Příspěvky

1

Sítě / Re:MikroTik L009UiGS-2HaxD len 300 Mbps

« kdy: 16. 09. 2025, 21:17:28 »

Kód: [Vybrat]

# 2025-09-16 19:02:49 by RouterOS 7.16.2

/ip firewall filter
add action=accept chain=input comment="wireguard allowed" dst-port=528XX protocol=udp
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" in-interface=ether1 protocol=icmp
add action=accept chain=input comment="allow Winbox" in-interface=ether1 port=8291 protocol=tcp
add action=accept chain=input comment="allow SSH" in-interface=ether1 port=22 protocol=tcp
add action=drop chain=input comment="block everything else" in-interface=ether1


Na poradi zalezi. Pravidlo na povolenie wireguardu by som dal az za "accept ICMP". Nemusi sa na neho kontrolovat kazdy  jeden paket, este pred established,related. "Block everything else" je zbytocne.

2

Vývoj / Re:Metody Dockeru v TrueNAS

« kdy: 12. 09. 2025, 00:11:28 »

TrueNAS a Proxmox su dve velmi rozlicne veci. Prve je NAS appliance, druhe je hypervizor. KVM maju oba, LXC tiez, Proxmox nevie docker, treba si urobit VM a docker spustat tam.

TrueNAS rozhodne na jednom SSD nepojde. Teda pojde, da sa potom klikat v UI a pozerat sa, co kde je, len sa nebude dat vytvorit pool s datasetmi a zdielaniami. TrueNAS totiz vyzaduje samostne zariadenie pre seba (kedysi stacil usb kluc; to je uz dnes nepodporovane) a potom samostatne zariadenia, kam bude ukladat data. Na hranie s jednym diskom teda do virtualky, urobit viacero virtualnych diskov, na jeden nainstalovat a zo zvysku urobit pool. Samozrejme, v tomto pripade nebude mozny passthrough I/O, takze na hocico ine ako hranie je to nepouzitelne.

Proxmox tiez vie veci, na ktore je treba viac hardware. Clustering a zive migracie si na jednom pocitaci nevyskusas.

Nakoniec, preco si nevyskusat obe, zistit v com su silne a slabe stranky oboch.

3

Vývoj / Re:Metody Dockeru v TrueNAS

« kdy: 10. 09. 2025, 19:56:08 »

Aktualny TrueNAS podporuje tri sposoby, ako spustit aplikacie tretich stran:

- kontajnery: pozor, toto nie je docker, ale lxc.
- vm
- apps: co je katalog vybranych dockerovych aplikacii, spolu s gui formularom na nastavenie vybranych parametrov. Okrem toho je mozna "custom aplikacia", kde si pouzivatel vyberie image aky chce, moze nastavit jeho zakladne vlastnosti, alebo pastnut vlastny docker-compose.yml (ale bez podpory premennych v .env!)

Ja to riesim tak, ze cez apps nainstalujem portainer a potom zvysok -- vratane reverznej proxy -- v ramci portainera.

4

Windows a jiné systémy / Re:Identifikace sítě ve Windows a macOS

« kdy: 03. 07. 2025, 09:53:17 »

Windows identifikuje siet pomocou NLA:

1) domenove meno (DHCP domain name) a ci k danej domene existuje znama AD
2) ip rozsah subnetu
3) dostupnost konektivity a verejna ip (probe na msftncsi.com)

5

Sítě / Re:Dvouportový PoE switch pro kamery

« kdy: 25. 06. 2025, 10:34:24 »

Mikrotik robi 4-portovy extender GPeRx4 -- co nie je switch v pravom zmysle slova, porty sa vedia bavit iba s portom 1, nie navzajom -- co na kamery vyhovuje. Na napajanie z uplinku vyzaduje PoE++ (bt), na jednotlive porty potom distribuuje PoE af/at.

Okrem toho robia aj realny 2-portovy switch GPeR, ale to sluzi na trocha iny ucel.

6

Sítě / Re:Vodafone (exUPC) vs. PODA (GPON) Internet

« kdy: 09. 06. 2025, 13:44:59 »

...I ten proklínaný iTunes na Windows prostě funguje.

USB mají všechny mobily a i flashy pro lightning existují, často duální s USB na opačném konci.

Itunes pre Windows este existuje? Pretoze pre MacOS uz davno nie. (Neviem, nemam prehlad o situacii iOS+Windows, pytam sa).

USB ma kazdy mobil; koniec koncov 99% pouzivatelov ho cez USB nabija. Od zavedenia USB-C je mozne pripajat aj kluce a inu bizuteriu bez OTG adapterov.

7

Server / Re:Migrace Samba AD na Windows server

« kdy: 09. 06. 2025, 12:44:20 »

A este je tu jedna vec, s ktorou sa pri migracii Samby da strelit do nohy: FSMO role.

