Příspěvky

1

Sítě / Re:MikroTik v roli chytrého switche

« kdy: 05. 06. 2023, 17:25:48 »

Mozna mi neco unika, ten switch chip umi koukat do paketu na vyssich vrstvach (treba na TCP/UDP port)? Osobne bych spis rekl ze ne, cimztopadem se data budou bud switchovat (potecou pouze skrz ten switch chip, ale bez filtrace na IP vrstve) anebo potecou pres procesor, ktery uz ten firewall dokaze, ale pak zase vsechna datova zatez (mezi temito porty) skonci na nem a propustnost asi rapidne spadne...?

Nie, neunika, pretoze je to pravda a dobra pripomienka. Bridgovanie je layer 2, firewall je layer 3. Bridgovaneho trafficu sa firewall netyka.

Teda, pokial to switch chip nevie. Pretoze niektore to vedia, vedia sa pozriet do paketu a spracovat ho podla pravidiel, aj bez toho, aby to tieklo cez cpu. Vola sa to "Rule table". Problem je, ze nie kazdy switch chip to podporuje a pred kupou zariadenia sa treba pozriet, ci to bude pouzitelne: https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features

Podla tohto to aktualny hex (rb750gr3, MT7621) nevie, ale taky hex poe (rb960pgs, QCA8337) ano.

2

Sítě / Re:MikroTik v roli chytrého switche

« kdy: 05. 06. 2023, 14:01:53 »

Router mikrotik v roli switche muze mit tragickou propustnost. Co tim switchem budete propojovat a jake realne rychlosti potrebujete?

Nemusi. Vyssie spomenuty hex ma vsetky porty zavesene na jeden switch chip, takze tam nebude ziadny chytak. Pri inych modeloch si treba pozriet diagram, ktore porty idu vzajomne prebridgovat a ktore kombinacie by isli cez cpu.

V dnesnej dobe by som ale uz do hex nesiel, skor o par chlpov drahsi l009.

3

Bazar / Re:Prodám NAS Synology DS1511+

« kdy: 01. 06. 2023, 14:00:51 »

Je to STAREJ a CINSKEJ kram. Bez zaruky, a bez PODPORY., se starym proprietarnim OS, ktery kvuli 12 let starym kondenzatorum chcipne co nevidet.

Poslední aktualizaci vidím:
Version: 6.2.4-25556 Update 7
(2023-05-02)

Zas tak bez podpory mi to nepřijde.

https://www.synology.com/en-global/releaseNote/DSM?model=DS1511%2B#6_2

Aktuálna verzia pre podporované modely je 7.2-64561. Tento model nikdy žiadny release 7.x nedostal.

Podpora pre 6.2 končí v júni 2023, takže je možné, že vyššie nalinkovaný update je posledný vôbec.

4

Software / Re:Shotcut přestal fungovat po nainstalování z flatpaku

« kdy: 30. 05. 2023, 10:25:56 »

Kedze sa tu zacali objavovat fabulacie a bajky, trocha vysvetlenia:

Flatpak aj snap aplikacie mozu byt instalovane per-user alebo per-system.

Flatpak aplikacie sa by default instaluju do ~/.local/share/flatpak a /var/lib/flatpak. Instaluju sa do ostree repo, co je nieco ako git pre aplikacie a "checkout"/instalacia aplikacie je hardlink do tohto repa. V pripade, ze viacere aplikacie alebo runtime obsahuju rovnake subory, su takto deduplikovane (a to obsahuju. napr. Gnome aj KDE runtime je postavene na zodpovadajucom runtime org.freedesktop.Platform). Preto flatpak nezabera tolko miesta, ako ukaze naivne pouzitie du. Flatpakove aplikacie bezia vo svojom vlastnom kontajneri (preto flatpak run ...), akurat na rozdiel od dockera je neprivilegovany ("bubblewrap"). Flatpak specificky podporuje iba desktopove aplikacie; na nedesktopove aplikacie treba pouzit iny nastroj (napr. docker alebo podman).

Flatpak, podobne ako apt alebo dnf, moze mat definovanych niekolko nezavislych repozitarov ("remotes") a je na pouzivatelovi, ktore si nakonfiguruje. Najpopularnejsi je flathub. Mozete mat privatny repozitar, staci na to http server.

Snap aplikacie sa instaluju do ~/snap (bez bodky) a /var/snap. Aplikacie su v squasfs images, mountovanych pri starte, preto ten bordel v mount pointoch. Na zabezpecenie sa pouziva AppArmor; na distribuciach ktore nepodporuju AppArmor, ale napr. SELinux, snap-y bezia bez akejkolvek izolacie.

