Příspěvky

61

Odkladiště / Re:Náhodná velikost písem v DNS logu

« kdy: 17. 09. 2021, 18:34:18 »

Ten hlavní důvod je přidání několika náhodných bitů (jeden bit na každé písmeno) k stávajícímu ID transakce (16 bitů) a číslu portu (~15 bitů). Dělá se to zejména proto, že dnešní sítě už jsou tak rychlé, že útočníci mohou stihnout vyzkoušet nasypat oběti všech ~32K kombinací ID transakce a čísla portu ještě před tím, než pravý server odpoví. Tím je možné otrávit cache resolveru, což může být poměrně nebezpečné.

Samozřejmě, je to pouze workaround. To správné řešení spočívá v používání DNSSEC. Ale k tomu je potřeba vůle na obou stranách.

62

Windows a jiné systémy / Re:protokol APN - IPv6 (android)

« kdy: 01. 09. 2021, 23:06:44 »

Proč při nastavení tohoto na v6 (volby 4,6,4+6) mám stále ipv4? Mám tmobil prepaid.

Protože T-Mobile IPv6 na APN internet.t-mobile.cz nepodporuje.

Navíc se domnívám, že při volbě IPv6 to nebude fungovat vůbec, místo aby fungovalo jen s IPv4.

Nebo jde o mylnou představu že tohleto určuje typ IP u mobilních dat? 

Ano. Pokud se domníváte, že nasazení IPv6 u mobilního operátora spočívá v tom, že si uživatelé někde v nastavení přepnou jednu volbu, tak je to dost mylná představa.
 

Kde je problém ? Jak pátrat po v6?

Začal bych dotazem na mobilního operátora, zda IPv6 na dané službě podporuje. Ale předem znám odpověď.

například kamarád u o2 tarifu zapl hotspot a  i na noťasu  měl  vícero ipv6 , i online checker hlásil stejnou ip jako jednu v ipconfig, vsadim boty že by se na ni šlo připojit(  dirty check nc -6 -l -p xyz).(nezkoušeno)

Aby taky ne, když české O2 už skoro rok IPv6 na mobilních datech umí.

63

Hardware / Re:Nový SSD do starého desktopu aneb jak dd Linux na nový notebook

« kdy: 27. 08. 2021, 14:41:51 »

Kopírování pomocí dd je téměř vždy špatný nápad, zvlášť pokud se nejedná o žádný exotický OS ale o normální linux. Na nové SSD se zbytečně zapíšou i prázdné bloky, disk je bude evidovat jako zaplněné a při každém zápisu do nich dělat read-modify-erase-write úplně zbytečně. Příkaz fstrim by to mohl později opravit, ale lepší je tenhle problém vůbec nevytvářet.

Mnohem lepší je na nový disk vytvořit nové diskové oddíly a všechny soubory překopírovat včetně práv (například pomocí tar, rsync nebo cp -a). Jednak to bude rychlejší, navíc se ale odstraní i fragmentace souborů. Jen je potřeba pohlídat změnu UUID v /etc/fstab a v konfiguraci GRUBu. Buď upravit zmíněné soubory, nebo naopak změnit UUID nově vytvářených oddílů.

64

Sítě / Re:IPv6 Poda

« kdy: 06. 08. 2021, 09:19:59 »

Třeba O2 statický IPV6 prefix je za 129 korun.

…což jsou asi nejzbytečněji vynaložené peníze, protože ani ten „dynamický” prefix se v čase obvykle nemění, maximálně jednou za několik let, při nějaké větší reorganizaci. A při té je dost pravděpodobné, že vám nakonec změní i ten statický prefix, protože to prostě bude technicky nutné. Jen vám to za těch 129 Kč měsíčně nahlásí dopředu. To se vyplatí! 

65

Sítě / Re:VoWiFi - WiFi volání a VPN

« kdy: 02. 08. 2021, 10:53:42 »

Jelikoz se pro VoWiFi smeruje traffic vzdy primou cestou (mimo VPNku v mobilu), tak ty VPNky nepomuzou.

To je zase nějaký výmysl Androidu, že tam běží procesy, které nerespektují např. defaultní routu?

