Příspěvky

1

Server / Re:Pošta z Gmail.com má zpoždění několik hodin

« kdy: Dnes v 08:01:14 »

...
Takže teoreticky je problém na mém příchozím serveru a ne na jeho odchozím. Díky za popostrčení, jak bude chvíle tak se podívám kam budu moct. Může to být třeba i hardwerem někde po cestě, co já vím. Ale setkal jsem se s tím až poslední dobou.

Nebo nedoručitelné/odmítnuté zprávy, ale to je trochu jiný problém.

To se pozná podle těch časových značek, kde to viselo.

Ale greylisting v dnes moc nedává smysl - od potíží s velkými hráči, kteří druhý pokus nutně neudělají za stejné IP adresy, po časové limity (když druhá strana udělá druhý pokus moc brzo - měli jsme 30s a někdo měl v Kerio serveru 20s).
Dnes se hraje na SPF a DMARC - a to ty hacknuté DSL modemy v Brazílii nebudou mít dobře.
Docela účinné je nepřijímat maily z neexistujících domén (to spolu se striktním SPF spam omezí na hacknuté účty legitimních serverů).
Kdo nemá podepsané maily DKIM a nastavené SPF, dostává od Googlu trestné body (jde do spamu, pokud se vůbec doručí), takže tyto požadavky můžete klidně aplikovat taky.
No a zbytek jsou nevyžádaná obchodní sdělení, ale tam už jde o obsah, ne původce, ten je formálně v pořádku.

2

Sítě / Re:Optický kabel - obecný souhlas

« kdy: 15. 12. 2025, 08:05:26 »

Souhlas obsahuje nákres vedení do objektu a dotčené místnosti.

To bych fakt rád věděl, jak se Vodadone (nebo kdo to je) dozvěděl u RD o nějaké místnosti a ještě tak podrobně, že rovnou udělal nákres?   Nicméně bych trval na tom, že předávací bod je u paty domu (na hranici pozemku) a vymalováno. U RD nemá ISP žádný důvod lézt až dovnitř (když majitel vyloženě nechce) a dělat nějaká věcná břemena, která celou tu nemovitost jenom finančně znehodnocují a prakticky není možnost se toho někdy později zbavit. Jiná situace je samozřejmě u bytových domů, ale tady se dle úvodního dotazu řeší RD...

Vodafone/exUPC skončil po souhlasu stejně, jako tehdejší Telekom: v suterénní místnosti krabičkou se svorkovnicí na zdi.
Žádný nákres nikdy nikdo nedělal, až to přišli chlapi tahat, tak jsme se domluvili, kam to dají.
Druhý krok pak je připojení k síti, to zase přišel chlápek od UPC a domluvili jsme se, kam to ze svorkovnice dotáhne. Ideálně k prvnímu místu, kde mám nebo si můžu dotáhnout ethernet a je tam někde poblíž napájení.
V RD je tohle poměrně jednoduchý a formalit moc není potřeba.
Kdyby u nás tahali optiku, tak to s radostí vezmu - ale to nehrozí a jsme rádi, že máme to exUPC.

3

Sítě / Re:Jak získat vlastní IPv6 rozsah?

« kdy: 27. 11. 2025, 15:29:49 »

Mám připojení přes více poskytovatelů (drátové, wifinové, plus LTE jako záloha - všechny s problematickou rychlostí/spolehlivostí, takže přepínám na to, co zrovna funguje), a navrch VPN z jiné lokality.

Opravdu to potřebujete na úrovni IP protokolu? Nestačí jen mít v DNS víc IPv6 adres – schopnější aplikace při neúspěchu při navazování spojení zkusí další adresy z DNS. Jenom to dávám ke zvážení, protože řešení přes DNS můžete mít zdarma, vlastí blok IPv6 asi zdarma neseženete.

