Příspěvky

16

Sítě / Re:Statická IPv6

« kdy: 27. 04. 2023, 21:49:13 »

V jednom případě nechci používat pro nastavení IPv6 RA, protože ji chci použít jen pro konkrétních pár zařízení a ne pro celý VLAN. Nastavil jsem tedy těmto PC statickou adresu (2x linux, 1x Win). Přes tyto adresy mohu komunikovat z internetu, ale rád nastavil pro každé PC ještě druhou adresu, pod kterou bude toto PC komunikovat směrem ven, ale na FW zakážu přistup z venku. Prostě jako je to u RA, kdy si zařízení vezme jednu "pevnou adresu" a další co si mění a přes které komunikuje ven. Není problém nastavit další statické adresy, ale jak tomu mám říct, že má komunikovat přes tu druhou?

Pravidla výběru zdrojové adresy jsou popsány v RFC 6724. Na linuxu je nejjednodušší nastavit u nepreferované adresy preferred_lft na 0, tím nebude preferovaná pro odchozí spojení (pravidlo číslo 3). Další možností je třeba nastavit takovou adresu na loopback místo na konkrétní rozhraní, pak se podle pravidla číslo 5 bude preferovat adresa nastavená na odchozím rozhraní.

Jen taková rychlá doplňovací otázka zda pět bodů - nedal by se takto vyřešit i loadbalancing? Jednomu zařízení dám IPv6 adresy z obou prefixů a nastavím stejnou váhu, jen té třetí "veřejné" nastavím nižší? Jedná se o dvě VDSL přípojky od O2, GW je Mikrotik.

Load balancing asi nebude úplně fungovat podle představ. Pokud jsou na rozhraní dvě různé adresy, přičemž obě jsou preferované, bude výběr končit až na pravidlu číslo 8, tedy preferuj nejdelší shodný prefix. Provoz se tedy bude směřovat podle toho, se kterým z prefixů má cílová adresa nejvíc společných bitů.

17

Sítě / Re:Statická IPv6

« kdy: 27. 04. 2023, 09:27:00 »

V jednom případě nechci používat pro nastavení IPv6 RA, protože ji chci použít jen pro konkrétních pár zařízení a ne pro celý VLAN. Nastavil jsem tedy těmto PC statickou adresu (2x linux, 1x Win). Přes tyto adresy mohu komunikovat z internetu, ale rád nastavil pro každé PC ještě druhou adresu, pod kterou bude toto PC komunikovat směrem ven, ale na FW zakážu přistup z venku. Prostě jako je to u RA, kdy si zařízení vezme jednu "pevnou adresu" a další co si mění a přes které komunikuje ven. Není problém nastavit další statické adresy, ale jak tomu mám říct, že má komunikovat přes tu druhou?

Pravidla výběru zdrojové adresy jsou popsány v RFC 6724. Na linuxu je nejjednodušší nastavit u nepreferované adresy preferred_lft na 0, tím nebude preferovaná pro odchozí spojení (pravidlo číslo 3). Další možností je třeba nastavit takovou adresu na loopback místo na konkrétní rozhraní, pak se podle pravidla číslo 5 bude preferovat adresa nastavená na odchozím rozhraní.

18

Software / Re:Generátor konfigurace pro CloudFlare Warp

« kdy: 18. 04. 2023, 15:17:05 »

Už nějakou dobu je k dispozici nativní klient pro Cloudflare WARP. Ten by mohl fungovat spolehlivě dlouhodobě.

https://developers.cloudflare.com/warp-client/get-started/linux/

19

Hardware / Re:Apple Magic Keyboard a jak napsat rouru |

« kdy: 31. 03. 2023, 17:15:08 »

Mám starší model magic keyboard a tam je roura na 105. klávese (vedle levého Shifty). Tuhle klávesu tvoje klávesnice nemá. Na obyčejné PC klávesnici mi funguje pravý alt a klávesa vlevo od jedničky.

20

Sítě / Re:Jak protáhnout optiku trubkou do obýváku?

