Příspěvky

106

Sítě / Re:Vyžaduje konfigurace CISCO AP kontroler?

« kdy: 24. 02. 2020, 18:34:55 »

něco jako má například Unifi ?

Jinak Cisco WLC nebo třeba Aruba Mobility Controller, jsou opravdové controllery, které kromě managementu AP umějí spoustu jiných věcí (ACL, DPI - v defaultu je veškerý provoz z AP hnán přes controller, failover, branch office, IPSec, fast roaming v campus network...). Unifi Controller je na takové domáci wifinování (nebo SMB) OK, ale je to v podstatě jen management nástroj.

107

Sítě / Re:Vyžaduje konfigurace CISCO AP kontroler?

« kdy: 24. 02. 2020, 18:01:35 »

Jaká AP? Nová nebo nějaké staré křápy?

Pokud nová, tak jsou tři možnosti:

• Lightweight AP - AP nejsou řízena controllerem. Každé se nastavuje zvlášť, nebude to roamovat atp.
• Cisco WLC. Klasický controller. Pokud je AP málo, tak se zeptat svého Cisco partnera - ještě nedávno se dávalo WLC 2504 v bundle s několika AP za pár fufňů. Cena byla tak absurdní, že se po konci supportu vyplatilo dva roky starý controller vyhodit a koupit bundle. Základní věci to umí, podpora desítek AP (z hlavy nevím, na jednom máme cca. 50). Vyšší řady mají nějaké funkce navíc a jsou neskutečně drahé.
• Cisco Mobility Express - odpověď (snaha dohnat) na Aruba IAP, tj. vždy jedno z AP je controller, když vypadne nahradí ho jiné. Podpora minimálně desítek AP (z hlavy nevím, nejslabší Aruby mají 128 AP). Nyní již ve funkčním stavu, omezený feature set, ale na základ to stačí.

 Každý mód vyžaduje jiný firmware, který musíte do AP nahrát (pokud nemáte žádné AP pod supportem, tak se k firmware oficiálně nedostanete).

 Pokud máte staré AP, tak možnost 3 pravděpodobně odpadá. Pokud nechcete support a rvát do toho prachy, tak bych kouknul na ebay. Pozor - musí se licencovat i AP...
 Stále k hypotetické situaci, že máte AP, která nejsou pod supportem - z bezpečnostního pohledu jsou staré firmware katastrofa, děravé jak řešeto (týkalo se všech vendorů, ale u Cisca bez supportu nemáte nárok na nový firmware).

108

Windows a jiné systémy / Re:Windows 10 jako WebServer?

« kdy: 04. 02. 2020, 19:32:15 »

OK, ja se vzdy rad priucim a cteni licencnich ujednani neni me hobby...

V tom pripade k dotazu - videl jsem to v provozu x-krat a bylo to bezproblemove (tim myslim stejne jako na WinServeru). Na PC, kde zaroven pracuje uzivatel, bych to nedaval a pokud to bude mit prostredky pro provoz aplikace, tak si myslim, ze to bude OK.

109

Windows a jiné systémy / Re:Windows 10 jako WebServer?

« kdy: 04. 02. 2020, 18:25:10 »

Zdravím,

potřebuji nasadit web aplikaci do firmy, kde k ní budou přistupovat max 3 uživatelé. Aplikace je v ASP.NET, jako SQL je použitý MySQL. Vzhledem k takhle malému počtu uživatelů se těžko obhájí nákup serveru + Windows Server licence.

Jsem přesvědčený, že toto odporuje MS licenci (provozování desktop edice jako server)...

https://www.microsoft.com/en-us/Useterms/Retail/Windows/10/UseTerms_Retail_Windows_10_English.htm

License. The software is licensed, not sold. Under this agreement, we grant you the right to install and run one instance of the software on your device (the licensed device), for use by one person at a time...

110

Sítě / Re:Nefunguje pripojenie na VPN server

« kdy: 31. 01. 2020, 15:47:48 »

Uz to niekedy u totoho existujuceho ISP fungovalo ?

Este su tu kadejake moznosti, ako laboracia z MTU, atd..ale to uz je vyssi divci, a idealne to mat potvrdene od ISP, ze nema nastavene nic nestandardne ...

Smarja, prestante vymyslet kravoviny...
At tazatel kontaktuje IT oddeleni svoji firmy. Kazdy normalni admin (pokud nebude vedet rovnou) se ho zepta maximalne na jeho verejnou IP a pusti debug na VPN...

111

Sítě / Re:Nefunguje pripojenie na VPN server

« kdy: 31. 01. 2020, 12:55:39 »

Dobrý deň
...
Ďakujem za odpovede

• Existují různé VPN technologie a různí vendoři (IPSec, SSTP, OpenVPN, Cisco SSL VPN, Fortigate SSL VPN, Wireguard...). Tyto technologie běží na různých protokolech a portech.
• Z toho, co vím, tak nikdo ze čtenářů rootu nevlastní věšteckou kouli (funkční).
• Blokování VPN připojení na základě blacklistů není (z mých zkušeností) běžné. Resp. jsem to nikdy neviděl...
• Problém řešte s IT oddělením firmy a případně s ISP.

112

Sítě / Re:MikroTik načítá IP přes DHCP, i když je veškerá komunikace zahazovaná

« kdy: 30. 01. 2020, 18:13:50 »

Mě jde o to jak to blokovat firewallem

Přemýšlím, jestli víte, jak funguje DHCP, když Vás nejvíce zajímá, jak blokovat přidělování adresy, o kterou si ten Mikrotik sám žádá...

113

Sítě / Re:MikroTik načítá IP přes DHCP, i když je veškerá komunikace zahazovaná

« kdy: 30. 01. 2020, 14:57:50 »

A jak to blokovat na Mikrotiku?

