1
Sítě / Re:Populárně naučná literatura pro záčínajícího síťaře
« kdy: 09. 01. 2026, 20:44:02 »
Celkem dost je toho zde https://www.samuraj-cz.com/clanek/pocitacove-site-a-jejich-typy/
A nejen o sitich...
A nejen o sitich...
Zobrazit příspěvky
Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.
2
Sítě / Re:Wi-Fi pro dvoupatrový dům
« kdy: 08. 01. 2026, 09:25:35 »Zkrati se prave ten handshake, ale v realnym provozu je to vlastne uplne jedno, stejne dojde na vypadek. A ackoli by aplikace "mely" takovej vypadecek ustat, tak v dobre 50% neustojej. A navic tyhle srandy stejne 90% klientu neumi a jeste drahne let umet nebude.
Dovolil bych si nesouhlasit. Pokud je vypadek kratky, ale zarizeni neprijde o IP adresu, TCP to vyresi retransmisi nebo se to vyresi na aplikacni urovni (napr. DNS na UDP).
A co se tyce podpory na starane klientu, tak u mobilnich zarizeni funguje pomerne dobre. 802.11r je nekdy z roku 2008-2010. Vyjimky jsou vylozene lowendy, kde to vyrobce osidil na maximum co zlo (Samsung A23, Motorola...) Podpora je i na Samsungu Galaxy J5 a to je model z roku 2017, prosim. Windows, to je jiny pribeh. Takze bych to nevidel tak cerne a pokud mate vice AP, ma smysl se to to snazit a prechody mezi AP resit.
A pak mas prave ty vendorlock veci, kdy se treba cela sit snazi vuci klientum tvarit jako jedno APcko, ruzne to podvrhuje MAC adresy atd. A samozrejme na to typicky potrebujes jak APcka tak klienty od stejnyho vyrobce.
Nestandardni reseni samozrejme prinaseji svoje...
3
Sítě / Re:Wi-Fi pro dvoupatrový dům
« kdy: 06. 01. 2026, 21:32:03 »
Ano. Uz je to dost OT, tak snad nedostanu vyhubovano, ale prislo mi zajimave to zminit. Casto se takhle s diskusi dost dozvim 
Radius se da zapnout primo na MT, pak potrebujete jeste balicek Usermanager. A hlavne validni SSL certifikat. Jinak to win ani nezkusi. Nastesti to neni nijak slozite. I ten cert. lze generovat primo na MT (snad vcetne aut. obmovy).
V seznamu reg. klientu v Capsmanu pak kazdy, ktery umi roaming, ma u auth. metody prefix ft (fast transition).
A v logu je pak hezky videt roaming:
3C:38:F4:2F:53:47@wifi-cAPac_2np-virtual(MT5) roamed to 3C:38:F4:2F:53:47@wifi-wAPax_1np-virtual(MT5), signal strength -66
Proste neco pro hracicky
Jo a pak to umi pocitat data (Radius acccounting) a muzete nastavovat treba deckam kvoty a podobne blbiny, sledovat handovery atd.
Radius se da zapnout primo na MT, pak potrebujete jeste balicek Usermanager. A hlavne validni SSL certifikat. Jinak to win ani nezkusi. Nastesti to neni nijak slozite. I ten cert. lze generovat primo na MT (snad vcetne aut. obmovy).
V seznamu reg. klientu v Capsmanu pak kazdy, ktery umi roaming, ma u auth. metody prefix ft (fast transition).
A v logu je pak hezky videt roaming:
3C:38:F4:2F:53:47@wifi-cAPac_2np-virtual(MT5) roamed to 3C:38:F4:2F:53:47@wifi-wAPax_1np-virtual(MT5), signal strength -66
Proste neco pro hracicky
Jo a pak to umi pocitat data (Radius acccounting) a muzete nastavovat treba deckam kvoty a podobne blbiny, sledovat handovery atd.
