Příspěvky

1

Sítě / Re:QoS na 250M DSL lince

« kdy: 20. 12. 2021, 20:04:00 »

Chtěl bych dosáhnou minimální latence kvůli hraní online her a celkově mít možnost různým klientům přiřadit různou šířku pásma. Ping bez zatížení je 9-10ms, ale při zátěži stoupá a pro hraní to není ideální. Teď testuji Mikrotika RB750G3, který je za terminátorem od Cetinu. Stadia jede na portech 44700-44899, tak se je snažím prioritizovat a snížil jsem maximální rychlost, abych dosáhl nižší latence. Teď to mám takto a zdá se, že je to funkční. Rychlost internetu se v tomto připadě snížila jen nepatrně cca na 220M. QoS na celé síti moc tímto Mikrotikem řídit nelze, protože pak rychlost padne někam ke 140M, i když k internetu přistupuje jen jeden klient.

/ip firewall mangle
add action=mark-packet chain=prerouting dst-port="" new-packet-mark=stadia \
    passthrough=no port=44700-44899 protocol=udp
add action=mark-packet chain=prerouting new-packet-mark=stadia1 passthrough=\
    no port=44700-44899 protocol=tcp
/queue simple
add max-limit=20M/80M name="stadia googleTV" packet-marks=stadia,stadia1 \
    queue="QOS fq codel/QOS fq codel" target=bridge

Myslím že to máte v principu správně, jen máte tu frontu na bridge ale měla by být na odchozí interface timhle si zpomalujete provoz v LAN, problém ale je že DSL nemáte symetrické. Download upload..
Vyřešíte tím jen provoz který jde od Vás ven, ale u asymetrické linky se snižuje download když někdo cokoli odesílá což muže způsobit, že i tak vylítnou latence když bude stadia v prioritě.

Pokud jde o nesymetrickou linku tak myslím že nic lepšího nevymyslíte.
Já to řeším přes DSCP v rámci sitě a měnim DSCP u paketů odchozích a doufám že něco dál tento mechanizmus respektuje. Mohu ale jen doufat. Každopádně to funguje určitě lepe než když tam nic takového nebylo.

2

Sítě / Re:QoS na 250M DSL lince

« kdy: 20. 12. 2021, 18:30:10 »

Dobrý den,
myslím si že to co hledáte je qos např přes DSCP, mam podobné potřeby řešeny přes Mikrotik jako bránu která vytáčí ppoe O2 VDSL a s GforceNow (cloud gaming) stramem.
Aplikace generuje ve streamu packety s DSCP číslem, na Mikrotik má tento provoz přednost před ostatním.

Nevím jak Stádia, muselo by se okoukat ve wiresharku jestli pakety značkuje, pak by to takhle šlo.
Ale nenapsal jste co máte na bráně takže těžko radit.

3

Sítě / Re:Výběr SIEM - jak sledujete, co se děje v síti?

« kdy: 01. 11. 2021, 08:27:06 »

Zdravím,
jako siem používáme ossim (agenty, netflow z centrálních síťových prvků, suricata na dedikované síťovce, testy zranitelností pravidelně).
Jako central log, graylog, na graylogu spousty sledovaní všeho co bylo potřeba, posila se mailem tomu kdo to chtěl (graylog 3 servery celkem db replikovaná).

Na perimetru Sophos pere provoz.

Stejně si ale myslím že pokud by něco přišlo přijde to odjinud, přes lidi.
Takže s průserem se u Nás počítá.

4

Server / Re:Vadný NAS Synology

« kdy: 25. 10. 2021, 09:45:29 »

Ano, s přihlédnutím k tomu, že ty zdroje vydrží cca 4 roky a k tomu, že už to nějakou dob žije, taky to chce zohlednit životnost disků.

Prostě očakávám, že to za čtyři, čtyři a půl roku bude potřebovat další - větší - údržbu.  Ta už možná nebude dávat valný smysl. OS podporovaný asi bude.

OT: To jako vážně ty Synology zdroje (a u modelu za bratru 15k) vydrží jen 4 roky? Občas se mě někdo ptá jaký domácí NAS pořídit (pro BFU) - Tak doporučuju Synology,  klidně novější model (DSx16 a novější) z druhé ruky (ale nové disky). Vzhledem k dobré podpoře výrobce jsou moje očekávání dalšího provozu 5-10 let. Doteď jsem se toho nebál.

