Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - robac

Stran: [1] 2 3 ... 11
1
Windows a jiné systémy / Re:Neprístupný adresár na VPN
« kdy: 18. 02. 2022, 12:17:13 »
WIN10
SKúšal som aj cez IP ale nefunguje.
Smarja, opravdu si myslite, ze takhle Vam nekdo pomuze? Neodpovidate na dotazy (rozhodne ne na cele), neobtezujete se ani uvest, o jakou VPN se jedna...

Pokud to chcete opravdu resit, tak napiste:
  • typ VPN - IPSec, SSTP, OpenVPN...,
  • konfiguraci Mikrotiku, ocistenou o duverne udaje,
  • pripadne OVPN konfiguracni soubor,
  • kompletni adresaci LAN (ten TP-Link slouzi jakou router nebo jen switch?)

2
Sítě / Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« kdy: 08. 02. 2022, 16:21:04 »
Mužu dotaz mimo tém, abych tu moc nespamoval?
Přes wibox quick set.
Dole vlevo mám připojene klienty.
Da se u ních změnít name?
Dik
QuickSet neznám a nikde se do něj teď nepodívám.

Předpokládám, že myslíte hostname a v tom případě ho změníte nastavením hostname na klientovi.
Případně pro statické DHCP rezervace byste mohl použít DHCP option 12 (https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml).

3
Sítě / Re:MikroTik hAP ac3 a zprovoznění OpenVPN
« kdy: 08. 02. 2022, 16:09:10 »
Ještě jeden dotaz.
Jak to rozchodit na androidu?
Dlouho jsem měl aušusa s VPN a používaljejích OpenVPN
https://play.google.com/store/apps/details?id=net.openvpn.openvpn&hl=cs
Aušus nepoužíval certifikáty a měl jen openvpn.ovpn
Někde jsem čet, že na androidu je problém s dešifrovaní těch certifikatu.
Používám, zatím vždy fungovalo bez problémů.

Jediné, co je potřeba, je vložit certifikáty do konfiguračních souborů (a to už teď dělám vždy):
https://community.openvpn.net/openvpn/wiki/Openvpn23ManPage#lbAV

V podstatě všechny tři certifikáty zkopírujete do konfiguračního souboru a vložíte do odpovídajících tagů (<ca></ca>, <cert></cert>, <key></key>).

4
Sítě / Re:OpenVPN v Mikrotiku 6.49.2
« kdy: 08. 02. 2022, 12:47:22 »
Pohral som sa s heslami a už to ide, asi bol niekde preklep ;D
Ďakujem za pomoc.
Bezva. Rádo se stalo...

5
Sítě / Re:OpenVPN v Mikrotiku 6.49.2
« kdy: 07. 02. 2022, 17:07:39 »
Kód: [Vybrat]
Mon Feb 07 17:05:04 2022 Connection reset, restarting [0]
Mon Feb 07 17:05:04 2022 SIGUSR1[soft,connection-reset] received, process restarting
Mon Feb 07 17:05:04 2022 MANAGEMENT: >STATE:1644249904,RECONNECTING,connection-reset,,

SIGUSR1/connection-reset dostanu, pokud zadám špatné heslo. Pokud jste si jistý, že ho dáváte dobře, tak postněte celou (očištěnou o citlivé údaje) konfiguraci pro OVPN na Mikrotiku...

6
Sítě / Re:OpenVPN v Mikrotiku 6.49.2
« kdy: 07. 02. 2022, 10:04:13 »
Funguje bez problémů.

RouterOS:
  • 6.49.2
  • OVPN konfigurováno na jiné verzi, pak několik upgradů
  • certifikáty generované na Mikrotiku

Klient:
  • Windows 10
  • OpenVPN 2.5.2 x86_64-w64
Můžu vyzkoušet Android, předpokládám, že to tam pojede (jako vždy) bez problémů.

OVPN config:
Kód: [Vybrat]
client
route-nopull
route ***
route-metric 1
dev tun
proto tcp
remote ***
remote-cert-tls server
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache
nobind
persist-key
persist-tun
verb 3
<ca>
...

Koukám, že duplicate packet mám v logu také:
Kód: [Vybrat]
TCP connection established from ***
duplicate packet, dropping
: using encoding - AES-256-CBC/SHA1
*** logged in, *** from ***
<ovpn-***>: connected

První bych asi zkontroloval nastavení Certificate, Auth a Cipher v OVPN server na Mikrotiku...

