Příspěvky

16

Bazar / Re:Kúpim serverové DDR3 ECC 4GB, 2GB

« kdy: 27. 07. 2021, 20:29:38 »

Zdravím,
bral jsem taky takový server rok zpět na hraní a byl už s pamětí 64GB, ale koukam prodejce je stále má, kdyby jste chtěl koukněte tam, http://www.itxpert.cz/ddr3/

A doporučuju oflešovat co to jen jde, iDRAC bez poslední verze byl tak trochu nepoužitelný.
Beží na něm proxmox a na hraní cajk.

17

Hardware / Re:UPS k Synology DS920+

« kdy: 13. 07. 2021, 14:08:49 »

Tam jde o komunikaci s NASem, v synology běží přes UI ovladaný NUT.
Takže se NAS vypne když jde do tuhého a vypne i ups, nebo se vypne po x minutách a nebo dá také vědět dalším několika ip adresám aby se vypnuly...kuli tomu je ten kompatibility list.

Ale jakékoli APC i starší jedou bez problému pokud mají komunikaci usb nebo ethernet snmp.

Pokud máte favorita vemte z ešopu a kdyžtak ji vrátite. Hlavně ať obdobný model je v seznamu, liší se mnohdy jen provedením zasuvek vzadu.

Pokud ma NAS v zatezi spotrebu 20W tak to hrave utahne i UPS za 1600,-, nebo ne?

18

Server / Re:Ake NAS a kolko diskov?

« kdy: 09. 07. 2021, 16:48:13 »

Patrně proto že si tím synology už v minulosti prošlo, měly cryptovirus přímo pro jeho modely a musí se nechat že na tom zapracovaly, maji notifikace o známejch zranitelnostech, security auditor v nasu, který člověka buzeruje. Vzali si ten fail jako problém který řeší. Což se o Qnapu říct nedá.

QNAP má v cene 10 licencií a to aj pri lacných low-end modeloch.
Synology len 2 licencie a to aj pri drahších high-end modeloch.

Ja mám v pláne 4 kamery a práve pre nutnosť dokúpenia 2 licencií pri Synology za ďalších 2x50 eur zvažujem QNAP. No ten má poslednú dobu dosť problémy s bezpečnosťou - zasadli si naň hackeri, ktovie prečo nie na Synology

19

Server / Re:Ake NAS a kolko diskov?

« kdy: 09. 07. 2021, 12:02:34 »

To už je dost na hraně, zaleží hlavně na tom jakou kvalitou nahráváte a jestli kontinuálně a nebo jen události když se někde něco pohne. Pokud  nahráváte eventy myslím že to bude na dvou diskách ok.

5 kamer už není basic, to bych tedy zvolil model s + pluskem. Pokud bude kontinuální zápis kamer tak to už bude na více disků tedy DS4xx nebo  DS5xx

https://global.download.synology.com/download/Document/Hardware/DataSheet/DiskStation/20-year/DS220+/enu/Synology_DS220_Plus_Data_Sheet_enu.pdf?_ga=2.6848052.703237312.1625824526-340675663.1625824526 Datasheet.

Dole v datasheetu je max počet kamer 25, ale to už by nezvládlo procesorově nic víc, a jen udalosti.
Součásti je licence na 2 kamery. Pak musíte dokoupit.

20

Server / Re:Ake NAS a kolko diskov?

« kdy: 09. 07. 2021, 11:33:05 »

Pro domácí použití a jednu kameru stačí Synology DS2xx s dvouma diskama doporučuji od různých výrobců edice nas, aby neodešly oba najednou.
Survailence station balíček kamery Hikvision umí a licence tam v základu je.
K tomu raději malou upsku s USB a strčit do toho DSka, nas se korektně vypne když jde do tuhého, aby jste nepřišel o nezapsaná data.

levné to nebude ale máte klid.