To nebude dobré řešení - kromě dlouhých DNS dotazů můžete zapomenout na certifikáty vystavené přes ACME - při vystavení/prodloužení certifikátu musíte mít dostupné všechny adresy k danému FQDN.
To už je lepší API na DNS a při změně prefixu (změně připojení) opravíte DNS.

4

Server / Re:DMARC/SFP a hlavička Return-Path

« kdy: 03. 11. 2025, 11:10:06 »

DKIM i SPF porovnává doménu vždy s doménou v hlavičce e-mailu (From dle RFC 5322). Protože From je to, co uživatel vidí ve svém e-mailovém klientovi.

Return-Path má obsahovat e-mailovou adresu, na kterou se mají posílat případné chyby při doručování.

SPF sváže From z hlavičky e-mailu s Return-Path, tím pádem se pak takový e-mail nedá přeposílat (při přeposlání se mění return-Path ale nemění se From). Proto doporučuju raději používat při odesílání DKIM – to zaručuje, že e-mail odeslal někdo z té domény, která je uvedená ve From, bez ohledu na to, kolikrát byl e-mail následně přeposlán.

Přeposílat se dá, k tomu účelu se používá SRS (Sender Rewrite System), kde se v return-path zachová původní hodnota, ale doména souhlasí s doménou serveru, který přeposílá, takže SPF souhlasí.
SRS používá Microsoft, Google i Seznam.
Pak to vypadá takto nějak:
Return-Path: <SRS0=1PwV=5L=allser.skin=edkuvnk@preposilajici.cz>

5

Desktop / Re:Videa se nepřehrávají plynule

« kdy: 16. 08. 2025, 08:26:20 »

- CSM jsem v BIOSu nenašel, pokud to není to, čemu HP říká Legacy Mode.…

Ano, je vysoce pravděpodobné, že Legacy Mode je to CSM (Compatibility Support Module). Někde se tomu říká rovnou CSM, někde jen "Legacy", ve stručnosti je to „když nebootujete pomocí (U)EFI, ale ‘postaru zavedením boot sektoru’“

Ano, HP to nazývá Legacy mode. Jakmile to zapnete (pouze na AMD, Intel už nejmíň od gen 10 legacy displejový driver neposkytuje), nasáčkuje se vám tam (i) ten legacy BIOS driver. Nestačí boot EFI, je potřeba legacy zakázat úplně. Mě to třeba rozbilo (HP nb s Ryzenem) grafiku ve Windows v okamžiku, kdy se zapnula virtualizace. Nic jsem nemusel přeinstalovat, jen stačilo vypnout Legacy (CSM). Zdánlivě nesmysl, že jo.

6

Sítě / Re:Zkušenosti s kabelovým interntem od Vodafone

« kdy: 08. 08. 2025, 10:08:27 »

Vodafone Station je v režimu bridge naprosto v pohodě, aktuálně ho máme ve firmě s tarifem 1000/300 Mbps s veřejnou pevnou IPv4 a IPv6. Stejně tak komunikace s Vodafone je bez chyb, jako firma máme "svého" pracovníka ze zákaznické linky, se kterým se primárně řeší co je potřeba (k pevnému netu jsou tam ještě mobilní čísla a SIM IoT). Takže spokojenost

Ve firmě. Na mě jako na domácí uživatelku kašlali shora.

Co jsem se díval, tak firemní ceny exUPC se snad ani neliší a dají vám full dual stack. Ale asi to chce IČO (živnost), nevím.

7

Sítě / Re:Zkušenosti s kabelovým interntem od Vodafone

« kdy: 07. 08. 2025, 22:41:28 »

To mne vubec nenapadlo.
ale Tmobile stranky mi nabizeji jen VDSL pro mou adresu, takze asi ne.

Vodafone svou kabelovou infrastrukturuc T-Mobilu nezpristupnil vsude. Ale tam, kde to udelal, by skutecne T-Mobile mohl byt lepsi volba - pronajem modemu za 0, staticka verejna IP za 99 (pro domacnosti) nebo za 0 (firmy), modem pro 2 Gbps sluzbu umi bridge...

