Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Libor Petr

Stran: 1 [2] 3
16
Prostě to berte jak to je. Úředník myslel a to je vždycky katastrofa.
Zákon totiž uložil, providerům blokovat přístup na hazardní weby a úředník to vymyslel tak, že blokování se provádí na úrovni VLASTNÍHO DNS serveru providera a to i za cenu rozbití DNSSEC. Že si uživatel může nastavit jakýkoliv jiný DNS server, to už je úředníkovi jedno, tak daleko jeho představivost nesahá.
K dovršení magořiny je v prováděcím předpisu výslovně stanoveno, že provider při naplňování dikce zákona NESMÍ ve vlastní síti unášet DNS dotazy na svůj DNS server, protože by tím došlo k porušení síťové neutrality. Schíza jak sfiňa....

Provider má jednoznačně síť postavenou jako koncovou, ne jako přístupovou. Pokud nechce nasazovat na svých routerech Harpin-NAT, tak ho k tomu jinak než penězi nedonutíte a máte jen následující možnosti:
1) musíte se domluvit s providerem, aby pro Vás dostal veřejnou IP adresu na první router co máte u sebe v baráku. Jestli to tam dostane přes PPoE, naroutuje sítí /31 nebo /30, prostrčí to EoIP tunelem je Vám šumafuk, Vás zajímá výsledek. Prostě musíte mít tu veřejnou u sebe. Harpin-NAT si uděláte na svém domácím routeru jen kvůli tomu, aby to korektně fungovalo i z Vaší domácí sítě.
2) pokud neprojde bod 1) musíte jít cestou falešného DNS záznamu v RPZ zóně na DNS serveru providera. Počitejte s tím, že pro Vaše sousedy to rozbije DNSSEC, ale nemyslím si, že by to některému z nich vadilo....  DNS dotazy na matejckovi.eu budou jinak fungovat v síti Vašeho providera a jinak z "ostatního" internetu, ale nějak to bude fungovat a víceméně to splní účel
3) pokud neprojde 1) ani 2), můžete ještě svůj server přemístit mimo síť providera (hosting/VPSko). A všem to bude fungovat úplně stejně, ani doma nebudte muset nic měnit.
4) když nevyjde nic z výše uvedeného, musíte změnit providera a doufat že u nového to bude jiné. O čemž osobně dost pochybuju, rozhodně si předem udělejte důkladný průzkum, aby to nebylo z deště pod okap.

Víc možností není, smiřte se s tím. Zkoušejte to postupně bod po bodu a dejte vědět, jak to dopadlo.

K DNSSEC nerozumím tomu, pokud by toto (viz citace) uděloval zákon filtraci hazardních webů, tak co přiměje majitele webu vypnout DNSSEC a tím by byl ISP namydlenej. DNSSEC je jen další bezpečnostní opatření, aby právě návštěvník nebyl přesměrovaný jinam. Takže k tomu musí být ještě jiná finta. Nebo pak jsou tu dvě věci, který z mého momentálního pohledu, nemůžou vyhovět.

2a) zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).

17
Tak jistě, bude to kontrolovat státní aparát :) :) :)
asi jste se minul povoláním, určitě by jste se uživil jako autor vtipů v Sorry, nebo v Dikobrazu.
Vždyť na IPv6 zvesela kašle přes všechna nařízení i státní aparát. Schválně si udělejte průzkum, jak se plní Usnesení vlády č. 727/2009, 982/2013? Kolik orgánů státního aparátu ještě nemá weby a mailservery přístupné přes IPv6.
A přitom jim tu povinnost výslovně ukládá usnesení vlády

Tyto věci se nemůžou zlepšit tlakem uživatelů, protože jim nerozumějí (stejně jako IPv6), zde je třeba z pozice státního aparátu přesně kategorizovat a specifikovat vlastnosti služeb a požadavky na ně tak, jak se to již stalo v jiných odvětvích. Ve své podstatě jsme dnes v odvětví služeb poskytování připojení svědky rozvojového stavu a partyzánštiny.

18

Znovu upozorňuju, jak tu už padlo, že problém NIJAK nesouvisí s DNS, protože se projevuje i bez použití DNS, tj. při požadavku na spojení na danou IPv4, což je zcela legální požadavek, ale jedná se o chybu směrování. Řešení s DNS je 1. rovnák na ohýbák, 2. pokus o řešení PNJ (problému někoho jiného).

