Příspěvky

136

Windows a jiné systémy / Re:Windows 8 se zbláznily a Zakazují síťový adaptér

« kdy: 17. 10. 2018, 19:11:11 »

Tak já bych hlavně vypnul (tj. zakázal) to ověřování (802.1x). Je pěkné, že Windows mají fallback (v Linuxu to není, tam si to člověk pěkně musí vypnout, jinak se nepřipojí), ale zdržuje to a při to propojení napřímo to zdržení může být problém.

137

/dev/null / Re:Kolik jste investovali do výrobků Apple ?

« kdy: 16. 09. 2018, 18:54:40 »

A nečeká se od investice, že se nějak vrátí?

No, jednak nemusí a nebo v nějaké jiné formě. Třeba když investujete do dětí, tak se vám ten milión plus, co stojí výchova dítěte, zcela jistě nevrátí v podobě zhodnocené částky na účtu. Ale, v případě úspěšné investice, se vrátí v tom, co si ani za ten milión nemůžete koupit.

138

Server / Re:Konfigurace OpenVPN v MikroTiku

« kdy: 15. 08. 2018, 07:40:39 »

... tiez s l2tp je obmedzenie ze nemoze byt viacero klientov za jednou natovanou adresou.

PPTP/GRE nelze použít z více klientů za jednou natovanou adresou, L2TP tento problém nemá. Ten problém způsobuje protokol GRE (č. 47), který má jen zdrojovou a cílovou IP adresu (žádné porty), proto u paketů nelze určit, který z klientů za NATem patří ke kterému paketu.
U Windows L2TP klientů (a asi i serveru), pokud se jede přes NAT, je nutné nastavit v registry:
reg add HKLM\System\CurrentControlSet\Services\PolicyAgent /v AssumeUDPEncapsulationContextOnSendRule /t REG_DWORD /d 2

139

Sítě / Re:Iptables a zařízení za NAT

« kdy: 13. 08. 2018, 06:50:31 »

Z druhého výše uvedeného odkazu: "Let’s be clear on one thing: The warning messages / pop-ups that end users see connecting via RDP are a GOOD THING. Microsoft wants you to be warned if there’s a potential risk of a compromise."
Další věc: vystavit do internetu službu remote desktop na standardním portu je pozvánkou pro pokusy o útok, dále tím říkáte: tady mám Windows, pojďte to zkusit hacknout.
Nejlepší je použít VPN a když to nejde, tak aspoň službu (zvenku) provozovat na jiném čísle portu, a to dost vysokém - tím se zbavíte aspoň script kiddies. Cílenému útoku na vás pomůže jen ta VPN.

140

Odkladiště / Re:Co si myslíte o e-občance?

« kdy: 14. 07. 2018, 10:01:47 »

1) jak to je s daty a Azure, to se rozebírá v článcích zde na rootu a na lupě, nečekej odpověď v diskusi; a na bezpečnostní průšvih to nevypadá
2) windows-only je zatím jen obslužný program (manipulace s certifikáty), použít např. na přihlášení přes NIA by to mělo jít i pod linuxem - ale zatím ji nemám, takže jsem nezkoušel
3) certifikát, který nelze použít mimo státní správu je IMHO identifikační certifikát (dostupný přes IOK) - to je to, co garantuje stát a stát nechce být zodpovědný za případné zneužití v něčem, co nemá pod kontrolou. Případné další certifikáty uložené na e-občance lze použít stejně, jako kdyby byly uložené někde jinde, občanka může sloužit jako certifikované úložiště certifikátů
4) pokud při převzetí nezadáš alespoň IOK, tak čip v občance nelze použít k žádnému účelu e-governmentu.
5) občanku si nechám vyměnit, protože přihlašování přes NIA (jméno+heslo+sms) je pěkná otrava - takže minimálně IOK si nastavím

141

Sítě / Re:Print server - Raspberry Pi nebo router?

« kdy: 08. 07. 2018, 19:33:13 »

Nechci vám kazit radost, ale Canon LBP2900 k printserveru jen tak nepřipojíte, používá nějaký protokol od Canonu (CAPT?) a najít printserver, který se s ní bude bavit, není jednoduché (když to bylo aktuální, tak jsem našel jen nějakou mrchu za 3000). Nakonec jsem to vyřešil novou tiskárnou HP P1102W (už ji mám taky pěkných pár let) a všichni klienti se baví přímo s ní přes LAN.
Když jsem měl vlastní NAS s Linuxem, tak to šlo - driver do Ubuntu a nasdílet ji přes Sambu/CUPS. Později se Synology to už nešlo, tak jsem změnil tiskárnu, viz výše.
WiFi má výhodu, že tiskárna stojí tam, kde doma nejmíň překáží, ale je dostupná, což je někde zcela jinde, než NAS.
Dost pochybuju, že by Canon udělal driver pro Raspbian, AFAIK má jen Windows x86 a x64, a totéž pro Linux. Ledaže by existoval OSS driver, pak by to bylo něco jiného.