21

Sítě / Re:Nelehký výběr AP

« kdy: 09. 07. 2021, 10:10:13 »

No vidíte, lehké to fakt není, máme u nás několik desítek Mikrotik wifi ap různých modelů a fungují k naší spokojenosti.
Ono je to spíš o tom co si tam admin nastaví, v defaultu to funguje pokud se začne do konfigurace vrtat víc je třeba o tom také víc vědět.
Používáme v standalone a nebo v CAPsMAN modu z centrály na pobočky.
Také na vzdálené lokality synchronizujeme jednoduchým scriptem aclka záškodníků, jedno z SSID (VLAN) máme na microsoftí radius server pro doménové usery.

Pro mě je dobré to že na to není potřeba vysoká škola a vyměnit a nastavit AP zvládne i helpdesk na lokalitě, dohled máme přes Netxms. Aktualizace jsou roky k dispozici i pro starší ap, patche ale nejdříve testujeme na stabilitu a děláme patche jen ty které se nás týkají.

Prostě to funguje.
Ušetřené peníze z tohoto projektu jsme raději investovaly na školení mikrotiků pro kolegy, a implementace unimusu pro zálohu a diff konfigurací.
Osvěčilo se.

22

Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává

« kdy: 28. 06. 2021, 15:56:28 »

Zkuste tedy změnit mangle pravidlem velikost MSS, mam to tu takto stejně, já jsem ten problém (VDSL) a druhá strana je v pořádku.
U sebe mám mangle pravidlo s DST adresním rozsahem a akce je change MSS vypočteno 1338, zkuste podle sebe okoukat hodnotu pokud to bude fungovat.

add action=change-mss chain=postrouting comment="Max ramec pro xxx, vy\E8teno z \
    pingu bez fragmentace s max ramcem dokud to pingalo a ta hodnota minus 40 je\
    \_mss " dst-address=xxx.xxx.x.x/24 new-mss=1338 passthrough=yes protocol=\
    tcp tcp-flags=syn

To by mohlo pomoct.

Dobrý den,

diky za odpověď, vstoupim do diskuze za kolegu, jsem ten kdo to konfiguroval.

Ve chvíli, kdy to přestane fungovat se tunel stále tváří na obou stranách jako established. Ping funguje oboustranně, a odpovídá realitě, tzn. i ze strany, kde přestanou fungovat určité typy komunikace, ping přes tunel funguje jen proti "živým" zařízením druhé strany. Většinou fungují i DNS dotazy na DNS server na druhé straně. Přestanou jakoby fungovat přenosy s větší velikostí packetu, resp. na MTU máme podezření. Zkoušeli jsme laborovat s nastavením MTU na VDSL Vodafone (na PPPoE interface mikrotiku), ze standardních auto 1480 na 1492, výsledek stále tentýž. Navíc ping s nastavenou velikostí packetu a zákazem fragmentace prochází ikdyž nastane problém. Teď to, po prvním problémovém týdnu, jelo skoro měsíc v podstatě bez problémů a nyní to opět začalo blbnout, je třeba udělat několik restartů tunelu denně. Nastavoval jsem a mám ve správě v podstatě několik desítek tunelů přes VDSL v režimu bridge, na Cisco i Mikrotik routerech, které jedou bez problémů, ale to je vše na VDSL přímo od O2, od Vodafone jinde nic nemám, tak mi chybí konkrétní zkušennost s provozem. Samozřejmě může být problém i s NATem u poskytovatele druhé strany, to ale bohužel težko ovlivníme. Většinou stačí restart tunelu, jen vyjímečně je třeba i restart PPPoE spojení přes Vodafone VDSL.

Konfigurace je Main, na straně VDSL (strana, která vykazuje ten problém) je modem v režimu Bridge, na Mikrotiku je veřejná IP přes PPPoE, druhá strana je připojena lokálním WiFi providerem, který používá pro klienty lokální adresy a NATuje je na svém rozhraní, z veřejné adresy vyhrazené pro konkrétního klienta.

Jelikož se nám nedaří najít příčinu, pro automatický restart tunelu jsem udělal script využívající toho, že při problému nefunguje fetch webové stránky z protistrany, takže to cyklicky v intervalech testuje a když to neprojde restartne tunel. Ale samozřejmě bychom raději našli podstatu problému a nehasili jen následky.