Tak není co řešit. Fritz!Box vypadá o dost líp, než VodafoneStation, i když je to nastavování trochu neobvyklé. Za příplatek 20Kč k pronájmu to stojí. Změnil jsem tarif 1000/50 na 500/200 a s pronájmem modemu je to za 604. DS-Lite mi zůstalo, ale to jsem ani nezkoušel měnit.
Fritz!Box má statické routy IPv4 i IPv6, takže i kdyby neuměl PD, další subnety půjdou - to s Compalem ani Vodafone Station nešlo ani náhodou (Vodafone dává /56).
IPv6 není deklarovaná jako statická, ale pokud si pamatuju, tam mi prefix změnili vždy při změně modemu/tarifu, tj. 2x.

8

Desktop / Re:Videa se nepřehrávají plynule

« kdy: 07. 08. 2025, 08:30:45 »

Měl jsem jiný problém s grafikou na notebooku, nakonec se ukázalo, že příčinou bylo povolené CSM (i když se bootovalo EFI). Po vypnutí CSM bylo všechno v pořádku.
Je to dost mimo, ale když zkoušíte kde co a marně...

9

Odkladiště / Re:Kolik platíte měsíčně za Internet a za mobil?

« kdy: 06. 08. 2025, 07:58:09 »

Asi 1200.
550 Vodafone exUPC, a mobil 650, protože mám eSIM v hodinkách a tam jsou (Vodafone OneNumber) podmínkou neomezená data.
Mobil je ve firemní síti (kvůli propojení s ústřednou Avaya - služba EC500 - to jinak nejde).
S těmi daty (75GB) moc na výběr nemáte.

10

Sítě / Re:Zkušenosti s kabelovým interntem od Vodafone

« kdy: 06. 08. 2025, 07:36:12 »

DS-Lite znamená, že to celé jede na IPv6 a IPv4 je v tunelu. Veřejnou budete mít jen IPv6.
Já mám jejich Vodafone Station 3.1 a neumí to PD a dále, když mám ve FW povolený web a ssh, tak občas to přestane fungovat a musím to spravit alchymií vypnout FW, zapnout FW, uložit pravidla FW, vypnout FW a zapnout FW. Restart modemu nepomůže. To by s tím Frtiz!boxem mohlo být lepší.
Rychlost na 1000/50 dost odpovídá.

Fritz!box mi dovezou zítra (pronájem o 20Kč dražší, to snesu), ale jinak na kabelech Vodafonu můžete mít odpovídající služby i od T-mobile, mají nějaký jiný modem, ceny +/- stejné. Akorát (snad?) T-mobile nebude DS-lite.
Nevím, jak to máte, u nás je možnost VDSL nebo exUPC. Že by tu někdo vykope ještě optiku fakt nehrozí, takže není na moc výběr. Zkuste se jich zeptat.

11

Sítě / Re:Zkušenosti s kabelovým interntem od Vodafone

« kdy: 05. 08. 2025, 12:49:06 »

DS-Lite znamená, že to celé jede na IPv6 a IPv4 je v tunelu. Veřejnou budete mít jen IPv6.
Já mám jejich Vodafone Station 3.1 a neumí to PD a dále, když mám ve FW povolený web a ssh, tak občas to přestane fungovat a musím to spravit alchymií vypnout FW, zapnout FW, uložit pravidla FW, vypnout FW a zapnout FW. Restart modemu nepomůže. To by s tím Frtiz!boxem mohlo být lepší.
Rychlost na 1000/50 dost odpovídá.

12

Sítě / Re:Doporučené postupy k IPv6 pro domácí síť

« kdy: 19. 05. 2025, 19:51:20 »

Je zajímavé, že mají pravidla podle MAC, nikoli podle IP. Ale jakmile DHCPv6-PD selže, všechno se rozpadne. Bylo by skvělé, kdyby umožnili klientům spravovat delegaci sami, jako to dělá například Mikrotik nebo Keenetic.

