Příspěvky

226

Server / Re:Router a Server v jednom

« kdy: 04. 05. 2021, 20:03:23 »

Pokud to technologie umoznuje, tak mozne je vse. Samozrejme to neznamena, ze to tak je vzdy v poradku. Ale co jsem tim chtel rict. Zkousel jsem mit all-in-one reseni, ale z vlastni zkusenosti jsem prisel na to, ze mi to za to nestoji. Zaprve jsem nebyl schopny nasadit pfSense do Proxmox bez problemu (z nejakeho duvodu jsem mel tak polovicni rychlosti do WAN a vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu). Vedel jsem, ze na samostatnem HW tyhle problemy nejsou. Zadruhe co se stane, kdyz budu delat udrzbu na jedinem stroji a nepojede mi (cele rodine) internet. Jak pak budu hledat reseni na internetu? A dalsi vec je, ze cim vic toho budu mit na jednom miste, tak tim vetsi sance si vsechno rozbit...

Potrzeno, secteno. Radeji mit jednu z nejdulezitejsich komponent na siti na dedikovane HW, kde i s obcasnym restartem kvuli update budu mit "rock solid" router, ktery me nezklame. Se zbytkem si pak muzu delat co hrdlo raci a ostatni si niceho nevsimnou (alespon pri koukani na Novinky a YT). Ale jak se rika YMMV.

Co se tyce bezpecnosti, tak tam je to asi jedno. Pokud nekde neco spatne nastavim a utocnik pak bude mit pristup do me infrastruktury, tak rozdil mezi all-in-one a samostatnym resenim se mi zda maly. Rozsah skod muze byt ruzny, ale v kazdem pripade bude mit clovek o praci navic.

Mam pfsense v KVM na proxmoxe 6. Funguje celkom OK, ale obcas sa stane ze vypadne internet. Nevypadne komplet internet, ale urcite vypadne vsetko od googlu, youtube ... a zistil som ze vypadne vacsina TLD, mimo sk (prip. funguje aj cz).
Ked pingam z pfsense, google.com, alebo 8.8.8.8 tak vsetko je v poriadku.
Z lokal PC 8.8.8.8 ide, ale google.com nie.
Vypadok je radovo niekolko minut a potom znova vsetko funguje.
Vypada to na problemy s DNS, ale v dokumentacii pfsense sa uvazda  ze DNS je nastavene po instalacii v defaulte a nemusi sa nastavovat.

AKo si to myslel s vypadaval mi internet kvuli nedostupnosti DNS serveru u klientu

A co sa tyka rychlosti, tak ake mas pripojenie a kolko to islo, ked pises, ze to islo na polovicu ?

227

Server / Re:Nginx: rozdělení serverů do samostatných souborů

« kdy: 29. 04. 2021, 17:09:06 »

este mam tazocku, ci by islo nejak vyriesit.
Za reverznym proxy mam web (Wordpress).  V administracii WP pri povolovani, alebo zakazovani komentarov je vzdy uvedena IP adresa reverzneho proxy a nie skutocneho autora (resp. odkial bola sprava odoslana).
Je mozne to nejak nastavit aby  proxy tieto spravy nemenil ?

Proxy server to nemůže neměnit. Jedná se o IP adresu TCP/IP spojení, ta nemůže být nastavená jak vás napadne – musí být nastavená tak, aby proxy server mohl s WordPressem komunikovat.

Co jde ale udělat je to, že proxy server přidá původní IP adresu do HTTP hlaviček, WordPress si ji pak odsud umí vyzvednout.

Do konfigurace reverzní proxy přidáte následující řádky:

Kód: [Vybrat]

proxy_set_header	X-Real-IP		$remote_addr;
proxy_set_header	X-Forwarded-For		$remote_addr;

Buďto to musí podporovat Wordpress (ale co já vím tak ani v roce 2021 na to není WP připravený - jako kdyby WP autoři nikdy nepotkali proxy).

Ne buďto a nebo. Proxy server musí původní IP adresu přidat do HTTP hlaviček, WordPress si ji odsud musí vyzvednout. A vyzvedává si ji.

Co sa tyka nastavenie hlaviciek, tak tam mam teraz toto

Kód: [Vybrat]

        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

Teraz som tam pridal, resp. vymenil toto

Kód: [Vybrat]

 proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

za toto

Kód: [Vybrat]

proxy_set_header	X-Forwarded-For		$remote_addr;

ale stale to vrati IP adresu reverzneho proxy.
nginx dokumentacia sa mi dost zle cita, velmi tomu nerozumiem.
Zatial idem s tymto kodom v configu a toto funguje dobre

Kód: [Vybrat]

if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $list = explode(',',$_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $list[0];
  }

228

Server / Re:Nginx: rozdělení serverů do samostatných souborů

« kdy: 26. 04. 2021, 12:24:35 »

Tak medzi tym som nasiel funkcne riesenie, ale mohol by som to skusit aj s nastavenim tych hlavyciek.
zatial dik

229

Server / Re:Nginx: rozdělení serverů do samostatných souborů

« kdy: 26. 04. 2021, 11:33:54 »

este mam tazocku, ci by islo nejak vyriesit.
Za reverznym proxy mam web (Wordpress).  V administracii WP pri povolovani, alebo zakazovani komentarov je vzdy uvedena IP adresa reverzneho proxy a nie skutocneho autora (resp. odkial bola sprava odoslana).
Je mozne to nejak nastavit aby  proxy tieto spravy nemenil ?

