Příspěvky

1

Hardware / Re:NVR pre kamery značky Hikvision

« kdy: 17. 04. 2023, 19:17:25 »

Taky pouzivam ZoneMinder, zatim pro dve kamery, asi dva roky a bez problemu. Spolecne s nim Android aplikaci zmNinja.
Co mi ale vadi, je hromada false positive nahravek pri detekci pohybu vyhodnocovanim zmen obrazu (dest, snih, blizko letici hmyz, apod.).
Mam v planu zkusit nasledujici: Na nektera mista umistit nejake "bastly" s PIR cidlem, ktere pri detekci pohybu poslou info serveru. Kazde by melo mit vlastni ID, server by znal jejich polohu a mimo spusteni nahravani by zaroven nasmeroval PTZ kameru odpovidajici danemu ID cidla na jeho misto. ZM by zaroven mel umet integrovat AI / machine learning napr. s vyuzitim GPU nebo Google Coral akceleratoru pro detekci objektu / obliceju a napr. nespoustet alarm / nahravani, pokud je detekovan obblicej povolenych osob.
Co mi vsak vadi u HikVision, to je jejich "pozadi", provazanost s cinskym rezimem, odhalena udajna pomoc s automatizovanou detekci Ujguru, testovani / vyvoj detekci na veznich, apod. Bohuzel jsem zjistil az po jejich porizeni a zatim neznam cenove srovnatelnou "moralne cistou" alternativu. Viz https://zpravy.aktualne.cz/domaci/armada-skoly-i-urad-vlady-cesko-monitoruji-cinske-kamery-pod/r~59ac5ce0da6d11eb94d2ac1f6b220ee8/

2

Sítě / Re:Internet přes LTE - jak zesílit příjem

« kdy: 15. 02. 2021, 10:44:35 »

Ziju v Rakouku, ale obcas jsem v CR na chalupe rodicu partnerky - take v lese, signal temer zadny. Ale je to u hranic s Rakouskem, tak jsem zkusil MikroTik LHG kit (https://www.i4wifi.cz/cs/211278-mikrotik-routerboard-lhg-lte-kit-2-3-4g-lte-modem-17dbi-sim-slot-lan-l3) a mam stabilni net se svoji Rakouskou SIMkou (Drei), vetsinou jede plnych 30Mbps down stream, coz je muj limit.

3

Sítě / Re:IPv6 a IPv4 v domácí síti

« kdy: 16. 11. 2020, 14:37:33 »

Diky vsem za reakce. V noci jsem jeste doplnoval info prednaskami Pavla Satrapy, Tomase Hlavacka, apod.
 
Ano situace je takova, ze jsem dostal novy modem od exUPC (ne Vodafone, Magenta - Rakousko, ale to je jedno) a kdyz uz byl defaultne v IPv6, nechtel jsem "brzdit vyvoj". Jestli verejna single IPv4 nebo IPv6 rozsah - to pro mne neni podstatne, resim napr. pres reverse proxy. V tuto chvili tedy zrejme bude nejsnazsi "vratit se" k IPv4, o coz jsem prave pozadal. Jinak s tiskarnami by na IPv6 problem byt nemel, mam tu starsi kousek s USB only, kde konektivitu resi RPi Zero s CUPS, ale mozna nejaka domaci technika jako vysavace (iRobot) nebo stroje na vareni (Thermomix, Ambiano) by mohly mit problem.
Jinak pokud jde o absenci IPv4 zaroven s IPv6 u exUPC, na mistnich forech jsem se docetl, ze to neni omezeni dane primo exUPC, ale ze to jinak neumi ten Connect Box modem. Pokud jde o adresy, tak v administraci modemu bylo videt prirazenou /64, ale kdyz jsem z mikrotiku za nim zkusil pozadat pred DHCPv6 o /48, dostal alespon /60.