Pokud zdroj (a kondíky na desce) Synology vydrží jen 4 roky, co má cenu domu kupovat, aby to vydrželo aspoň 5-10 let s podporou výrobce? A teda nestálo to raketu - jako pro normálního uživatele je krabice na zálohy fotek, domácího videa a starých školních a pracovních dokumentů za 7000,- drahá (páč je za to je nový počítač).
Prostě to obyčejný lidi berou jenom jako stále připojený externí hdd, sdílený v rodině. Tak aby to bylo trochu svižný, moc to nežralo, pro bfu co občas aktualizuje bezpečný a jiný pitchoviny od toho víceméně nepotřebujou.

Ne vydrží klidně i déle, máme jich desítky a měníme je opravu jen když nám to zakazník chce zaplatit nebo pokud zařízení už nestačí.
Disky neřeším to odejde klidně i nový.  Pokud odejde naska uplně, třeba bleskem a přezijou disky tak přendat disky do jiného syno boxu a jede se dál. Přijde mi že je tohle řešení to lepší na trhu, čekat podporu 10 let je ale utopie, ono to chodí ale neběhá, mam takhle starý qnap funguje, ale je to už utrpení očividně nestihá ani UIčko.

5

Server / Re:Vadný NAS Synology

« kdy: 24. 10. 2021, 15:00:31 »

Proč jen 4 roky a pak půjde do popelnice? Já věci kupuju s tím, že vydrží minimálně 10-15let fungovat (kromě spotřebky jako je HDD nebo mírné údržby jako tady ta výměna kondenzátorů atd)

Patrně tim bylo myšleno dokud bude zařízení podporováno výrobcem, davají na ně mezinárodní zaruku, už jsem to 4 rok využil u prodejce zaruka nebyla, u synology ano. Box mi vyměnily byla vadná pamět kernel panic.

Více info https://www.synology.com/cs-cz/products/status

6

Sítě / Re:Česká firma implementující PacketFence

« kdy: 24. 10. 2021, 14:57:18 »

Zdravím,
v práci mám s Packetfence pilotní provoz, osvědčil se, ale ne vše co si představuji funguje úplně, je třeba doladit pár věci v naší šabloně pro mikrotik switch a zatím to není v komunitě ani v procesu a u mě není moc čas, zatím ale spokojenost. Polepšili jsme si tím.

#Co mi funguje
802 1x ověřovaní na mikrotik switchy (Dot1X) klient Windows suplicant, ověřování počítač nebo user z AD. Dle nastavení nodu z packetfence dostane úspěšnou vlan neúspěšnou vlan nebo karanténní vlan kde se muže lognout přes web, skenuje klienta v pozadí jestli je vše z jeho pohledu běžné a pošle mi pěkně info pokud by se mu něco nezdálo klienta neověří dostanu info.

# Co nefunguje ještě stopro.
máme více switch vendorů (HPE,Mikrotik) takže to bude ještě trocha laborování aby šly i ostatní věci na stopro, postupně segmenty síte zapojujeme do ověřování.
U mikrotiku mi nejde odpojování klientů na portu (reevaluate access), zkoušel jsem radiusem i přes snmp ale radius posilá patrně špatný příkaz na schození mac/portu, takže data přijdou ale nic to neudělá na swtichy, odpojení tedy je po reautentifikaci klienta do rekonektu portu jede jak předtím, mělo by ho to samo vyhodit v ideálu.

Bohužel druhou část otázky kdo to dělá s podporou to netuším.

7

Server / Re:LogWatch - nereportovat 404

« kdy: 07. 10. 2021, 09:08:16 »

Editovat

Kód: [Vybrat]

/etc/logwatch/conf/services/httpd.conf
Odkomentovat nebo vložit řádek

Kód: [Vybrat]

$http_rc_detail_rep_404 = 20
přijde jen sumář kolik bylo 404 je to na jeden řádek.

8

Bazar / Re:Kúpim serverové DDR3 ECC 4GB, 2GB

« kdy: 27. 07. 2021, 20:29:38 »

Zdravím,
bral jsem taky takový server rok zpět na hraní a byl už s pamětí 64GB, ale koukam prodejce je stále má, kdyby jste chtěl koukněte tam, http://www.itxpert.cz/ddr3/

A doporučuju oflešovat co to jen jde, iDRAC bez poslední verze byl tak trochu nepoužitelný.
Beží na něm proxmox a na hraní cajk.

