Příspěvky

1

Sítě / Re:IPv6 router na Debianu

« kdy: 27. 07. 2024, 00:05:24 »

Pro ladeni bych dal normalne do INPUTu ACCEPT a do FORWARDu DROP aby se mi nekdo neprosel po vnitrni siti. Ten router samotny bud otevreny provoz chvili snese a nebo muzete shodit sluzby co na nem bezi. Firewall muzete utahnout hned jak bude fungovat konektivita.

Pokud dostavate IP z jineho prefixu, je otazka jak je to mozne. Klidne muze mit soused blbe propojenou sit a komunikujete s nim misto v providerem. Byt pokud jsou tohle realna cisla, videl bych sit s nulami spise jako nejakou infrastrukturni. Ale to by mel rict provider, jaka je to adresa a jestli je za nej OK, ze ji klienti dostavaji. Protoze takto vypadajici adresu si ten router urcite nevymyslel, tu musel od nekoho dostat. A kdyz neni ve vystupu dhcp, tak jinak nez pres SLAAC pritect nemohla. (Pomijim moznost, ze distribuce ma na pozadi bezici dhcp klient a vy jste pustil z ruky druhy).

Zajimavy by byl vystup z
tcpdump -vvvv -n -ttt -i wan icmp6 and 'ip6[40] = 134'
jestli je tam managed-config-flag, protoze pokud by tam nebyl, tak dhcp klient potencialne adresu zadat nebude, ale nekoukal jsem do zdrojaku jak presne je tohle vymyslene. Soucasne uvidite prefixy, ktere tam nekdo posila.

Pripadne kouknout na
tcpdump -i wan -n -vvvv -ttt  '(udp port 546 or 547) or icmp6'
jestli realne neprichazi odpoved a nebo jestli prichazi ale vas klient ji nevidi.

2

Sítě / Re:IPv6 router na Debianu

« kdy: 25. 07. 2024, 22:02:51 »

Moc z toho nevidim, ale obecne IPv6 ne uplne snese DROP vsechno provozu na INPUTu. Takze bych se podival na firewall. To ze projde nejake to DHCP muze byt tim, ze mu pomuze RELATED,ESTABLISHED pravidlo.

Smerem k providerovi bych nastavil na interface accept_ra=2 a zkusil pouzivat SLAAC, trochu cekam, mikrotiku to funguje, protoze provider pouziva pro konektivitu SLAAC a DHCP jen pro PD, v tom logu nejak IA_NA nevidim.

3

Server / Re:Vypnutí serveru na dvou UPS

« kdy: 16. 02. 2024, 22:14:54 »

Kdyz se misto apcupsd pouzije nut, tak neni potreba vymyslet zadne ohybaky, ten vice UPS podporuje nativne.

4

Software / Re:LUKS2 BTRFS OMV6 ztráta dat

« kdy: 11. 01. 2024, 00:06:23 »

Hypoteticky muze byt problem, ze nejde sestavit raid a proto neni ten LUKS videt. Jak ten raid ma vypadat by asi slo najit na systemove partition toho OMV, pripadne to porovnat s tim na poslednich 3 discich.
Ja OMV moc neznam, ale mel jsem za to, ze pouziva jen mdraid, takze je otazka jak to vlastne cele vypada, jestli BTRFS neni az uvnitr toho LUKSu.

Kazdopadne pokud jsou tam dulezita data, tak prvni krok musi byt binarni kopie toho disku a dalsi experimenty az nad tou kopii.

Pokud se skutecne nedelo nic jineho nez update BIOSu, nabizi se otazka jestli ten motherboard neumi nejaky SW raid a jestli se ten nezapnul/nevypnul pri tom update.

Az bude od disku zaloha, mohlo by byt zajimave se podivat na vystup
mdadm -E /dev/dany disk
a grepnout dmesg na jmena tech disku, co se kolem nich deje pri bootu.
+ vypis lsblk

5

Sítě / Re:Routovani v AWS VPC a Wireguard

« kdy: 30. 08. 2023, 20:59:00 »

Vetsina VPN serveru v AWS narazi na to, ze nema nastavene tohle - https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html#EIP_Disable_SrcDestCheck

6

Hardware / Re:Identifikace sériového protokolu

« kdy: 28. 07. 2023, 00:15:09 »

diky diky, v sobotu zkusim jestli to bude davat nejaky smysl.