Po pripojeni noveho DC treba premigrovat FSMO role, az potom odstavit Sambu. Pokial sa na to zabudne, je to... zle.

https://samba.tranquil.it/doc/en/samba_fundamentals/about_fsmo.html

8

Server / Re:Migrace Samba AD na Windows server

« kdy: 09. 06. 2025, 12:37:44 »

Pozor, verzie ktora sa bavi s ktorou je Domain Functional Level, nie verzia Windows Server!

Problem je v tom, ze 2008 functional level, ako aj Samba 4.10 su praveke verzie. Mozno by to islo postupnym upgrade, aby sa jednotlive verzie medzi sebou bavili.

Verzie Samby a podpora funkcnych urovni: https://wiki.samba.org/index.php/Raising_the_Functional_Levels

Verzie Windows Server (<=2012R) a funkcnych urovni: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754918(v=ws.10)

Verzie Windows Server (2016+) a funkcnych urovni: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels

Takze ak nie je mozne upgradovat Sambu na 4.20+, tam povysit domenu na 2016 a potom premigrovat na aktualne windows je to mozne urobit naopak, s dvoma migraciami windows: na sambe 4.10 nastavit 2008R2, nainstalovat Server 20212R2, premigrovat domenu, povysit na functional level 2012r2, nasledne premigrovat na 2022 (zvlada functional level 2012r2) a nakoniec povysit na pozadovany functional level.

9

Sítě / Re:IPsec a problém s SMB

« kdy: 27. 05. 2025, 10:47:35 »

Protoze widle si ukladaji domenovy heslo (ano heslo...) ktery si vygenerujou, a ktery ma zivotnost prave ten +- mesic. Lokalne si pak do cache ukladaji usery ktery se nejak behem pripojeni k domene prihlasili a prave ti se muzou prihlasit i offline.

Toto podedili z Kerberosu. To, co si ukladaju, je machine keytab, teda kluc specificky pre pocitac, v podstate ekvivalent host/$hostname@$REALM. A ano, treba ho z casu na cas refreshut.

Co sa tyka nacachovanych userov, tak ano, vedia sa prihlasit k lokalnemu stroju, ale ak im expiroval kerberos tgt (by default 24 hodin), tak novy nedostanu. Tym padom sa nevedia autentifikovat voci inym sluzbam. Pri smb moze nastat NTLMv2 fallback, ak ho maju povoleny, pri inych moze byt problem, az pokym uspesne neprebehne kinit.

10

Sítě / Re:Vodafone (exUPC) vs. PODA (GPON) Internet

« kdy: 15. 04. 2025, 11:27:06 »

To bude možná tím, že vlastní ONT u PODA prakticky nikdo nemá a tudíž to ani PODA zatím nijak neřeší. Ale pokud by takových userů přibývalo, tak sotva bude PODA všem přidělovat /30 (4x IPv4), když jich má sama nedostatek. Neboli bych rozhodně nesázel na to, že když teď má někdo s vlastním ONT k dispozici 4x IPv4, tak mu to vydrží navěky věků. Ostatně i ve smlouvě se garantuje IPv4 jedna jediná.

Ale oni musia pridelovat /30 z technickych dovodov; (to neznamena, ze moze pouzivat vsetky 4: jedna padne na adresu siete, jedna na gateway na strane isp, jedna na router zakaznika, jedna broadcast). Niektore routery zvladaju /31 (rfc 3021, predpoklada sa point to point, stacia dve adresy, jedna pre router zakaznika, druha pre gateway na strane ISP), ale tipoval by som, ze infrastruktura na strane poda nie. Ak by chceli ist na 1 IP adresu na zakaznika, tak im zostava NAT 1:1, alebo kulehy so zdielanim rovnakej IP na rozlicnych interfaces, (ktore boli tu na roote popisane).

11

Desktop / Re:Náhrada Skype pro Linux

« kdy: 08. 04. 2025, 15:28:05 »

Upoutal mě Jitsi Meet. 
https://flathub.org/apps/org.jitsi.jitsi-meet
Vypadá pěkně a video kvalita zatím nejlepší.
Taky to je systém primárně na video hovory. Chat chybí. Kontakty taky. Škoda. Je to takový open source Zoom.
Naplánujete si video meeting, vygenerujete kód meetingu a ten pošlete tomu s kým chcete mluvit.
Fungu je to, ale náhrada Skype to není.