4

Sítě / IPv6 a IPv4 v domácí síti

« kdy: 16. 11. 2020, 01:30:13 »

Prosim o info - dosud jsem pouzival pouze IPv4, mnou pouzivani ISP IPv6 nenabizeli. Nyni mam nove moznost IPv6. Hlavni domaci sit bych rad preklopil na IPv6 only, ale nemam zadne zkusenosti s ni.
Doma bezi mala sit napr. s NextCloudem pro cleny rodiny bydlici jinde - nekolik Mikrotiku a pripojuji se sem na VPN.
Hlavni otazka zni - pokud jsou klienti IPv4 only, budou se nejak schopni pripojit na IPv6 server? Pres co/koho je mozne takto tunelovat?

V tuto chvili je modem (UPC Connect Box) v rezimu routeru s podporou IPv6 - chapu-li to spravne, nejde o dual stack a pokud bych chtel IPv4, prisel bych o IPv6.

5

Server / Re:Ubuntu Server vs. Debian pre Dell server

« kdy: 18. 06. 2020, 16:59:22 »

Znáte slovní spojení „mít krytou p*del“? (...) kde na tom visí její činnost.

V takovem pripade bych nespolehal na jeden server. A pokud mi pripadne selzou testy po upgradu jednoho nodu, tak stale pobezi alespon jeden jiny node na puvodni verzi. V pripade napr. chybejiciho FW balicku, ktery je k dispozici jen v ramci Ubuntu repozitaru, by nemel byt velky problem nainstalovat jej i na Debian. Tedy pokud z nejakeho duvodu tazatel citi potrebu pouzit Debian, za cenu mozna trochu vice starosti by to melo byt mozne. Chce-li pohodli a "pocit jistoty", pak zminenou 18.04.1. Vetsi miru jistoty ale dle meho nazoru nabizi HA, bez ohledu na to, zda tam bezi Debian ci Ubuntu. Jiste, nejaka certifikace a podpora je fajn, ale nemela by nahrazovat vlastni testovani. Osobne napr. na HP serverech pouizvam Debian 10 + ZFS/ZoL (takze pripadny problem pri upgrade "resi" rollback snapshotu), nektere specificke veci (typicky nove FW) pridavam extrakci RPM (a pripadne "prebaleni" do vlastniho DEB, je-li treba pouzit na vice serverech).

6

Hardware / Re:Doporučte UPS se síťovým rozhraním

« kdy: 03. 06. 2020, 18:53:33 »

Nedavno jsem nahrazoval starsi APC SUA3000RMI2U, ktera po letech "odesla". Novy vyber padl na HPE R5000 a spokojenost. Sitove rozhrani ma, dva samostatne vypinatelne okruhy. Narozdil od puvodni APC ma i auto-bypass, napr. pri pretizeni nebo prehrati. Bral jsem repasovanou s novymi aku, ale vzhledove i balenim vypadala jako nikdy nepouzita. Delaji i mensi.
Celkem levne lze sehnat i repasovana APC, jeste tu mam pripojenou jednu SUA2200RMI2U s par servery a switchem + routerem, bez sitoveho modulu, jen USB a nema auto-bypass.

7

Server / RIPE záznamy a jejich vliv na mail back list

« kdy: 03. 06. 2020, 17:37:19 »

Tusite nekdo, zda muze reputaci / pridani na black list ovlivnit i nejaky RIPE zaznam?
Napr. mam od providera /29 range, ktery ma status ASSIGNED PA. A napr. Symantec opakovane zalistovava s poznamkou 'The host is unauthorized to send email directly to email servers.' A to i pres existenci spravnych PTR, DKIM, SPF, DMARC, ...
Pomohla by zmena na ALLOCATED PA pripadne jiny? Muze o takovou zmenu ISP pozadat nebo by musel pouzit jiny range? Priznam se, ze o RIPE mam velmi male povedomi.

8

Server / Re:Ovlivní spam status emailu špatná reputace IP adresy vázané na stejnou doménu?