« kdy: 16. 03. 2023, 15:16:51 »

Rád bych se vrátil k tomuto tématu. Nakonec jsem objednal 15m patchcord s SC/APC konektorem na jedné a LC/UPC konektorem na druhé straně. Konektor LC prošel trubkou bez větších problémů. Jediný problém nastal s plánovanou instalací spojky v keystonu, která by kabel krásně ukončovala v zásuvce. Ukázalo se, že do běžné instalační krabice se tohle prostě nevejde protože konektor trčí zhruba 5 cm dozadu. Nakonec jsem tedy na spojku rezignoval a vlákno z krabice vychází bez přerušení.

SFP modul fungoval až na druhý pokus. Na základě referencí z fór jsem pořídil modul 1000BASE-BX-10U s vysílací vlnovou délkou 1310 nm a přijímací délkou 1550 nm. Ten nefungoval. Na druhý pokus jsem pořídil stejný modul, ale s přijímací vlnovou délkou 1490 nm, označovaný jako 1000BASE-BX-U, ten fungoval okamžitě. Pak jsem taky zjistil, že existují SFP moduly s širokopásmovým přijímačem, jejich cena je ovšem vyšší než součet cen dvou základních modulů.

Systém běží několik dnů a už jsem zaznamenal první výpadek způsobený nejspíše ztrátou signálu. Zdá se tedy, že dříve nebo později budu řešit čištění optických konektorů. 

21

Sítě / Re:o2 adsl nejde www.svethardware.cz

« kdy: 10. 01. 2023, 16:04:15 »

To by mohl být problém s Path MTU Discovery. Nemáte někde u toho DSL modemu nějaký agesivní firewall co zahazuje všechny ICMP zprávy?

Pomůže, když na počítači snížíte MTU na 1492 nebo méně?

Podívejte se, jestli je v nastavení routeru volba MSS clamping a pokud ano, zapněte ji.

22

Sítě / Re:Konfigurace IPv6 na Turris Omnia v režimu AP

« kdy: 09. 01. 2023, 12:05:24 »

Dobrý den,

od ISP mám přidělenou jednu síť /64, jako router používám MikroTik. Nyní jsem do sítě přidal Turris Omnia v režimu bridge/AP. Všechny porty jsem dal do jednoho bridge a tomu bych chtěl (kvůli přístupu do administrace) nastavit IPv6 adresu ze stejné sítě jako má MikroTik. Prozatím jsem adresu nastavil staticky.

Lze nějak bridge donutit, aby si adresu automaticky nastavil metodou SLAAC?

Pro SLAAC se v OpenWRT používá DHCPv6 klient. Stačí tedy nastavit u daného rozhraní option proto dhcpv6.

23

Sítě / Re:Modem 3G+4G se na čisté 4G nechce zavěsit

« kdy: 23. 11. 2022, 14:01:54 »

Taky o tom nic nevím, ale můžu potvrdit z několika vlastních zkušeností s českým T-Mobile, že SIMka čerstvě po aktivaci na LTE nechodí. Například když jsem v létě 2019 pořizoval předplacenku abych využil neomezené datové léto, běžela mi několik desítek minut na 3G a teprve po restartu telefonu začlo fungovat LTE. Skoro to vypadá, jako by podporu LTE programovali do SIM karty na dálku při prvním zprovoznění.

Z toho my plyne, pokud jste to ještě nezkusil, nejdřív SIMku „oživit“ v nějakém telefonu a pak ji teprve vložit do 3G/4G-only modemu.

24

Sítě / Re:Jaký PoE 5-port 1Gbit switch ?

« kdy: 11. 11. 2022, 13:55:13 »

Asi nejlepší klíčová slova pro hledání takového produktu jsou "PoE extender switch".

Zadání by mohl vyhovovat třeba tenhle:
https://www.alza.cz/d-link-dgs-1100-05pdv2-d6415757.htm

25

Sítě / Re:Síťařský žargon

« kdy: 18. 10. 2022, 14:25:11 »

nemůžeš. Musíš být členem, jinak nebudeš u těch ip adres uveden jako jejich "majitel", ověřit majitele můžeš třeba přes whois. Můžeš samozřejmě za někým jít a domluvit si, že ti bude část svých delegovat, tak vlastně funguje většina firem.

Tohle zavání porušením jedním ze základních pravidel přidělování adres, ve kterých je jasně uvedeno, že každé přidělení adres musí být řádně dokumentováno v RIPE databázi.

Místo slova delegovat jsem měl asi použít propůjčit nebo vyhradit, aneb v tomhle režimu fungují hostingy, ISP, které mi propůjčují IP adresy, přes které mi směřují provoz, ale v databázi jsou oni jako majitelé a ne já. Znáš lepší výraz jak to v češtině popsat?