142

Sítě / Re:Pomalé připojení pomocí Wi-Fi

« kdy: 24. 05. 2018, 13:37:05 »

1) AP je nejspíš zbytečné, na UPC router stačí vypnout WiFree, jestli vám vadí, že by se někdo z ulice připojil (ale WiFree používá jinou, oddělenou síť s omezenou rychlostí, takže by vám to ani vadit nemuselo)
2) v každém případě se zbavte WiFi bridge, to strašným způsobem snižuje propustnost sítě, a to:
2a) použijte tu primární WiFi síť - co vám asi tak případné návštěvy můžou provést? - tedy, jestli je za zdí slušný signál, a pokud možno použijte pásmo 5GHz
2b) místo WiFi bridge si dejte vlastní router, ale dotáhněte si k němu ethernet, a zase, kupte si něco relativně slušného, co má ethernet 1Gbit a WiFi dual band (AC). AC router s Gbit ethernetem můžete mít už tak za 1500, třeba Asus RT-AC52U

143

Sítě / Re:VDSL od T-Mobile má velký packet loss

« kdy: 03. 05. 2018, 07:58:19 »

xDSL jsem měl od samého začátku do loňska, kdy u nás zprovoznili UPC, takže pár poznámek:
1) Comtrend jsem taky měl, to byla strašná věc, nakonec jsem skončil u Asus N17U, podstatné zlepšení
2) rychlost download 24mbit/s je jen o málo víc, než máte v levnějším tarifu 20mbit, pokud se to použitím slušného modemu zřetelně nezlepší, platíte zbytečně moc - nebo platíte rychlost 20mbit a těch 24 je bonus?
3) jestli máte možnost internetu přes jinou technologii, zvažte přechod (no, WiFi možná nebude lepší, ale třeba UPC místo reálného 45/2 mám 100/10 za 2/3 ceny, takže jsou u nás všichni spokojení).

144

Sítě / Re:Vodafone LTE neomezeny

« kdy: 14. 11. 2017, 13:44:34 »

Rychlost inzerují 30/5, tak pokud tam v mobilu Vodafone má slušné LTE, asi by to stálo za pokus. Cena za měsíc přijatelná, bohužel ten modem to poněkud prodraží.
Veřejná statická IPv4? Tazatel má problém s rozumným připojením vůbec, veřejná IPv4 je jen třešnička na dortu, bez které se dá doma žít. Asi se toho vzdá výměnou za upload cca 10x rychlejší.

145

Sítě / Re:Nastavení DSL - jde použít modem od T-mobile na O2?

« kdy: 09. 11. 2017, 11:09:11 »

...hovada typu UPC
No, na xDSL jsem byl odkázán od roku 2003 až do letošního podzimu. Postupně se to zrychlovalo, ale ani na VDSL jsem se nedostal na víc, než 44/5 mbit. UPC mi s novým routerem dává sice málo možností, ale IPv6 funguje dobře, IPv4 přes CGNAT je použitelné. A hlavně, za poloviční cenu mám dvojnásobnou rychlost - a hlavně upload, o ten jde nejvíc.
To jsem měl xDSL od Radiokomunikací, od kterých to koupil T-mobile. Na rozdíl od O2 jsem měl i veřejnou IPv4 adresu, nad tím jsem zamáčkl slzu. V případě O2 ale rozdíl není, taky jedou přes CGNAT.
Takže, pokud jde o "hovadnost" O2 a UPC si nemají co vyčítat.

146

Sítě / Re:Nastavení DSL - jde použít modem od T-mobile na O2?

« kdy: 05. 11. 2017, 18:01:55 »

A nemůže ten tracert na IPv4 skončit na tom, že tam má O2 svůj CGNAT? Nevím, u O2 jsem s DSL nikdy nebyl.
Zkusil bych povolit IPv6, jestli to bude taky neprojde (např. tracert -6 www.root.cz)

147

Sítě / Re:Nastavení DSL - jde použít modem od T-mobile na O2?

« kdy: 04. 11. 2017, 06:24:33 »

Když nejste IT typ, tak proč, xakru, šetříte na nepravém místě koupením S/H modemu, když vám k tomu dají modem za celkem rozumné peníze oni. Pomiňme to, že zrovna tenhle modem se mi zdál poněkud nestabilní a koupil jsem nakonec Asus N17U. Dnes dává O2 mnohem lepší kousek, ale zrovna to, co máte, opravdu není nic moc.
Nepíšete, jestli máte ADSL nebo VDSL, konfigurace se liší. Především tohle musíte mít správně.
ADSL by se ale mělo lišit (T-mobile x O2) snad jen přihlašovacími údaji, VDSL ani tím - to používá T-mobile přes bitstream, takže O2/O2. Jiná věc je O2TV, tam to ještě něco chce dalšího, ale to jsem nikdy neměl, takže nevím.

148

Server / Re:Povolení přístupu na internet jen virtualizovanému systému

« kdy: 02. 11. 2017, 10:59:00 »

A nebylo by jednodušší na routeru zakázat MAC adresu fyzických síťovek Windows? Virtuální stroj má své MAC adresy a ty by prošly.

149

Sítě / Re:UPC IPv6 DS-Lite

« kdy: 29. 10. 2017, 22:10:24 »

Tak nevím, L2TP/IPsec mi funguje.
PPTP bude mít problém jaksi z principu, protože GRE spojení je určeno IP adresami (žádné porty), takže za jedním NATem na jeden server se připojí jen jeden klient. Navíc je to děravé a ještě k tomu Apple PPTP odstranil ze systému - takže přechod na L2TP/IPsec je takřka nutností.

150

Sítě / Re:Přesměrovává UPC porty 25 a 587 na vlatní server?

« kdy: 29. 09. 2017, 20:22:57 »

Tak vyřešeno, výměnou routeru. Zdá se, že přerušoval spojení a druhá strana to vyhodnotila jako útok a dala ho na blacklist.
Tímto prohlašuji, že UPC je v tom nevinně.