4
Sítě / Re:Wi-Fi pro dvoupatrový dům
« kdy: 06. 01. 2026, 20:47:41 »Co se roamingu tyce ... tak ten funguje zhruba tak, ze v zakladni verzi si ho managuje ciste klient, takze na APckach nesejde. V pokrocily verzi APcko klienta vykopne, kdyz si vyhodnoti, ze je v dosahu lepsiho APcka. A pak existuje cela rada vendorlock reseni, na ktery rovnou zapomen. (a bezvypadkovy neni zadny)
Ano základní varianta je, "kliente starej se". Klient se sám rozhoduje, kdy se pustí stávajícího AP a zkusí se chytit jiného. V tom okamžiku musí s novým AP provést celý handshake WPA2(WPA3) což trvá několik sekund. Obvykle si taky znovu řekne o IP adresu přes DHCP.
Dá se tomu trochu pomoct nastavením AP, aby vykoplo klienta, pokud má daný klient slabý signál. To řeší klienty, kteří se nechtějí sami pustit AP, i když ho reálně už skoro nevidí. Ale ten handshake při znovu-navázání to nezkrátí.
No a pak existuje 802.11r/k/v . Neznám detaily, k čemu všemu síť klienta může explicitně poňoukat - každopáně samotný handover proběhne bez čekání na znovu-navázání šifrované vrstvy WPA2/3 a reautentikaci. Takže se to stihne tuším v desítkách milisekund. Příslušná komunikace mezi AP a klientem je standardizovaná. Podporu 802.11r mají už nějakou dobu všechny hlavní operační systémy pro PC, nevím jak telefonní.
Ano, neni tam ten reauth, proto je to rychle. IP zustava, tcp spojeni se tak neprerusi a je to fakt v radu nizsich desitek ms. Zkousel jsem pingy asi po 50ms a neztratil ze zadny.
Pokud treba volate pres vowifi, nepoznate to, hovor nespadne (nespadne ten nosny ipsec pod IMS hovorem). Umi to (Mikrotik) mit s jednim ssid jak 5g tak 2g radia a preferuji se ty 5g.
Bohuzel, podpora zavisi jak na chipsetu radia tak na os. A jak jsem psal, s win minimalne s WPA2/WPA3 Enterprise. S preshared key ani smykem.
5
Server / Re:Hodnocení zranitelností a přístup k jejich řešení na serveru
« kdy: 06. 01. 2026, 16:26:19 »Diky za inspiraci...
Cesta, na kterou se dlouhodobě zaměřuji je zeštíhlování SW, tak aby prostě neobsahoval věci, které nepoužívá. Tj. co nejménší základní OS, minimum OS balíčků (aplikace si závislosti nesou s sebou, tady opět také minimální). Tak, abych se vyhnul bezpečnostním aktualizacím, které nepotřebuji, ale je těžké to obhájit.
6
Sítě / Re:Wi-Fi pro dvoupatrový dům
« kdy: 05. 01. 2026, 16:13:52 »Já ke své práci potřebuji pouze stabilní připojení k vpn a pár cloud služeb, toť vše.
Pokud se s pocitacem nebudete po dome pohybovat, tak asi ok, ale pokud ano, muzete zahy narazit. A pokud na DECO nejdou nastavit ACL dle sily signalu, bude to neprijemne. Dost jsem s tim celkem zapasil, protoze jsem vyhazel ACL v domeni, ze roaming bude prece bude fungovat a ono toto.
https://www.intel.com/content/www/us/en/support/articles/000102258/wireless.html
7
Sítě / Re:Wi-Fi pro dvoupatrový dům
« kdy: 05. 01. 2026, 15:35:37 »moc se ve wifi problematice nepohybuji, ale co jsem pochopil, tak možná nevýhoda tplink deco je, že klient rozhoduje na základě síle signálu apod ke kterému ap se připojí, zatímco třeba Unifi tu logiku mají naopak
Deco by mel umet IEEE 802.11k/v/r. Tj. neni to jen na zaklade sily signalu. AP klientovi "napovidaji" a ten se muze pak rozhodnout. Bez roamingu visi klient na AP, dokud mu neumre signal uplne (resi se to pak tupe pomoci ACL na AP na silu signalu). Ale pozor, napr. ne vsechny dnesni telefony to poporuji. Napr. levne Samsungy (A23 5G) sice umi WPA3, ale roaming uz ne. Starsi Motoroly (G53) taktez. Ale napr. Galaxy S9 roamuje. Windows 10/11 take s WPA2/WPA3 roaming nepodporuji, musi se jim dat WPA2 Enterprise a pak to funguje. U tech telefonu se to ta pomoci WPA2 Enterprise nastesti vynutit.
