Příspěvky

1

Sítě / Re:MikroTik: jak zablokovat port na firewallu

« kdy: 18. 06. 2023, 15:22:48 »

disabled=yes

I na tom obrazku mas u toho pravidla cerveny krizek = neni aktivni, nic nedela.

Na to jste proboha přišel kde? křížek znamená jen action=drop, tedy, že je to pravidlo, které něco zakazuje. Disabled by bylo zašedlé.

Nenajde se někdo, kdo vysvětli?

Je možné, že komunikaci "pustilo" pravidlo accept established, related... pokud už tam nějaká komunikace probíhá, tak ji to pravidlo pustí i když je to pod tím zakázáno (vyhodnocuje se podle pořadí a první pravidlo, které vyhovuje, se na to uplatní.) Jinak záleží, co jste tam přesně měl za nastavení

2

Sítě / Re:MikroTik v roli chytrého switche

« kdy: 05. 06. 2023, 12:51:53 »

Co toto?
https://www.i4wifi.cz/cs/210742-routerboard-mikrotik-rb750gr3-hex

Byl jste rychlejší, ano, třeba ten.

Ale mají toho víc. Cokoliv od MikroTiku, co nevypadá jako talíř/adaptér/PtP spoj bude pravděpodobně kandidát pro Vás, jejich "krabičky" se liší většinou jen výkonem, rychlostí portů a v parametrech WLAN (pokud ji mají).

3

Sítě / Re:MikroTik v roli chytrého switche

« kdy: 05. 06. 2023, 12:49:25 »

Vaše cena s poplatky  746 Kč
A nějaký 1G?

Třeba tento: https://www.i4wifi.cz/cs/210742-routerboard-mikrotik-rb750gr3-hex

4

Sítě / Re:MikroTik v roli chytrého switche

« kdy: 05. 06. 2023, 12:31:14 »

I když ten mikrotik bude jako switche?

Ano. Pokud to nenastavíte nějak hodně divně, FW pravidlo výše by mělo fungovat.

Pokud jo, tak doporučte nějaký.

Pokud Vám nejde vůbec o výkon a nějakou extra rychlost, tak klidně jen něco takového: https://www.i4wifi.cz/cs/210637-routerboard-mikrotik-hex-lite

Ale je to prakticky jedno. Naprostá většina MikroTiků má (téměř) totožný SW (co do funkcionality) a liší se pouze v HW výbavě.

5

Sítě / Re:MikroTik v roli chytrého switche

« kdy: 05. 06. 2023, 12:28:17 »

Mi jde spiš o vypnutí SDK portu třeba 8010.

Jasně, to je jednoduché.

Na firewallu se nastaví nějaké takové pravidlo:
/ip firewall filter
add action=drop chain=forward comment="drop all on port 8010" disabled=yes protocol=tcp port=8010

A pak ve scheduleru něco takového:
/ip firewall filter enable [find comment="drop all on port 8010"];

Naplánovat enable na 6:00 a stejný command s disable na 14:00.

6

Distribuce / Re:Nefunkční HTTPS mirror od CZ.NIC

« kdy: 08. 03. 2023, 22:42:53 »

Prosím, kdo jste ten problém pozoroval, tak ověřte, jestli už je to v pořádku.

Dobrý den,

ano, mirror již nyní funguje bez problémů. Děkuji všem zúčastněným za nahlášení a CZ.NIC za rychlou opravu

--
Omlouvám se za prodlevu, najednou mi přestaly chodit notifikace.

7

Distribuce / Re:Nefunkční HTTPS mirror od CZ.NIC

« kdy: 23. 02. 2023, 17:10:31 »

Mám už několik měsíců stejný problém na několika strojích s Ubuntu 22.04. Zatím jsem to vždy řešil změnou mirroru na ten od IT4Innovations, který funguje v pořádku.

