Příspěvky

61

Sítě / Re:Provoz přes VPN na Mikrotik

« kdy: 14. 07. 2021, 08:51:24 »

Asi bych v tomto případě nedělal VPN bridgovanou, ale routovanou - použil pro její adresaci úplně jiný rozsah (např. 192.168.99.0/30). Tím se Vám zjednodušší konfigurace routování na routeru CHATA. Na router CHATA vytvořte novou routovací tabulku (např. VPN), přidejte do této tabulky výchozí bránu směrovanou do VPN a vybraná zařízení na CHATA můžete do internetu směrovat přes DOMA pomocí routing rules.
Stejně tak pomocí routing rules nasměrujete na CHATA routeru provoz pro síť DOMA do VPN.
Řešení kolize IP rozsahů není nikdy úplně jednoduchá.

62

Sítě / Re:Mikrotik a SYN flood útoky

« kdy: 06. 07. 2021, 20:14:59 »

Nejsem si 100% jist, ale pokud to řešíte v chainu forward a tabulce filter, pak již jsou ke každému spojení (byť nenavázanému) alokovány prostředky a na to může router dojet (vyčerpání dostupných prostředků - paměti). Mikrotik z tohoto důvodu zpřístupnil i tabulku Raw, která má právě sloužit pro tyto účely. Viz oficiální dokumentace: https://help.mikrotik.com/docs/pages/viewpage.action?pageId=28606504

63

Studium a uplatnění / Re:FIT ČVUT - zkušenosti

« kdy: 10. 06. 2021, 12:12:11 »

Takhle to nefunguje. Na technické VŠ vždycky chodily různé skupiny studentů - gympláci měli výhodu v matice a fyzice, studenti z průmyslovek zase měli lepší znalosti v daném oboru. To ale neznamená, že z principu danou zkoušku nemohl zvládnout student z gymplu, SPŠ nebo i učňáku s maturitou, akorát se holt musel o něco víc snažit.

Základem je mít přehled o rozsahu daného učiva, sehnat si vhodná skripta a hlavně co nejvíce materiálů z cvičení, případně příkladů, které se na zkouškách vyskytovaly a ideálně se je naučit řešit (a pochopit). Nechodil jsem na FIT, ale na FEL v době, kdy tam působilo docela dost učitelů, kteří pak na FIT přešli. Včetně spravedlivého a drsného prof. (tenkrát doc.) Tvrdíka a jeho obávaného předmětu Paralelní systémy a algoritmy https://vzdelani.fandom.com/wiki/36PAR_Paraleln%C3%AD_syst%C3%A9my_a_algoritmy , který myslím na FITu v této podobě ani není. Je potřeba se zajímat, co se chce u zkoušky a na zápočet a věnovat tomu dostatek péče.

Souhlas, jsem nejspíše stejný ročník, taky mám FEL. Když jsem promoval, tak akorát FIT vznikal. Ale princip bude podobný, nejspíše už bez elektrotechniky v nižších ročnících. PARy byla selekce před magisterskými státnicemi, kdo je dal, většinou i odstátnicoval.

64

Sítě / Re:SOHO router s PoE

« kdy: 12. 05. 2021, 21:12:29 »

Ještě bych zmínil Mikrotik HEX S. Ten umí také pasivní PoE out na jednom portu a výkonově je jinde oproti HEX PoE. Jen je třeba k tomu ještě 48V napájecí adapter.

65

Sítě / Re:Konečně větší upload

« kdy: 29. 04. 2021, 11:34:08 »

Musím říci, že po hlášené údržbě minulý a tento týden (které jsem ani nezaregistroval) se mi opravdu rychlosti zvedli.
Mám (měl jsem) 20M/2M, slinkováno tuším bylo 24M/2.2M. Nyní mám slinkováno na 40M/5.5M, rychlost omezena (zřejmě někde dále) na cca 25M/5M. Změnila se i hlášená dosažitelná rychlost (aktuálně 83M/23M). Mám také pocit, že moje linka přešla z profilu 8b na 17a. Používám modem Comtrend 3026e v bridge, za ním Mtik, internet od Metronetu.