8
Server / Re:Hodnocení zranitelností a přístup k jejich řešení na serveru
« kdy: 05. 01. 2026, 13:09:09 »
9
Server / Hodnocení zranitelností a přístup k jejich řešení na serveru
« kdy: 05. 01. 2026, 10:55:36 »
Ahoj vespolek,
obecne tema: jak pristupujete resp. by se melo pristupovat k zranitelnostem, ktere napr. objevim na serveru, ktery je prakticky bez uzivatelskych uctu, ma primou internetovou konektivitu a je rekneme v nejake DMZ, ma dedikovany int. pro spravu a nalezena zranitelnost je treba CVE-2025-66293. To je chyba v libpng knihovne, cituji:
LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.52, an out-of-bounds read vulnerability in libpng's simplified API allows reading up to 1012 bytes beyond the png_sRGB_base[512] array when processing valid palette PNG images with partial transparency and gamma correction. The PNG files that trigger this vulnerability are valid per the PNG specification; the bug is in libpng's internal state management. Upgrade to libpng 1.6.52 or later.
CVSS V3 score je 7.1. Vektor utoku: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H indikuje zneuziti pres sit, s nizkou slozitosti, bez nutnosti spec. opravneni.
Server ma specificke sitove vyuziti, neni to web server, nema zadne API ven, provoz se generuje jen z nej ven a to zcela bez uziv. interakce. Jak realne je mozne zneuziti takove (takovych) zranitelnosti, ktere se obecne tykaji treba knihoven, ktere nijak s vlastnim fungovanim serveru nesouvisi? Zranitelnost samozrejme pri nejakem sec. scanu vyskoci v reportech a je treba se tim zabyvat.
Diky za nazory.
obecne tema: jak pristupujete resp. by se melo pristupovat k zranitelnostem, ktere napr. objevim na serveru, ktery je prakticky bez uzivatelskych uctu, ma primou internetovou konektivitu a je rekneme v nejake DMZ, ma dedikovany int. pro spravu a nalezena zranitelnost je treba CVE-2025-66293. To je chyba v libpng knihovne, cituji:
LIBPNG is a reference library for use in applications that read, create, and manipulate PNG (Portable Network Graphics) raster image files. Prior to 1.6.52, an out-of-bounds read vulnerability in libpng's simplified API allows reading up to 1012 bytes beyond the png_sRGB_base[512] array when processing valid palette PNG images with partial transparency and gamma correction. The PNG files that trigger this vulnerability are valid per the PNG specification; the bug is in libpng's internal state management. Upgrade to libpng 1.6.52 or later.
CVSS V3 score je 7.1. Vektor utoku: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:H indikuje zneuziti pres sit, s nizkou slozitosti, bez nutnosti spec. opravneni.
Server ma specificke sitove vyuziti, neni to web server, nema zadne API ven, provoz se generuje jen z nej ven a to zcela bez uziv. interakce. Jak realne je mozne zneuziti takove (takovych) zranitelnosti, ktere se obecne tykaji treba knihoven, ktere nijak s vlastnim fungovanim serveru nesouvisi? Zranitelnost samozrejme pri nejakem sec. scanu vyskoci v reportech a je treba se tim zabyvat.
Diky za nazory.
10
Sítě / Re:Wifi pro 2 patrový dům
« kdy: 05. 01. 2026, 03:24:29 »
Protoze se ptate na Root.cz, asi si budete chtit hrat a tak bych pouzil asi Mikrotik.
Pokud tedy nepotrebujete nutne Wifi7. Resim takto tripatrovy dum. Mam po patrech 2x cAP ac a nove wAP ax, vse na PoE, centralni sw, rizeni CAPSMAN a routovane na starickem Hex S. Funguje roaming mezi AP (pro klienty. co ho podporuji), EAP autentikace, IPv6, dual wan, wireguard, L2TP vpn a dalsi. Neni treba zadny cloud na konfiguraci.
Myslim, za za ty penize asi nedostanete z niceho vic. Da se na tom dost naucit. Celkove s tim mam jen dobre zkusenosti. Ale mozna doporuci nekdo neco jineho...