Ještě mě napadlo, zda by to nešlo řešit např. stížností na ČTÚ na nefunkční spojení či filtrování provozu, protože jestliže si platíte službu s veřejnou IPv4, musejí být schopni se na ni připojit i vaši sousedi, jinak je to vada.
Předpokládám že tady nikdo neví co přesně má h4kuna ve smlouvě - pokud ve smlouvě má veřejnou IP přes obezličku NAT 1:1 předpokládám že to bude za nějakou cenu a h4kuna se před podpisem smlouvy seznámil s podmínkami a ví co podepisuje. A taky předpokládám, že provider bude mít v ceníku ROUTOVANOU veřejnou IP adresu (blok adres) za nějakou jinou cenu a když někdo bude tu routovanou siť opravdu potřebovat (a zaplatí to), tak mu ji provider zřídí.
Tento problém brzo vyřeší trh - až od providera odejde významné množství zákazníků ke konkurenci kvůli tomu, že špatným způsobem distribuuje veřejné IP adresy, tak to provider určitě urychleně začne řešit sám, aby to podle požadavků zákazníků.
Ale pokud to je jako všude, kdy zákazníka zajímá jen aby v ceníku bylo co nejvyšší číslo v položce rychlost a cena přitom byla nižší cena než u konkurence, tak asi je h4kuna s požadavkem na routovanou síť ten první a prošlapává cestičku těm dalším.... V tom případě bych se ale nedivil, kdyby mu provider dal podepsat něco v tom smyslu, že uživatel si je vědom všech důsledků (kladných i záporných), které jsou s routovanou IP adresou spojeny a že zajištění komplexního zabezpečení internetového spojení je plně a bez výjimky v režii uživatele.
Určitě se všichni přispěvatelé a čtenáři tohoto webu shodnou na tom, že veřejná IP nemusí být vždy jen k užitku....

19
Tak mu zkus ukázat http://gregsowell.com/?p=4242 tam to má i s obrázkama a měl by to pochopit. V nejhorším když se mu ten Harpin-NAT nepodaří nastavit, tak ať ti alespoň na tom mikrotiku udělá statický záznam
Kód: [Vybrat]
/ip dns static add address=domácí_IP_adresa name=matejckovi.eu
případně i  /ip dns static add address=domácí_IP_adresa name=www.matejckovi.eu
kde domácí_IP_adresa bude IP adresa bude stejná jakou máš teď fyzicky na tom zařízení, kde teď běží ten ownCloud.

Není to sice korektní řešení problému, ale alespoň to vyřeší Tvůj přístup na ownCloud v rámci lokální sítě. Přístup pro sousedy můžeš řešit později.


Ještě je tu malá naděje, že pan majitel už sítě tolik neřeší a spravuje to nějaký zaměstnanec, který tomu rozumí lépe…
S jedním zaměstnancem jsem se seznámil, když mi zapojoval internet a jsme domluvení na pondělí nebo středu, že mi změní ten jejich mikrotik na půdě, aby fungoval jako router, tak zkusím jaký má práva.

Z mýho d-linku bude jen wifi AP. Mimochode, vlastnost co se mi na tom D-linku líbí, že jde nastavit zapínání a vypínání wifi v určitý čas, takže na noc nám nezáří wifi. Což by šlo vlastně zařídit i spínačkama, když bude suspendován.

20
- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.

...ale my alespoň trochu znalí víme, že k dosažení tohoto chování není NATu vůbec třeba, na to stačí stavový firewall ve výchozím nastavení zabraňující iniciaci spojení zvenku.  :o
Já vím, že ty víš. Ty víš že já vím.....
Ale ze sousedů to neví nikdo. Obvykle ve slevě Black Friday koupí u zeleného skřeta router za akční cenu (čím víc antén, tím víc Adidas), synáček co celé dny paří tanky nastaví za pomoci Youtube DNS a DHCP server, SSID, občas i heslo k wifi a šup s tím na kabel. Voialá zázrak, internet funguje... Že má třeba aktualizovat firmware, vypnout managment z WANu a změnit výchozí heslo - když už to v tom videotutoriálu náhodou je, tak většinou až na konci a na ten nevydrží koukat nikdo.


21
Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server.
Panebože, jen to ne. Chcete opravit jeden problém, ten nevyřešíte, a místo toho vyrobíte deset dalších problémů. Rozbijete DNSSEC, každé přidání dalšího DNS záznamu bude potřeba řešit s ISP, při případné změně IP adresy bude muset myslet na to, že je potřeba to změnit ještě v DNS ISP. A ISP by z toho také jistě byl nadšený, že má v DNS takovouhle nestandardnost a musí na to myslet při každé změně.

