Příspěvky

121

Sítě / Re:Odblokovani internetu, pomoc s nastavenim

« kdy: 08. 01. 2020, 19:45:30 »

Poriadne skontroluj tie DNS a nastavenia siete. Inak sa zda ze mate silny firewall.

Tak každý normální administrátor zablokuje DNS provoz na všechny servery kromě (ve většině případů) interního DNS serveru. Osobně to nastavuji na na firewallu jako jednu z prvních věcí...

Zdá se, že správci sítě v tazatelově firmě jsou v pořádku (ačkoliv tu úroveň restrikcí nechápu).

Ještě je možnost, že je blokováno (cizí DNS servery) a filtrováno (vlastní DNS server) pouze DNS a HTTP je do internetu ve skutečnosti povolené (ale nefunguje kvůli DNS). Pak bych zkusil (zde na rootu hojně zmiňované, nezkoušel jsem) DNS-over-HTTPS, případně nějakou VPN na portu 443 (ta bude pravděpodobně na FW také blokovaná, ale aplikační kontroly nejsou dokonalé - např. před pár lety jsem očůral Cisco ASA/FTD, která blokovala veškerá VPN připojení do internetu pomocí OpenVPN, kterou jako VPN nedetekovala). To by pak bylo potřeba vyzkoušet různé klienty/SSL VPN implementace. Jestli je ve skutečnosti povolené HTTPS do internetu lze vyzkoušet jednoduše pomocí telnetu.

Tohle vše je ale jen takové teoretické hraní, osobně bych tazateli doporučil takové pokusy nedělat a v práci pracovat (nebo si najít jiného zaměstnavatele)...

122

Software / Re:Dekodovaní SSL Wiresharku z dat Charles proxy (SSLKEYLOGFILE?)

« kdy: 08. 01. 2020, 12:24:26 »

Jenom vysvětlím, proč to chci, když přeci v charles proxy traffic vidím. Potřebuji vidět i problémovou  nefunkční komunikaci na jiné doménová jména (momentálně mi jde současně komunikovat jen na jeden HTTPS server nebo lépe řečeno skupinu virtual serverů na jedné IP), která mi zatím v charles proxy nejde a ukazuje se jako unknown nebo connection refused nebo to  400 Bad request nebo 404 Not found, protože požadavky z klienta na jiný server ve skutečnosti jdou furt na jednu a tu samou IP.

Jako obvykle podáváte místo pochopitelných informací chaotický mišmaš - mně osobně je to fuk, ale myslím, že pokud byste se snažil dotaz formulovat nějakým uceleným způsobem (v tomto případě třeba o jakou jde aplikaci/technologii, servery/load balancery, klienty/OS atp.) a případně si ho po sobě i přečetl a posoudil, jestli je pochopitelný i pro čitatele, který vůbec nemá šajn, co se snažíte vyřešit, tak by se i značně zvýšila pravděpodobnost, že Vám tady někdo poradí.

Každopádně, pokud Vám aplikace (browser, nějaká známá aplikace nebo Váš program ) komunikuje se špatnou IP, tak bych se místo dešifrování provozu zaměřil na klienta (DNS, samotná aplikace).

123

Sítě / Re:Wifi adhoc - topologie , možná komunikace "nepřímo viditelných"

« kdy: 06. 01. 2020, 16:59:30 »

Nerozumíme řeči Vašeho kmene,,,
Co je uzel? Sitovy prvek? Klient?
A když nejde o IP komunikaci, tak o jakou by melo jít?

124

Sítě / Re:VPN bez verejnej IP adresy

« kdy: 05. 01. 2020, 21:53:04 »

To samozřejmě lze nastavit poměrně jednoduše...

Ten powershell tedy pro bezneho uzivatele neni moc "friendly", ale diky za info...

125

Sítě / Re:VPN bez verejnej IP adresy

« kdy: 05. 01. 2020, 21:40:16 »

Neměl by být. Jaký problém máte na mysli?

Kdyz jsem si to nastavoval naposledy (klient, Windows 10), tak to pri konfiguraci pres GUI neslo nakonfigurovat jinak nez tunnel-all (tj. vsechen provoz do VPN tunelu), coz je stejne chovani, jako to (mysleno Windows) melo drive (a predpokladam stale) pri konfiguraci IPSec. Jedinou moznosti, jak udelat split bylo pouzit CMAK (https://bit.ly/36raGPp), nakonfigurovat route, ktere se zavedou pri pripojeni VPN a VPN na klientovi nastavit instalaci .exe, ktere vygeneroval CMAK. A tusim, ze navic CMAK uz neni podporovany... Ale treba jsem neco prehledl.

126

Sítě / Re:VPN bez verejnej IP adresy

« kdy: 05. 01. 2020, 21:25:15 »

Tazatel v minulych prispevcich zminoval, ze ma Mikrotik a ten podporuje pouze TCP. Dle mych zkusenosti to funguje obstojne.

Pokud jde o spolehlivost přístupu, tak to funguje obstojně. Co se týče rychlosti a latence je to už horší. TCP má větší režii i prodlevu. Mikrotik obvykle nestíhá šifrovat, takže východiskem je null šifra , pokud jde aspoň trochu o výkon (víc než pár jednotek megabitů).

Do mikrotiku bych spíš zvážil SSTP, je to lepší protokol než OpenVPN.

Otazkou je, jake potrebujete rychlosti. Do 15Mbit/s to neni problem ani na nejpomalejsim Mikrotiku (klient), zaroven na RB 2011 (server) mam desitky klientu a vyrazne vestsi provoz (ale stale jen desitky Mbit/sec) a je to OK.