66

Sítě / Re:Orientace jak na VPN

« kdy: 12. 04. 2021, 09:46:34 »

Myslím, že nejjednodušší řešení by byla zmíněná veřejná IP od mobilního poskytovatele a router s podporou VPN. Ať už Mikrotik, OpenWRT či něco jiného. Navíc, veřejná IP se dá lépe monitorovat, případně diagnostikovat.

Trochu OT, ale dovolím si reagovat.

Blbě koukám, nebo je tyhle zásadní věci „první volby“ udělat na RouterOS mnohem větší pain?

Vše zmíněné v ROS existuje.
tcpdump je v Tools -> Packet Sniffer, ukládá do paměti či .pcap souboru nebo posílá dump na jiný stroj (Streaming)
nmap v tomto smyslu lze nahradit nástrojem Tools -> IP Scan
Jsou tam i další nástroje pro diagnostiku (Torch, Connection Tracking table, volitelné logování provozu a spoustu dalších). Možnosti diagnostiky jsou jeden z důvodů, proč mikrotiky používám.

Apropos, ještě jsem neviděl sebejednodušší zařízení s LAN , kde by nešla nastavit default route/gateway.

Bohužel existují, například switche se SwOS od Mikrotiku:

SwOS uses a simple algorithm to ensure TCP/IP communication - it just replies to the same IP and MAC address packet came from. This way there is no need for Default Gateway on the device itself.

67

Server / Re:Viac ako jeden web server za verejnou IP

« kdy: 16. 03. 2021, 13:08:38 »

Pro trvalé řešení ta zmíněná reverzní proxy (jde použít cokoliv - haproxy, nginx, ... i v tom apache to jde udělat). Pokud je to jen na hraní a pokus a v roli toho NATu mám Mikrotika, tak pro HTTP umí dělat reverzní proxinu (ale nehodí se to pro nasazení do ostra) a pro HTTPS umí směrovat na základě požadavku TLS host (SNI).

S tím směrováním HTTPS na Mikrotiku máte zkušenost? Je to totiž teoreticky blbost. Informaci ze SNI máte až v několikátém paketu již navázaného spojení a to už je pozdě na nějaké směrování. Jinými slovy - firewallem to řešit nelze.

68

Sítě / Re:VoIP nasazení v menší firmě

« kdy: 15. 03. 2021, 12:42:43 »

Zdravím, zkusím odpovědět ze zkušenosti:

1) Nevím nakolik je bezpečnostní riziko používat switch ve VoIP telefonu i pro připojení počítače ... "Kabelování" pro VoIp je pak výrazně pracnější ...

Bezpečnostní riziko to není, oboje zařízení budete mít v lokální síti, maximálně v různé VLANě. Pokud nepoužijete telefony od nějakého noname výrobce, tak bych se toho nebál. Doporučuji použít telefony s gigovými porty, i když nevím, zda interní switch dokáže to gigo přenést. Jak bylo zmíněno, telefony většinou umožňují rozlišovat provoz pro sebe (VoIP) a provoz skrz sebe do PC pomocí VLAN tagů.

2) Pokud je výše zmíněné problém, tak bych asi měl oddělit i samostatnou LAN pouze pro hlas ...

Samostatná VLANa není úplně nutná. Záleží na rozsahu (počtu VoIP zařízení) a charakteru sítě / provozu. Většinou se dělá samostatná VLANa kvůli bezpečnosti (např. může-li mít k telefonu přístup i někdo nepovolaný) či kvůli QoS (prioritizace hlasové VLANy).

3) Zase praxe mám se babrat s PoE nebo se běžně používají adaptéry ? (musel bych koupit PoE switch + Systimax kabely co to u nás umožňují na rozvodu kabeláže)

Řekl bych, že záleží na konkrétním prostředí. Buduje-li se infrastruktura, většinou se počítá s PoE. Ale měnit kvůli tomu switche smysl nemá. Pokud není jiný důvod (estetika, nedostupnost 230V), pak adaptéry k telefonům nevadí.