7

Hardware / Re:Identifikace sériového protokolu

« kdy: 27. 07. 2023, 23:34:46 »

Cela bezpecnost je zalozena na tom, ze nikdo nema pristup k tem vodicum. Protoze kdyz ma, tak si pripoji vlastni ridici jednotku a proste odemkne. A nebo posle 12V na spravny drat a odemkne taky. Takze tady nemuze byt o nejake verejne kompromitaci ani rec a znalost toho protokolu nema nejmensi vliv na to jak je dane reseni bezpecne. V EU si muzu delat s tom co jsem si koupil co chci a mluvit o tom muzu kdekoliv.

8

Hardware / Re:Identifikace sériového protokolu

« kdy: 27. 07. 2023, 23:05:52 »

Tak pro zajemce co jsem nachytal, nakonec je tech stavu trochu vic


Tohle jsem zjistil, ze chodi kazdych 15s, pri zavrenych a zamcenych dverich - 0000 1001 10



Zase kazdych 15s, ale pri otrevrenych dverich - 0000 0100 1001


Kdyz poslu impuls na odemykaci vstup - 0010 0101 000 - tady je divny dlouhy impuls pred koncem


Kdyz jsou dvere zavrene, ale jeste neprobehlo zamknuti - 0000 0100 1010 0


Probiha zamykani dveri - 0001 0100 0001


Zamknuti neprobehlo, zamek narazil na prekazku - 0000 1110 101


Tady jsou pres sebe dva obrazky, klidovy stav a zavrene dvere + klidovy stav a otevrene dvere. Je tam videt, ze otevrene dvere jsou celkove delsi, ale dalsi znak zacina na stejnem case.

9

Hardware / Re:Identifikace sériového protokolu

« kdy: 27. 07. 2023, 19:05:28 »

Diky za tip, evidetne by na to byl LIN idealni, ale "graficky" vypada jinak, ma ruznou sirku pulsu, ale stejnou sirku znaku. Nepozoruji tam ten "jev" ze dlouhy puls je nasledovan dlouhou mezerou a kratky puls kratkou mezerou.

Nemam tech 8 relatek, protoze (zatim) nechci kupovat tu jejich ridici jednotku a na ebay se zadne pouzite nevali. Ale prepsat ty 4 zpravy co umim zachytit binarne neni problem. Stejne tak dokazu poslat postupne vsechny kombinace znaku a precist si odpovedi. Elektricky to neni problem na ESP32 napasovat. Jde mi jen o to, abych se netrapil s merenim sirky pulsu na ESP32 (coz moc nemim) a pak me nekdo nerekl: "Proc jsi tam neprilinkoval I2C a mel bys prototyp za 15 minut."

10

Hardware / Re:Identifikace sériového protokolu

« kdy: 27. 07. 2023, 09:53:20 »

Diky moc za snahu. Ad SW, neni k tomu zadny, oni maji vlastni ekosystem a komunikuji jen v jeho ramci, navenek ty krabicky maji jen releove vystupy.

Co se tyce dotaz/odpoved, ja mam jen jednu stranu, ten zamek. On ma normalne vstupy na odemceni, ty jsou analogove a kdyz jsou aktivovany, tak pres ten digitalni link prijdou pokazde dva stejne znaky. Zamceni probehne automaticky, kdyz zamek vidi magnet v zarubni. Pokazde posle dva znaky, evidetne pro kontrolu, dela to i kdyz na tom I/O neni zadny protikus. Posila v zasade zrejme jen 4 kody, ohlaseni, ze bude odemykat pri aktivaci daneho vstupu, ohlaseni, ze "vidi" protikus v zarubni, ohlaseni ze zacal zamykat a ohlaseni, ze je zaseknuty a zamceni neproslo. Me nejvice zajima to hlaseni ze dvere zustaly odemcene a to paradoxne ani jejich oficialni GW za 300 Euro nedokaze zpristupnit.