230

Server / Re:nginx server block

« kdy: 19. 04. 2021, 15:49:37 »

Ano, tak by se to mělo dělat.
Do 000-default bych dal fallback pro virtualhosty, které nebudou vyjmenované (typicky return 403)

Ak klient zada platne domenove meno, ktore smeruje na IP adresu servera, tak sa mu zobrazi konkretny web.
000-default by som chcel len kvoli tomu, ked klient zada IP adresu, tak aby mu nenabehol prvy web z config suboru (aspon sa domnievam, ze nginx cita config od zaciatku :-D prip. ak je kazdy config vo vlastnom subore, tak subory berie podla abecedy (cize 000-default cita najprv)).
V 000-default by som nechal kludne ten defaultny index.html nginxu, alebo by som nechal prazdny html subor.
Myslel si to tak ?

V hlavním konfiguračním souboru /etc/nginx/nginx.conf bývá obvykle řádek:

Kód: [Vybrat]

include /etc/nginx/sites-enabled/*;

Ten zajistí načtení všech souborů v tom adresáři jednoduše za sebe. Při startu se to pak chová tak, jako by byly všechny řádky v jednom společném souboru. Je to přehlednější a doporučovaná varianta.

Pokud chcete vidět celou sloučenou konfiguraci, jak ji vidí a prochází Nginx, tak stačí zavolat:

Kód: [Vybrat]

# nginx -T

dik za vysvetlenie

231

Server / Nginx: rozdělení serverů do samostatných souborů

« kdy: 19. 04. 2021, 14:36:35 »

pri sprave konfiguracneho suboru na reverznom proxy nginx pouzivam pre backendy jeden config napr.

Kód: [Vybrat]

/etc/nginx/sites-available/000-default

tam zapisujem config pre viac backendov. Zda sa mi to dost neprehladne, ked je tam uz vela serverovych blokov a za dalsie ked tam certbot prida dalsie directivy tak to este viac zneprehliadni (ano da sa v tom vyznat, ale ...)
Nie je lepsie kazdy backend oddelit do vlastneho configu a potom vsetko nalinkovat do

Kód: [Vybrat]

/etc/nginx/sites-enabled/xx

Je to vobec mozne ?
Pre apache virtualhost som to tak pouzival (nie na reverznom proxy, ale na klasickom web servery), ze som mal kazdy vhost vo vlastnom subore

232

Windows a jiné systémy / Re:VPS Vultr

« kdy: 07. 04. 2021, 18:37:57 »

To su ale nejake divne pingy pod 1 ms. To musis byt velmi blizko.
Ja som nameral u seba na 1m ftp cat5e kably na GW

Kód: [Vybrat]

64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.465 ms
64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.349 ms
64 bytes from 192.168.1.1: icmp_seq=3 ttl=64 time=0.250 ms
64 bytes from 192.168.1.1: icmp_seq=4 ttl=64 time=0.336 ms

233

Hardware / Re:Stream TV do sítě

« kdy: 04. 04. 2021, 21:54:18 »

Teď tam zkouším rozchodit TV Headend, ten kartu sice vidí, ale nic nenaladí 

PS: zatím zkouším DVB-T kartu - DVB-S přijde na řadu potom...

Pisese, ze skusas DVB-T, ale kartu mas DVB-S2 aj podla lspci je to DVB-S2 (alebo mas este inu DVB-T kartu?).
Transpondery/multiplexy si si do tvheandu zadaval cez webgui rucne, alebo mas nejake pozostatky z wscanu, alebo nejakeho ineho toolscanu ?
Inak karta je to naozaj slusna, ale aj draha na sledovanie kodovanych kanalov sa budes musiet pohrat v tvheadend s oscamom, alebo newcamd klientom, ci uz sa budes napajat na vlastny cardserver, alebo na nejaky vychony blok 
Ale ako tu uz spominali predomnou, tak ani nejaky E2 box multituner by nebolo zle riesenie. E2 dokaze pekne streamovat aj do LAN a do KODI je na to plugin.
Ja mam E2 OpenPLi s DVB-S2  FBC dualtunerom a malo by to zvladat 8 TP sucasne.
Ide to celkom slusne, ale problem je ak sa prepinaju kanaly (na dalsich klientoch to pri prepnuti zakostickuje (ale ak sa sleduje a neprepina sa, tak to je stabilne)).

