Příspěvky

16

Sítě / Re:Veřejný hotspot bez šifrování pro hosty na domácím AP (Ubiquiti)

« kdy: 03. 04. 2023, 17:04:57 »

1 je v Unifi specialna hodnota pre netagovanu siet

Este si odpoviem sam na seba:

Unifi tento vlan id ma specialnu; poklada ju za netagovanu. Okrem toho, vsetky unifi zariadenia komunikuju / hladaju controller cez netagovanu vlan.

Z Mikrotik extraktu som to dal prec (asi som nemal), ale je tam vytvorena dalsia vlan, vlan-unifi s tagom 1, porty v bridge kde su pripojene cloud key a ap nemaju v bridge nastavene pvid, vlan v bridge ma nastavene 1 ako netagovane na tychto portoch -- aby sa unifi zariadenia spolu dohodli.

17

Sítě / Re:Veřejný hotspot bez šifrování pro hosty na domácím AP (Ubiquiti)

« kdy: 03. 04. 2023, 16:53:47 »

...

Ubiquiti mám jen samotná AP, router ne. Mám běžící Network controller, ale nechci dělat hotspot/guest bránu. Idea je taková, že ten host se bez mojí účasti připojí bezbolestně k internetu. Tím padá i předávání hesla ať ústně nebo QR kódem. Jsem takový dobromil, nevadí mi poskytnout "kolemjdoucímu" internet, ale chci zanechat svojí vnitřní LAN jen pro mě.

VLAN v Mikrotiku mě asi nemine... Nejde mi ani o nastavení, to udělám podle návodu/-ů, ale jde mi o to, že o VLAN vím plus mínus prdlajs. A nechce se mi úplně načítat složitosti od nuly. Nemáte někdo odkaz na něco jednoduchýho, srozumitelnýho? Česky nebo anglicky.

Musím udělat 2x VLAN -jednu pro svou LAN a druhou pro hosty? Nebo stačí jedna pro hosty? Může mít stejnou podsíť a být oddělená jen rozsahem IP (řekněme vnitřní 10.0.0.1 - 100 a VLAN pro hosty 10.0.0.101 - 200)? Kde v bodě 2 (příspěvek od "ja.") zadám VLAN ID a kde to ID vezmu?

Router mám CRS326. Ale s nastavením už bych si poradil, jakmile bych měl představu o tom, co vlastně potřebuju nastavit Nejsem v tomhle neschopný, jen neznalý.

Na strane Ubiquiti nieco taketo: https://imgur.com/a/FyGvIqY

Najprv vytvorit siet... to vlan id si definujete sam, ako tag, ktorym sa rozlisuju jednotlive siete. Je to hodnota 1-4096; (1 je v Unifi specialna hodnota pre netagovanu siet). V tomto konkretnom pripade je to '50'.

Potom vytvorite SSID, ktore namapujete na danu siet. Priklad na obrazku je iot siet, nie guest, ale je to velmi podobne, (a nemam po ruke guest siet s mikrotikom, kde by som tipal obrazky).

Na strane Mikrotiku eventualne dojdete k niecomu takemuto (zase, vypreparovane s iot sietou, nie guest):

Kód: [Vybrat]

/interface bridge
add auto-mac=no frame-types=admit-only-vlan-tagged name=bridge pvid=10 vlan-filtering=yes

/interface vlan
add interface=bridge name=vlan-iot vlan-id=50
add interface=bridge name=vlan-main vlan-id=10

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=LAN_MAIN
add name=LAN_IOT

/ip pool
add name=dhcp-main ranges=X.Y.Z.20-X.Y.Z.254
add name=dhcp-iot ranges=X.Y.W.2-X.Y.W.254

/ip dhcp-server
add address-pool=dhcp-main interface=vlan-main name=dhcp-main-server
add address-pool=dhcp-iot interface=vlan-iot lease-time=12h name=dhcp-iot-server

/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3 pvid=10
...

/interface bridge vlan
add bridge=bridge tagged=bridge,sfp-sfpplus1 untagged=ether2,ether3,... vlan-ids=10
add bridge=bridge tagged=bridge,sfp-sfpplus1,ether2,ether3... vlan-ids=50

/interface list member
add interface=vlan-main list=LAN
add interface=vlan-iot list=LAN
add interface=vlan-iot list=LAN_IOT
add interface=vlan-main list=LAN_MAIN

/ip address
add address=A.B.C.D/30 interface=ether1 network=A.B.C.D0
add address=X.Y.Z.1/24 interface=vlan-main network=X.Y.Z.0
add address=X.Y.W.1/24 interface=vlan-iot network=X.Y.W.0

/ip dhcp-server network
add address=X.Y.Z.0/24 dns-server=X.Y.Z.A domain=... gateway=X.Y.Z.1
add address=X.Y.W.0/24 dns-server=X.Y.W.A domain=... gateway=X.Y.W.1

/ip firewall filter
...
add action=drop chain=forward comment="drop IoT to Main LAN" in-interface-list=LAN_IOT out-interface-list=LAN_MAIN
add action=drop chain=forward comment="drop Main to IoT LAN" in-interface-list=LAN_MAIN out-interface-list=LAN_IOT

Vytvorit bridge; zadefinovat mu porty; definovat vlan-y; nastavit tagovanie na portoch, co je default a co musi byt tagovane. Potom vytvorit interfaces pre vlan, zadefinovat subnety, nastavit ip na jednotlivych interfaces v subnetoch, nastavit dhcp v subnetoch, zakazat traffic medzi interfaces.

