Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - madmucho

Stran: [1] 2 3
1
Sítě / Re:Výběr SIEM - jak sledujete, co se děje v síti?
« kdy: 01. 11. 2021, 08:27:06 »
Zdravím,
jako siem používáme ossim (agenty, netflow z centrálních síťových prvků, suricata na dedikované síťovce, testy zranitelností pravidelně).
Jako central log, graylog, na graylogu spousty sledovaní všeho co bylo potřeba, posila se mailem tomu kdo to chtěl (graylog 3 servery celkem db replikovaná).

Na perimetru Sophos pere provoz.

Stejně si ale myslím že pokud by něco přišlo přijde to odjinud, přes lidi.
Takže s průserem se u Nás počítá.

2
Server / Re:Vadný NAS Synology
« kdy: 25. 10. 2021, 09:45:29 »
Ano, s přihlédnutím k tomu, že ty zdroje vydrží cca 4 roky a k tomu, že už to nějakou dob žije, taky to chce zohlednit životnost disků.

Prostě očakávám, že to za čtyři, čtyři a půl roku bude potřebovat další - větší - údržbu.  Ta už možná nebude dávat valný smysl. OS podporovaný asi bude.

OT: To jako vážně ty Synology zdroje (a u modelu za bratru 15k) vydrží jen 4 roky? Občas se mě někdo ptá jaký domácí NAS pořídit (pro BFU) - Tak doporučuju Synology,  klidně novější model (DSx16 a novější) z druhé ruky (ale nové disky). Vzhledem k dobré podpoře výrobce jsou moje očekávání dalšího provozu 5-10 let. Doteď jsem se toho nebál.

Pokud zdroj (a kondíky na desce) Synology vydrží jen 4 roky, co má cenu domu kupovat, aby to vydrželo aspoň 5-10 let s podporou výrobce? A teda nestálo to raketu - jako pro normálního uživatele je krabice na zálohy fotek, domácího videa a starých školních a pracovních dokumentů za 7000,- drahá (páč je za to je nový počítač).
Prostě to obyčejný lidi berou jenom jako stále připojený externí hdd, sdílený v rodině. Tak aby to bylo trochu svižný, moc to nežralo, pro bfu co občas aktualizuje bezpečný a jiný pitchoviny od toho víceméně nepotřebujou.

Ne vydrží klidně i déle, máme jich desítky a měníme je opravu jen když nám to zakazník chce zaplatit nebo pokud zařízení už nestačí.
Disky neřeším to odejde klidně i nový.  Pokud odejde naska uplně, třeba bleskem a přezijou disky tak přendat disky do jiného syno boxu a jede se dál. Přijde mi že je tohle řešení to lepší na trhu, čekat podporu 10 let je ale utopie, ono to chodí ale neběhá, mam takhle starý qnap funguje, ale je to už utrpení očividně nestihá ani UIčko.

3
Server / Re:Vadný NAS Synology
« kdy: 24. 10. 2021, 15:00:31 »
Proč jen 4 roky a pak půjde do popelnice? Já věci kupuju s tím, že vydrží minimálně 10-15let fungovat (kromě spotřebky jako je HDD nebo mírné údržby jako tady ta výměna kondenzátorů atd)
Patrně tim bylo myšleno dokud bude zařízení podporováno výrobcem, davají na ně mezinárodní zaruku, už jsem to 4 rok využil u prodejce zaruka nebyla, u synology ano. Box mi vyměnily byla vadná pamět kernel panic.

Více info https://www.synology.com/cs-cz/products/status

4
Sítě / Re:Česká firma implementující PacketFence
« kdy: 24. 10. 2021, 14:57:18 »
Zdravím,
v práci mám s Packetfence pilotní provoz, osvědčil se, ale ne vše co si představuji funguje úplně, je třeba doladit pár věci v naší šabloně pro mikrotik switch a zatím to není v komunitě ani v procesu a u mě není moc čas, zatím ale spokojenost. Polepšili jsme si tím.