Hledat alternativní řešení je jistě zajímavá disciplína. Ale nesmí se to zvrhnout v soutěž o nalezení toho nejblbějšího možného řešení.
No tak asi to nebyl ten úplně nejlepší nápad, ale v tomto kontextu je úplně jedno jestli byl blbý, nebo blbější, stejně hledáme rovnák na vohejbák. Jediné korektní řešení pro provoz veřejného www serveru je nechat si od providera naroutovat veřejné IP adresy až na vlastní router, všechny ostatní jsou více či méně blbé nesystémové hacky.
Že od providera to není úplně šťastný případ komunikce se zákazníkem, tak o tom žádná pochybnost. Ale stejně platí pro h4kuna, že chuť provozovat veřejný web na domácí přípojce (když nerozumím síťování, firewalu, DNS) je taky dost velká pošetilost.
Pravděpodobně by správná konfigurace Harpin-NATu byla řešením, ale asi nechuť providera předělávat ten firewall dokážu pochopit - má řešit výjimky do firewallu kvůli lince za +- 300Kč/měsíc? Zvlášť když musí komunikovat s někým, kdo vlastně neumí pořádně popsat co chce a proč? Osobně si myslím že do toho nepůjde.

22

Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"
Víte, co by bylo báječné? Kdyby se lidé řídili svými vlastními radami.

Ano, tou myšlenkou se řídím stále. A čím víc se učím, tím větší mezery ve svých znalostech objevuji. A když něčemu nerozumím tak si s tím hraju někde, kde to uškodí jenom mě (virtualizace, zahrada, garáž) a nesnažím se o interakci s okolním světem.
Třeba na autě si zvládnu opravit spustu věcí, ale protože vím že auto může zabít, nechám si odborné úkony dělat v servisu, kde na to jsou školeni. I taková blbá výměna oleje přestává být srandou v okamžiku, kdy řešíte všechno, tj. včetně ekologické likvidace oleje, filtrů a ostatního odpadu, že.

23
1. NAT je skvělý. Všichni jej chtějí, milují jej. NAT je chrání (dokonce i když nechtějí). Bez NATu nic nefunguje. NAT je třeba zachovat pro další generace. Konec NATu by znamenal konec světa.
....

3. Jména lemplů se zásadně zvěřejňují, aby byli ostatní varováni.

Souhlasím, ale bude to platit bez výjimky pro všechny. Akorát se obávám, že většina místních providerů si na to bude muset pořídit další samostatné oddělení, protože snad v žádném jiném lidském počínání se nenajde tolik lidí co "tomu rozumí" a nenechají si poradit. Namátkou ze sousedů vybírám:
- borec co potřebuje kvůli hraní na XBoxu veřejnou IP adresu a co nejnižší latenci. Do internetu ho připojuje router Netis2419, SSID sítě je jeho příjmení, heslo do routeru a do wifi sítě je dívčí jméno manželky. Poradit si nenechá, protože na to má Frantu od něj z práce, který tomu rozumí a nastaví mu to za pár (tj. 2) piva

- druhý borec si platí 100Mb linku a stále se vzteká, že provider je pitomec a že tu rychlost nedostává ani náhodou - router D-Link DIR-500. Akorát že ten router před lety dostal zdarma při podpisu smlouvy, ale to měl rychlost 8/2. Koupit si nový router nechce ani náhodou, když starý přece stále funguje......

- asi nejlepší je expert pro kterého peníze nejsou problém, koupil si RB4011 protože "voe čtyři antény, gigabit, rozumíš, to musí běhat", konfiguraci si udělal z web rozhraní a dotazy na DNS server nechal povolený ze všech sítí. Taky má XBox, taky má veřejku, hádejte jak to dopadlo....

- kdybych byl sfině, tak alespoň 10 routerů v okolí reaguje na přihlašovací údaje admin : admin. Pro takový jedince je i ten blbej NAT vážně požehnáním.

24
Jestli to dobře chápu, někde doma máte počítač nebo NASku, na kterém běží Owncloud, který chcete ukazovat sousedům a přistupovat na něj z domova. Je to tak?

Pokud ano, tak se akorát divím, že Vám ještě p. Jirsák nenapsal jeho nejoblíbenější argument, totiž přejít na IPv6. Protože zrovna v tomhle případě IPv6 totiž dává smysl.

