Příspěvky

1

Sítě / Re:Cetin terminátor Zyxel VMG4005-B60A na ne-bondované lince

« kdy: 26. 10. 2023, 18:05:03 »

Terminator i verze z volneho prodeje samozrejme profil 35b na jednom paru umi. Neumi zbondovat dva profily 35b, ale to u nas stejne CETIN nenabizi, takze je to jedno.

2

Sítě / Re:O2TV pouze na WAN2 UniFi USG

« kdy: 23. 10. 2023, 20:15:12 »

Co znamena "nekdy hodi"? Kde se vzaly ty IP prefixy?

3

Sítě / Re:O2TV pouze na WAN2 UniFi USG

« kdy: 23. 10. 2023, 18:28:11 »

Muzete tomu dat vlastni VLANu. Nebo vyhradit IP adresy a provest source routing (na zaklade zdrojove IP vzdy routuj do DSL). Nevyhodou je, ze takhle pujde vsechen provoz z te televize.

4

Vývoj / Re:Matematický problém, důchodová renta

« kdy: 23. 10. 2023, 16:20:31 »

Podobny problem vcetne vizualizace stavu uspor behem vyberu renty umi, zda se, vyresit i https://roknula.cz/

5

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 13. 10. 2023, 13:40:51 »

> Na základe horných 64b s istotou vie, ktorá komunikácia prichádza z rovnakého stroja.
Tady máte chybu. Špehovač ví, že komunikace přichází z konkrétní počítačové sítě. Stejně tak to ví v případě IPv4, kde těch bitů není 64, ale jen 32.

6

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 12. 10. 2023, 14:12:54 »

Je to tak, jak píše zapik1. V případě některých zařízeí pak může být dokonce problém vůbec stavový IPv6 firewall vypnout nebo v něm udělat výjimku - protože je "by default" zapnutý, aniž by uživatel chtěl.
Samozřejmě jsou i starší zařízení, která žádný IPv6 firewall nemají, a všechen provoz iniciovaný z internetu bez starostí propustí do vnitřní sítě.

7

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 12. 10. 2023, 12:35:08 »

Ano. To přesně dělá firewall, ne NAT. Ten samý firewall můžete mít (a asi i budete mít) i na IPv6.

8

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 21:20:05 »

V IPv4 mate fixnich 32 bitu.
V IPv6 mate fixnich 64 bitu a pak nahodnych 64 dalsich bitu.
O jake ztrate soukromi se tu bavime? :-)

9

Sítě / Re:Návod pro nasazení IPv6 pro začátečníka kutila

« kdy: 11. 10. 2023, 13:41:15 »

Můžete mi prosím dát alespoň odkaz na nějaký dobrý text k prostudování, který by mě navedl tímto směrem?

• DHCPv6 v lokální síti nepoužívejte, spousta zařízení je nepodporuje (v čele s Androidem).
• Nepoužívejte ULA (adresy začínající na fd..:...) jako ekvivalent privátních IPv4 adres, tak to nefunguje.
• V lokální síti (LAN) normálně použijte globální IPv6 adresy. Nepoužívejte NAT66.
• Pro znepřístupnění LAN z Internetu použijte stavový firewall na routeru. Povolte pouze spojení iniciovaná z vnitřní sítě do Internetu, cestu naopak filtrem zablokujte.
• Pokud máte zařízení, kterým chcete zabráit přístup do Internetu, dá se to vyřešit buď oddělením do samostatné VLAN (která nemá přístup ven) nebo na firewallu přidejte pravidlo pro zabránění přístupu do Internetu s MAC adresou takových zařízení.

Na řeči "IPv6 nebude potřeba dalších 10-20 let" nedejte. Palec nahoru za odvahu zkusit něco nového.

10

Sítě / Re:Nastavení IPv6 /48 na MikroTiku

« kdy: 05. 09. 2023, 20:34:16 »

ISP (Infos Art?) bych se zeptal:
- jak mate nakonfigurovat WAN IPv6 adresu a jak WAN default gateway (staticka adresa i gw, SLAAC pro adresu + gw, DHCPv6 IA pro adresu a RA pro gw)
- jak routuji tu pridelenou /48 - pomoci DHCPv6 PD nebo staticky - pokud staticky, tak na jakou vasi WAN adresu

Pokud je v tom jakakoli staticka konfigurace, at poslou vsechny staticke adresy a masky site

11

Sítě / Re:Wifi router s uplinkem přes USB?