DHCPv6-PD neselže, protože není vůbec. A statickou cestu definovat nelze, ve vlastní síti PD nepotřebuju, je/byl by tam stejně tak asi 1 router. Telnet i SSH to má bloknuté, takže ani přes CLI mu tam nic nenastavím.

13

Sítě / Re:Doporučené postupy k IPv6 pro domácí síť

« kdy: 17. 05. 2025, 09:42:44 »

Dotaz - Jak se na takové síti řeší pravidla firewallu pro jednotlivá zařízení, když se jim IP adresy náhodně "losují z klobouku" a ještě jich má každý interface několik? To musí být docela peklo...

Ty adresy se ale nelosuji z klobouku, viz vejs. Generuji se bud z MAC sitovky nebo IDcka systemu. Jinou budes mit tudiz leda v pripade, ze budes mit v siti vic sitovek se stejnou MAC (coz ti stejne nebude na jedny L2 fungovat) nebo dve sitovky od jednoho systemu.

Privacy ext se pouzivaji pouze pro odchozi provoz. Teda... mely by se pouzivat, spousta aplikaci (specielne tech od MS) pouzije tu globalni i pro odchozi provoz. Widle v tomhle ohledu klasicky nefungujou jak maj. Ostatne, minimalne pro w10 plati, ze po uspani a probuzeni se privacy ext adresy prestanou generovat ... "vylecit" se to da napriklad disablovanim a enablovanim sitovky (pokazdy samo) a nebo vypnutim uspavani site.

Tohle řeší velice pěkně Vodafone Station - firewallu se dávají pravidla pro MAC adresu, takže změna IP nebo změna prefixu neovlivní pravidla firewallu.
Jinak je Vodafone Station tragédie, sice máte prefix /56 ale ta věc neumí PD, takže s tím moc nejde dělat. A ještě se občas rozhodne, že povolená spojení na firewallu už neplatí a musíte firewall vypnout a zapnout.
Pokud jde o Windows a nechcete ruční konfiguraci, jediné řešení je zapnout EUI-64 a vypnout privacy extensions.

14

Sítě / Re:Doporučené postupy k IPv6 pro domácí síť

« kdy: 14. 05. 2025, 09:51:22 »

Edit: K bodu 3) jeste pozmanecka, to tak uplne neplati pro widle, protoze semotamo vydaji soudruzi v MS patch, a ten ti zmeni to IDcko systemu ... a tim padem i tu adresu.

Windows mají jediný pevný bod ve vesmíru, a to je EUI-64. Nastavit se to musí powershellem, s admin. právy:
Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled
(asi ještě restart, nebo disable/enable na interface)
Třeba ani v macOS není úplně easy zbavit se trvale dočasných adres - pokud potřebujete mít IPv6 adresu zapsanou v seznamu povolených adres.

15

Sítě / Re:Konfigurace síťových prvků od Unifi

« kdy: 01. 05. 2025, 21:33:26 »

Unifi s jedním AP nedává smysl, to je lepší za polovinu koupit nějaký TP Link Archer a přepnout do AP modu.
No a když víc kusů, tak musíte mít controller (napřed jsem ho měl ve Windows v notebooku, pak ve vysloužilém Mac mini s Ubuntu a nakonec mi skončil v RPi CM5, které dělá NAS).
Pokud ale moc nevíte, co děláte, bude možná jednodušší nějaký TP Link Deco - experti prominou - je to jednoduché, nastavuje se appkou v mobilu a ano, účet u TP Linku je nutný. Je to fakt minimalistické, jen jedno SSID, ale umí to dělat i router. Na chalupě jsem to vyřešil tímto, 2 jednotky to celé pokryly, jak se zdá. A je to za cenu jednoho AP unifi.
Chce to nějaký střední typ: 2x GLAN a 2 pásma WiFi.
Jestli vás lákají VLAN, více SSID, statistiky, seznamy klientů a podobné srandičky, tak zpátky k Unifi.