Příspěvky

16

Sítě / Re:Pomoc s nastavením bridge medzi bond a VM (KVM)

« kdy: 21. 05. 2023, 11:07:49 »

eno1     ethernet  connected                              bond0 port 1
eno2     ethernet  connected                              bond0 port 2
ens5f0   ethernet  connected                              bond1-port1 
ens5f1   ethernet  connected                              bond1-port2 

Postni sem pls vystup "ip a s"

17

Sítě / Re:Pomoc s nastavením bridge medzi bond a VM (KVM)

« kdy: 21. 05. 2023, 11:00:35 »

Vzdy, kdyz vytvaris interface, davej tam rovnou:
 autoconnect yes

a pokud jde o bridge tak taky
 stp off

Priklad:
nmcli connection add type bridge con-name bridge1 ifname bridge1 autoconnect yes stp off ipv4.method disabled ipv6.method disabled

18

Sítě / Re:Pomoc s nastavením bridge medzi bond a VM (KVM)

« kdy: 21. 05. 2023, 10:54:19 »

nmcli connection modify bond1 master bridge1

Tohle jsem napsal jako "principialni" tvar. Chtelo by to zagooglit, jak presne to ma vypadat.

bridge1  bridge    connecting (getting IP configuration)  bridge1

Nevim, co znamena "skonci to takto". Tenhle radek je spravne. Vychozi stav je, ze interface chce ziskat ip adresu pomoci DHCP.
Pokud to neni zadouci, je treba interface prislusne nastavit - treba:
nmcli connection add type bridge con-name bridge1 ifname bridge1 ipv4.method disabled ipv6.method disabled

19

Sítě / Re:Pomoc s nastavením bridge medzi bond a VM (KVM)

« kdy: 21. 05. 2023, 00:03:18 »

nmcli connection add type ethernet slave-type bond con-name bond1-port1 ifname ens5f0 master bond1
nmcli connection add type ethernet slave-type bond con-name bond1-port1 ifname ens5f1 master bond1

Asi by tam melo byt bond1-port2

nmcli connection modify bridge1 master bond1

A tohle mi prijde, ze pro tvuj setup ma byt naopak - neco jako:
nmcli connection modify bond1 master bridge1
(pripadne bude treba dohledat presny zapis)

No a hlavne: jak je definovan sitovy interface VM?
(virsh dumpxml VMname)

Melo by tam byt neco jako:

Kód: [Vybrat]

    <interface type='bridge'>
      <mac address='52:54:00:12:34:56'/>
      <source bridge='bridge1'/>
      <model type='virtio'/>
      <rom enabled='no'/>
      <address type='pci' ...
    </interface>

20

Sítě / Re:Pomoc s nastavením bridge medzi bond a VM (KVM)

« kdy: 19. 05. 2023, 22:16:06 »

IP adresa urcena pro VM nesmi byt pouzita nikde jinde (a uz vubec na bond1, pokud tam ma byt bridge).

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/configuring_and_managing_networking/configuring-network-bonding_configuring-and-managing-networking

21

Odkladiště / Re:„Vše o datových schránkách“ na jednom místě

« kdy: 07. 10. 2022, 14:26:51 »

U datovych schranek mam jediny problem - ze po porizeni datove schranky si nemuzu dovolit ignorovat ji 14 dnu - tzn. vzit si 14 dnu opravdoveho volna. Coz u papirove komunikace jde. Nasi dokonali zakonodarci zas odvedli skvelou praci.

To není pravda, pravidla pro doručení fikcí jsou pro datové zprávy stejná, jako pro doporučené dopisy – v obou případech je po 10 dnech zpráva považována za doručenou a vy máte možnost namítat, že jste se z vážných důvodů nemohl s obsahem zprávy seznámit.

Tak to se omlouvam. Zil jsem v bludu, ze u papiru je to o 4 dny vic. Jeste ze jsem vzorny, peclivy a proaktivni obcan

Nicmene, kdyz uz ty "dinosauri schranky" vnucuji cim dal vetsimu okruhu lidi, neni cas na revizi terminu a posunuti fikce doruceni na 15 ci radeji 20 dnu i pro DS i pro papir? Ja se v tom nevyznam, muzu nejak zalozit nejakou elektronickou petici, aby si ji zakonodarci vsimli? Nemoznost si vzit 14 denni dovolenou podle me vola po defenestraci.

