Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Ondřej Caletka

Stran: [1] 2 3 ... 51
1
Server / Re:Rozdíl mezi allocated a assigned PA
« kdy: 25. 11. 2021, 11:43:08 »
Alokované adresy jsou pouze rezervované, ale zatím nemají přiřazený žádný účel. Neměly by tedy být aktivně používány. Teprve po přiřazení (assignment) konkrétnímu uživateli a/nebo účelu jde o adresy používané.

2
Sítě / Re:Jak Android generuje IPv6 adresy?
« kdy: 09. 11. 2021, 14:11:48 »
Ví někdo, jakým způsobem si Android zařízení generují IPv6 adresy v IPv6 sítích? Podle EUI-64 ( = z MAC adresy) to není, a nikde se mi nepovedlo dohledat jestli na to je vůbec nějaký vzor, pokud teda vůbec existuje a není to úplně náhodné. Tuší někdo?
Asi se to bude lišit mezi výrobci, ale aspoň pro Wi-Fi na Androidu od Google (Pixel) se pravděpodobně používá implementace RFC4941 přímo z Linuxu, tedy volba sysctl use_tempaddr=2. Zařízení tak má jednu (nepreferovanou) adresu vzniklou z MAC adresy a druhou preferovanou kompletně náhodnou adresu. Situace se ještě trochu komplikuje tím, že Android od verze 10 používá náhodné MAC adresy, takže ani ta prvně jmenovaná adresa není odvozená ze skutečné MAC adresy zařízení. Ale pro jedno eSSID se používá stále ta stejná náhodná MAC adresa.

3
Odkladiště / Re:Náhodná velikost písem v DNS logu
« kdy: 17. 09. 2021, 18:34:18 »
Ten hlavní důvod je přidání několika náhodných bitů (jeden bit na každé písmeno) k stávajícímu ID transakce (16 bitů) a číslu portu (~15 bitů). Dělá se to zejména proto, že dnešní sítě už jsou tak rychlé, že útočníci mohou stihnout vyzkoušet nasypat oběti všech ~32K kombinací ID transakce a čísla portu ještě před tím, než pravý server odpoví. Tím je možné otrávit cache resolveru, což může být poměrně nebezpečné.

Samozřejmě, je to pouze workaround. To správné řešení spočívá v používání DNSSEC. Ale k tomu je potřeba vůle na obou stranách.

4
Windows a jiné systémy / Re:protokol APN - IPv6 (android)
« kdy: 01. 09. 2021, 23:06:44 »
Proč při nastavení tohoto na v6 (volby 4,6,4+6) mám stále ipv4? Mám tmobil prepaid.
Protože T-Mobile IPv6 na APN internet.t-mobile.cz nepodporuje.

Navíc se domnívám, že při volbě IPv6 to nebude fungovat vůbec, místo aby fungovalo jen s IPv4.

Nebo jde o mylnou představu že tohleto určuje typ IP u mobilních dat? 
Ano. Pokud se domníváte, že nasazení IPv6 u mobilního operátora spočívá v tom, že si uživatelé někde v nastavení přepnou jednu volbu, tak je to dost mylná představa.
 
Kde je problém ? Jak pátrat po v6?
Začal bych dotazem na mobilního operátora, zda IPv6 na dané službě podporuje. Ale předem znám odpověď.

například kamarád u o2 tarifu zapl hotspot a  i na noťasu  měl  vícero ipv6 , i online checker hlásil stejnou ip jako jednu v ipconfig, vsadim boty že by se na ni šlo připojit(  dirty check nc -6 -l -p xyz).(nezkoušeno)
Aby taky ne, když české O2 už skoro rok IPv6 na mobilních datech umí.

5
Kopírování pomocí dd je téměř vždy špatný nápad, zvlášť pokud se nejedná o žádný exotický OS ale o normální linux. Na nové SSD se zbytečně zapíšou i prázdné bloky, disk je bude evidovat jako zaplněné a při každém zápisu do nich dělat read-modify-erase-write úplně zbytečně. Příkaz fstrim by to mohl později opravit, ale lepší je tenhle problém vůbec nevytvářet.

Mnohem lepší je na nový disk vytvořit nové diskové oddíly a všechny soubory překopírovat včetně práv (například pomocí tar, rsync nebo cp -a). Jednak to bude rychlejší, navíc se ale odstraní i fragmentace souborů. Jen je potřeba pohlídat změnu UUID v /etc/fstab a v konfiguraci GRUBu. Buď upravit zmíněné soubory, nebo naopak změnit UUID nově vytvářených oddílů.

6
Sítě / Re:IPv6 Poda
« kdy: 06. 08. 2021, 09:19:59 »
Třeba O2 statický IPV6 prefix je za 129 korun.
…což jsou asi nejzbytečněji vynaložené peníze, protože ani ten „dynamický” prefix se v čase obvykle nemění, maximálně jednou za několik let, při nějaké větší reorganizaci. A při té je dost pravděpodobné, že vám nakonec změní i ten statický prefix, protože to prostě bude technicky nutné. Jen vám to za těch 129 Kč měsíčně nahlásí dopředu. To se vyplatí!  :D

7
Sítě / Re:VoWiFi - WiFi volání a VPN
« kdy: 02. 08. 2021, 10:53:42 »
Jelikoz se pro VoWiFi smeruje traffic vzdy primou cestou (mimo VPNku v mobilu), tak ty VPNky nepomuzou.