9

Hardware / Re:UPS k Synology DS920+

« kdy: 13. 07. 2021, 14:08:49 »

Tam jde o komunikaci s NASem, v synology běží přes UI ovladaný NUT.
Takže se NAS vypne když jde do tuhého a vypne i ups, nebo se vypne po x minutách a nebo dá také vědět dalším několika ip adresám aby se vypnuly...kuli tomu je ten kompatibility list.

Ale jakékoli APC i starší jedou bez problému pokud mají komunikaci usb nebo ethernet snmp.

Pokud máte favorita vemte z ešopu a kdyžtak ji vrátite. Hlavně ať obdobný model je v seznamu, liší se mnohdy jen provedením zasuvek vzadu.

Pokud ma NAS v zatezi spotrebu 20W tak to hrave utahne i UPS za 1600,-, nebo ne?

10

Server / Re:Ake NAS a kolko diskov?

« kdy: 09. 07. 2021, 16:48:13 »

Patrně proto že si tím synology už v minulosti prošlo, měly cryptovirus přímo pro jeho modely a musí se nechat že na tom zapracovaly, maji notifikace o známejch zranitelnostech, security auditor v nasu, který člověka buzeruje. Vzali si ten fail jako problém který řeší. Což se o Qnapu říct nedá.

QNAP má v cene 10 licencií a to aj pri lacných low-end modeloch.
Synology len 2 licencie a to aj pri drahších high-end modeloch.

Ja mám v pláne 4 kamery a práve pre nutnosť dokúpenia 2 licencií pri Synology za ďalších 2x50 eur zvažujem QNAP. No ten má poslednú dobu dosť problémy s bezpečnosťou - zasadli si naň hackeri, ktovie prečo nie na Synology

11

Server / Re:Ake NAS a kolko diskov?

« kdy: 09. 07. 2021, 12:02:34 »

To už je dost na hraně, zaleží hlavně na tom jakou kvalitou nahráváte a jestli kontinuálně a nebo jen události když se někde něco pohne. Pokud  nahráváte eventy myslím že to bude na dvou diskách ok.

5 kamer už není basic, to bych tedy zvolil model s + pluskem. Pokud bude kontinuální zápis kamer tak to už bude na více disků tedy DS4xx nebo  DS5xx

https://global.download.synology.com/download/Document/Hardware/DataSheet/DiskStation/20-year/DS220+/enu/Synology_DS220_Plus_Data_Sheet_enu.pdf?_ga=2.6848052.703237312.1625824526-340675663.1625824526 Datasheet.

Dole v datasheetu je max počet kamer 25, ale to už by nezvládlo procesorově nic víc, a jen udalosti.
Součásti je licence na 2 kamery. Pak musíte dokoupit.

12

Server / Re:Ake NAS a kolko diskov?

« kdy: 09. 07. 2021, 11:33:05 »

Pro domácí použití a jednu kameru stačí Synology DS2xx s dvouma diskama doporučuji od různých výrobců edice nas, aby neodešly oba najednou.
Survailence station balíček kamery Hikvision umí a licence tam v základu je.
K tomu raději malou upsku s USB a strčit do toho DSka, nas se korektně vypne když jde do tuhého, aby jste nepřišel o nezapsaná data.

levné to nebude ale máte klid.

13

Sítě / Re:Nelehký výběr AP

« kdy: 09. 07. 2021, 10:10:13 »

No vidíte, lehké to fakt není, máme u nás několik desítek Mikrotik wifi ap různých modelů a fungují k naší spokojenosti.
Ono je to spíš o tom co si tam admin nastaví, v defaultu to funguje pokud se začne do konfigurace vrtat víc je třeba o tom také víc vědět.
Používáme v standalone a nebo v CAPsMAN modu z centrály na pobočky.
Také na vzdálené lokality synchronizujeme jednoduchým scriptem aclka záškodníků, jedno z SSID (VLAN) máme na microsoftí radius server pro doménové usery.

