Příspěvky

1

Sítě / Re:Tři tunely VPN s jednou veřejnou IP adresou

« kdy: 12. 04. 2025, 14:21:53 »

Ten popis topologie je prinejmensim strasny. Mas VPS ten bude jako WG koncentrator, do ktereho budou pripojeny dve rekneme pobocky. A chces aby bylo z jedne pobocky "videt" do druhe a naopak.
Pokud plati jak jsem popsal situaci pak je to velice jednoduche a to na wg klienta na pobocce jedna nastav do AllowedIPs adresni rozsah z pobocky dva a na klienta na pobocce dva nasatv do AllowedIPs adresni rozsah z pobocky jedna.
Na vpn koncentratoru nastav pro peera pobocky jedna do AllowedIPs adresni rozsah pobocky jedna a pro peera pobocky dva adresni rozsah pobocky dva.
Pak ti bude provoz routovat. Nicmene pocitam s tim, ze zarizeni slouzici jako wireguard klient na pobocce je zaroven vychozim routerem. pro danou pobocku.

2

Server / Re:GUI pre KVM

« kdy: 29. 03. 2025, 08:15:17 »

Ahoj za me urcite virt-manager. Co se tyka widows pouzivam virtio zařízení s virtio drivery. Mam tak ve MV Windows 11 s TPM a jede uplne super.

3

Sítě / Re:Router na cesty

« kdy: 24. 03. 2025, 06:30:32 »

Dekuji vsem za podnety, jeden router lepsi jak druhy - super. Ja vedel ze je dobry napad se zeptat  nez testovat kus po kuse

4

Sítě / Router na cesty

« kdy: 23. 03. 2025, 21:50:59 »

Zdravim ve spolek, potrebuji novy router na cesty. Casto se stava, ze pokryti wifi signalem v apartmanu atp je slabe. Dlouha leta jsem pouzival mikrotik rb433  se dvema wifi kartama. Jak uz to tak byva nic nevydrzi vecne a je zapotrebi poridit neco jineho. Koukal jsem na nabidku mikroitku a rekl bych ze timto smerem se spise zmensila. Preferuji bud router s podporou OpenWRT nebo mikroitk. Co pouzivate za zarizeni? Pozadavky - nejlepe oddelene wifi pro prijem a pro vysilani, l3 funkce, podpora ipsec/wireguard.

5

Sítě / Re:Pokročilé dotazy na (nexthop+) (multi)routing

« kdy: 19. 10. 2024, 07:09:39 »

Nevim o co se pokousis, ovsem dynamicka aktualizace route table je zalezitost pro routovaci protokoly. Aka BGP, OSPF, dale je zde moznost spojit BGP s ECMP. Routovacich protokolu je vice , is-is protokol se vyuziva temer vyhradne na “podvozku” ISP  tier 2/3 a pak dnes temer nepouzivany (aspon ja ho nikde nevidel) RIP. Ted k Linuxu - za me snad nejlepsi aplikace bird od cznic. 


Jinak dve def gw je zcela normalni v pripade mas napr. notebook pripojen k lan i wifi. Metrika urci kam pujde provoz.  Metrika je jina pro wifi, metaliku a zaroven i pro routy z ospf nebo bgp. Krome metriky muzes nastavit distance.

6

Software / Re:Stažení souboru (curl) a převod kodování (iconv?)

« kdy: 06. 09. 2024, 16:34:52 »

Zdravím,
rád bych se zeptal jak správně postupovat, když stáhnete soubor z netu stránku html (pomocí curl), a očividně v hlavičce je informace, že kódování je ve Windows-1250. Je zřejmé, že by se stažený soubor měl převést na UTF-8, ale nedaří se mi. Když se znaky nepřevedou tak následně vzniká problém, že v tom souboru nelze hledat české znaky s diakritikou. Takže pokud chci něco najít při parsování, např. pomocí podmínky if [[ "$line" =~ \<a(.*)\/a\> ]] tak do výsledku nikdy nebude zahrnuta ta část, která obsahuje ř, třeba slovo řešení. Tím pádem bude jakýkoliv výskyt kde jsou české znaky ignorován. Je tedy zřejmé, že je nutné stránku nejprve převést. Mohl byste mi někdo dát funkční řešení nejlépe pro ten curl. Já zkoušel iconv a prostě mi to nefunguje (žádný převod se nekonal). Takže nechci ani uvádět své špatné nefunční příklady.

A spravne delas nic neposilej, protoze by sme se treba mohli inspirovat nebo pohorsit. Me to funguje - mam soubor s ř v kodovani  Win1250 na radku 2 a 8 a kdyz si ho v cyklu prectu a v ifu

Kód: [Vybrat]

if [[ "$LL" =~ ř ]]porovnam pres regex tak vse v poho. Mmch ani sem nepotreboval iconv

7

Server / Nftables a jeden set pro více tabulek

« kdy: 02. 09. 2024, 15:51:53 »

Zdravím ve spolek, nastal čas upgrade serveru a při přepisování firewallu z iptables do nft jsem narazil. Vytvořil jsem si dvě tabule 1/ pro filter; 2/ pro nat. Ve filter jsem si vytvořil pojmenovaný set a naplnil. Bohužel nedokážu se na něj odkázat z druhé tabule (nat). Podle dokumentace to vypadá, že set je pod table a nelze tedy přistupovat na sety z jiných tabulí. Je tomu tak a nebo nějak jde přistoupit na sety v jiných tabulích.