Vo firme mame rozchodny self-hosted jitsi meet spolu so zulipom. Jitsi je na video/audio, zulip na chat (taky open source Slack). V zulipe sa da jednym klikom v chate vygenerovat linka na adhoc meeting v jitsi a prijemcovia si na nu len kliknu. Obe su za SSO, takze neotravuje s dalsim loginom (ale desktopovy jitsi meet ma problem, nevie spravne handlovat jwt tokeny od OIDC SSO. Desktopovy klient na linuxe dlhu dobu bezal na historickom electrone, takze dlho nevedel hidp a aj zdielanie obrazovky pod waylandom je novinka v 2025.2. Browserovi a mobilni klienti su ok).

Minusom je rozchodit to, nie je to uplne jednoduche a treba sa o to starat. Je jednoduchsie zaplatit za teams.

Pre normalnych domacich userov s linuxom sa mi najviac pozdava telegram. Je to nativna aplikacia v qt, ziadny pochybny home-made electron wrapper ako teams-for-linux, oficialne podporovana a so 100% funkcnostou na linuxe (na rozdiel od whatsapp), nikto s tym nemal problem, ze by nieco nefungovalo. Jedina vytka bola, ze nema normalne skupinove hovory, ktore by ostatnym ucastnikom zvonili, ale v skupine musi vlastnik skupiny vytvorit hovor a ostatni sa musia pripojit (v podstate ako teams).

12

Sítě / Re:MikroTik mDNS: nefunguje video napříč VLAN

« kdy: 23. 02. 2025, 20:02:53 »

Caute chlapy,
sorry, ze zase ozivujem tuto temu, ale asi nie je vhodne stale zakladat nove temy, ked tak nech ma moderatori upozornia a zalozim novu. Stale mam problem s tlaciarnou (tiskarnou) a myslim si, ze problem bude vo firewalle, ale neviem kde, takze sem vyprintujem cely filter.
Situacia sa v podstate dotyka styroch vlan:
...

V akych interface listoch su jednotlive vlany? A ostatne interfejsy?

Inak v pripade mikrotiku odporucam exportovat nastavenie cez terminal; /interface/list/export a /ip/firewall/filter/export. Alebo pre cely config /export. Pre RouterOS < 7 pridat hide-sensitive=yes.

13

Sítě / Re:Více než /64 IPv6 adres u O2

« kdy: 18. 02. 2025, 13:36:55 »

A pokud si to trochu sumarizuju, tak v podstatě pár relevantních technických obtíží spočívá v podpoře DHCPv6-PD a to jak u ISP, kde by to museli na mobilních sítích implementovat (to by pravděpodobně neslo i určité další náklady včetně souběhu s bezstavovým SLAAC pro hromady "legacy" zařízení), tak na straně některých platforem (jestli se nepletu, tak třeba Android tohle pořád neumí).

Pozor, DHCP-v6 a DHCP-PD su dve rozlicne veci! Je uplne v poriadku mat v sieti SLAAC a DHCP-PD; PD je "prefix delegation", nim si zariadenie pyta dalsie prefixy pre siete, do ktorych routuje (to by sa Androidu potencioalne tykalo len pri tetheringu). DHCP-v6 resp SLAAC je pre priradenie adresy samotnemu zariadeniu.

Zaroven SLAAC nie je legacy a DHCP-v6 nie je new hotness. SLAAC je plne dostacujuci a DHCP-v6 je len pre tych, co nepochopili IPv6 a prenasaju svoje navyky z IPv4 ;-).

14

Software / Re:max.com na Linuxu nejede ve FullHD

« kdy: 11. 02. 2025, 22:01:05 »

Nemá zmysel toto riešiť, nejde ti to viac ako 720p, lebo na druhej strane ti viacej nepustia.

Tá zázračná akceleračná technológia vo Windows sa nazýva obchodná dohoda, keď sa Microsoft dohodol s poskytovateľmi obsahu, že to takto bude. Ani Chrome nepustia viac ako 1080p, 4K, nebodaj HDR obsah na počítači býva len pre Edge + Windows DRM.

Ja fakt nechápem, prečo za toto platíte. Keď vám vendor povie, že Linux je nepodporovaná platforma pre ich streaming, treba mu povedať naspäť, že ich služba je teda nepodporovaná vašou peňaženkou. Keď sa vás nájde dostatočný počet, vtedy pochopia a začne to fungovať. Keď nie a potrebujete latest shiny, tak nie.

15

Sítě / Re:Nastavení a ověření DoH DNS na MikroTiku

« kdy: 11. 02. 2025, 13:32:33 »

No ako sledujem tu debatu, tak sa asi vykaslem na Mikrotik DNS a rozbeham radsej pihole pod proxmox. BTW: Preco by ste preferovali DoT pred DoH?

Pihole nevie ani DoT, ani DoH. Na to potrebuje bud proxy, ako je stubby, alebo rovno cely resolver, ako je unboud. Takze pokial nejde o filtrovanie, pihole straca vyznam.