Pro mě je dobré to že na to není potřeba vysoká škola a vyměnit a nastavit AP zvládne i helpdesk na lokalitě, dohled máme přes Netxms. Aktualizace jsou roky k dispozici i pro starší ap, patche ale nejdříve testujeme na stabilitu a děláme patche jen ty které se nás týkají.

Prostě to funguje.
Ušetřené peníze z tohoto projektu jsme raději investovaly na školení mikrotiků pro kolegy, a implementace unimusu pro zálohu a diff konfigurací.
Osvěčilo se.

14

Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává

« kdy: 28. 06. 2021, 15:56:28 »

Zkuste tedy změnit mangle pravidlem velikost MSS, mam to tu takto stejně, já jsem ten problém (VDSL) a druhá strana je v pořádku.
U sebe mám mangle pravidlo s DST adresním rozsahem a akce je change MSS vypočteno 1338, zkuste podle sebe okoukat hodnotu pokud to bude fungovat.

add action=change-mss chain=postrouting comment="Max ramec pro xxx, vy\E8teno z \
    pingu bez fragmentace s max ramcem dokud to pingalo a ta hodnota minus 40 je\
    \_mss " dst-address=xxx.xxx.x.x/24 new-mss=1338 passthrough=yes protocol=\
    tcp tcp-flags=syn

To by mohlo pomoct.

Dobrý den,

diky za odpověď, vstoupim do diskuze za kolegu, jsem ten kdo to konfiguroval.

Ve chvíli, kdy to přestane fungovat se tunel stále tváří na obou stranách jako established. Ping funguje oboustranně, a odpovídá realitě, tzn. i ze strany, kde přestanou fungovat určité typy komunikace, ping přes tunel funguje jen proti "živým" zařízením druhé strany. Většinou fungují i DNS dotazy na DNS server na druhé straně. Přestanou jakoby fungovat přenosy s větší velikostí packetu, resp. na MTU máme podezření. Zkoušeli jsme laborovat s nastavením MTU na VDSL Vodafone (na PPPoE interface mikrotiku), ze standardních auto 1480 na 1492, výsledek stále tentýž. Navíc ping s nastavenou velikostí packetu a zákazem fragmentace prochází ikdyž nastane problém. Teď to, po prvním problémovém týdnu, jelo skoro měsíc v podstatě bez problémů a nyní to opět začalo blbnout, je třeba udělat několik restartů tunelu denně. Nastavoval jsem a mám ve správě v podstatě několik desítek tunelů přes VDSL v režimu bridge, na Cisco i Mikrotik routerech, které jedou bez problémů, ale to je vše na VDSL přímo od O2, od Vodafone jinde nic nemám, tak mi chybí konkrétní zkušennost s provozem. Samozřejmě může být problém i s NATem u poskytovatele druhé strany, to ale bohužel težko ovlivníme. Většinou stačí restart tunelu, jen vyjímečně je třeba i restart PPPoE spojení přes Vodafone VDSL.

Konfigurace je Main, na straně VDSL (strana, která vykazuje ten problém) je modem v režimu Bridge, na Mikrotiku je veřejná IP přes PPPoE, druhá strana je připojena lokálním WiFi providerem, který používá pro klienty lokální adresy a NATuje je na svém rozhraní, z veřejné adresy vyhrazené pro konkrétního klienta.

Jelikož se nám nedaří najít příčinu, pro automatický restart tunelu jsem udělal script využívající toho, že při problému nefunguje fetch webové stránky z protistrany, takže to cyklicky v intervalech testuje a když to neprojde restartne tunel. Ale samozřejmě bychom raději našli podstatu problému a nehasili jen následky.

15

Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává

« kdy: 28. 06. 2021, 10:52:59 »

Dobrý den,
vypadá to že máte ipsec přpojen jen z jedné strany..

můžete poslat část konfigurace ipsec tunelu? Jestli je mod main nebo agresive, jestli je router za natem nebo přímo má na sobě veřejnou adresu.

Prosím také koukněte na stav ipsec tunelů a jejich P2 na obou stranách
Ve winboxu je to
IP > IPSEC > Policies nabídka, sloupec PH2 State by měl být na obou stranách established.

A také verzi Router OS a jestli je zapnutý Fast Path IP > Settings > Allow Fast Path ja jej raději na hlavním routeru vypinám dělá mi v logice bordel.