#Co mi funguje
802 1x ověřovaní na mikrotik switchy (Dot1X) klient Windows suplicant, ověřování počítač nebo user z AD. Dle nastavení nodu z packetfence dostane úspěšnou vlan neúspěšnou vlan nebo karanténní vlan kde se muže lognout přes web, skenuje klienta v pozadí jestli je vše z jeho pohledu běžné a pošle mi pěkně info pokud by se mu něco nezdálo klienta neověří dostanu info.

# Co nefunguje ještě stopro.
máme více switch vendorů (HPE,Mikrotik) takže to bude ještě trocha laborování aby šly i ostatní věci na stopro, postupně segmenty síte zapojujeme do ověřování.
U mikrotiku mi nejde odpojování klientů na portu (reevaluate access), zkoušel jsem radiusem i přes snmp ale radius posilá patrně špatný příkaz na schození mac/portu, takže data přijdou ale nic to neudělá na swtichy, odpojení tedy je po reautentifikaci klienta do rekonektu portu jede jak předtím, mělo by ho to samo vyhodit v ideálu.

Bohužel druhou část otázky kdo to dělá s podporou to netuším.

5
Server / Re:LogWatch - nereportovat 404
« kdy: 07. 10. 2021, 09:08:16 »
Editovat
Kód: [Vybrat]
/etc/logwatch/conf/services/httpd.conf
Odkomentovat nebo vložit řádek

Kód: [Vybrat]
$http_rc_detail_rep_404 = 20
přijde jen sumář kolik bylo 404 je to na jeden řádek.

6
Bazar / Re:Kúpim serverové DDR3 ECC 4GB, 2GB
« kdy: 27. 07. 2021, 20:29:38 »
Zdravím,
bral jsem taky takový server rok zpět na hraní a byl už s pamětí 64GB, ale koukam prodejce je stále má, kdyby jste chtěl koukněte tam, http://www.itxpert.cz/ddr3/

A doporučuju oflešovat co to jen jde, iDRAC bez poslední verze byl tak trochu nepoužitelný.
Beží na něm proxmox a na hraní cajk.

7
Hardware / Re:UPS k Synology DS920+
« kdy: 13. 07. 2021, 14:08:49 »
Tam jde o komunikaci s NASem, v synology běží přes UI ovladaný NUT.
Takže se NAS vypne když jde do tuhého a vypne i ups, nebo se vypne po x minutách a nebo dá také vědět dalším několika ip adresám aby se vypnuly...kuli tomu je ten kompatibility list.

Ale jakékoli APC i starší jedou bez problému pokud mají komunikaci usb nebo ethernet snmp.

Pokud máte favorita vemte z ešopu a kdyžtak ji vrátite. Hlavně ať obdobný model je v seznamu, liší se mnohdy jen provedením zasuvek vzadu.
Pokud ma NAS v zatezi spotrebu 20W tak to hrave utahne i UPS za 1600,-, nebo ne?

8
Server / Re:Ake NAS a kolko diskov?
« kdy: 09. 07. 2021, 16:48:13 »
Patrně proto že si tím synology už v minulosti prošlo, měly cryptovirus přímo pro jeho modely a musí se nechat že na tom zapracovaly, maji notifikace o známejch zranitelnostech, security auditor v nasu, který člověka buzeruje. Vzali si ten fail jako problém který řeší. Což se o Qnapu říct nedá.
QNAP má v cene 10 licencií a to aj pri lacných low-end modeloch.
Synology len 2 licencie a to aj pri drahších high-end modeloch.