Ano. V Androidu v základní směrovací tabulce žádná výchozí brána vůbec není. Tabulek i pravidel se tam používá opravdu hodně a není vůbec jednoduché se v tom vyznat. Je to tak mimo jiné proto, aby se datové spojení nerozbilo pokaždé, když se telefon ocitne v blízkosti internet-free Wi-Fi (po vzoru sugar-free), nebo třeba Wi-Fi s captive portálem. Místo toho se na Wi-Fi nejdřív spustí proces detekce konektivity a captive portálů a teprve poté, co telefon nazná, že Wi-Fi je funkční, přemigruje tam provoz všech aplikací.

Stejně tak je zařízeno, že  VPN se nikdy nezacyklí a dokonce může VPN aplikace určit, které aplikace tunelem mají či nemají procházet.

66

Sítě / Re:Google začal přesměrovávat na špatnou regionální doménu

« kdy: 26. 07. 2021, 11:25:12 »

Geolokace podle IP stále ukazuje do čr.

To skoro zní, jako by existovala jen jedna autoritativní geolokační databáze, podle které se všichni řídí. Nic takového neexistuje. Každý řeší geolokaci po svém, podle svých dat. To, že vám nějaká webová služba řekne, že vaše IP adresa patří do Česka nevypovídá vůbec nic o tom, kam si vaši adresu řadí jiná služba.

67

Sítě / Re:IPv6 duplicate address detected - první adresu si zabere linux

« kdy: 22. 07. 2021, 18:36:25 »

Ještě by mě zajímalo, proč používáte podsíť velikosti /126 a ne /127. V takovém případě by linux nultou adresu také neměl obsazovat.

68

Sítě / Re:ipv6 a dhcpv6 windows 10 wifi

« kdy: 21. 07. 2021, 16:49:07 »

Pravděpodobně na serveru vidíte MAC adresu vytaženou z DUID, DUID je přitom bezvýznamové číslo, které má unikátně identifikovat celý počítač, nikoli jedno konkrétní rozhraní. Je tedy normální, že i přes Wi-Fi přijde DUID obsahující MAC adresu drátové síťové karty.

Vkládání volby 79 skutečně nejspíš pomůže tomu, že na DHCP serveru skutečně uvidíte MAC adresu, která daný požadavek vygenerovala.

69

Server / Re:Od kolika VoIP čísel má smysl vlastní ústředna?

« kdy: 21. 07. 2021, 16:06:03 »

Pro takhle malé nasazení skutečně ústředny nemají smysl. Je to jen další zařízení, co žere proud a je potřeba opečovávat. Víc než rychlost je důležitá kvalita přípojky, malá ztrátovost paketů a malý jitter.

70

Odkladiště / Re:Hybridní invertory solárních elektráren

« kdy: 16. 07. 2021, 14:40:38 »

Možná by bylo dobré začít dotaz od začátku a ne odprostředka. Tedy, o čem přesně je řeč? Jak vypadá blokové schéma?

Obecně lze přepínat mezi baterií a distribuční sítí i třeba pomocí relé/stykače. Všechny nejlevnější off-line UPSky to tak dělají. Ostatně sama distribuční síť se střídavým proudem má výpadek každých 10 milisekund, takže všechny přístroje jsou schopné řádově podobně velký výpadek tolerovat.

71

Hardware / Re:Jak pripojit notebook s HDMI k USB-C monitoru

« kdy: 12. 07. 2021, 15:14:03 »

Me z toho vyplyva, ze si jedine muzu ty monitory nekde vyzkouset. Mrzi me, ze tyhle levne prenosne nemaji i HDMI. Redukce z HDMi na USB-C zrejme neexistuje (a nejsips by musela byt externe napajena)

Některé mají, třeba ten, o kterém jsem psal. I když ten možná zase nespadá do kategorie levné.

Krabičku, co by konvertovala vstup HDMI na výstup DisplayPort (což je to "USB-C video"), jsem ještě nikde neviděl. Dal by se použít levný HDMI grabber do USB zapojení do jiného počítače s příslušným výstupem

72

Sítě / Re:IPv6 + firewall a identifikace klientů

« kdy: 09. 06. 2021, 17:23:12 »

Jak postavit pravidla centrálního linuxového firewallu, aby bylo možné jednoznačně říct, který klient má kam přístup?
Část klientů nesmí na internet vůbec, část může pouze navazovat spojení a na pouhé dva stroje je povolený port z internetu.

