Příspěvky

136

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 17:33:37 »

Pokud je problém skutečně v tom, že ISP přiděluje veřejné IP adresy pomocí DNATu, ale už nedělá SNAT na provoz ze své sítě, povolení na firewallu nepomůže.

Pozor, to z puvodniho prispevku nevyplyva. Tahle situace nastava typicky ve chvili, kdy ISP prideluje "verejne IPv4 adresy" (ve skutecnosti provadi 1:1 NAT na nejake NAT gatewayi). Pak skutecne muze dojit k asymetrickemu routovani provozu a nenavazani spojeni (protoze pro onoho uboheho klienta se jedna o neplatne sezeni a jeho firewall ho zahodi). Ma to i svuj nazev: nenakonfigurovany NAT hairpinning.

Autor v puvodnim prispevku pise o verejne IPv4 adrese, ale uz neuvadi, jestli ma adresu primo na serveru, nebo jestli ISP dela 1:1 NAT. Ma-li IPv4 adresu primo na serveru a ISP mu ji routuje, pak nastava ten stav, ktery jsem popsal ja.

+1

Ještě bych dodal, že Hairpin NATu se za normálních okolností chcete (třeba jako ISP) vyhnout. Hraniční router/firewall/... je zbytečně zatěžován provozem, který má jít pouze v rámci vnitřní sítě.

137

Sítě / Re:Lokální adresy v síti ISP

« kdy: 03. 12. 2019, 10:41:36 »

Řeším situaci s jedním ISP (ne malým). Máme server s veřejnou IP u něj v síti, na serveru je VPN na kterou se klienti běžně připojují. Bohužel klienti ve stejné síti (ISP) jako je server kteří nemají koupenou veřejnou IP se nepřipojí protože se připojují z lokálních IP adres a firewall na serveru je blokne jelikož na WAN nepustí z venku nic z RFC 1918.

Tak si změňte nastavení firewallu a je hotovo, ne? IMHO je nastavený špatně, když blokuje adresy, které jsou za WAN "legálně"...

138

Sítě / Re:Linux a sítě

« kdy: 02. 12. 2019, 22:05:28 »

Zkoušeli jste prosím někdo prolomit přes Linux heslo do cizí wifi? Na netu je spousty youtube videí, ale podle mě jsou všechna "podstrčená", kdy daný moderátor dávno heslo zná a pouze jej má ve výsledku ve slovníku a ten daný slovník otevře a kuk, heslo bylo prolomeno.

Stručně: cizí WiFi zcela jistě prolomit lze, ale ani zdaleka ne vždy.
Podrobně se rozepisovat nemá cenu (soudě podle titulku a úrovně dotazu)...

139

Sítě / Re:Zabezpečení databáze

« kdy: 23. 10. 2019, 06:09:02 »

Něco lepšího? Hm?

Nastaveni pristupu (i SSH) pouze z localhostu 
Dal bych tam MySQL pres TLS a omezil IP (firewall, MySQL login), ktere mohou pristupovat nebo SSH tunel.

Je nejaky duvod tahat MySQL pres internet?

140

Hardware / Re:Synology vs. QNAP

« kdy: 21. 10. 2019, 09:32:29 »

Zcela správně.
A proto:
http://www.backupreview.info/2019/06/24/synology-holds-the-second-largest-market-share-of-data-storage-in-switzerland%E2%80%99s-it-markt-report-2019/

 
  A co ta čísla znamenají?
 To jako ten koláč má dohromady 99% ? To mi (ve spojení s "the results show that 17% of respondents have deployed Synology products into their environments") chcete říci, že neexistuje (nemalá) část zákazníků, kteří používají zařízení od více výrobců?

 Já bych tvrzení pana Šilhavého přeformuloval takto:
 Synology nemůže obstát jako enterprise storage. Tj. jako backup storage je OK, tam kde potřebujete výkon, spolehlivost, IOPS (např. storage pro virtualizaci) nikoliv.

 A tak bych také interpretoval ta čísla - Synology se často používá na backupy nebo na nekritické aplikace, kterými si nechcete "zasvinit" hlavní storage. To ale neznamená, že hraje s EMC, HPE nebo NetApp stejnou ligu...