22

Odkladiště / Re:„Vše o datových schránkách“ na jednom místě

« kdy: 05. 10. 2022, 12:35:31 »

U datovych schranek mam jediny problem - ze po porizeni datove schranky si nemuzu dovolit ignorovat ji 14 dnu - tzn. vzit si 14 dnu opravdoveho volna. Coz u papirove komunikace jde. Nasi dokonali zakonodarci zas odvedli skvelou praci.

23

Hardware / Re:Vliv teploty na chybovost disků

« kdy: 29. 09. 2022, 21:01:16 »

Součet tlaku všech plynů vně disku je 1 ATM, součet tlaků plynů uvnitř disku je 1 ATM. Jistě. (Velmi přibližně to tak je.)
Ale tlak helia uvnitř disku se blíží 1 ATM a tlak helia vně disku se blíží 0, proto se helium snaží z disku zdrhnout silou 1 ATM. A to je to, co už ti rozum nebere.

Tobe zas rozum nebere, ze rozdil parcialnich tlaku helia nijak nenamaha mechanickou konstrukci disku, protoze rozdil celkovych tlaku je maly.

24

Windows a jiné systémy / Re:Skrytí privátního klíče ve WireGuardu pro iOS

« kdy: 27. 08. 2022, 15:09:19 »

No ale to máš za to že chceš současně používat ekosystém s příšerným lockdownem (a chránit pomocí něj klíče wireguardu) a současně si do něj chceš dodělávat vlastní funkce, na které jsme zvyklí z otevřenějších systémů.

Ale ja nechci dodelavat vlastni funkce Jen me napadlo, ze mozna v konfiguracnim souboru bude volba, zda wireguard muze vyvrhnout vsechno podstatne uzivateli ci ne. Prislo mi to prirozene (ze ta volba tam bude), tak jsem se zeptal, to je cele.

25

Windows a jiné systémy / Re:Skrytí privátního klíče ve WireGuardu pro iOS

« kdy: 27. 08. 2022, 13:27:23 »

Když se firma rozhodovala jaká mobilní zařízení pořídit, měla být správa zařízení jedním z požadavků. Stejně tak, když volba padla na Wireguard, jako VPN řešení.

Problém není ve Wireguardu, ale dokážu si představit, že by vývojáři mohli implementovat přístup do nastavení aplikace chráněný heslem.

Tahle to dopadá, když se vybere něco jednoduchého, a pak se to složitě musí lámat přes koleno.

Pokud je konfigurace uživateli přístupná, musí mít možnost ji o proti něčemu ověřit. Vy už automaticky předpokládáte, že uživatel telefon dá k dispozici někomu, kdo může mít nekalé umysly. Musíte tedy počítat s tím, že někdo původní konfiguraci smaže a nahradí svou. Uživatel, který má jen tlačítko Připojit/Odpojit, toto nemá šanci poznat.

Prectete si puvodni otazku a nechte si od cesty tyhle hrabeci rady.

PS Kdyby WG aplikace nezobrazovala vsechno podstatne, k cemu by byla nejaka jina nahrana konfigurace WG? BTW Smazani i nahrani konfigurace VPN vyzaduje potvrzeni bezpecnostnim kodem - to uz zpozorni i ucetni. A ano, vsechno lze ukrast, ohnout i zfalsovat, ale stav, kdy lze trivialne nepozorovane zcizit vsechny klice povazuji za fatalni.

PPS Kolikrat denne kontrolujete, zda vas mobil pouziva spravny DNS server?

26

Sítě / Re:Vypnutí WireGuardu v cílové síti

« kdy: 27. 08. 2022, 11:42:34 »

To by sice šlo, ale ztratí se ona kouzelná vlastnost Wireguardu a to ta, že když jsem připojen k wireguard vpn, tak přehození z jedné wifi na druhou nebo na mobilní data nemá vliv na moji externí ip adresu a dokonce se při takovém přehození nepřeruší žádná navázaná spojení a neztratí se ani jeden ping.