Snap ma jeden-jediny app-store, pod kontrolou Canonicalu. Canonical povie, ktora aplikacia tam moze byt, ktora nie. Aka verzia bude natlacena pouzivatelom, tiez zavisi od Canonicalu. Kto chce privatny repozitar, musi Canonicalu zaplatit za privilegium, vlastny repozitar si nespravite.

Snap podporuje nedesktopove aplikacie; jeho primarne pouzitie bolo najprv server, potom iot. Desktopova integracie trocha pokrivkava (napr. neskrytelny/nepresunutelny adresar snap v homedir, alebo problemy s aktualizaciou aplikacii, ktore dlho bezia, ako je firefox).

5

Sítě / Re:PODA GPON: vlastní SFP a IPv6/IPv4 adresy

« kdy: 23. 05. 2023, 12:25:53 »

Jakkoliv se tu můžeme ohánět tím, že přece použijeme HW splňující nějaké standardy a "to přece nemůže ničemu vadit". Jsou výrobci, kteří dokážou efektivně zprznit i poměrně jasný standard, který se používá dekády a zjistí se to až pri masivnějším nasazení a většinou je na tom bitej právě ISP.

Velmi dobre prznit standardy dokazu aj implementatori a ISP, nielen vyrobcovia. Napriklad tym, ze neprideluju prefixy /48 alebo /56, ale iba /64. Ved naco by zakaznikovi boli VLANy, alebo VPN-ky, vsak ano.

Ještě poznámka k IPv6 a prefixům. 99% zákazníků ISP netuší, co je IPv6 a proč by to měli chtít. Naprostá většina lidí má doma nějaký router za stokoruny, na kterém za NATem provozují jedno Céčko aka 192.168.0.x/24. A přesně této mase úplně na pohodu stačí /64, myšleno jednu IPv6 na WAN a přes prefix-delegation jednu /64 do vnitřní sítě.

99% zakaznikov tiez netusi, ako funguje motor a 99% je spokojna s 1.2 HTP, nevedia, preco by chceli mat nieco ine, ved im to napohodu staci. Napriek tomu sa tu najdu otravovia, ktori chcu aspon trojlitrovy sestvalec.

Považuji za rozumné, aby ISP na základě žádosti uměl přidělit větší prefix, pokud je zákazník naročnější.

Ano.

Nicméně nechápu moc výkřiky, že jako "LMAO proč prostě všem nesázíte /48, když máte těch adres na celej vesmír".

Pretoze by to bolo jednoduchsie, pre obe strany? Zakaznik nemusi bludit v bludisku, kym najde niekoho u ISP, ktory mu ten prefix zvysi. ISP na to nemusi mat proces.

Tych IP adries je tolko, ze kazdy atom na Zemi by mohol mat vlastny subnet a este by zostalo. Preto je nepochopitelne, preco su niektori ISP neochotni davat aspon /56.

6

Hardware / Re:Alternatívy pre Chromecast s Google TV s Ethernetom

« kdy: 19. 05. 2023, 18:31:59 »

Google Chromecast podporuje aj ethernet, ale potrebujes na to adapter alebo USB-C dockinu

No lenže ten adaptér je dosť drahý už tak to stojí 80€ a nič to nevie a adaptér by bol ďalších 20€ nehovoriac o tom že to nemá ani slot na MicroSD. Moj terajší set top box má toto všetko (a ešte aj RK3399 a 4GB RAM), jediné čo je na ňom spackané je software. Keby sa tam dalo nahrať GoogleTV namiesto Androidu tak si nechám túto terajšia skrinku ešte veľmi dlho. Žiaľ nie vždy je dobré pozerať len na HW parametre.

Výhody riešenia od googlu sú podpora zo strany streamovacích služiab. A streamovanie z mobilu. Nevýhoda je že to nemá periférie. A tiež sa bojím či to má dostatočne výkonný procesor.

Potom vidím na Alze ešte nejaký Thomson THA100 ale stále to má slabší procesor ako moj terajší set top box a len 2GB ram. A fakt nechcem prechádzať z lepšieho na horšie. Už ozaj rozmýšlam či neoželiem tých 200€ a nezainvestujem do ultimatneho riešenia od NVIDIA. Predsa len NVIDIA je expert na grafiku. lenže ani tá nemá úplne všetko čítačku microSD ale tak kúpiť sa dá aj externá. A 3GB ram je síce menej ale zase výkonnejšie CPU to má.

// Edit: oprava nie CPU ale SoC

Trocha sa viac poobzerajte po nete, Nvidia Shield nemusi stat 200 eur. Aj u zeleneho mimozemstana je za 170... Ked dobre najdete, da sa aj lacnejsie, ja som to svojho casu kupil za 135.

Najlepsi settopbox aky som kedy mal. Rychly SoC je poznat, ziadne lagy. Ale je to AndroidTV, nie GoogleTV.

