Příspěvky

1

Sítě / Re:Cetin terminátor Zyxel VMG4005-B60A na ne-bondované lince

« kdy: 26. 10. 2023, 16:05:23 »

250 je pro dva páry, čili dvě linky. Tohle zařízení nemá smysl vůbec kupovat. Pokud chcete 250, oslovte svého poskytovatele a ten zajistí zřízení služby. Terminátor je součástí pevné sítě a jeho konektor rj 45 je předávací rozhraní. Cetin ho poskytuje zdarma a není ve vašem majetku. Je součástí sítě.

Ne, 250 Mbps je rychlost dosažitelná profilem 35b na velmi krátkém vedení, ale stačí k tomu jeden pár. Bonding se nabízí jen tam, kde je k dispozici pomalejší profil:
https://www.root.cz/clanky/terminator-od-cetin-vdsl-bonding-s-rychlosti-az-250-mbit-s/

Podle mě je chyba v nastavení VLAN. Většina DSL modemů VLAN tag odstraňují, i když jsou v režimu bridge, Terminátor ho tam ale nechává. Takže by mělo stačit v nastavení OpenWRT změnit WAN rozhraní z např. eth1 na eth1.848.

2

Hardware / Re:Redukce USB-B na USB-C

« kdy: 22. 09. 2023, 14:55:27 »

OTG znamená připojení periferních zařízení. Periferní zařízení se nikdy nepřipojují do zásuvky typu B, pro ty jsou určené zásuvky typu A. Protože původní tazatel požaduje zásuvku typu B na redukci pak to znamená, že zařízení připojené na konektor typu C bude nikoli v režimu hostitele (nebo též OTG), ale v režimu periferie.

To teda neznamená. Doplním - třeba připojení komba (Boss Katana) ovládaného přes mobil/tablet s Androidem je typický příklad OTG.

Ano, je to typický příklad OTG - kombo je periferie, připojené k Androidu v režimu hostitele. Nevidím v tom žádný rozpor.

Koukám na obrázek toho komba a má na sobě zásuvku typu B, tedy kabel do něj zapojený bude nejspíše končit konektorem typu A, protože bude určený k zapojení do hostitele.

3

Distribuce / Re:Co mám špatně s ebuildem

« kdy: 22. 09. 2023, 13:20:18 »

Tady něco nehraje. Chyba si stěžuje na nepodporované EAPI 9, zatímco ebuild specifikuje EAPI=6. EAPI 6 by stále mělo být podporované.

4

Hardware / Re:Redukce USB-B na USB-C

« kdy: 22. 09. 2023, 12:55:11 »

OTG znamená připojení periferních zařízení. Periferní zařízení se nikdy nepřipojují do zásuvky typu B, pro ty jsou určené zásuvky typu A. Protože původní tazatel požaduje zásuvku typu B na redukci pak to znamená, že zařízení připojené na konektor typu C bude nikoli v režimu hostitele (nebo též OTG), ale v režimu periferie.

5

Hardware / Re:Redukce USB-B na USB-C

« kdy: 22. 09. 2023, 11:48:35 »

Ahoj, vůbec se mi nedaří vygooglit ke koupi redukci kompatibilní s andoridem:

female usb-B do male usb-C

Existuje to? Nebo to nejde vyrobit? V usb standardech se nevyznám... Max. jsem našel nějaké na vyloženě čínských obchodech, ale to ve mě budí dost nedůvěru.

Čeho chceš dosáhnout? Máš zařízení s Androidem s konektorem USB typ-C a chceš do něj připojit kabel končící konektorem typu B? Co bude na druhé straně kabelu a jak to má celé fungovat?
Pokud by šlo o Micro-B, tak takové redukce se dodávaly s prvními telefony s konektory typu C, aby bylo možné připojit starší periferie s kabelem končícím konektorem Micro-B.

6

Sítě / Re:Kontaktuje WireGuard peera vždy?

« kdy: 01. 09. 2023, 20:56:27 »

Pokud dojde k výpadku připojení koncového připojení, bude se ho VPS snažit kontaktovat  pokaždé, když přijde paket který má být forwardovaný?

Ano.

Nebo jsou tam nějaké timeouty (třeba vycházející z conntrack)?

Ne.

Vite o něčem. co by podobného chování docílilo u wireguardu (konfigurace, určo tam je nějaký keepalive, ale to je jen interval přeposílání "handshaku"), aspoň co by dalo interface do down.

Pokud je jisté, že každý klient má nastavený keepalive třeba na 30 sekund, dá se nějakým skriptem z konfigurace Wireguardu odstranit IP adresu z hodnoty endpoint od všech peerů, jejichž handshake proběhl víc než třeba před pěti minutami. Trošku to komplikuje fakt, že Wireguard podle všeho nepodporuje odstranění jen IP adresy, takže je potřeba buď ji nastavit na nějakou neplatnou jako 100::1, nebo odstranit celého peera a znovu ho do konfigurace zavést. Bez nastavené adresy endpointu bude každý pokus o odeslání dat směrem ke klientovi končit chybou sendmsg: Destination address required až do chvíle, než přijde první paket od klient, který hodnotu zase nastaví.