Ja mám v pláne 4 kamery a práve pre nutnosť dokúpenia 2 licencií pri Synology za ďalších 2x50 eur zvažujem QNAP. No ten má poslednú dobu dosť problémy s bezpečnosťou - zasadli si naň hackeri, ktovie prečo nie na Synology :)

9
Server / Re:Ake NAS a kolko diskov?
« kdy: 09. 07. 2021, 12:02:34 »
To už je dost na hraně, zaleží hlavně na tom jakou kvalitou nahráváte a jestli kontinuálně a nebo jen události když se někde něco pohne. Pokud  nahráváte eventy myslím že to bude na dvou diskách ok.

5 kamer už není basic, to bych tedy zvolil model s + pluskem. Pokud bude kontinuální zápis kamer tak to už bude na více disků tedy DS4xx nebo  DS5xx

https://global.download.synology.com/download/Document/Hardware/DataSheet/DiskStation/20-year/DS220+/enu/Synology_DS220_Plus_Data_Sheet_enu.pdf?_ga=2.6848052.703237312.1625824526-340675663.1625824526 Datasheet.

Dole v datasheetu je max počet kamer 25, ale to už by nezvládlo procesorově nic víc, a jen udalosti.
Součásti je licence na 2 kamery. Pak musíte dokoupit.

10
Server / Re:Ake NAS a kolko diskov?
« kdy: 09. 07. 2021, 11:33:05 »
Pro domácí použití a jednu kameru stačí Synology DS2xx s dvouma diskama doporučuji od různých výrobců edice nas, aby neodešly oba najednou.
Survailence station balíček kamery Hikvision umí a licence tam v základu je.
K tomu raději malou upsku s USB a strčit do toho DSka, nas se korektně vypne když jde do tuhého, aby jste nepřišel o nezapsaná data.

levné to nebude ale máte klid.

11
Sítě / Re:Nelehký výběr AP
« kdy: 09. 07. 2021, 10:10:13 »
No vidíte, lehké to fakt není, máme u nás několik desítek Mikrotik wifi ap různých modelů a fungují k naší spokojenosti.
Ono je to spíš o tom co si tam admin nastaví, v defaultu to funguje pokud se začne do konfigurace vrtat víc je třeba o tom také víc vědět.
Používáme v standalone a nebo v CAPsMAN modu z centrály na pobočky.
Také na vzdálené lokality synchronizujeme jednoduchým scriptem aclka záškodníků, jedno z SSID (VLAN) máme na microsoftí radius server pro doménové usery.

Pro mě je dobré to že na to není potřeba vysoká škola a vyměnit a nastavit AP zvládne i helpdesk na lokalitě, dohled máme přes Netxms. Aktualizace jsou roky k dispozici i pro starší ap, patche ale nejdříve testujeme na stabilitu a děláme patche jen ty které se nás týkají.

Prostě to funguje.
Ušetřené peníze z tohoto projektu jsme raději investovaly na školení mikrotiků pro kolegy, a implementace unimusu pro zálohu a diff konfigurací.
Osvěčilo se.

12
Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává
« kdy: 28. 06. 2021, 15:56:28 »
Zkuste tedy změnit mangle pravidlem velikost MSS, mam to tu takto stejně, já jsem ten problém (VDSL) a druhá strana je v pořádku.
U sebe mám mangle pravidlo s DST adresním rozsahem a akce je change MSS vypočteno 1338, zkuste podle sebe okoukat hodnotu pokud to bude fungovat.

add action=change-mss chain=postrouting comment="Max ramec pro xxx, vy\E8teno z \
    pingu bez fragmentace s max ramcem dokud to pingalo a ta hodnota minus 40 je\
    \_mss " dst-address=xxx.xxx.x.x/24 new-mss=1338 passthrough=yes protocol=\
    tcp tcp-flags=syn

To by mohlo pomoct.

Dobrý den,

diky za odpověď, vstoupim do diskuze za kolegu, jsem ten kdo to konfiguroval.