Vypněte DHCP klienta na WAN rozhraní. IP - DHCP client...

114

Sítě / Re:VPN bez verejnej IP adresy

« kdy: 26. 01. 2020, 19:05:18 »

To samozřejmě lze nastavit poměrně jednoduše. Vypnete vzdálenou bránu sítě - to se nakliká.
Routa se musí poslat přes DHCPINFORM, nebo ji ručně můžete přidat z powershellu (a pak zůstane na trvalo k tomu připojení).

Kód: [Vybrat]

Add-VpnConnectionRoute -ConnectionName nazev_vpn -DestinationPrefix 192.168.4.0/22 -PassThru

https://docs.microsoft.com/en-us/powershell/module/vpnclient/add-vpnconnectionroute?view=win10-ps

No, tak jsem se nakonec dostal k tomu, že SSTP nastavuji a nyní marně přemýšlím, jak to pan Šilhavý myslel.

Pokud jste to myslel tak, že klienti dostanou route ze svého DHCP serveru v LAN (kde se zrovna nacházejí), tak to není řešení ničeho. Uživatelé, kteří VPN používají, nesedí vedle sebe v jednom baráku - jsou to zaměstnanci, často se svými soukromými zařízeními, externisté atd. Představa, že nastavuji DHCP servery zaměstnancům (jejichž modemy mnohdy ani DHCP options neumějí) doma nebo např. ve všech kavárnách v Praze je absurdní.

Ze všeho, co jsem nyní prošel, mi znovu vychází, že jediným použitelným řešením je CMAK, ale třeba něco přehlížím...

115

/dev/null / Re:Anroid - horní swajp - Ikony rychlého menu místo seznamu notifikací

« kdy: 25. 01. 2020, 00:47:42 »

Jen se chci pochlubit, ze v posledni dobe mam jiz 100% uspesnost - odhaleni, ze autorem dotazu je Pivotal uz podle titulku 

116

Sítě / Re:Firewall - Linux nebo Mikrotik

« kdy: 13. 01. 2020, 15:36:20 »

- Mikrotik ma nevyhodu ze nema vlastni DNS server, dokaze pouze forwardovat dotazy. A to jeste bych rekl ze nefunguje moc dobre (nebo aspon nefungoval, tuto ficuru nepouzivam).

Za posledních 6 let jsem žádné problémy (na desítkách RB) s forwardováním DNS nepozoroval. Server (on ho teda musí mít, když obsluhuje DNS  ) to nemá, ale lze vložit statické záznamy - což zpravidla pro malou domácí síť stačí...
https://linux-sys-adm.com/how-to-make-static-dns-in-mikrotik/

117

Sítě / Re:rozdeleni switche

« kdy: 11. 01. 2020, 21:52:36 »

Tak nám určitě prozradíš, proč nechceš použít ideální řešení, které kvůli tomu vzniklo.

Také by mě to zajímalo...

118

Sítě / Re:rozdeleni switche

« kdy: 11. 01. 2020, 16:30:41 »

Ano, jakykoliv switch, ktery podporuje VLANy 

Pujde to u Mikrotiku. Kdyz jsem to delal naposledy, tak tusim RB 2011 mel porty rozdelene na sve casti (jedna jenom FastEthernet) a kazda mela svuj switch chip. Me by ale uz nikdo nedonutil pouzit Mikrotik jako switch, ikdyby me mucil mekkymi polstari 

Normalne pouzije switch s VLAN a mate standardni a hlavne normalni reseni.

119

Sítě / Re:iptables - nat pro DNS

« kdy: 10. 01. 2020, 15:12:44 »

Potrebuju zaridit aby packety z routovane site s privatnim rozsahem smerujici na DNS server s verejnou IP (ktera k nam po zmene providera uz neprinalezi) byly na brane (debian+iptables) odNATovany do vnitrni site na IP noveho sekundarniho DNS a nasledne opet putovaly na branu kde budou NATem otoceny zpet na stroj ktery je vygeneroval.

Na tohle je hairpin NAT. NA linuxu resp. iptables jsem to nikdy nekonfiguroval, ale neměl by to být problém.

https://blog.lordvan.com/blog/learned-something-new-today-hairpin-nat-with-iptables-on-linux/

U DNS nezapomeňte i na TCP...

120

Sítě / Re:Odblokování přístupu k internetu v práci

« kdy: 09. 01. 2020, 18:22:57 »

https://www.google.com/search?ei=lVcXXob4DYPPgwewk42YBQ&q=icmp+tunnel++%2Bwindows&oq=icmp+tunnel++%2Bwindows&gs_l=psy-ab.3...3437.5062..5248...0.0..0.91.457.6......0....1..gws-wiz.......0i30j0i8i10i30j0i7i30j0i8i7i10i30j0i19j0i30i19j0i7i30i19j0i8i10i30i19.uEdoEIkkVao&ved=0ahUKEwjGlqPh-vbmAhWD5-AKHbBJA1MQ4dUDCAs&uact=5

Tak sranda to je dobrá.
Má to dva problémy:

• Musí být povoleno ICMP do internetu. Pokud bych zakázal HTTP/S (a asi i vše ostatní) do internetu v podstatě kamkoliv, tak bych k tomu přihodil i to ICMP. Resp. bych vydefinoval výjimku pro povolené domény na HTTP/s a následovalo by deny all.
• Pokud mají administrátoři jakoukoliv formu monitoringu provozu (netflow nebo např. Fortigate v základu nabízí analýzu provozu/zdrojů, ...), tak si uživatele, který bude generovat takový provoz do internetu všimnou...

Oboje samozřejmě platí i pro mnou navrhovaný postup/test.