V angličtině se používají termíny allocation a assignment, česky asi alokace a přidělení. Žádný další stav adres definovaný není. V pravidlech jsou výjimky, že pokud jsou z nějakého bloku přidělovány individuální adresy různým zákazníkům, což je případ třeba hostingu nebo housingu, registrace není povinná. Pokud ale dojde k přidělení nějakého bloku adres, mělo by to být v databázi zaznamenáno.

26

Sítě / Re:Síťařský žargon

« kdy: 18. 10. 2022, 13:54:20 »

Existují dvě možnosti, jak získat IP adresy:

• Od svého poskytovatele přístupu k internetu. To je nejběžnější varianta. Poskytovatel vám spolu se službou přidělí příslušný počet IP adres, za podmínek, které si spolu dohodnete. Adresy jsou z alokace daného poskytovatele, takže v případě změny poskytovatele budete muset svá zařízení přeadresovat. Říká se jim Provider Aggregatable (PA) protože váš poskytovatel je dokáže agregovat spolu s příděly pro jiné zákazníky a dohromady ohlašovat do globálního internetu jako jeden velký balík.
• Přímo od regionálního registru (u nás RIPE NCC) prostřednictvím některého člena (Sponsoring LIR; například vašeho poskytovatele, ale to není podmínkou). V takovém případě jsou adresy přiděleny přímo vám a zůstávají s vámi i v případě, že se rozhodnete poskytovatele změnit. Sponsoring LIR platí za každý takto přidělený blok registru regulační poplatek v aktuální výši 50 eur ročně, je na něm, zda vám jako koncovému uživateli tuto částku přeúčtuje a případně jakou marži přidá. Těmto adresám se říká Provider Independent (PI)

Teprve pokud se chcete stát poskytovatelem přístupu k internetu a přidělovat svým zákazníkům adresy podle bodu 1, musíte se stát členem RIPE NCC a platit členské poplatky. Každý člen má v současné době nárok na jednu alokaci 256 IPv4 adres (po zhruba ročním čekání v čekací listině) a jednu alokaci IPv6 velikosti /29. Chcete-li víc IPv4 adres, musíte hledat někoho, kdo vám je (nejspíš za úplatu) převede, chcete-li víc IPv6 adres, musíte splnit některé z kritérií pro získání větší/další alokace.

IPv4 adresy podle bodu 2 se nepřidělují od září 2012, ale stále je možné získat je (nejspíš úplatným) převodem od někoho, kdo je dříve získal. IPv6 adresy podle bodu 2 je možné stále získat, velikost přídělu je /48. Tyto adresy je zakázáno dále přidělovat jiným osobám.

nemůžeš. Musíš být členem, jinak nebudeš u těch ip adres uveden jako jejich "majitel", ověřit majitele můžeš třeba přes whois. Můžeš samozřejmě za někým jít a domluvit si, že ti bude část svých delegovat, tak vlastně funguje většina firem.

Tohle zavání porušením jedním ze základních pravidel přidělování adres, ve kterých je jasně uvedeno, že každé přidělení adres musí být řádně dokumentováno v RIPE databázi.

27

Sítě / Re:Optika od T-Mobile a vlastní MikroTik

« kdy: 19. 09. 2022, 11:12:30 »

Mám též optiku od T-Mobile. Již přímo při zařízování jsem se domluvil s Cetinem, že nechci žádný router a tak mi dodali pouze Comtrend GRG-4284 (GPON ONT; 12V 0.5A). Za ním je už přímo můj Mikrotik. Ano, musel jsem též laborovat s nastavením (PPPoE Client, vlan848). Přijde mi to lepší, než nějaký jejich router. BTW, 1000/500Mbit, veřejku mi ještě ani jednou nezměnili a to si za ní nepřiplácím. UPC (které jsem měl předtím) mi za deset let změnilo veřejku jednou (stěhoval jsem se asi 7x) - mají to MAC adresu, takže stačí klonovat na nová zařízení pouze tu stejnou macovku.

Pokud jste to domlouval s CETINem, tak to není optika T-Mobile, ale optika CETINu, na které prodává T-Mobile maloobchodní služby podobně jako na DSL.