Pokud tedy nepotrebujete nutne Wifi7. Resim takto tripatrovy dum. Mam po patrech 2x cAP ac a nove wAP ax, vse na PoE, centralni sw, rizeni CAPSMAN a routovane na starickem Hex S. Funguje roaming mezi AP (pro klienty. co ho podporuji), EAP autentikace, IPv6, dual wan, wireguard, L2TP vpn a dalsi. Neni treba zadny cloud na konfiguraci.
Myslim, za za ty penize asi nedostanete z niceho vic. Da se na tom dost naucit. Celkove s tim mam jen dobre zkusenosti. Ale mozna doporuci nekdo neco jineho...
11
Sítě / Re:Optika T-Mobile a vlastní MikroTik
« kdy: 02. 01. 2026, 08:27:19 »Pozor, tu autonegociaci je nutne vypnout na obou stranach.
Není potřeba to vypínat na obou stranách, maximálně se to bude chovat tak, že se po zapojení port nahodí a pak vypne a pak zas zapne třeba až po 5 sekundách. Normálně bych před tím nevaroval, ale protože to druhé zařízení je operátora, chci cuciqa ušetřit toho, aby jim tam někam zkoušel volat a dovolávat se toho, že chce vypnout autoneg.
Ach ano, to mi nedoslo, ze to druhe zarizeni neni pod plnou kontrolou uzivatele. Kazdopadne s autonegociaci na strane jedne a pevnym nastavenim duplexu na strane druhe nemam dobre zkusenosti, casto se to nespisklo vubec.
12
Sítě / Re:Optika T-Mobile a vlastní MikroTik
« kdy: 31. 12. 2025, 08:35:57 »
Souhlas, take mi to prijde jako problem fyz. vrstvy, i kdyz ne nutne. Pozor, tu autonegociaci je nutne vypnout na obou stranach.
A jeste bych zkusil udelat nejaky packet capture, co se tam vlastne deje...
A jeste bych zkusil udelat nejaky packet capture, co se tam vlastne deje...
13
Server / Re:Resolvery CZ.NIC nepřekládají weby Monety?
« kdy: 09. 12. 2025, 21:00:30 »
Ano, mel jsem s tim take co docineni. Byla tu snaha zachranit situaci, ale seslo tam vic problemu, jak tu uz nekdo zminil ten NSEC3 a proto to pomohlo jen trochu.
Ale DS jeste zpet neni, jak se divam.
Ale DS jeste zpet neni, jak se divam.
14
Server / Re:Resolvery CZ.NIC nepřekládají weby Monety?
« kdy: 09. 12. 2025, 17:47:41 »
Nakonec DNSSEC vypnuli, odstranili DS z .cz zony. Tak to snad brzo daji dohromady.
15
Desktop / Re:Možnosti RDP na linuxovém desktopu
« kdy: 03. 04. 2025, 09:42:00 »
Fakt zkuste NoMachine.
Umi vytvorit virtualni display, ktery meni rozliseni podle toho, jak potrebuje klient. A display zustane bezet, kdyz se klient odpoji, jako u RDP/VNC. Lze kombinovat se sddm, ale neni nutny, pokud jste na stroji sam. Mam takto vzdalenou linuxovou prac. stanici, obraz se streamuje v h264, podporovana hw akcerelace, s klientem na 4k displayi je to velmi dobre pouzitejne... Prenasi obraz, zvuk, umi mountovat vzdaleny/lokani disk, presmerovavat porty, zpristupnit USB zarizeni... Je klient pro Androit.
VNC tomu nesaha ani po paty.
Umi vytvorit virtualni display, ktery meni rozliseni podle toho, jak potrebuje klient. A display zustane bezet, kdyz se klient odpoji, jako u RDP/VNC. Lze kombinovat se sddm, ale neni nutny, pokud jste na stroji sam. Mam takto vzdalenou linuxovou prac. stanici, obraz se streamuje v h264, podporovana hw akcerelace, s klientem na 4k displayi je to velmi dobre pouzitejne... Prenasi obraz, zvuk, umi mountovat vzdaleny/lokani disk, presmerovavat porty, zpristupnit USB zarizeni... Je klient pro Androit.
VNC tomu nesaha ani po paty.
