фильтрации нужного события — радуйтесь, задача решена. Но если нет — то делаем так.