Zkoušel jsem https://www.ssllabs.com/ssltest/analyze.html?d=cz.archive.ubuntu.com&s=2001:1488:ffff:0:0:0:0:63 a je tam „Chain issues:    Incorrect order, Extra certs“. Nevidím ale, proč by se to mělo chovat u každého jinak.

Podle https://stackoverflow.com/a/52858001/6440524 je to špatně. Může to být zdrojem chyby?

Jestli ano, dá se někde sehnat kontakt na někoho v CZ.NICu, kdo to má na starosti? Je trošku blbé, aby hlavní a výchozí český mirror měl nefunkční HTTPS na APT interface.

8

Sítě / Re:Vysílací výkon a pásmo na MikroTiku

« kdy: 25. 06. 2022, 22:10:37 »

Nezkusíte OpenWRT ?

Největší výhodou MikroTiků je právě RouterOS, proč by tam někdo proboha cpal něco jiného? To už je lepší si na OpenWRT koupit za tři stovky TP-Link, ten bude dost možná mít i silnější HW.

9

Windows a jiné systémy / Re:Windows používá pro NTP src port 123?

« kdy: 28. 05. 2022, 08:33:57 »

Je to nová instalace? Nemáš tam nějaký SW, který by to zapínal? Jaká verze Windowsu?

Jsou to různé PC s Win10 a jeden můj osobní s Win11, na všech totožný problém. Pravidelně aktualizuji, takže na všech Win10 je nejnovější 21H2. Hledal jsem program, který by mohl mít co do činění s NTP nebo časem, ale nenašel jsem. (Re)Instalaci vždycky provádím co nejčistším způsobem, zformátuju celý disk a nainstaluju čisté Win.

Jsou 4 možnosti:
1) dělám něco špatně já,
2) většina ISP src UDP/123 neblokuje, a tak to většina lidí nepozná,
3) většině lidí se čas synchronizuje jiným způsobem než přes default Win službu,
4) většině lidí se samovolně rozjíždí čas a nevšímají si toho/neřeší to.

10

Windows a jiné systémy / Re:Windows používá pro NTP src port 123?

« kdy: 27. 05. 2022, 09:05:59 »

Každopádně co mohu říct, není běžné, aby Windows stanice používala 123 jako source port.

Díky, přesně tohle jsem chtěl vědět.

11

Windows a jiné systémy / Re:Windows používá pro NTP src port 123?

« kdy: 26. 05. 2022, 10:10:59 »

jak se píše ve RFC https://www.rfc-editor.org/rfc/rfc5905#page-32
U Windowsu tohle nastává pokud ho máš konfigurovaný jako time servers, jak se toho přesně dá docílit v posledních Windows ti neřeknu, už jsem z toho světa trochu zmizel. Pokud mu vypneš funkci time server, měl by zase začít používat ephemeral zdrojové porty.

Nikdy jsem ji nezapínal a nemůžu k tomu ani dohledat moc informací, je možný, že je to zapnutý nějak defaultně? Díval jsem se do registrů a všechno se tam tvářilo, že je ten server zakázaný (vypnutý).

12

Windows a jiné systémy / Re:Windows používá pro NTP src port 123?

« kdy: 26. 05. 2022, 10:07:39 »

Můžete prozradit o jakého ISP se jedná, ať víme na koho si dávat pozor?

Já nemám potřebu je nějak hanit a navíc je to local ISP; jinak s nimi problémy nejsou, donedávna na zaplaceném 50/50mbit běželo klidně 100/100

Když už se jim nechce otravovat se zákazníkem, který má špatně nastavený NTP server, tak mají blokovat jen ten problematický mód NTP co se používá na monitoring a ne celý port 123.

Ono selektivně blokovat nějaký provoz na základě dat se mi zdá ještě horší, jednak to spotřebuje hromadu výkonu na analýzu paketů (= pomalejší připojení) a druhak 99% uživatelů to nijak neovlivní...