Delka jednoho znaku je cca 16ms, delka sirokeho pulsu cca 1ms, uzky bude neco jako 0,6ms. Vypada to, ze siroky puls ma sirokou mezeru a uzky uzkou, takze je otazka co jsou vlastne data. Posledni bit je asi parita, ale ono se to na vzorku 4 kusu hure pozna.

Zkousim se ptat s nadeji, ze to nekdo pozna ;-) protoze si uplne nemyslim, ze to programovali cele od nuly. Spis vytahli nejaky pin a jen to napetove zvedli na tech 12V aby to bylo odolnejsi. Jsou to nemci, takze mohli okopirovat EMS bus, ale ten mi prijde jiny. Nebo pulku CAN busu...

Samozrejme chci zkusit i poslat do zamku ruzne kody jak bude reagovat. Ten HW je moc fajn, jen holt vyrobce nechce resit nejakou podporu nad ramec toho, ze tady mate ridici jednotku, ta ma 10 vystupu/vystupu a kdyz na ne poslete 0V je aktivni funkce A, kdyz 4-24V je aktivni funce B a kdyz my chceme neco rict vam, tak sepnene bezpotencialovy vystup.

V roli prijemce ma zamek umet jen 4 veci, odemkni (ale po zavreni dveri zamkni), odemkni a zustan odemceny - drz zapadku otevrenou (dvere nejdou zabouchnout, jsou trvale otevrene), odemkni a zustan odemceny - zapadku ale vysun (dvere jdou zabouchnout), zamkni.

Elektricky se jedna o trivodicove zapojeni, zem, napajeni a obousmerny datovy spoj, ten je v klidu drzeny na +12V a komunikace ho stahuje k 0V.

11

Hardware / Identifikace sériového protokolu

« kdy: 27. 07. 2023, 01:02:46 »

Prosim nepoznate nekdo co je to za protokol? Myslim jako jakou knihovnou ho dekodovat. Posila to elektricky zamek FUHR a vyrobce tvrdi, ze je to super tajne a nikomu nerekne jak s tim komunikovat.

Je to neco co po jednom dratu komunikuje obousmerne, v klidu to ma 12V. Klasicky seriovy port to zrejme neni, je videt ze osciloskop to jako UART dekoduje spatne. Je mozne, ze log. 0/1 je dana sirkou pulsu. Treba to nekdo pozna abych nemusel psat vlastni dekoder.

12

Server / Re:Nagios nejde spustit na openSUSE Tumbleweed

« kdy: 11. 01. 2022, 19:41:34 »

tak ma 80% to dela AppArmor, ktery proste nema rad kdyz neco hrabe do /etc. Pripadne to muze byt selinux, kazdopadne by to melo neco psat do dmesg v prubehu neuspesneho startu.

13

Server / Re:BIND nepřekládá některé domény

« kdy: 14. 10. 2021, 15:07:24 »

Hledal bych chybu v necem z:

spatne MTU, firewall blokuje PMTU discovery

nepovoleny TCP port 53 (ano DNS je primarne UDP, ale "velke" odpovedi si muze vymenovat pres TCP)

spatna konfigurace IPv6 (router vypada ze ma IPv6 adresu, ale ta neni z internetu dosazitelna)

problem s NATem providera (prilis mnoho DNS dotazu z jedne IP adresy)

14

Server / Re:Generování CA v Icinga2

« kdy: 23. 08. 2021, 00:26:48 »

Pokud je to virtualizovany stroj zkuste si nainstalovat balicek haveged at mate dost entropie na generovani privatnich klicu.

15

Sítě / Re:Nefunguje IPv6 v Debianu 9 pod KVM

« kdy: 21. 02. 2019, 17:14:31 »

Pro loopback vam chybi routa:

::1 dev lo proto kernel metric 256 pref medium

proc by nemelo zit eth0 je otazka, stretch  + KVM + IPv6 zcela jiste funguje. Stane se to i cerstve instalovanemu virtualu? Konfigurujete to pres /etc/network/interafces se statickou IP nebo nejak rucne?