7

Sítě / Re:Vytvoření Wi-Fi sítě s příznakem „metered“

« kdy: 01. 05. 2023, 19:09:16 »

Je tohle opravdu potřeba? Pokud nemám v síti žádné jiné zařízení, které vyžaduje volbu 43 s nějakým specifickým obsahem, asi není problém posílat ANDROID_METERED všem zařízením, co si o volbu 43 požádají. Nebo ano?

Keď to DHCP server dovolí, tak prečo nie. Niektoré sú príliš chytré a snažia sa príliš pomáhať, preto smerujú používateľov rozdeliť parametre podľa class-id. Taký dnsmasq umožňuje dhcp-option=vendor:,hodnota (t.j. prázdny vendor, ktorý sa použije pre každého), ale UI v rozličných zariadeniach to nemusia povoliť, aj keď používaju dnsmasq pod kapotou.

8

Sítě / Re:Vytvoření Wi-Fi sítě s příznakem „metered“

« kdy: 30. 04. 2023, 10:43:10 »

Ja by som Petrovu odpoveď ešte trocha rozšíril.

Flag ANDROID_METERED je DHCP option 43, čo je vendor option; t.j. význam tohto parametra závisí od výrobcu zariadenia. Takže:

• zariadenie si v DHCP požiadavke musí vypýtať option 43. Pokiaľ v Parameter-List nie je požiadavka na Vendor-Specific, tak ho v odpovedi nedostane.
• zariadenie v DHCP požiadavke posiela svojho vendora, v hlavičke Class-Id. DHCP server podľa tejto hlavičky vie, akú množinu parametrov v skupine Vendor-Specific poslať späť. Pre každého vendora môže mať iné parametre, a každý vendor intepretuje jednotlivé parametre inak!
• Android to robí zaujímavejšie tým, že každá verzia má iného vendora, t.j. iný Class-id (napr. "android-dhcp-12", "android-dhcp-11"), takže ak používaný DHCP server nevie zástupné znaky, tak to treba povytvárať viackrát (viď príklad nižšie).
• Prekvapivo, tento option podporuje aj Microsoft vo Windows (Class-id "MSFT 5.0"). Iné desktopové systémy, ako macOS alebo desktopové linuxy si tento option ani nepýtajú, ani by s ním nijako nepracovali, keby im prišiel.
• ANDROID_METERED nie je štruktúrovaný ako ostatné parametre 43. Nemá očíslovaný tag parametra, je to iba reťazec, poslaný na hulváta.

Na Mikrotiku konfigurácia vyzerá takto:

Kód: [Vybrat]

/ip dhcp-server option
add code=43 name=android-metered value="'ANDROID_METERED'"

/ip dhcp-server option sets
add name=android options=android-metered

/ip dhcp-server matcher
add address-pool=dhcp code=43 name=android12 option-set=android server=defconf value=android-dhcp-12
add address-pool=dhcp code=43 name=android11 option-set=android server=defconf value=android-dhcp-11
add address-pool=dhcp code=43 name=android10 option-set=android server=defconf value=android-dhcp-10
add address-pool=dhcp code=43 name=android9 option-set=android server=defconf value=android-dhcp-9

Či ASUS Toma K také niečo umožňuje, si bude musieť zistiť sám.

9

Server / Re:Vzdálená komunikace s Linuxem

« kdy: 25. 04. 2023, 21:11:05 »

a nic povolovat netreba, to je uplny nesmysl, dotycny chce klienta, ne provozovat server.

SSH Agent nie je sluzba pre server...

Windowsterminal je nebetycna pitomost... i proto aby to vzalo vstup z klavesnice to vyzaduje bezici sluzbu. Neuveritelny.

Standardnu sluzbu Windows - Touch Keyboard and Handwriting Service. Je to postavene nad XAML islands, XAML islands to vyzaduje, je to standardna sluzba Windows, nevidim v tom ziadny problem.

10

Server / Re:Vzdálená komunikace s Linuxem

« kdy: 25. 04. 2023, 14:37:08 »

"moderni windows" uz maji ssh klienta primo v sobe.

Majú, ale nie som si istý, či ho majú nainštalovaný by default, alebo ho treba pridať ako voliteľný komponent. V každom prípade, aj keď už je nainštalovaný, tak ssh agent je stále zakázaný, povoliť spúšťanie tejto služby je extra krok.

Ten, kto si rozchodí Windows Terminal a openssh, sa už k putty nevráti.

11

Sítě / Re:Wireguard a vlastní DNS

« kdy: 19. 04. 2023, 17:50:01 »

Wireguard a DNS jsem řešil poslední dva dny, pro upřesnění ještě v kombinaci s Network managerem a wifi. Ntb málem letěl z okna. Nakonec jsem skončil u tohoto skriptu, který stačí přidat do PostUP a PostDOWN. Snad to někomu ušetří pár hezkých chvilek. Vím, je to prasárna, ale jak to udělat líp už mě opravdu nenapadá.