23

Sítě / Re:Mikrotik IPSEC tunnel site-to-site vypadává

« kdy: 28. 06. 2021, 10:52:59 »

Dobrý den,
vypadá to že máte ipsec přpojen jen z jedné strany..

můžete poslat část konfigurace ipsec tunelu? Jestli je mod main nebo agresive, jestli je router za natem nebo přímo má na sobě veřejnou adresu.

Prosím také koukněte na stav ipsec tunelů a jejich P2 na obou stranách
Ve winboxu je to
IP > IPSEC > Policies nabídka, sloupec PH2 State by měl být na obou stranách established.

A také verzi Router OS a jestli je zapnutý Fast Path IP > Settings > Allow Fast Path ja jej raději na hlavním routeru vypinám dělá mi v logice bordel.

24

Sítě / Re:Sháním kompaktní MikroTik s podporou LTE, 5G a Wi-Fi

« kdy: 12. 03. 2021, 09:58:41 »

Dobrý den,
koukněte po tomhle
https://www.youtube.com/watch?v=kdT-tlzRZI4&t=11s

Tento model ohlásily včera v newsletteru, pokud trváte na 5G bude chvilku trvat než bude na skladě v CZ, pokud by stačilo LTE modelu je dostupných více už dnes.

25

Sítě / Re:Routery MikroTik - velikost úložiště

« kdy: 02. 03. 2021, 10:33:05 »

Tak když se Vám nechce chodit hledat na forum mikrotiku řešení na dotaz který má určitě každý tak tady máte link.

Dělal jsem to takhle i na dálku pokud byli zařízení na LAN. Pak už Vám Autoupdaty zase pujdou.

https://forum.mikrotik.com/viewtopic.php?f=2&t=108174&p=823647#p820791

1. Make a backup and export, save them on your PC
2. Disable all the packages you can including this:
hotspot
ipv6
mpls
ppp
routing
wireless
advanced tools

3. Reboot
4. Upgrade using only this packages taking them from the all packages zip:
system
security
dhcp
5. Reboot
6. After successful upgrade proceed to upgrade routerboot in system routerboard upgrade
7. Reboot

8. now install the additional packages you need only

26

Sítě / Re:Routery MikroTik - velikost úložiště

« kdy: 01. 03. 2021, 15:22:36 »

Flash je pro firmware jakoukoli další činností na ní si flešku ničíte (system > resouces> Bad Block) i logy buď do paměti nebo syslog, připadně usb fleška která ale časem odejde,
pokud potřebujete uložiště strčte si tam usb disk/flešku naformatujte přes menu a můžete začít používat.
Srovnání s TP linkem je úsměvné k tomu se raději nevyjádřím to by bylo na flame.

Problémy s velikosti originálních firmware jsou, řešení najdete na oficiálním fóru je třeba zaměnit systém fullflash balíčku na systém zaklad a ostatní balíčky k tomu, pak se vejde a není problém, ano samo se to neudělá to je škoda.

U toho modelu který jste uvedl platíte ale 3k, tedy navíc, za jiné věci než je pamět/flash kterou patrně vyžadujete (SFP, POE).
Není to švýcarský nuž, používejme to na to na co byl produkt vytvořen.

27

Sítě / Re:Routery MikroTik - velikost úložiště

« kdy: 01. 03. 2021, 13:03:04 »

Dobrý den pokud jste narazil na problém s místem na disku tak se jedná patrně o chybu v přístupu k věci, pokud vám došla pamět tak to hold nestačí hardware.

Plnění access listů dělám zásadně přes mikrotik api, v phpku je na to knihovna a tou tam ze serverů např. třeba z fail2ban můžete přes akce sypat záškodníky a to přímo ze serverů které chráníte, pokud je to vetší instalace a nehcete si tím vytěžovat router, dělejte to na backend mikrotiku třeba na CHR verzi ve virtualce a do hlavního mikrotiku to replikute přes routovací protokol jako blackhole routy. Řešení je hodně, ale výběr hardware je důležitý, levné mají málo ram malé fleše, ale ono to prostě běžně není potřeba je to úměrné ceně.