7
Sítě / Re:Mikrotik hAP ac3 OpenVPN.
« kdy: 16. 01. 2022, 13:14:04 »
Proč nerozjedeš WG, což je nesrovnatelně snazší?

Reagoval jsem na toto. Pokud OVPN rozjedu za 20 minut, tak nevim, o kolik je WG nesrovnatelne snazsi? 5 minut?

Citace
No a že to "není zas tak hrozný" je důvod, neudělat to snáz a s rychlejší technologií? :)

Konkretni usecase neznam, ale urcite by se nejake duvody nasli:
  • Pokud vim, tak WG je az v ROS 7, coz je stale beta (bez ohledu na oficialni stav).
  • WG je UDP only a v nekterych (ne castych) pripadech muze byt TCP vyhodou.
  • Chcete VPN v ROS vyuzivat ve stavajici infrastrukture, kde jiz mate nasazeno OVPN.

Staci?

8
Sítě / Re:Mikrotik hAP ac3 OpenVPN.
« kdy: 14. 01. 2022, 09:45:46 »
Ten .ovpn je pod tým videem na youtube a i odkaz na drive.google pro stahnuti.

Pardon, ale sledovat celé video a zkoumat popisky nebudu.
IMHO tento setup je dle mě blbost. Udělal bych to s rozdílnými subnety (LAN a OVPN).

Když si zapnete logování OVPN, tak byste v logu určitě něco vidět měl (System - Logging) nebo na pravidle ve firewallu uvidíte/neuvidíte hitcounty.

Ty certifikáty (CA, client cert a client key) máte ve svém PC ve správné cestě (dle konfigu, myslím, stejný adresář jako .ovpn)?

Kód: [Vybrat]
us=812000 Cipher negotiation is disabled since neither P2MP client nor server mode is enabled
Options error: On Windows, --ifconfig is required when --dev tun is used

V konfiguraci ROS přidělujete klientům IP adresu v /ppp profile nebo /ppp secret?

9
Sítě / Re:Mikrotik hAP ac3 OpenVPN.
« kdy: 13. 01. 2022, 23:53:47 »
Proč nerozjedeš WG, což je nesrovnatelně snazší?

PS: zapezpečení domácí sítě podle YT.
Tak zas tak hrozný nastavit OVPN není...

@BigSandy
Co máte v .ovpn souboru?
Máte správně vygenerované certifikáty (a optimálně zalinkované v .ovpn souboru)?
Jestli je potřeba proxy ARP, tak to znamená, že OVPN klient má adresu z LAN? Na to bych se vykašlal a udělal to routovaně.

V zápiscích mám tohle (starší 2 let, za funkčnost na aktuálním ROS neručím):

  • OvpnPort = 443
  • LAN = 192.168.1.0/24
  • OvpnPool = 192.168.2.0/24

ROS:
Kód: [Vybrat]
/ip pool
add name=openvpn-pool ranges=192.168.2.2-192.168.2.10

/ppp profile
add bridge=bridge1 local-address=192.168.2.1 name=openvpn remote-address=openvpn-pool

/interface bridge port
add bridge=bridge1 interface=ether3-slave-local
add bridge=bridge1 interface=ether4-slave-local
add bridge=bridge1 interface=ether5-slave-local
add bridge=bridge1 interface=ether2-master-local

/ip neighbor discovery-settings
set discover-interface-list=discover

/interface ovpn-server server
set auth=sha1 certificate=OPENVPN-SERVER cipher=aes256 default-profile=openvpn enabled=yes port=443

/ip address
add address=192.168.1.1/24 comment="default configuration" interface=bridge1 network=192.168.1.0
add address={FirmaIP}/27 interface=ether1-gateway network={FirmaGW}

/ip firewall filter
add action=accept chain=input comment=OpenVPN dst-port=443 log=yes protocol=tcp

/ppp secret
add name=user password=**** profile=openvpn service=ovpn

/system clock
set time-zone-autodetect=no time-zone-name=Europe/Prague

/system identity
set name=FIRMA

.ovpn soubor:
Kód: [Vybrat]
client
route-nopull
float
route 192.168.1.0 255.255.255.0
route-metric 1
dev tun
proto tcp
remote {FirmaIP} 443
remote-cert-tls server
auth SHA128
cipher AES-256-CBC
auth SHA1
auth-user-pass
auth-nocache
resolv-retry infinite
nobind
persist-key
persist-tun
verb 3
<ca>
{Obsah souboru certifikátu CA; ca.crt}
</ca>

<cert>
{Obsah klientského certifikátu; client.crt}
</cert>

<key>
{Obsah key souboru klientského certifikátu; client.key}
</key>

10
Vývoj / Re:Hledání a nahrazování pomocí JavaScriptu
« kdy: 05. 01. 2022, 14:54:03 »
Obecně řešení pana Jirsáka není dobře (v textu nahradím řetězec X za Y, čímž v něm vznikne řetězec Z, který je v seznamu tokenů pro další zpracování).