S SSTP mate pravdu, na nej jsem zapomnel. Nikdy jsem to jeste nenasazoval, ale konfigurace (hlavne klientu) je vice user friendly. Pokud se ale nepletu, tak treba s Windows klientem (nativnim) bude problem se split tunneling.

127

Sítě / Re:VPN bez verejnej IP adresy

« kdy: 05. 01. 2020, 21:18:27 »

Ahojte,

Chcel by som sa spýtať či by mi niekto vedel poradiť ako si spraviť VPN pokiaľ nemám priradenú verejnú IP adresu od poskytovateľa. Mám len jeho verejnú IP adresu na ktorej mám otvorené nejaké porty.

Je nejaká možnosť spraviť si VPN ? Som v tomto viac menej nováčik.

Ďakujem

V minulem tematu, ktere jste zalozil, jsem Vam na to jiz odpovedel - staci, kdyz Vam ISP presmeruje jeden TCP port na Vas Mikrotik. Prilozil jsem take odkaz na (velice dobrou) dokumentaci Mikrotiku. Pokud neni problem anglictina, tak bych se ji drzel - existuje nekolik slusnych navodu v cestine, ale nedavno se menil (a zjednodusil) zpusob generovani certifikatu, ktery v techto navodech pouzity neni...

128

Sítě / Re:VPN bez verejnej IP adresy

« kdy: 05. 01. 2020, 21:06:29 »

Ano, například OpenVPN stačí libovolný jeden port (pokud možno UDP).

V tomto pripade nikoliv. Tazatel v minulych prispevcich zminoval, ze ma Mikrotik a ten podporuje pouze TCP. Dle mych zkusenosti to funguje obstojne.
https://wiki.mikrotik.com/wiki/OpenVPN#Unsupported

129

Sítě / Re:Forwarding na zdielané zložky

« kdy: 03. 01. 2020, 22:49:35 »

V tom pripade si nechte od ISP povolit 1194 (nebo jiny port, na kterem spustite OpenVPN sluzbu) a nastavte si na Mikrotiku VPN. Otevirat sambu do internetu je blaznovstvi...

https://wiki.mikrotik.com/wiki/OpenVPN#Server_configuration

130

Sítě / Re:Forwarding na zdielané zložky

« kdy: 03. 01. 2020, 21:04:28 »

Samozrejme že cez VPN by to bolo najrozumnejšie lenže mi poskytovateľ internetu nechce poskytnúť verejnú IP a tak neviem ako to spraviť.

A jak chcete ke sdilene sloze pristupovat, kdyz nemate verejnou IP?

131

Sítě / Re:Zabezpečení manažovatelné infrastruktury

« kdy: 26. 12. 2019, 15:25:00 »

Nejak jsem nepochopil, co Vam brani dat WAN do jine VLAN tak, aby se z nej na management nedalo dostat...

Jinak HP 1920s (nebo nastupce od Aruby, tusim, ze 25xx) mely slusny feature set (pokud nepotrebujete CLI) za rozumnou cenu.

132

Sítě / Re:Doporučte router

« kdy: 06. 12. 2019, 00:01:39 »

Preferuji spolehlivost, stabilní wifi signál, jednoduchou konfiguraci... zkrátka zapojím to, nastavím, funguje to a dál se o to nestarám. Nemám problém do routeru investovat, ale cenovka vyšší jak 5000 už by musela mít nějaký pádný důvod.

Aha, takže chcete WiFi router. Křišťálovou kouli jsem si zapomněl v práci, takže nám sdělíte, jestli chcete pokrýt signálem panelákové 2+KK, třípatrový rodinný dům nebo Karlštejn?

Pokud by šlo jen o routovací výkon, spolehlivost, tak by Vám v pohodě stačil Mikrotik za 600,- . Pokud chcete kvalitně pokrýt WiFi rodinný dům, tak Vám nemusí stačit žádný WiFi router a bylo by rozumnější jít do kombinace router + odpovídající počet AP.

133

Sítě / Re:Lokální adresy v síti ISP

« kdy: 05. 12. 2019, 16:38:43 »

Tak jistěže nezáleží na tom co si myslím nicméně slovy RFC já mám za WAN public a ne private...

No evidentně tam máte private.

Evidentně tam mám public, čtu IP na WAN 46.1x3.x0x.1yy.

Problém je jednoduše v tom, že tomu nerozumíte...
To, že Vám ISP routuje veřejnou IP v rámci svého AS neznamená, že "máte za WAN public". Za WAN máte evidentně privátní síť Vašeho ISP.
Na interface toho zařízení (pokud to podporuje) můžete mít ve stejnou chvíli terminovány adresy z public i private rozsahů. To je naprosto normální a není na tom nic špatně. Pak budete říkat co? Že za WAN máte napůl public a napůl private?

134

Odkladiště / Re:Jak zjistit datum poslední změny u Google sheetu

« kdy: 05. 12. 2019, 09:17:28 »

Obecná rada: gooogle, duckduckgo...
Konkrétní rada:

• https://stackoverflow.com/questions/43411138/get-google-sheets-last-edit-date-using-sheets-api-v4-java
• https://developers.google.com/drive/api/v3/reference/files#resource

135

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 17:37:11 »

Tak si změňte nastavení firewallu a je hotovo, ne? IMHO je nastavený špatně, když blokuje adresy, které jsou za WAN "legálně"...

To si právě nemyslím,...

Můžete, prosím, upřesnit, co si nemyslíte a proč?

Že ISP používá ve své síti adresy z RFC1918 je jedna věc (a u ISP v ČR naprosto běžná věc), jiná věc je, že zjevně blokujete legální provoz a pak na diskusích brečíte, že Vám to nefunguje...