To je zase nějaký výmysl Androidu, že tam běží procesy, které nerespektují např. defaultní routu?
Ano. V Androidu v základní směrovací tabulce žádná výchozí brána vůbec není. Tabulek i pravidel se tam používá opravdu hodně a není vůbec jednoduché se v tom vyznat. Je to tak mimo jiné proto, aby se datové spojení nerozbilo pokaždé, když se telefon ocitne v blízkosti internet-free Wi-Fi (po vzoru sugar-free), nebo třeba Wi-Fi s captive portálem. Místo toho se na Wi-Fi nejdřív spustí proces detekce konektivity a captive portálů a teprve poté, co telefon nazná, že Wi-Fi je funkční, přemigruje tam provoz všech aplikací.

Stejně tak je zařízeno, že  VPN se nikdy nezacyklí a dokonce může VPN aplikace určit, které aplikace tunelem mají či nemají procházet.

8
Geolokace podle IP stále ukazuje do čr.
To skoro zní, jako by existovala jen jedna autoritativní geolokační databáze, podle které se všichni řídí. Nic takového neexistuje. Každý řeší geolokaci po svém, podle svých dat. To, že vám nějaká webová služba řekne, že vaše IP adresa patří do Česka nevypovídá vůbec nic o tom, kam si vaši adresu řadí jiná služba.

9
Ještě by mě zajímalo, proč používáte podsíť velikosti /126 a ne /127. V takovém případě by linux nultou adresu také neměl obsazovat.

10
Sítě / Re:ipv6 a dhcpv6 windows 10 wifi
« kdy: 21. 07. 2021, 16:49:07 »
Pravděpodobně na serveru vidíte MAC adresu vytaženou z DUID, DUID je přitom bezvýznamové číslo, které má unikátně identifikovat celý počítač, nikoli jedno konkrétní rozhraní. Je tedy normální, že i přes Wi-Fi přijde DUID obsahující MAC adresu drátové síťové karty.

Vkládání volby 79 skutečně nejspíš pomůže tomu, že na DHCP serveru skutečně uvidíte MAC adresu, která daný požadavek vygenerovala.

11
Pro takhle malé nasazení skutečně ústředny nemají smysl. Je to jen další zařízení, co žere proud a je potřeba opečovávat. Víc než rychlost je důležitá kvalita přípojky, malá ztrátovost paketů a malý jitter.

12
Odkladiště / Re:Hybridní invertory solárních elektráren
« kdy: 16. 07. 2021, 14:40:38 »
Možná by bylo dobré začít dotaz od začátku a ne odprostředka. Tedy, o čem přesně je řeč? Jak vypadá blokové schéma?

Obecně lze přepínat mezi baterií a distribuční sítí i třeba pomocí relé/stykače. Všechny nejlevnější off-line UPSky to tak dělají. Ostatně sama distribuční síť se střídavým proudem má výpadek každých 10 milisekund, takže všechny přístroje jsou schopné řádově podobně velký výpadek tolerovat.

13
Hardware / Re:Jak pripojit notebook s HDMI k USB-C monitoru
« kdy: 12. 07. 2021, 15:14:03 »
Me z toho vyplyva, ze si jedine muzu ty monitory nekde vyzkouset. Mrzi me, ze tyhle levne prenosne nemaji i HDMI. Redukce z HDMi na USB-C zrejme neexistuje (a nejsips by musela byt externe napajena)
Některé mají, třeba ten, o kterém jsem psal. I když ten možná zase nespadá do kategorie levné.

Krabičku, co by konvertovala vstup HDMI na výstup DisplayPort (což je to "USB-C video"), jsem ještě nikde neviděl. Dal by se použít levný HDMI grabber do USB zapojení do jiného počítače s příslušným výstupem :)

14
Sítě / Re:IPv6 + firewall a identifikace klientů
« kdy: 09. 06. 2021, 17:23:12 »
Jak postavit pravidla centrálního linuxového firewallu, aby bylo možné jednoznačně říct, který klient má kam přístup?
Část klientů nesmí na internet vůbec, část může pouze navazovat spojení a na pouhé dva stroje je povolený port z internetu.

Identifikace klientů na základě MAC prý není optimální, což mohu potvrdit.
Jsou nějaké možnosti, jak klienty jednoznačně identifikovat jinak než podle MAC?
Je to jednoduché. Základním stavebním prvkem v IPv6 je podsíť. V jedné podsíti mají platit pro všechna zařízení stejná pravidla. Nesnažte se nastavovat různá pravidla pro zařízení, která sdílí stejnou podsíť. To je anti-vzor i v IPv4 a IPv6 vás svou podstatou nutí toto nedělat.

Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi. Pokud máte pro každé zařízení speciální požadavky, nezbývá než každé zapojit do své vlastní podsítě, kde nebude nic jiného.

15
Sítě / Re:certifikát pro IP adresu
« kdy: 05. 05. 2021, 09:55:12 »
Pořád je to ale certifikát na doménu, kterou si registrujete minimálně na rok. Jasně, může být vydán den před expirací domény, ale i tak jste tu doménu musel mít alespoň rok. IP adresa může klidně patřit každý den někomu jinému a CA nemá, jak to poznat. Pokud bude nějaký způsob, jak prokázat, že IP adresu vlastníte dlouhodobě, bude i jednodušší na ní vydat certifikát.
Myslím si, že ověření pomocí DNS záznamu ve stromu in-addr.arpa, resp. ip6.arpa, kde nemusí být zdaleka jen PTR záznamy, by mělo být pro certifikační autoritu dostatečným důkazem držení příslušné IP adresy. Bylo by to minimálně srovnatelné s úrovní ověření pomocí klasického DNS pro klasické domény. Držení příslušeného jména v reverzním stromu je poměrně jasný důkaz, že k dané IP adrese máte dlouhodobější vztah.

Stran: [1] 2 3 ... 51