Zásadní otázka zní: jakou IP adresu má Váš domácí server napsanou na síťovém rozhraní? Jestli je tam cokoliv jiného, než IP adresa 81.25.21.57 tak to bez dalších berliček nebude nikdy fungovat.
Důvody máte napsané v tom mailu od providera - veřejnou IP adresu dostáváte pomocí NAT 1:1 na hlavní bráně providera.

Není oslovení navazoval jsem na konverzaci, a poslal jsem

Odpověď
Citace
Dobrý den,

máte přidělenou veřejnou IP adresu pomocí NAT 1:1.

To znamená, že překlad se děje cestou z Internetu a do něj.

Takže cokoliv jde z / do Internetu, tak se přeloží za Vaší veřejnou IP.

V lokální síti musíte přistupovat na lokální IP serveru. Pokud router
umí statické záznamy pro DNS, jak je možné si vytvořit vlastní
záznamy, které budou směřovat na lokální IP.

Z naší strany není co prověřovat a vše funguje, tak jak má.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...

Pokud nechápete co pro Vás NAT 1:1 znamená, je to dost marný. Asi bych začal bych tím, že si najdete někoho, kdo rozumí síťím a správně Vám to nastaví.

Možná řešení:
1) kompletně přejít na IPv6 doma i u providera. Jedině tak totiž zajistíte, že IP adresa (a odpovídající DNS záznam) vašeho serveru bude identická ve všech sítích, ze kterých k němu přistupujete. Vyřeší problémy s přístupem z domácí sítě, z přístupové sítě providera a z internetu, tedy v případě že ostatní také používají IPv6.
Ale pokud poměrně dobře nerozumíte konfiguraci firewallu (sorry předpokládám že nerozumíte, protože by jste takhle neptal), tak sice jeden problém vyřešíte, ale na spoustu dalších si zaděláte. A jestli mám správné informace, tak Comfell v tuto chvíli nenabízí IPv6. V tom případě musíte změnit providera a hodně si doplnit znalosti o fungování IPv6.

2) Rozběhnout doma interní DNS server, který pro adresy z vnitřní sítě bude vracet "správné" IP adresy z vaší lokální sítě. Vyřešíte svůj problém ale ne sousedův na přístupové síti stejného providera.
2a) Pokud chcete řešit i přístup pro sousedy, zeptejete se providera, jestli provozuje vlastní DNS server. Pokud ano, určitě na něm dle zákona provádí filtraci hazardních webů. To se nejčastěji dělá přes tzv. RPZ doménu, kde se "falšují" odpovědi na DNS dotazy pro vybrané weby (ukládá to zákon). Provoz směřující na hazardní weby se přesměrovává na stránku s informací, že doména byla zablokována a proč. Analogicky jdou přesměrovávat DNS dotazy na matejickovi.eu na IP adresu, kterou máte přiřazenou v přístupové síti providera. Pokud provider neprovozuje DNS server, mohou si sousedi nastavit "fake" DNS záznam na svém vlastním routeru (pokud to router dovoluje a soused to umí).

3) Domluvit se s providerem, aby pro IP 81.25.21.57 a porty 80,443 dělal Harpin-NAT na svém routeru - vyřeší určitě problém přístupu souseda a pokud nebude nějaká zrada na Vašem D-Linku, tak i ten Váš. To je asi nejrychlejší řešení, otázkou je, jestli se providerovi bude do nestandartních konfigurací chcít.

4) Domluvit se s providerem, jestli Vám odroutuje další rozsah /30 veřejných IP adres až na Vaše zařízení. Tam si s tím uděláte co potřebujete a pokud tomu alespoň částečně rozumíte, protáhnete ty veřejné IP adresy až na síťovku Vašeho serveru. Problém vyřešen pro vás, pro souseda, pro celý internet. Akorát počítejte s tím, že to může být dražší (platíte 4 IP adresy) a opět platí, že pokud neumíte správně nakonfigurovat firewall, vyřešením jednoho problému vznikne spousta jiných.

Stále by mě zajímalo ikdybych měl router co umí statické DNS, tak soused můj web server neuvidí, že? To podle mě není cesta.

Mám pár myšlenek co mu napsat...
Providerovi nemusíte psát nic, on Vám korektně odpověděl akorát Vy jste ho nepochopil. Stačí když se budete řídit myšlenkami velkého Iljiče: "... učit se, učit se, učit se"

P.S. A jestli vážně chcete doma provozovat www server dostupný z internetu, tak doporučuji se poohlédnout po nějakém jiném routeru než základní segment D-Link, TP-Link atd. Potřebujete router, který má nějaký dlouhodobý support, výrobce pravidelně řeší bezpečnostní díry a vydává aktualizace firmware víc než jednou.
Doporučuji pravidleně číst nějaký security bulletin a věřte mi, že u D-Linku to není zrovna uklidňující čtení https://www.cvedetails.com/vulnerability-list/vendor_id-899/D-link.html.