7

Sítě / Re:Doporučte WiFi router pre optický Internet 1Gbps

« kdy: 02. 08. 2023, 10:37:20 »

A Turris by se nelibil ? Neni uplne nejlevnejsi, ale umi spoustu veci a spousta toho se da dodelat z prikazoveho radku... https://www.turris.cz/cs/produkty/omnia/

Pozor na to, Omnia ve výchozím nastavení zvládne tak 500 Mbps, s QoS algoritmem cake kolem 350 Mbps. Nevím, jak je na tom Wi-Fi 6 verze, ale Wi-Fi 5 v té původní také nezvládlo víc než cca. 300 Mbps. Forwardovat gigabit je možné, ale je třeba odstranit většinu firewallových pravidel a nepoužívat cake ani Wi-Fi.

Vím to proto, že jsem nedávno upgradoval svou domácí přípojku z 200 na 500 Mbps a narazil na limity. Protože menší jitter a ztrátovost je pro mě důležitější než maximální rychlost a protože se mi nechce příliš zasahovat do standardních funkcí Omnie, zpomalil jsem uplink pomocí cake na nějakých 350 Mbps.

8

Sítě / Re:CGNAT - počet domácností za jednou IP

« kdy: 01. 08. 2023, 17:04:25 »

Co jsem slyšel, tak limit počtu uživatelů není technický limit CGNATů, ale interní limity velkých populárních internetových služeb. Údajně, když dáte za jednu adresu víc než 300 - 350 uživatelů, začne jim Google ukazovat CAPTCHA. Když přidáte ještě víc, začne rovnou psát:

We're sorry...
... but your computer or network may be sending automated queries. To protect our users, we can't process your request right now.

See Google Help for more information.

Když si stěžujete ISP, ten vám odpoví:

Dobrý den,
 Bohužel toto mají jako nesmyslnou ochranu na googlu, pokud z jedné IP
 adresy mají hodně dotazů. Nechápou, že za natovanou IP adresou je
 větší množství lidí a vyhodnocují to jako podezřelý provoz.
 Bohužel toto se nedá zatím z naší strany řešit i když se o to
 snažíme, google je jeden z mnoha subjektů na internetu a je to jejich
 rozhodnutí co vyhodnotí jako podezdřelý provoz a co ne. Od nás internet
 funguje a to je zatím z naší strany vše co pro to můžeme udělat. Vy
 můžete zkusit napadnout blokaci u google.

Takže změníte ISP za jiného, u kterého takové problémy nejsou.

9

Sítě / Re:WireGuard na Turris Omnia WiFi 6

« kdy: 28. 07. 2023, 11:23:33 »

Wireguard nepoužívá žádný koncept serverů a klientů. Všechny instance jsou si rovny. To mu dává velkou flexibilitu. Místo toho každá instance obsahuje seznam sousedů - peerů. Ten obsahuje pro každého souseda jeho veřejný klíč a seznam povolených IP adres, které mohou od daného souseda pocházet. Kromě bezpečnostního významu v příchozím směru (jeden soused nemůže podvrhnout adresy přidělené jinému sousedovi) se seznam povolených adres používá i jako směrovací tabulka pro odchozí směr.

Pokud má tedy jedna instance Wireguardu nakonfigurované třeba tři sousedy a do rozhraní wg přijde datagram, musí wireguard nějak rozhodnout, kterému ze tří sousedů má být určen. Použití seznamu povolených adres je skvělá volba, ale nese nějaká na první pohled nezřejmá omezení - to zásadní je, že není možné říci si „podvrhování adres mezi sousedy mě nezajímá, takže každému sousedovi povolím stejný blok všech adres.”

Pro implementaci klasické VPN s jedním koncentrátorem a několika cestujícími klienty to tedy vypadá tak, že instance wireguardu u každého klienta je jednoduchá, obsahuje jen jednoho souseda - koncentrátor - a u něj je nastavený seznam povolených adres na všechno, tedy 0.0.0.0/0 a ::/0, protože pomocí VPN plánujeme komunikovat s celým internetem.

Na straně koncentrátoru je situace složitější. Musí mít jako sousedy nakonfigurované všechny cestující klienty a u každého musí mít nastavenou v povolených adresách přesně tu adresu/y, které daný klient používá. Jen tak je zajištěno, že odchozí provoz ve směru z internetu k cestujícímu klientovi bude odeslán tomu správnému klientovi.

Snad to vysvětlení dává smysl.