V takovém případě vám gratuluji, máte asi nejlepší kombinaci optické služby, která je pro české domácnosti dostupná. T-Mobile totiž na infrastruktuře CETINu standardně nabízí statickou veřejnou IPv4 adresu i statický veřejný IPv6 prefix /56 bez jakýchkoli příplatků. Což je v ostrém kontrastu s vlastní optickou infrastrukturou od T-Mobile, o které se v tomhle vlákně píše, kde dostanete jen IPv4 s CGN a ještě s tím obludným Wi-Fi routerem.

28

Sítě / Re:Optika od T-Mobile a vlastní MikroTik

« kdy: 14. 09. 2022, 16:16:07 »

Zajímavý přístup. Dohnáno do opačného extrému by se možná ISP nemusel spokojit jen s dodáním jediného povoleného modemu/routeru/AP, ale taky by mohl určovat, jaká koncová zařízení si lidé mohou do sítě připojit. Třeba Ferko by si rád připojil svůj 20 let starý počítač s Windows XP, Jano má zase oblíbený smartphone s Androidem 2.6. No a Jožko by si zas rád zkusil naprogramovat vlastní operační systém a připojit ho k internetu. Ještě pár dalších takových exotů a ISP bude mít v síti na 500 různých druhů zařízení. To je k zbláznění.

Všichni by si měli mít možnost maximálně vybrat velikost nejnovějšího iPhone, počítač si mohou vybrat jakýkoli, když bude od Apple a televizi jakoukoli od Samsungu, ale jen 50" a větší. Anarchii bych v síti netrpěl.

29

Sítě / Re:Ukazatel LTE vs. 4G na mobilu

« kdy: 26. 08. 2022, 16:51:15 »

Doteď jsem žil v přesvědčení, že LTE je v podstatě 4G, neb to přišlo po 3G. A ono to tak zjevně nebude.
Najde se tu někdo, kdo by mi to vysvětlil? Ne, že by na tom závisel život, ale zajímá mě to.

Je to prostě jen marketing. Český T-Mobile se rozhodl svou síť označovat LTE, ostatní operátoři 4G. Fakticky je to tatáž technologie.

Jinak tohle definování generací podle dosažitelné rychlosti je podle mě padlé na hlavu.

Podle mě jde o novou generaci pokaždé, když začneme od nuly a vybudujeme něco nového. Takže 5G má kompletně nové rádio (zvané NR), 4G je celá nová data-only technologie LTE, ta nemá v podstatě nic společného s UMTS (3G), které zase nemá nic společného s GSM (2G) a to zase nemá nic společného s NMT (1G).

Zahrnovat do 3G zároveň UMTS i LTE, protože dosažitelné rychlosti jsou v podobném pásmu nedává podle mě vůbec žádný smysl, když jde o generačně zcela odlišné technologie.

30

Sítě / Re:WireGuard: musí allowed-ips být shodné?

« kdy: 22. 08. 2022, 16:09:48 »

Otázka, mám to chápat spíš jako routování nebo filtrování

V odchozím směru jde o routování, v příchozím směru o filtrování.

Moje otázka je, musí být allowed-ips shodné

Naopak, Allowed IPs značí, které IP adresy mohou od peera přicházet (a zároveň sekundárně, provoz na které adresy má být peerovi doručován). Nastavovat na obou stranách stejný seznam allowed IPs nedává moc smysl - buď mi daná adresa patří a tak by v seznamu povolených od vzdáleného souseda neměla být a nebo mi naopak nepatří a očekávám ji z druhé strany, pak v tom seznamu být musí. Z toho logicky plyne, že každá strana má diametrálně odlišný pohled na to, které adresy jí má protistrana posílat.

Peer 1: IP 10.1.0.81/24* . Peer 2: 10.1.0.73/24*. 

* hvězdička značí, že jde o konfiguraci ip adresy podle ip addr set ... dev wg0,  a ne allowed-ips

Uvádět u wireguardového rozhraní masku je zbytečné a může být i kontraproduktivní. Operační systém pak do WG rozhraní naroutuje příslušnou podsíť bez ohledu na to, jestli je tato uvnitř samotného wireguardu někam routovaná (pomocí AllowedIP). Lepší je nastavit explicitně routy pouze na adresy, které jsou povolené u nakonfigurovaných peerů, což přinejmenším wg-quick dělá standardně.