« kdy: 20. 05. 2020, 03:08:12 »

Mne by zajimalo i to, zda muze reputaci / pridani na list ovlivnit i nejaky RIPE zaznam.
Napr. mam od providera /29 range, ktery ma status ASSIGNED PA. A napr. Symantec opakovane zalistovava s poznamkou 'The host is unauthorized to send email directly to email servers.' A to i pres existenci spravnych PTR, DKIM, SPF, DMARC, ...
Pomohla by zmena na ALLOCATED PA? Muze o takovou zmenu ISP pozadat nebo by musel pouzit jiny range? Priznam se, ze o RIPE mam velmi male povedomi.

9

Sítě / Re:TCP problemy (out of order, previous segment not captured, retransmission, dup)

« kdy: 12. 04. 2020, 00:52:48 »

Vyreseno. Problem nebyl v MTU nebo nekde na ceste, ale primo na urovni KVM. Z nejakeho duvodu pouzity NIC model type rtl8139 zpusoboval tyhle problemy. Pri zmene na virtio je to v poradku.

RedHat k tomu uvadi:

By default, KVM virtual machines are assigned a virtual Realtek 8139 (rtl8139) NIC (network interface controller).
The rtl8139 virtualized NIC works fine in most environments. However, this device can suffer from performance degradation problems on some networks, for example, a 10 Gigabit Ethernet network.
A workaround is to switch to a different type of virtualized NIC. For example, Intel PRO/1000 (e1000) or virtio (the para-virtualized network driver).

[https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/5/html/virtualization/sect-virtualization-troubleshooting-kvm_networking_performance]

10

Sítě / Re:TCP problemy (out of order, previous segment not captured, retransmission, dup)

« kdy: 10. 04. 2020, 11:28:10 »

jen pri pristupu pres public IP, z LAN ci VPN problem neni.

pres public IP - to jako z směrem z internetu k tobě?
"z lan" - tojako odtebe do internetu?

Pres public IP - ano, z internetu, public IP je jedna z adres routeru, kde probehne DST-NAT na server pripojeny do LAN za routerem.
Z LAN - napr. ze stroje, ktery je pripojen ke stejnemu switchi jako ty servery.
Z VPN - z internetu VPN na router (ten RB3011) a pres VPN na server

Moje domenka je takova, ze nejakou informaci si potrebuje pridat tunel v ramci toho DSL bondingu providera, dalsi informaci DST-NAT a mozna dalsi bridge na KVM a velikosti MTU to neumoznuji. Ale samozrejme se mohu plest, potreboval bych navest na nejakou analyzu. Muzu napr. udelat TCP dumpy v libovolnem miste (mimo toho "bonding" routeru RB2011), ale sam nejsem schopen urcit pricinu problemu a reseni.

11

Sítě / TCP problemy (out of order, previous segment not captured, retransmission, dup)

« kdy: 10. 04. 2020, 06:57:16 »

Potreboval bych pomoci s jednim sitovym problemem.

4xDSL bonding od ISP (zrejme round robin + tunel, na nasi strane jejich RB2011, /29 public subnet) za nim nas RB3011.
Do teto doby jel na jednom serveru (Debian) OwnCloud ve Virtual Boxu, jedna z verejnych IP pomoci dst-nas smerovana na nej.
Na jinem serveru (Debian) byl rozbehnut NextCloud v KVM. Po prehozeni dst-nat na nej je traffic jen v radech desitek kB/s a v dumpu hromada problemu, viz subject. Osobne bych tipoval na problem s MTU pri SSL spojeni, ale me znalosti v teto oblasti sitovani jsou znacne omezene. Problem se projevuje jen pri pristupu pres public IP, z LAN ci VPN problem neni. Pred delsi dobou byl problem s nedostupnosti nekterych serveru pres HTTPS a tehdy byl problem prave s MTU - onen bonding potrebuje v packetech misto pro sve informace.

Jsem predem vdecny za jakekoli konstruktivni tipy na analyzu problemu a nalezeni reseni. Jedine, k cemu nemam pristup, je ten providerem vlastneny RB2011.