Vidím problém spíš ve Windows než v ISP.

13

Windows a jiné systémy / Windows používá pro NTP src port 123?

« kdy: 25. 05. 2022, 23:09:36 »

TL;DR Windows používá defaultně pro synchronizaci času přes NTP zdrojový port 123, což mnoho ISP blokuje (viz dále).

Ahoj,

před asi 2 lety jsem si všiml, že na všech Win počítačích doma se dost podstatně rozjíždí čas. Zkusil jsem tedy ručně synchronizovat a cca po 1 minutě čekání jsem se dočkal pouze obecné chybové hlášky, že se to nepovedlo. První přišla na přetřes defaultní služba Windows Time, u které jsem si myslel, že se nespouští správně. Pak jsem zjišťoval dostupnost default serveru time.windows.net (bez problému), pak jsem zkoušel i jiné servery. Nakonec jsem to vyřešil instalací historické (a možná už děravé jak řešeto) appky NetTime z dob WinXP. Ta problém do jisté míry na všech pc vyřešila.

Nicméně nedávno jsem se k tomu vrátil, vrtalo mi to pořád hlavou. Nastavil jsem zkusmo na MikroTiku (moje brána do Internetu) zapnout log paketů směřujících z iface LAN do ether1 po ANY portu 123 a ejhle! při ručním pokusu o sync přímo ve Win se cca co 15 sekund zkoušel prodrat paket se src portem 123 a cílovým (to je již správně) též 123.

Na paket z venku nepřišla odpověď (ze serveru time.windows.com), a tak jsem přemýšlel: u běžných zákazníků většinou bývá outbound komunikace se src portem 123 zablokovaná od ISP kvůli eliminaci jedné techniky z rodiny DDOS Amplification, která zneužívá toho, pokud někomu doma běží otevřený NTP server bez jakéhokoli zabezpečení. Tohle chování ISPíků do jisté míry chápu. Co ale ani trochu nechápu, je, proč mají Windows potřebu pro komunikaci klient -> server používat port 123, když ten se podle standardů má používat u symetrické komunikace a pro výše zmíněný model se má použít náhodný src port?

Řešíte někdo něco podobného? Mluvil jsem o tom s jedním známým, co spravuje poměrně dost pc okolo sebe, a ten se tváří, že na problém nenarazil (měl by mít stejného poskytovatele).

Lukyn

14

Bazar / Re:Prodám MikroTik RouterBOARD RB4011iGS+5HacQ2HnD-IN

« kdy: 23. 01. 2022, 11:49:06 »

Proč proboha někdo, kdo si dovedl nastavit MT přechází na Unifi? To jste si jako řekl, že to Porshe je nuda, tak trabant bude příjená změna?

Protože 802.11 a MT. Spousta jejich produktů má antény pouze integrované vevnitř (kus 2cm drátu) a když už je má venku, tak stejně celkové pokrytí a propustnost není nic moc. Dost často je v tom předčí kdejaké ASUSy, Tendy a D-Linky, které stojí 5x míň a nedá se na nich nastavit pomalu nic.
MT si obecně žije tak trošku ve vlastním světě, jejich ROS je výbornej, dají se s tím zvládnout divy, ale wireless obecně jim prostě moc nejde.

15

Server / Re:Čím nahradit GMail na vlastní doméně?

« kdy: 22. 01. 2022, 20:04:26 »

Já se musím přimluvit za Email Profi od Seznamu, jak už tu psal CPU. Používám ho spokojeně pro dva tři menší projektíky + můj vlastní mail na doméně - asi tak 2 roky. A nemůžu si stěžovat. Samozřejmě to teda nemá moc extra fíčurek navíc, je to prostě jednoduchej a použitelnej seznamáckej styl. Ale napadá mě, že by se tam asi dalo nastavit přeposílání + smtp a pak si už jinde (na vlastním) řešit jenom maily, které seznam antispam nezahodí a přepošle