В этой инструкции описана настройка VPN IKEv2 на Mikrotik на базе ключей, без паролей. Это максимально безопасный вариант VPN, подбирать пароль в этом случае бессмысленно. В общем, весь процесс состоит из двух частей, по большому счету: выпуск и экспорт ключей и сертификатов и настройка IPSec. Дополнительно приведен пример firewall. Итак, есть микротик, VPN IKEv2 будем "вешать" на IP адрес 1.2.3.4. Можно и по доменному имени, а можно по публичному IP-адресу, без доменного имени. Рассмотрю вариант, когда доменного имени нет.

Прекрасная новость для тех, кто шифрует переписку по электронной почте - Thunderbird c версии 78.2.1 имеет встроенную поддержку OpenPGP и S/MIME. Теперь Enigmail и GnuPG больше не нужены, если речь идет исключительно про Thunderbird. Это еще один шаг на пути защиты своих данных.

В видео описан пример настройки VLAN на роутере Mikrotik 951-й серии. VLAN софтовый, не использует switch чип, описан так называемый Bridge VLAN Filtering. Универсальный, так сказать, способ.

Я так кратенько, особо не вдаваясь. Сейчас рынок наполнен недорогими и надежными маршрутизаторами и точками доступа Mikrotik. Предлагаются услуги по пуско-наладке простых решений (одна-две точки доступа) и посложнее (радиомосты, покрытие WiFi зданий). Но часто заказчики не знают, а интеграторы не парятся о том, что может получить заказчик. А получить он может вот что:

Для защиты трафика DNS от подмены (атака посредника) или от просмотра (например, на промежуточном сетевом оборудовании) можно отправлять запросы DNS в HTTPS (т.н. DNS over HTTPS, DoH). При этом исходящий трафик пойдет не на 53/udp, а на стандартный порт HTTPS: 443. В Mikrotik начиная с версии 6.47 DNS over HTTPS поддерживается.

В нормальной ситуации postfix должен проверять корректность передаваемых ему данных, таких как адрес получателя и отправителя, IP-адрес и соответсвие ему имени хоста и множество других проверок. Но в жизни часто бывает, что приходит письма от конкретного домена не проходят проверку (например криво настроены PTR-записи). В таких случаях надо сделать исключение, например, разрешив конкретному отправителю присылать письма, несмотря на плохо настроенный почтовик. Под адресом отправителя почти всегда имеется ввиду IP-адрес/hostname почтового сервера отправителя.

RDP (Remote Desktop Protocol) это протокол удалённого рабочего стола, развиваемый Microsoft, используется для удаленной работы с компьютером. Несмотря на то, что традиционно в продуктах Microsoft регулярно находят уязвимости, а серверы Windows редко подключают на публично доступные из интернет адреса, RDP используется повсеместно, негативных отзывов мало. В целом, RDP крайне удобный инструмент для периодической или регулярной работы на удаленных компьютерах.

RDP позволяет работать с удаленным компьютером, почти как с локальным. Двигать мышкой, открывать файлы, диски, документы, программы, печатать с удаленного комьютера, без проблем использует буфер обмена (Ctrl+C, Ctrl+V ;)) не только для текста, но и для файлов. Причем если у вас открыто больше одного окна RDP, можно скопировать файл в одном окне RDP и вставить его в другом окне RDP. Отлично работает передача сочетаний клавиш, переключения языков.

Вот опять столкнулся в очередном мануале по Nginx: disable SELinux. Люди, зачем?!

Утилита Screen создает отдельные сессии, в рамках которых можно выполнять команды, работать. И при желании переключаться между этими сессиями, как между окнами графического интерфейса. Это не замена работе в терминальных сессиях на одном сервере нескольких пользователей, а отдельный инструмент. Больше всего это похоже на работу по RDP. У вас может быть открыто несколько rdp-сессий. Если коннект нарушится, вы потом просто переподключаетесь и продолжаете работать. Аналогично, если кто-то подключится к вашей сессии rdp, вас отключит, а работу продолжит уже другой человек.

Рано или поздно такая задача перед вами все равно появится - как узанать, какой IP адрес у конкретной виртуальной машины KVM. Даже если машина только одна - не подключаться же к ней, в самом деле. Я нашел три способа, причем третий мне очень понравился, на мой взгляд, потенциально, он самый лучший для траблшутинга при многих проблемах с сетью и совсем необязательно только с KVM.