Ve chvíli, kdy to přestane fungovat se tunel stále tváří na obou stranách jako established. Ping funguje oboustranně, a odpovídá realitě, tzn. i ze strany, kde přestanou fungovat určité typy komunikace, ping přes tunel funguje jen proti "živým" zařízením druhé strany. Většinou fungují i DNS dotazy na DNS server na druhé straně. Přestanou jakoby fungovat přenosy s větší velikostí packetu, resp. na MTU máme podezření. Zkoušeli jsme laborovat s nastavením MTU na VDSL Vodafone (na PPPoE interface mikrotiku), ze standardních auto 1480 na 1492, výsledek stále tentýž. Navíc ping s nastavenou velikostí packetu a zákazem fragmentace prochází ikdyž nastane problém. Teď to, po prvním problémovém týdnu, jelo skoro měsíc v podstatě bez problémů a nyní to opět začalo blbnout, je třeba udělat několik restartů tunelu denně. Nastavoval jsem a mám ve správě v podstatě několik desítek tunelů přes VDSL v režimu bridge, na Cisco i Mikrotik routerech, které jedou bez problémů, ale to je vše na VDSL přímo od O2, od Vodafone jinde nic nemám, tak mi chybí konkrétní zkušennost s provozem. Samozřejmě může být problém i s NATem u poskytovatele druhé strany, to ale bohužel težko ovlivníme. Většinou stačí restart tunelu, jen vyjímečně je třeba i restart PPPoE spojení přes Vodafone VDSL.

Konfigurace je Main, na straně VDSL (strana, která vykazuje ten problém) je modem v režimu Bridge, na Mikrotiku je veřejná IP přes PPPoE, druhá strana je připojena lokálním WiFi providerem, který používá pro klienty lokální adresy a NATuje je na svém rozhraní, z veřejné adresy vyhrazené pro konkrétního klienta.

Jelikož se nám nedaří najít příčinu, pro automatický restart tunelu jsem udělal script využívající toho, že při problému nefunguje fetch webové stránky z protistrany, takže to cyklicky v intervalech testuje a když to neprojde restartne tunel. Ale samozřejmě bychom raději našli podstatu problému a nehasili jen následky.

13
Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává
« kdy: 28. 06. 2021, 10:52:59 »
Dobrý den,
vypadá to že máte ipsec přpojen jen z jedné strany..

můžete poslat část konfigurace ipsec tunelu? Jestli je mod main nebo agresive, jestli je router za natem nebo přímo má na sobě veřejnou adresu.

Prosím také koukněte na stav ipsec tunelů a jejich P2 na obou stranách
Ve winboxu je to
IP > IPSEC > Policies nabídka, sloupec PH2 State by měl být na obou stranách established.

A také verzi Router OS a jestli je zapnutý Fast Path IP > Settings > Allow Fast Path ja jej raději na hlavním routeru vypinám dělá mi v logice bordel.

14
Dobrý den,
koukněte po tomhle
https://www.youtube.com/watch?v=kdT-tlzRZI4&t=11s

Tento model ohlásily včera v newsletteru, pokud trváte na 5G bude chvilku trvat než bude na skladě v CZ, pokud by stačilo LTE modelu je dostupných více už dnes.

15
Sítě / Re:Routery MikroTik - velikost úložiště
« kdy: 02. 03. 2021, 10:33:05 »
Tak když se Vám nechce chodit hledat na forum mikrotiku řešení na dotaz který má určitě každý tak tady máte link.

Dělal jsem to takhle i na dálku pokud byli zařízení na LAN. Pak už Vám Autoupdaty zase pujdou.

https://forum.mikrotik.com/viewtopic.php?f=2&t=108174&p=823647#p820791

1. Make a backup and export, save them on your PC
2. Disable all the packages you can including this:
hotspot
ipv6
mpls
ppp
routing
wireless
advanced tools

3. Reboot
4. Upgrade using only this packages taking them from the all packages zip:
system
security
dhcp
5. Reboot
6. After successful upgrade proceed to upgrade routerboot in system routerboard upgrade
7. Reboot

8. now install the additional packages you need only

Stran: [1] 2 3