Je treba premistit WG server na lokalni stroj s neverejnou adresou (takze WG server bude stale jen jeden) a z toho stroje s verejnou IP adresou forwardovat WG UDP traffic. Pak odchyceni a presmerovani smartfonu bude pro WG server jen bezna zmena IP adresy pohybujiciho se klienta.

27

Windows a jiné systémy / Re:Skrytí privátního klíče ve WireGuardu pro iOS

« kdy: 26. 08. 2022, 21:56:31 »

Na tohle VPN nepotrebujete - co kdyz je v tom WG adresa a klick MITM serveru, ktery se pak pripojuje na vas system s temi uloupenymi klici a adresou?

Souhlasim ze uzivatel ma mit moznost si overit, kam se to vlastne pripojuje a jakymi klicemi (zas na to slouzi hashovaci funkce.. viz ty hlasky ze ssh kdyz jdete poprve na novy server).

Ucetni si urcite rada zapamatuje klice, hashe, port i nazev serveru a bude trikrat za minutu kontrolovat, kam se pripojuje wireguard. Je patek a prave jste se vratil ze sklizne konopi, ne?

Pokud je WG IOS appka opensource, tak ji muzes zeditovat do sve privatni verze, a rozjet nejaky testflight na svem devel accountu - jestli nemas moc tech uzivatelu tak to v tomto test rezimu muzes provozovat jakoze produkcne. Bude te to ale stat nejaky peniz za Apple developer account.

Nemam v zivote vetsi touhu nez udrzovat appku a platit 99 USD rocne applu pro firmu ktera chtela neco jednoducheho

28

Windows a jiné systémy / Re:Skrytí privátního klíče ve WireGuardu pro iOS

« kdy: 26. 08. 2022, 19:35:39 »

A máte ty telefony alespoň v nějakém MDM? To pak můžete alespoň něco vynutit, třeba nainstalovat aplikaci Wireguard bez potřeby osobního účtu uživatele.

Ja to jen testuji pro firmu s par lidmi. MS365 tam nemaji.

Podívejte se na to ale i z druhé strany, kdy pokud nemůže uživatel WG profil zkontrolovat, jak bude vědít, že se připojuje ke firemnímu serveru a ne někam do tramtárie?

Jakmile bezi VPN, pripojuje se spravne.

29

Windows a jiné systémy / Re:Skrytí privátního klíče ve WireGuardu pro iOS

« kdy: 26. 08. 2022, 19:19:53 »

Nehledal bych problem ve WG ale v IOS. Ty hracky fakt nejsou vhodne do firemniho prostredi, kdyz jediny ucet co tam je, je toho uzivatele.. a ten ma pak pristup ke vsemu. Takova falesna radost z toho, ze si myslite ze je telefon vas.. no neni

Kdyz si dam WG pod jiny account a spravne nastavime prava k souborum s nastvenim a klici.. tak si to nikdo s nizsimi pravy prece neprecte. A kdyz mate na stroji roota, tak je pozde.

Jste paranoik co se snazi pouzivat nevhodne nastroje.. tak si to uzijte ,)

Ty udaje zobrazuje aplikace wireguard, nic jineho. Staci z aplikace wireguard odebrat (!!!) odkaz na dalsi stranku aplikace s temito udaji (a moznost exportovat konfiguraci) a bylo by to v poradku.

Ja chapu, ze to co chci, neznamena konec starosti s bezpecnosti, ale tohle? Stacilo by pridat do konfiguracniho souboru neco jako debug = yes/no a v pripade "no" zobrazovat _mene_ stranek a moznosti.

30

Windows a jiné systémy / Re:Skrytí privátního klíče ve WireGuardu pro iOS

« kdy: 26. 08. 2022, 18:35:04 »

To jsou rady jak od Marie Antoinetty. Jak asi budu kontrolovat, ze ucetni nepujcuje mobil? Navic nechci vyzrazovt nejen soukromy klic, ale ani verejny serverovy, ani serverovou IP, port atd. Neexistuje zadny duvod, proc by mely byt vzdycky videt. Z receneho vyplyva, ze minumalne mobilni wireguard neni vhodny do firemniho prostredi.