141

Sítě / Re:Výběr routeru

« kdy: 18. 10. 2019, 08:38:41 »

Tak hádam si chcem vybrať čo najbezpečnejšie riešenie v rámci normálnej ceny pre domácnosť. Alebo vám je jedno, ak sa vývojári po čase na bezpečnosť vyprdnú, ako to urobili aj pri tom tplinku od orangeu? Predsa chcem mať bezpečnostnú podporu, čo najdlhšie a je mi to jedno, či je to RouterOS v Miktrotiku, alebo OpenWRT v niečom inom. Ale ani OpenWRT nemôže bežať na nejakom šunte. Tak sa len pýtam, čo je lepšie riešenie aj na viac ako 5-6 rokov.

Tak doporučení tady již zaznělo dost. Vy ale pravděpodobně chcete někoho s věšteckou koulí, kdo Vám zaručí že si koupíte router, který bude fungovat 6 let a bude bez bezpečnostních chyb. Každý software obsahuje chyby, každý router (resp. jeho firmware) obsahuje kritické zranitelnosti (jen se o nich možná ještě neví). Záleží jen na tom, jestli zařízení bude dlouhodobě podporováno a výrobce (nebo komunita) chyby opraví. Byl doporučen Mikrotik nebo OpenWRT a ty to splňují...

142

Sítě / Re:Výběr routeru

« kdy: 17. 10. 2019, 21:37:58 »

...
Snáď vývojári OpenWRTu, dokážu zareagovať aj na nejaký HW problém, ktorý by sa mohol vyskytnúť u hociktorej značky. Lebo výmena originálneho OS na alternatívny je fajn, ale čo ak sa nájde aj nejaká "neopraviteľná" HW zraniteľnosť? Intel nám pár takých už ukázal, Meltdown a Spectre a ostatné novšie formy, alebo chyba v LPC kvoli ktorému za 3 roky skapali procesory v NASoch a podobne.

Většinou nepíši takovýmto tónem, ale po přečtení Vašich příspěvků k tomu mám jen tohle:
Tak si nepořizujte žádný router,  zaplaťte si průkazku do knihovny a budete mít klid...

143

Software / Re:V Androidu přestalo fungovat WiFi připojení s captive portálem

« kdy: 16. 10. 2019, 22:52:26 »

Tak princip je mi znám.

  No...
 Snažil jsem se říci (asi moc stručně), že třeba Cisco, Aruba, IAC BOX (se kterými jsem měl tu "čest" pracovat) umožňují i v té nejjednodušší variantě (bez přihlašování, zasílání SMS, sponzoringu) silně konfigurovat zobrazovanou stránku nebo přesměrování na stránku na externím serveru. Tato stránka vyžaduje akci - většinou kliknutí na odkaz (tj. HTTP GET nebo POST) a odkazů na stránce může být libovolné množství (často to je odkaz na podmínky použití WiFi, možnost změny jazyka atp.) nebo ve skutečnosti nejde o HTML link či odeslání formuláře, ale je to realizováno AJAXem.
Proto si nemyslím, že by bylo možné vytvořit univerzální program, který by captive portály obcházel...

144

Software / Re:V Androidu přestalo fungovat WiFi připojení s captive portálem

« kdy: 16. 10. 2019, 10:41:20 »

Tak captive portal funguje tak, že na routeru/wifi controlleru atp. je uneseno Vaše HTTP spojení a je přesměrováno na danou stránku (která může a nemusí být na daném zařízení).
Detekce se dělá tak, že OS po připojení k wifi zkusí http request na nějaké (pro něj dobře známé) URL a pokud nedostane očekávanou odpověď, tak usoudí, že je v síti captive portal.
Nedělá to jen OS, ale třeba i Cisco AnyConnect VPN Client. Tam to Cisco dotáhlo tak daleko, že bez disable téhle funkčnosti se nelze připojit skoro nikdy a nikam.
Vypadá to na problém prohlížeče ve Vašem telefonu.
Žádné univerzální řešení na obcházení captive portálu podle mě nemůže existovat.

https://success.tanaza.com/s/article/How-Automatic-Detection-of-Captive-Portal-works

145

Hardware / Re:PC nebo set top box?

« kdy: 14. 10. 2019, 14:55:28 »

Já jen zopakuji, co jsem psal o víkendu na jiné diskusi:
Koupil jsem si nějaké mini PC Lenovo (na aukru za 4000,-) - i5/Haswell, 8GB RAM. Vrazil do toho staré SSD a připojil bezdrátovou klávesnici a myš.