Na velikost úložiště 16MB jsem už tvrdě narazil  . Mám za mikrotikem některé servery, které chci viditelné z internetu, ale zároveň je chci chránit proti brutal force útokům. Stahoval jsem blacklisty, jenže ty se mi už nevejdou na úložiště, tam se ukládá konfigurace. Nakonec jsem to vyřešil tak, že mám učící se blacklisty, tak blokuji až při pokusu o brutal force.

28

Sítě / Re:Zyxel VGM3312-T20a VDSL bridge

« kdy: 18. 01. 2021, 08:14:15 »

Mam to podobně, ale vytáčím ppoe přes mikrotik, pokud cetin resne linku musím jít a otočit Zyxel jelikož se DSL samo nechytne, nevím jestli je to chyba na DSLamu nebo v postupu té změny na straně Cetinu ale ppoe je připojené a data netečou. V danný moment je na zyxelu v DSL Info že rychlost je 0, prostě se to jako by samo nesesynchronizuje s usřednou po servisnim zasahu, takto se to také chovalo pokud byla ztrátová linka. (zvýšení rychlosti tam kde to linka nedává)

29

Server / Re:Zkušenosti s AntiSpam Gateway

« kdy: 18. 11. 2020, 13:43:06 »

Dobrý den,
provozuji antispam jako bránu za mailserverem na Sophos UTM firewallu,
kromě všech fíčur firewallu a filtrace můžete klidně použít jen samotnou smtp proxy která se stará o věci spojené s emaily, antivirový engine je tam sophos a také avira, je dualní. RBL jsou definovatelné, všechny fičury co Vás napadnou kolem emailů také i nějaké ty šifrovací speciality jako transparentní pgp na vstupu rozbalit userovy na vystupu zabalit adresátovy...
Jako proxy řeší kontroly a filtrace s odvoláním, tedy na recipienta se během smtp přenosu s odesilatelem zeptá backend mailserverů jestli někoho takového znají a když ne okamžitě v rámci smtp zařízne transfér, tedy blokuje ihned ne až po přijetí, to moc řešení nemá, spammer to jinak považuje za úspěch.
Směrování na backend jde per doménu k serverům klidně i několik mailserverů v backendu s různým nastavením. Zkušenosti mám s postfixem jako backend server, s HCL Dominem, a s Exchange serverem.

Jinak řešení operativy s produktem je velmi přijemné, maillogy jsou pro admina všechny, pro usery ty týkajících se jejích mailu pěkné v grafice, je tu i denní sjetina co userovy spadlo do karantény s tím že si to mail muže sám releasnout přes link, chodí jim to do mailu pokud v karanténě něco přistálo ve vámi definovaný čas, pokud chcete, viry samozřejmě do karantény nepouští.

Výjimky se dají dělat velmi granulárně na email na doménu na zdroj a kombinaci zdroj a cíl a která všechna pravidla má tato vyhovující podmínka přeskočit. 

Provozuji takto UTM bránu ve variantě free pro 50 ip na vnitřní siti jako virtualku (2vcpu 4gb ram 60gb disk). Existuje také instance NGFirewall od Sophosu který je free s hardware omezením na VM bez limitace ipček.

V zaměstnání máme jinak sophos UTM placený dvou HW boxový v HA, zde se platí desátky za box, není zde omezení na uživatele, nemusíte mít na každou blbost další krabice a platit další desátky, poplatek za boxy řeší vadu HW, software aktualizace a definice.

Určitě zkuste adminoval jsem ledacos ale na emaily toto vyhovovalo nejvíce za ty peníze, už několik let nemam potřebu řešit otázku emailového provozu.

30

Server / Re:ISPconfig - zobrazení obsahu

« kdy: 19. 06. 2020, 19:06:24 »

Dobrý den,
ISPconfig pokud dáte jeho ip zobrazí apache/nginx default page pokud ji mate v obecné konfiguraci povolenou.
Pokud ne, načte se tak nejbližší stránka z vhostů
pokud dáte příkaz v případě apache2 a debian/ubuntu

Kód: [Vybrat]

apache2ctl -Stak je to ten web označený jako default

default page pro http nebo https povolite

Kód: [Vybrat]

a2ensite 000-defaultpopřípadě

Kód: [Vybrat]

a2ensite 000-default-ssl ale ta ssl je vlastně vždy vadna selfsigned page.