4) Nemám jasno jestli HW ústřednu u nás nebo Virtuální, ale cenově je ústředna u nás z hlediska provozních nákladů  u všech nabídek téměř nulová - platí se jen trunk ... Čemu jste dali přednost ?

VoIp ústřednu lze provozovat jako samostatné VM ve vlastní infrastruktuře, či jako HW box nebo mít pronajatou virtuální, hostovanou u providera. Záleží na konektivitě, vlastní infrastruktuře apod. Nedá se jednoznačně doporučit jedno či druhé.
Samozřejmě platí zmíněná zásada - nevystavovat ústřednu do internetu, útok na SIP tam máte do minuty.

69

Odkladiště / Re:Token k mojeID od CZ.NIC zdarma

« kdy: 12. 03. 2021, 14:40:17 »

informovat o tom prostřednictvím sociálních sítí, pomocí hashtagu #overenomojeid.

nedokazu si predstavit jak by tohle mohli nejak vynucovat. Neni tam vubec specifikovano jakou socialni sit, jak by mohli parovat nickname ze socialni site na mojeid identitu,... proste nesmyslna "podminka"

Také jsem využil, token došel, nastavil jsem jej, funguje. Nicméně nejsem na žádné sociální síti, tak to nemám kde ohlásit Maximálně Linked-in.

70

Windows a jiné systémy / Re:Windows: Bota s IP adresou předchozí sítě

« kdy: 12. 03. 2021, 08:54:31 »

Nemůžeš mít v síti kolizi IP adres? Jestli ti DHCP server nenabídne IP adresu, kterou už na síti někdo má. Pokud toto PC zjistí, nabízenou IP odmítne a možná si ponechá tu předchozí.

71

Hardware / Re:PLC pro domácí použití

« kdy: 11. 02. 2021, 21:24:52 »

Já jsem kdysi uvažoval nad Unipi - také český počin vycházející z Rpi. Záleží na cenové hladině.

72

Sítě / Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě

« kdy: 19. 01. 2021, 03:28:08 »

To co navrhujete nemá s bezpečností moc co společného. Mít více IP rozsahů na jednom L2 segmentu není zabezpečení. Nejčastějším řešením je segmentace do VLAN, nejjednoduší je statické přidělení portů na switchích do jednotlivých VLAN. Další možnosti jsou dynamické přiřazování VLAN na základě nějaké lokální tabulky MAC adres v switchích či jinak podmíněné (MAC vendor ID), sofistikovanější je přiřazování VLAN pomocí 802.1x / radius serveru. Obdobně na AP. Předpokládá to alespoň (easy) smart switche s adekvátní podporou funkcí.

73

Sítě / Re:Netflix po IPv6 od Metronetu

« kdy: 19. 01. 2021, 03:15:56 »

Jak bylo řečeno ve vlákně vedle, já to také řeším pomocí /ipv6 nd set mtu=1480 do LAN, MTU na fyzických portech mám defaultních 1500.

74

Sítě / Re:Netflix po IPv6 od Metronetu

« kdy: 16. 01. 2021, 20:28:23 »

Mám též VDSL od Metronetu, Comtrend v bridge a za tím hAP AC. PPPoE mám MTU 1492, do LAN inzeruji MTU 1480.

75

Software / Re:FreePBX a žádný zvuk z mikrofonu

« kdy: 11. 12. 2020, 14:56:26 »

Pokud je jednostranný problém se zvukem, pak za to může většinou:
1) neshoda kodeků - strany se nedokáží shodnout na zvukovém kodeku, případně ústředna neumí mezi kodeky transkódovat (domluví-li si každý klient s ústřednou jiný kodek)
2) síťový problém pro RTP pakety - jeden z klientů (nebo i ústředna) může inzerovat chybnou IP pro poslání audiostreamu či nabídnuté porty blokuje firewall. Lze zjistit analýzou SIP/SDP paketu a následně RTP paketů.