10

Sítě / Re:WireGuard na Turris Omnia WiFi 6

« kdy: 27. 07. 2023, 16:13:37 »

Wireguardový tunel vám evidentně běží. Je to vidět, že jsou k dispozici data o posledním handshake. Co je špatně, jsou adresy uvnitř tunelu. Na straně telefonu je nastavená podivná adresa 10.0.20.0/24, přestože na straně routeru je adresa tunelu 10.0.10.0/24 (opět poněkud zvláštní nula na konci).

Moje doporučení: na stranu routeru dejte 10.0.10.1/24, na stranu mobilu třeba 10.0.10.11 (/24 zde není podstatné, když se má přesměrovávat veškerý provoz do VPN). V každém případě stejná adresa musí být uvedena i na straně routeru v kolonce poněkud nelogicky nazvané "IP adresy, ze kterých umožnit přístup" - tam by rozhodně měla být bez masky, resp. s maskou /32. Jinak bude Wireguard provoz filtrovat.

Pak ještě možná může být špatně něco v nastavení firewallu. Tady bych doporučoval jednoduše vložit rozhraní wg do zóny LAN. Vytváření samostatné zóny nabízí jen minimální přidanou hodnotu a spoustu příležitostí, jak to rozbít.

11

Hardware / Re:Cowork v Praze - externi monitor

« kdy: 11. 07. 2023, 11:28:48 »

Je v nějakém coworkovém centru externí monitor? Co jsem se díval na foto, tak to snad neměl žádný. Jak to případně řešíte vy? Nějakým ajpedem, nebo jinou vychytávkou? Hledám něco primárně v Praze…

https://www.root.cz/clanky/externi-monitor-pro-maly-stul-prenosny-pomocnik-nejen-na-cesty/

12

Sítě / Re:Wireguard, NixOS a IPv6

« kdy: 22. 06. 2023, 17:19:35 »

Zdravím. Jelikož ne vždy jsem tam, kde mám přístup k IPv6 internetu (ať žije KarTel), tak jsem si řekl že si nastavím na serveru Wireguard, abych se mohl připojit domů, kde mám veřejnou jen IPv6. Následoval jsem návod zde, https://nixos.wiki/wiki/WireGuard. Připojím se, ale přístup k IPv6 síti ven nemám, jen v rámci počítače, stejně je to i na OpenWrt routeru u kamaráda, tam také IPv6 jen po LANce.
Celkově tomuto tématu moc nerozumím, tak úplně nevím co dělat. V příloze posílám konfigurační soubor ze serveru. Díky.

Pokud tomu moc nerozumíš, doporučuju radši nainstalovat Cloudflare WARP, který dělá přesně to, o co se snažíš. Ale samozřejmě, pokud na řešení přijdeš sám, určitě se víc naučíš.

13

Sítě / Re:Nedostupnost Microsoft AZURE přes IPv6 a nftables?

« kdy: 16. 06. 2023, 14:47:51 »

Tipoval bych, že jde o problém s MTU.

Je možné, že Azure blokuje příchozí zprávy Packet too big. Můžeš zkusit na koncovém počítači snížit MTU, jestli to pomůže. Pokud ano, můžeš nižší hodnotu MTU nastavit v radvd. Další možností je nastavit MSS clamping v nftables.

14

Sítě / Re:Wireguard funguje na telefonu, na desktopu nikoliv

« kdy: 03. 06. 2023, 19:59:22 »

Pokud to zkoušíš přímo z domácí sítě, je dost pravděpodobné, že dochází k zacyklení VPN, kdy tunelovaný provoz Wireguardu chce odcházet skrz rozhraní wireguardu samotného. Na mobilech k tomu nedochází, protože mobily mají tohle vyřešené v operačním systému. Skript wg-quick zacyklení eliminuje jen v případě že má do VPN vést výchozí brána, což není případ tvé konfigurace.

Je tedy možné, že ze všech ostatních sítí VPN bude bez problémů fungovat i na desktopech.

Ačkoli, jak vidím AllowedIPs = 192.168.1.0/32, opravdu /32? Tedy se chceš připojovat jen přímo k adrese 192.168.1.0? To je velmi neobvyklé.

15

Sítě / Re:Vytvoření Wi-Fi sítě s příznakem „metered“

« kdy: 01. 05. 2023, 09:49:28 »

Android to robí zaujímavejšie tým, že každá verzia má iného vendora, t.j. iný Class-id (napr. "android-dhcp-12", "android-dhcp-11"), takže ak používaný DHCP server nevie zástupné znaky, tak to treba povytvárať viackrát (viď príklad nižšie).

Je tohle opravdu potřeba? Pokud nemám v síti žádné jiné zařízení, které vyžaduje volbu 43 s nějakým specifickým obsahem, asi není problém posílat ANDROID_METERED všem zařízením, co si o volbu 43 požádají. Nebo ano?