Pro mě je daleko pohodlnější toto, než něco honit ovladačem. Teď jsem to zkoušel u rodičů (nejnovější O2 set-top box) a než vyhledám konkrétní pořad (ovladačem na klávesnici na obrazovce), tak zešedivím. Na PC to mám za 2 vteřiny. Troufnu si říci, že na tom funguje všechno (kromě OS specifických aplikací) - já provozuji Netflix, HBO Go, O2tv, stahuji z ulož.to, torrenty, můžu si připojit externí disk... Windows 10 mi startují okamžitě (to je časová jednotka, za kterou dojdu od TV ke gauči, pokud je PC vypnuté), nic se neseká (což se třeba o 02 set-top boxu říci nedá), žere to nula nula nic.

146

Software / Re:Tip na jednoduchou wiki pro IT zápisky v intranetu

« kdy: 14. 10. 2019, 14:45:15 »

U nás interně využíváme dokuwiki kde máme aktivováno SSO a ke spokojenosti všech funguje.

Já bych se za dokuwiki taky přimlouval (ačkoliv je tazatel už asi rozhodnutý): jednoduché nasazení/správa, aktivní vývoj, relativně jednoduché vytváření pluginů + výše zmíněné (verzování považuji za důležité).

Trochu nešikovně se v tom akorát zakládají další stránky (hlavně pokud používáte hodně namespaces), ale to jsem vyřešil vlastním pluginem.

147

Sítě / Re:Rozšíření wi-fi sítě v RD a zahradě

« kdy: 03. 10. 2019, 09:33:56 »

Rád bych odpověděl ale už jsem to neměl přes rok v ruce. Jen si pamatuji že pokud tam nebyl USG  tak tam byly položky které šli aktivovat pouze pokud máš USG. Pro lidi co nemají rádi CLI tak je unifi asi nejlepší co jsem viděl ( jasně potřebuješ znalosti jak funguje síť, ale to pokaždé) Navíc se to dá ovládat i přes CLI.

OK, ja uz s tim take dlouho nedelal (a s USG nikdy), tak me to jen zajimalo...

148

Sítě / Re:Rozšíření wi-fi sítě v RD a zahradě

« kdy: 03. 10. 2019, 09:31:59 »

Cloud key je fajn ale není nutnost. Pokud máš zbytečných 2.5K (za stareou jedničku dvojka stoji snad cca 5K) tak rozhodně bych si to pořídil. Controllery pro win i linux  najdeš zde : https://www.ui.com/download/unifi/

Pokud to rozpocet dovoli, tak bych ho rozhodne doporucil CloudKey. Da se nainstalovat i na PC (ale pevna IP, chybejici logy atp.)...

149

Sítě / Re:Rozšíření wi-fi sítě v RD a zahradě

« kdy: 02. 10. 2019, 20:30:16 »

UniFi Security Gateway lze snadno konfigurovat díky intuitivnímu softwaru UniFi Controller, pomocí kterého lze konfigurovat i ostatní UniFi zařízení.

Zdroj: https://www.i4wifi.cz/cs/210617-bezpecnostni-brana-ubnt-unifi-security-gateway

Mne se to nezda a ma to vcelku malo RAM.

https://dl.ubnt.com/qsg/USG/USG_EN.html :
Software Installation
Download the latest version of the UniFi Controller software at: ui.com/download/unifi

From a management station connected to the same Layer-2 network, launch the installer and follow the on-screen instructions.

150

Sítě / Re:Rozšíření wi-fi sítě v RD a zahradě

« kdy: 02. 10. 2019, 19:48:55 »

1x https://www.czc.cz/ubiquiti-unifi-security-gateway-3x-gbit-lan/209660/produkt
1x https://www.czc.cz/ubiquiti-unifi-switch-8x-gbit-lan_3/208497/produkt
1x https://www.czc.cz/ubiquiti-unifi-switch-8x-gbit-lan/197224/produkt
1x https://www.czc.cz/ubiquiti-unifi-ac-long-range/195449/produkt
2x https://www.czc.cz/ubiquiti-unifi-ac-mesh/208488/produkt

Pokud zadne z tech zarizeni nedisponuje embeded controllerem (coz se mi nezda a nechce se mi to hledat), tak bych rozhodne prihodil:
https://www.i4wifi.cz/cs/210660-kontroler-ubnt-unifi-cloud-key

Kdyz uz jsme tedy u vyhod jednotne Unifi řady...