25
Sítě / Re:Veřejná, neveřejná
« kdy: 22. 06. 2019, 13:06:19 »
No pokud ten provider nepatří mezi světlé výjimky, nemá rozběhaný PPPoE (a radius...) server, tak tomu docela rozumím. IPv4 adresy nejsou a víc než na 90% případů NAT 1:1 stačí. Prasárna by byla, pokud by Ti veřejku posílal na interface nějakým tunelem (třeba PPtP) a krátil ti MTU.
A nebo Ti to taky může naúčtovat tak, jako to dělá jeden lokální provider v těsné blízkosti Prahy - veřejka přes NAT 1:1 je za XX Kč, routovaná veřejka je 4x dražší (... tj. zaplatíte za alokované IP, které padnou na Váš požadavek veřejné IP adresy routované až na interface).

Ahoj,

mám nového ISP. Pevná veřejná adresa stojí pár drobných, tak jsem si ji připlatil a vím, že jich budu výhledově potřebovat víc. Byl jsem ale trochu zaražen, když jsem zjistil, že si u nich koupíte veřejnou adresu, kterou nedostanete, ale udělají vám NAT a pouze vám forwardují traffic. Když jsem se ozval, že bych si představoval, že mi to odroutují, tak to prý není klasický požadavek a prý mi to nacení. Přijde vám v pořádku, že zaplatíte za IP, kterou technicky nedostanete? Zatím nevím ani co si za to řeknou, ale zdá se mi to podivné. :)

Díky.

26
Sítě / Re:EET a QoS na Mikrotiku
« kdy: 08. 12. 2016, 12:37:23 »
No a není jednodušší udělat na rádiu druhou síť ke které budou připojeny pouze "autorizovaná" zařízení (pokladny, tablety atd.) a nastavit prioritizaci podle toho, z které sítě zařízení komunikuje? Pak si nastavíte Limit At, Max Limit a Priority ve prospěch EET sítě a zákazníkům dáte zbytek...

27
Sítě / Re:Označování kabelů
« kdy: 22. 07. 2016, 15:09:17 »
Několik let používáme žluté nebo bílé pásky z PVC. Na cívce je asi cca 15m pásku. Sice se k nim dá koupit i spešl tiskárna, ale my je popisujeme lihovým fixem. Popsané pásky se vsunou do plastového profilu a ten se nacvakne na kabel, používáme indoor/outdoor. Sundat to prakticky nejde.
Nevím jestli to není nepovolená reklama, ale zkuste se podívat na http://www.arianepro.cz - PTC profily.

Prosím o tip na jednoduché (a samozřejmě levné) řešení, jak označovat kabely (v naprosté většině UTP). Doposud používám takové obyčejné samolepící štítky, ale ty se časem odlepují. Co používáte vy? Máte vyzkoušené nějaké osvědčené řešení, které byste mohli doporučit?

28
Faktická poznámka - "doživotní záruka" FUJITSU se vztahuje jen na prvního uživatele serveru (je to napsané v podmínkách akce). Po případném prodeji je server už bez záruky!

29
Software / Re:Přesun systému na nové disky v RAID
« kdy: 15. 10. 2015, 11:29:21 »
Nevím, možná jsem to vždycky dělal blbbě, ale na W2003 jsem v sw. pro RAID managment označil jeden z disků jako vadný, vyndal, místo něj dal nový disk, nechal sestavit pole a udělal totéž s druhým diskem.
Pokud je sw k RAIDu hloupý, tak vypnout server, vyndat jeden disk, zapnout - RAID ohlásí zdegradované pole, přidám nový disk, nechám sestavit pole a proces opakuji.
Ta druhá varianta má trochu výhodu v tom že mi zůstane někde bokem 1 disk s daty, která jsou (relativně) nedotčena nějakými pokusy, nevýhodou je to, že server se musí vypnout a může se stát, že po zapnutí už server nenaběhne vůbec....

30
No vždyť píšu : "... dřív pochopíte ženskou logiku, než správné licencování Microsoftu"
Ale pravda, v Daquasu jsem se neptal. Musím to co nejdřív napravit, dík za tip.

Citace
je-li množina uživatelů neurčitá, ale konečná

Nic takové se v PUR nezmiňuje.

Stran: 1 [2] 3