A nie je jednoduchšie sa naučiť, ako presne funguje DNS s NetworkManager-om a používaným resolverom (či už dnsmasq alebo systemd-resolved)? K tomu pomôže aj vedieť základy, ako má DNS fungovať . Mastiť skripty, to je taký narovnávak na ohýbak.

Štandardne wireguard (pokiaľ to nie je obmedzené wg konfiguráciou peera - keď sú uvedené zóny v parametre DNS=) nastaví DNS na svojom linku, keď je up, ako resolver pre zóny ~. (t.j. pre všetky). Ak to tak nerobil, tak zjavne bolo šahané ešte aj niekam inde.

12

Sítě / Re:Poraďte router pro středně velkou firmu

« kdy: 16. 04. 2023, 17:54:53 »

jak je to ale s L3 vykonem, pekne daleko od wirespeed? dle mych zkusenosti je to u mikrotik rad 328 a 309, co mam ja, naprosta tragedie.
ale jak se zda, tak se da castecny hw offloading zapnout na router OS 7.1+

No tak v prvom rade CRS3xx sú switche, nie routre. Vedia l3hw offload, ale treba sa stále k tomu správať ako ku switchu a dobre si pozrieť konfiguráciu, či sú splnené podmienky pre offload. Ak nie, tak switch chip je s CPU spojený len 1.3 Gbps (CRS324), resp 3 Gbps (CRS309) linkou a CPU je dvojjadro na 800 MHz, tak to switchovaciu kapacitu CRS309 ani CRS324 neutiahne.

Vyššie spomenutý CCR2004 je trocha iná kategória (aj keď spodný model z nej). Či by postačil alebo nie, závisí na číslach, ktoré bude mať len pôvodný pýtajúci sa.

13

Sítě / Re:Poraďte router pro středně velkou firmu

« kdy: 16. 04. 2023, 13:47:13 »

Bude mít větší dostupnost, když si ty krabice za dvacítku koupí tři a v případě výpadku přehodí kabely a zmáčkne reset (5 minut), nebo když si koupí jednu krabici za půl mega a k tomu za dvěstě litrů NBD servis a pak bude s vysypanou krabicí čekat od pátku do pondělí večer (NBD)?

Tu v princípe s tebou súhlasím, akurát vyššie spomínané Mikrotiky podporujú VRRP, takže v prípade výpadku sa za tri sekundy samé prehodia na záložný. V rozpočte za Cisco môže mať celý regál záložných Mikrotikov.

Vyššie spomenuté Mikrotiky neposkytnú IDS alebo NGFW. Síce to v požiadavkách nebolo, ale pri firme s 280 ľuďmi by som to asi chcel.

Co se týče debaty „něco hotového s vlastním síťovým OS“ vs. „standardní počítač s běžným OS + nastavit to“ tak osobně preferuju to druhé. Možná to má větší investici na počáteční nastavení, ale nestane se ti, že by ti chyběla nějaká featura a výrobce řekl „sorry neděláme“ nebo „jj, je k dispozici v enterprise verzi za další mega“, a navíc je potřeba také myslet na to, že nejsi jediný, kdo se o to má starat - a „administrátor - expert na konfiguraci sítě v Linuxu“ se shání podstatně jednodušeji než „administrátor - expert na konkrétní síťový OS nějakého výrobce“.

Tu nie celkom súhlasím. Aadministrátor bežného OS vie nastaviť ip adresu na rozhraní, alebo nejako dá iptables, ale na BGP bude pozerať ako na zjavenie. Sieťový administrátor je v tomto ohľade niečo iné a vie riešiť veci, ktoré by si si v bežnom OS musel nejako došolíchať sám.

14

Sítě / Re:Veřejný hotspot bez šifrování pro hosty na domácím AP (Ubiquiti)

« kdy: 04. 04. 2023, 22:40:54 »

Co je zač ten OWE? Na wikipediinje dost strohý popis, projaké verze wifi je podporovaný? Záleží na podpoře vHW?

V podstate z pohľadu bežného používateľa niečo ako otvorená wifi (bez hesla), ale vzduchom nelietajú nešifrované pakety. Zvyčajne to zvláda hardware, ktorý vie SAE / WPA3.

15

Hardware / Re:Powerline modem s POE

« kdy: 04. 04. 2023, 22:36:55 »

Niečo podobné som riešil pred časom, nakoniec som skončil s bežným tp-linkom s prechodovou zásuvkou (TL-PA7017P) a v nej injektor.

S pasívnym injektorom to dokáže byť relatívne kompaktné - samozrejme, nie tak, ako keby to bolo v jednej krabici; af/at injektor dokáže byť tehla sama o sebe.