« kdy: 21. 08. 2023, 15:26:28 »

A jste si jist, že M7200 lze připojit k počítači a tváří se jako síťová karta? To je totiž podmínka pro to, abyste ho mohl připojit k nějakému dalšímu routeru přes USB.

Pokud to jde, tak by to mohly zvládnout routery s OpenWRT.
Pokud to nejde (třeba proto, že USB je na M7200 jen pro nabíjení), tak budete muset hledat jiné řešení.

12

Sítě / Re:Doporučte GSM modem s ethernetem

« kdy: 10. 08. 2023, 15:23:27 »

Ad bridge - proč? je potřeba veřejná IPv4 adresa až na Unifi NxG Firewallu?

Pokud stačí, že LTE modem bude fungovat do LAN jako DHCP server a nebudou v cestě vadit dva NATy (jeden na routeru s LTE, druhý na Unifi), tak se dá pořídit leccos. O2, TM i VF určitě budou mít něco skladem (O2 má např. 5G box za 6 tisíc a pak i pár levnějších routerů).

Pokud je potřeba veřejná adresa až na unifi, bude to problém - taková zařízení se pro LTE prakticky nedělají.

SIM - O2 i TM umí neomezené tarify (TM i samostatně "bez volání") cca. za tisícovku; oba k tomu umí i statickou veřejnou IPv4 adresu za pár stovek navíc. Jsou to tarify bez závazku, takže se dají zřídit a po pár dnech bez sankcí převést na nějakou předplacenku k jinému operátorovi (a tu pak nechat umřít). Maximálně zaplatíte jeden měsíc služeb.

13

Sítě / Re:CGNAT - počet domácností za jednou IP

« kdy: 02. 08. 2023, 19:50:15 »

Neni potreba logovat kazde spojeni. Staci zalogovat datum a cas prideleni mapovani toho bloku portu (pripadne jeste uvolneni).

Implementace existuji a realne se pouzivaji. Napr. https://www.cisco.com/c/en/us/td/docs/wireless/asr_5000/21-28/nat-admin/21-28-nat-admin/m_natoverview.html#reference_B84136EA5C8947C092889E29BCBAD691

14

Sítě / Re:CGNAT - počet domácností za jednou IP

« kdy: 01. 08. 2023, 17:45:37 »

Obecně logovat jen přiřazení portů uživatelům je nedostatečné v případě že přijde příkaz od policie na dodání identifikace všech klientů, kteří v uvedené době komunikovali s konkrétní IP adresou v internetu (posílají to i bez uvedení zdrojového portu).

Z pohledu dohledavani uzivatelu mezi tim je jen maly rozdil.
V pripade dynamickeho mapovani 1:1 musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni NAT session namapovanou na IP adresu X.
V pripade pridelovani bloku musite dohledat, kdo vsechno konkretne v tu chvili mel aktivni pridel portu pro IP adresu X.
(V pripade pridelovani vetsich bloku samozrejme logujete nejen port "od-do", resp. "od+velikost pridelu", ale i IP.)

15

Sítě / Re:CGNAT - počet domácností za jednou IP

« kdy: 01. 08. 2023, 15:18:27 »

Pokud pro kazdy telefon CGNAT vyhradi 512 portu, tak tech telefonu za jednou muze byt az ~120. Pokud 640 portu, bude telefonu az sto (vynechavam porty 1-1023).

Tohle by platilo jen pro implementaci kde se pro telefon (nebo obecně pro klienta ve vnitřní sítí) musí vždycky vyhrazovat porty.

Je to tak. Ovšem právě tahle implementace hodně zjednodušuje logování, kdy se každý alokovaný blok portů jednou zaznamená do logu a není potřeba logovat všechna spojení od klientů (což v třeba případě použití Linuxového SNATu potřeba je, aby bylo možné dohledat který klient kdy použil port X na IP adrese Y).