234

Hardware / Re:Velký FHD monitor pro účetní

« kdy: 04. 04. 2021, 21:28:30 »

Prosím o radu. Potřebuji pro účetní vybrat větší FHD monitor. Teď používá 24" DELL Ultrasharp 2421. Chtěla by větší monitor. Políčka ve formulářích jsou malá, font nejde zvětšit (OS Win10, soft od Datacentrum). Zkušebně jsem připojil 32" FHD tv LG, velikost by vyhovovala, ale potřebuji samozřejmě slušný matný monitor. Používáte někdo FHD monitor takové velikosti? Nebo raději koupit 4k a provozovat FHD? Díky za vaše názory

4K prevadzkovat  vo FHD bude vyzerat dost blbo, pretoze uz QHD nevyzera najlepsie (ale to sa este da zvladnut). Ja som minuly rok kupil toto VX3276-2K-mhd
za nejakych 210€ a celkom to ujde. Pouzitie je hlavne net, text, video.
Co sa tyka software datacentrum, tak to nepoznam, ale nefunguje tam ctrl+kolecko ?
Ja mam na tom svojom nativne 2560*1440 a napr. taky root.cz a takmer vsetky txt na internete v chrome tocim kolckom na 150%. tak mam krasne velke pismena

235

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 27. 03. 2021, 11:47:24 »

Zaujmalo by ma este ako je to s certifikatmi od letsencrypt. Ako som uz napisal, (je to len test, nebudem to tak prevadzkovat, bude to len docasne, ale zaujma ma to) za jednou verejnou IP mam 2 web servery na 192.168.1.10 a 192.168.1.11. Ked som nastavil haproxy, tak vsetka komunikacia prichadza na haproxy. Je mozne vytvorit 1 certifikat na haproxy a na vsetkych ostatnych domenach (serveroch) ho uz nemusim pouzivat ?
Alebo na haproxy certifikat nedavat a ponechat ho na ostatnych domenach/serveroch ?

236

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 19. 03. 2021, 12:32:08 »

Nejak sa to tu zvrhlo.
Zatial sa mi podarilo nastavit haproxy na pfsense a zda sa, ze to celkom funguje. Takze aspon nemusim pouzivat exoticke porty. A ani neviem ci by certbot fungoval na inom ako standardnom porte

237

Sítě / Re:Levné UTP lanko

« kdy: 16. 03. 2021, 21:44:49 »

jj potrebujem to pretahovat (prip. asi aj vrtat) a konektor by tam urcite vadil. Odcvaknut konektor a nakrimpovat novy je ta najmensia robota co by ma mohla postihnut 

Avsak nakoniec potrebujem kable 2 a to 17m a 21m. Uz som ale objednal 100m balenie celomedeny AWG24 utp cat 5e.

238

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 16. 03. 2021, 13:14:55 »

Pro trvalé řešení ta zmíněná reverzní proxy (jde použít cokoliv - haproxy, nginx, ... i v tom apache to jde udělat). Pokud je to jen na hraní a pokus a v roli toho NATu mám Mikrotika, tak pro HTTP umí dělat reverzní proxinu (ale nehodí se to pro nasazení do ostra) a pro HTTPS umí směrovat na základě požadavku TLS host (SNI).

Nemam mk, ale pfsense. Tam je moznost squid, alebo haproxy, tak sa s tym skusim pohrat.

Když je to jen dočasné, nestačilo by jen přesměrovat na ten testovací server jiné porty té veřejné adresy? Pak by adresa testovacího serveru zvenku byla x.x.x.x:8080.

Ano je to moznost, ale obavam sa aby neboli problemy napr. pri generovani crt od letsencrypt a pod .... radsej to chcem testovat na 80 a potom 443

239

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 16. 03. 2021, 11:34:03 »

Chcel by som nahradit apache, nginixom (asi by som nevyuzil reverzny proxy ako nginix pred apachom, lebo mam len maly domaci servrik). A asi by bolo narocne pre mna riesit docasny reverzny proxy. To ze bezia obidva naraz je len docasne riesenie pocas testovania. V normalnej prevadzke bude vzdy len jeden. Ak sa osvedci nginix, tak apache zrusim.

Podla toho co som zistoval, tak LEMP (z php-fpm) by mal vediet teoreticky nahradit LAMP.

240

Server / Viac ako jeden web server za verejnou IP

« kdy: 16. 03. 2021, 10:23:12 »

Momentalne fungujem za NAT z jednym apache serverom. Mam forward portov 443 a 80 na lokalnu IP 192.168.1.10 kde je server. Apache mam nakonfigurovany na 4 vhosty.
Teraz chcem otestovat nginx, ktory testujem na 192.168.1.11, ale neviem ako nastavit pravidlo. Ked to budem znova smerovat na 80 (resp. 443), tak ako bude paket vediet ci ma ist na 192.168.1.10, alebo na 192.168.1.11 ?