8

Hardware / Re:Jakou outdoor IP kameru k domu

« kdy: 11. 08. 2024, 07:13:55 »

Dekuji kouknu na reolink

9

Hardware / Jakou outdoor IP kameru k domu

« kdy: 10. 08. 2024, 14:53:44 »

Ahoj shanim externi kameru a to nejlepe necisnskeho vyrobce. Pozadavky - zadne ukladani na cloud, ale na moje uloziste (debian). Mela by mit nocni videni, detekci pohybu a rozliseni fullhd nebo 4k. Pokud by byla od cinskeho vyrobce (hikvision, atp.) tak urcite s podporou ukladani na loklani uloziste. Jo a hlavne aby nestala raketu.

10

Server / Re:Jeden LE certifikát pro více webových serverů

« kdy: 13. 06. 2024, 20:01:50 »

Idealni reseni je, jak uz bylo zmineno, reverzni proxy. Takze na jednom serveru nasad nginx nebo haproxy a nastav smerovani na druhy server pro jednu domenu a pro druhou na stejny server.  Na reverzni proxy odbavis ssl/tls a pak uz jen posles na upstream na port 80. zariven muzes na reverzni proxy udelat blancer nebo failover. Problem nastane kdyz ti VPS kde budes mit vse zdechne. A to uz se dostavame k zajimavejsim vecem jako migrace ip adresy, sluzeb a to pomoci Heartbeat nebo corosync s pacemakerem.

11

Server / Re:Napadený server

« kdy: 31. 05. 2024, 15:55:51 »

Mam trochu jinaci nazor nez predrecnici - za me izolovat, analyzovat a zjistit kudy se do systemu utocnici dostali. Je zde nekolik (rozumej vice nez malo) moznosti a to od webu az po neaktualizovany balik. Samozdrejmosti je nahodit novy server se sluzbami napr. VM. Pokud nezjistite kama se utocnici dostali dovnitr muzete stejnou chybu zopakovat na novem serveru a tim padem budete zase v te same situaci. A to uz nezminuji otevrene ssh do celeho sveta s heslem 1234 atp.

12

Sítě / Re:Nastavení WireGuardu pro propojení mezi sítěmi

« kdy: 20. 04. 2024, 06:40:04 »

Wireguard je velice jednoduchy - do allowed ip davas vzdy ip adresy, ktere se maji routovat nebo-li se maji posilat na drouhou stranu tunelu. Pokud mam scenar telefon --- server pak na strane serveru nastavuji alloweip celou sit kterou mam pro VPN a na strane telefonu/klienta nastavuji ip adresy, ktere chci aby se hnaliy pres vpn. Pokud chces vsechen provoz nastav na telefonu 0.0.0.0/0 jinak musis dat vsechny subnety, ktere tam chces. Mimochodem pohledem do routovaci tabulky uvidis jak pro zadani allowedip se dana ip objevi na rozhrani pro wireguard. Tedy bude se do nej routovat.

13

Sítě / Re:Zvláštní reflected SYN ACK útok

« kdy: 20. 04. 2024, 06:30:52 »

Doporucuji udelat pcap otevrit ve wiresharku a analyzovat. Jedna se o komunikaci na port 25 pak bude dokonce videt i obsah spojeni a nebo aspon uvod pripojeni pred startls. Takova TCP spojeni, ktera nezacinaji 3-way handshake se odfiltruji ve firewallu pomoci stavu invalid. Debatovat nad tim co server delal a proc je zbytecna ztrata casu.

14

Server / Re:Vlastní veřejný DNS server pro jednu IP

« kdy: 14. 04. 2024, 11:53:59 »

Myslim ze v tom mas trosku zmatek. Pokud chces mi autorittivni DNS pro svou domenu pak by jsi mel zmenit u sveho registratora IP NS serveru. Pak tvuj DNS server bude odbavovat pozadavky na tvou domenu. Pokud chces aby tvuj DNS odbavoval jen pozadavky pro nekoho nemuzes mit verejny autoritativni DNS pro svou zonu a nelze provest zmenu u registratora. Muzes kombinovat autoritativni DNS server s rekurxivnim a dela se to bezne v ramci lokalnim zon.
Jestli si chces vyzkousel vytvorit si vlastni autoritativni server pro svou domenu pak si zmen u sveho registratora NS (musi byt domena)  a udelej glue zaznam, ktery je nutny aby vedel svet kde je ta domena. Ve chvili kdy budes mit autoritativni DNS pro domenu je dobre si domluvit s nekym at ti dela sekundarni server aby se nestalo ze ti lehne pripojka a tva zona bude mimo. Tim se dostavam k transferu zon z primaru na sekundar a to uz asi moc rozvadim tvuj dotaz.
Pro autoritativni dns muzes zkusit misto binda pouzit Knot.

15

Sítě / Re:iBGP - synchronizace rout z Birdu do OS

« kdy: 08. 04. 2024, 14:27:15 »

Ano je to tak - dekuji. A to jsem si rikal, ze jsem si dokumentaci precetl poradne.

No, už nevím co se píše v dokumentaci, ale sám jsem na záčátku s tím směrem import/export měl problém a tak v těch nejstarších konfigurácích stále najdu protocol kernel s těmito komentáři :-)

Kód: [Vybrat]

protocol kernel {
        persist;                # Po ukonceni birdu neodstranovat routy z routovaci tabulky
        scan time 300;          # Interval pro scan routovaci tabulky
        import none;            # Zadne routy neimportovat z kernelu do BIRDU
        export all;             # Z BIRDU do kernelu exportovat vsechny routy
}


Uprimne v dokumentaci je to popsano dost nepresne.  Tak jsem si byl jist nastavenim ze me vubec nenapadlo chybu hledat v import export procesu. Za me by urcite zaslouzila dokumentace k birdu trosku doladit/dotahnout/dodelat.