Identifikace klientů na základě MAC prý není optimální, což mohu potvrdit.
Jsou nějaké možnosti, jak klienty jednoznačně identifikovat jinak než podle MAC?

Je to jednoduché. Základním stavebním prvkem v IPv6 je podsíť. V jedné podsíti mají platit pro všechna zařízení stejná pravidla. Nesnažte se nastavovat různá pravidla pro zařízení, která sdílí stejnou podsíť. To je anti-vzor i v IPv4 a IPv6 vás svou podstatou nutí toto nedělat.

Řešením tedy je zapojit zařízení s různými požadavky do různých podsítí a uplatňovat pravidla pro komunikaci mezi jednotlivými podsítěmi. Pokud máte pro každé zařízení speciální požadavky, nezbývá než každé zapojit do své vlastní podsítě, kde nebude nic jiného.

73

Sítě / Re:certifikát pro IP adresu

« kdy: 05. 05. 2021, 09:55:12 »

Pořád je to ale certifikát na doménu, kterou si registrujete minimálně na rok. Jasně, může být vydán den před expirací domény, ale i tak jste tu doménu musel mít alespoň rok. IP adresa může klidně patřit každý den někomu jinému a CA nemá, jak to poznat. Pokud bude nějaký způsob, jak prokázat, že IP adresu vlastníte dlouhodobě, bude i jednodušší na ní vydat certifikát.

Myslím si, že ověření pomocí DNS záznamu ve stromu in-addr.arpa, resp. ip6.arpa, kde nemusí být zdaleka jen PTR záznamy, by mělo být pro certifikační autoritu dostatečným důkazem držení příslušné IP adresy. Bylo by to minimálně srovnatelné s úrovní ověření pomocí klasického DNS pro klasické domény. Držení příslušeného jména v reverzním stromu je poměrně jasný důkaz, že k dané IP adrese máte dlouhodobější vztah.

74

Distribuce / Re:Ubuntu focal: nekonzistentní verze libc6 a libc6-dev

« kdy: 28. 04. 2021, 21:47:34 »

Můžeš downgradovat ručně hned: apt-get install --allow-downgrades libc6-dev=2.31-0ubuntu9.2

Je to naopak, je potřeba downgradovat lib6 (bez -dev), která je v systému předinstalovaná ve verzi 9.3, zatímco v repozitáři je 9.2. Potom to začne celé fungovat.

V mém případě ovšem jde o to, že dané kontejnery zakládám a instaluju automaticky pomocí Ansible. A dnešní den jsem strávil hledáním příčiny, proč se to rozbilo a kde mám v playbooku chybu. A zdá se, že jí nemám já, ale oni. A podle všeho se to zítra samo opraví.

75

Distribuce / Re:Ubuntu focal: nekonzistentní verze libc6 a libc6-dev

« kdy: 28. 04. 2021, 18:15:11 »

apt-get -f install libpcap0.8-dev nepomuze?

Nepomůže:

Kód: [Vybrat]

root@test:~# apt-get -f install libpcap0.8-dev
Reading package lists... Done
Building dependency tree       
Reading state information... Done
Some packages could not be installed. This may mean that you have
requested an impossible situation or if you are using the unstable
distribution that some required packages have not yet been created
or been moved out of Incoming.
The following information may help to resolve the situation:

The following packages have unmet dependencies:
 libpcap0.8-dev : Depends: libc6-dev but it is not going to be installed
E: Unable to correct problems, you have held broken packages.

Zatímco právě jsem refreshnul tuhle stránku: https://packages.ubuntu.com/focal-updates/amd64/libc6-dev/download
a verze poklesla z 9.3 na 9.2.

Zdá se tedy, že došlo k downgradu, se kterým si apt nedokáže sám poradit. Tak doufám, že se problém opraví sám v příštím buildu LXD image, kde bude libc6 ve verzi 9.2 místo verze 9.3.