V tomto konkrétním případně by se to dalo asi bezpečně ošetřit.

Pro Python se mi zdá OK:
https://stackoverflow.com/a/15448887

Otázka je, jak text vypadá a jestli lze skutečně použít takto jednoduché řešení.

11
PC je zařazeno v doméně nebo nikoliv?

Ano, PC je v doméně.

Požádal bych domain admina o vytvoření GPO, které to v registrech nastaví. https://terrytlslau.tls1.cc/2011/06/configuring-performance-options-of.html

Ale mé znalosti této problematiky jsou mizivé, takže netuším, zda je pro doménové PC standardní chování, že po restartu se to vždy přepne na best appearance...

12
PC je zařazeno v doméně nebo nikoliv?

13
Když si na duckduckgo (samozřejmě v anyonymnim rezimu a bez cookies) prohledávám podivná klíčová slova jako "vyber penez" " nebo "zaplatit ucet", tak většina výsledků je divných.


Jde o domény typu:
zatdovnutra.fun
green-lg.com
casinoplayk.co
nilecruiseifegypt.com
powerofdoing.blog

JE DuckDuckGO Komplicem domény miatta-oh.xyz?

No, tak jestli je to pravda, tak bych si ne Vasem miste v prve rade "odvsivil" PC / prohlizec, protoze DuckDuckGo nic takoveho samozrejme na prednich mistech na dane dotazy nevraci.

14
Server / Re:Mail u sebe doma
« kdy: 11. 11. 2021, 15:29:13 »
Citace
Ano chapu to, ale od toho je preci sifrovani. A to lze delat i v cloudu, bez starosti o HW.

Tak to úplně nefunguje. Šifrování není automaticky soukromí. Obecně email je dost nebezpečný způsob komunikace, ale provozem v cloudu má pak jeden provider celý big picture, což je právě to, co vlastní mail server minimalizuje.
Provoz mail serveru u sebe doma (dle mě) hlavně minimalizuje možnost odesílat/přijímat maily.

Vy jste zatím zůstali u abstraktních debat typu (celé jsem to nečetl): zvládnu to správně/bezpečně nastavit, budu mít větší soukromí/kontrolu, jednou to nastavím a pak na to nemusím 10 let šáhnou :) atp., ale má to i další aspekty. Ne každý má doma cluster hypervizorů s vMotion (nebo obdobou), ne každý má spolehlivou duální konektivitu, ne každý dokáže vyřešit, když mu vypadne elektřina (a na potvoru je zrovna na 14ti denní dovolené v Pyrenejích), ne každý má ISP, který nefiltruje SMTP do internetu nebo mu nastaví PTR record, ne každý si dělá (a chce dělat) off-site backupy (kdyby mu vyhořel barák)...

Ale abychom si rozuměli - obecně to samozřejmě provozovat lze a nikomu v tom nebráním, když se s tím chce "p.cat"  :)

15
Server / Re:Mail u sebe doma
« kdy: 02. 11. 2021, 11:48:13 »
Já jsem si z toho vybral hlavně to (celé jsem to ale nečetl, ztráta času), že pan Jirsák naprosto není schopen odlišit správu MTA pro více klientů a správu MTA určeného jen pro sebe. To se pak těžko o něčem diskutuje. Nepřekvapuje mě to u něj, upřímně, mám s ním podobné zkušenosti i z jiných diskuzí. Nic ve zlém. Bohužel.

(celé jsem to ale nečetl)
Pan Jirsák má samozřejmě pravdu - ať už spravujete mail server pro 2 nebo 2000 uživatelů, tak musíte (měl byste) některým věcem věnovat stejně času (správná konfigurace, bezpečnost, aktualizace). Pokud to tedy chcete dělat pořádně.
Jestli jsem to pochopil špatně (pointu sdělení pana Jirsáka), tak se omlouvám (celé jsem to nečetl)...

(celé jsem to ale nečetl  :) )
Btw. řešili se v rámci diskuse i jiné "výhody" umístění mail serveru doma? Jako třeba konektivita, napájení, zálohování?

Stran: [1] 2 3 ... 11