12

Distribuce / Re:ZFS a Linux

« kdy: 20. 03. 2020, 12:37:21 »

ZFS pouzivam na Debianu. Vetsinou jako stripped mirror ze 4 SSD pro VMs (OpenNebula jako KVM hypervisor). Na nekterych serverech nesifrovany a nasledne LUKS nebo VeraCrypt ve VMs, na novejsich ZFS native encryption. Snapshoty VMs zalohuji na FreeNAS servery.
Na Debianech jsem vzdy provadel rucni instalaci, nova ubuntu by mela mit podporu ZFS v instalatoru.

13

Server / Re:DNS server pro intranet

« kdy: 10. 03. 2020, 20:27:03 »

DNS nic do světa nepropaguje – někdo musí znát doménové jméno a na to se pak zeptá. „Propagaci“ doménového jména ale zajistí vystavení důvěryhodného certifikátu (pokud nepoužijete hvězdičkový certifikát) – název se objeví v certificate transparency logu vydaných certifikátů.

Ano, proto jsem tu propagaci dal do uvozovek, myslel jsem tim viditelnost zaznamu a pripadne cachovani. Certfikaty budou jen pro cast internich zaznamu a pokud se nepletu, prozrazuji jen FQDN, nikoliv IP. Ackoli i FQDN muze poskytnout nejake informace pripadnym utocnikum (napr. druh bezici sluzby ci pouzity SW), povazuji to za akceptovatelne riziko.

Ale pokud by vám opravdu vadilo, že si někdo z venku může přeložit váš privátní záznam, můžete použít opět split horizon a do venkovního DNS vystavovat jen ověřovací TXT záznamy pro ACME, ale A/AAAA záznamy mít jen ve vnitřním pohledu na zónu.

Diky, takhle to asi zrejme budu implementovat.

14

Server / Re:DNS server pro intranet

« kdy: 10. 03. 2020, 05:39:48 »

Sakra, napadl mne jeste negativni dusledek. Pokud nebudu mit verejne dostupny DNS pro subzonu, zrejme nebudu schopen vystavovat LE certifikaty overovane pomoci DNS. Je tedy vubec mozne nejakym "cistym zpusobem" pouzivat interni DNS zaznamy, ktere nebudou "propagovany do sveta" a zaroven s moznosti vystavovat LE certifikaty overovane pres DNS? Nebo se musim smirit s tim, ze verejne budou pouzivany NS registratora s plne funkcnim DNSSEC a celou zonu mojedomena.cz pro lokalni sit "prekryji" lokalnim validujicim resolverem, ktery bude mit vynucene potlaceni validace pro danou domenu? Mam dojem, ze Knot Resolver toto umi, na nejake prednasce jsem zaslechl, ze snad prave to melo byt vyuzivano pro "obejiti" napr. tehdejsi chyby HBO GO. Jeste mne napada otevreni lokalniho NS jen pro servery LE, ale mam dojem, ze hodlaji pouzivat pro validaci i vice "neznamych" serveru.

15

Server / Re:DNS server pro intranet

« kdy: 10. 03. 2020, 04:58:48 »

Tak jsem si na osobni domene overil, ze kombinace lokalni Knot DNS + Knot Resolver je pouzitelna, joker zatim umoznuje pridat NS zaznam, coz by melo byt dostacujici pro nepodepisovanou subzone a DNSSEC by melo byt mozne pro subzonu pridat, az joker umozni pridat i DS, pripadne po prechodu k jinemu registratoru. Mam k tomu ale jeste dve otazky:

• Predstavuje problem, kdyz NS pro tu subzonu kancl.mojedomena.cz nebude verejne dostupny? Je samozrejme, ze nikdo "z venku" nebude schopen ziskat zaznamy subzony, ale nebude to problem pro zonu mojedomena.cz? Jestli to napr. neodporuje nejakym kontrolovanym pozadavkum.
• Ackoli do budoucna planuji cosi jako HA, vcetne druheho NS pro subzonu, nebude vyhodnoceno jako problem, kdyz bude pro subzonu uveden pouze jeden NS? Mam dojem, ze pokud nejsou alespon 2 NS, muze to snad i vest k vyrazeni ci podobne restrikci.