Tu si treba dat pozor na zapnutie filtrovania na bridge (hned druhy riadok), ak to nie je nastavene dobre, odrezete si pristup. Safe mode prudko odporucany.

VLAN tagy treba pouzit konzistentne medzi oboma zariadeniami; tu je '10' pre hlavnu lan, nastavenu ako default pre netagovany traffic a '50' pre izolovanu siet.

Trocha pozeram zboku na ten crs326; to je switch, nie router. Zvlada sice l3 routing, ale nie je to jeho silna stranka.

18

Sítě / Re:Veřejný hotspot bez šifrování pro hosty na domácím AP (Ubiquiti)

« kdy: 03. 04. 2023, 15:31:19 »

Na Ubiquiti funguje guest hotspot tak, ze:

1) vytvori guest network, ktora ma zapnutu l2 client isolation, svoj vlan tag, svoj subnet, do firewallu vlozi pravidla na zahodenie trafficu do ostatnych lokalnych subnetov.

2) vytvori extra ssid, namapuje ho na siet z kroku 1; je mozne vybrat skupinu AP, na ktorych bude tento ssid broadcastovany. To, ci ma ssid zapnute wpa alebo je open, nesuvisi s tym, ci je to guest wifi alebo nie, je to na rozhodnuti prevadzkovatela.

3) volitelne: zapne captive portal / hotspot manazer, takze aj ked je to open, mozno nejakym sposobom chciet, aby sa ludia preukazali kto su a ze mozu pristupovat k sieti.

Pre bod 1) treba zjavne unifi router; krok 2 mozno urobit aj bez neho, ale v tom pripade ekvivalent treba urobit manualne na mikrotiku, a v bode 2 len zadat prislusny vlan id. Bod 3) vyzaduje beziaci unifi network controller, ale tiez sa to da hodit na hotspot manager v mikrotiku.

Rozhodnutie ci open alebo wpa: existuje niekto, kto sa aktivne pripoji na otvorenu wifi, ktoru vidi? Ja takych nepoznam... a pokial ide o suseda/postara/kuriera, ktory by potreboval wifi, stitok s qr kodom pre ssid/heslo (stale do hostovskej siete) by to nevyriesil? Sifrovana otvorena siet by sa dala s OWE, ale kolko zariadeni to dnes realne stale (ne)zvlada?

VLAN v Mikrotiku sa mozu zdat trocha nestastne, pretoze na rozlicnych modeloch sa nastavuje rozlicnym sposobom, aby sa vyuzili moznosti pouziteho switch chipu; takze tu zavisi od pouziteho modelu,

19

Windows a jiné systémy / Re:Best practice: 1 server = 1 služba?

« kdy: 30. 03. 2023, 14:58:01 »

Mimochodem - za mě na doménovém řadiči nemá co dělat jakákoliv jiná služba, takže ten Eset odstranit. Zrovna oni mají moc pěknou management appliance postavenou na Linuxu takže nežere Win licenci. A ty DC samozřejmě minimálně dva...

Tu musím veľmi prudko súhlasiť, s dodatkom, že tie dva DC by mali byť na samostatnom železe. Pointa 2+ ks je, že sa replikujú a keď jeden server zhorí alebo utopí sa (alebo aj niečo menej dramatické: odíde disk), tak doména prežije, čo dve virtuálky na jednom fyzickom železe tak celkom nezabezpečia. Nie, zálohovať nestačí, kerberové tokeny sa stále menia a ako napotvoru záloha prebehne predtým, ako si nejaká služba zrotovala keytab.

20

Hardware / Re:Hledám síťovou laserovou tiskárnu se skenerem

« kdy: 12. 03. 2023, 11:40:24 »

Obecně vsázím na otevřené formáty / rozhraní. Proto beru HP a NEsnažím se ušetřit na úkor právě otevřenosti. V září 2021 bohužel nebylo moc z čeho vybírat - nebyl jsem sám, kdo očekával další COVIDový home office (který se následně kupodivu nedostavil). No takže jsem nad tím skenováním tehdy přimhouřil oko.

On je trochu problém, že pro skenery není otevřené rozhraní nezávislé na OS. Skenování do síťové složky je sice "otevřenější" než proprietární blob pro Windowsy (TWAIN/WIA je až za ním), ale taky není ideální - modernizace autentikačních mechanismů SMB/CIFS jsou nekonečný příběh... a třeba skenování do emailu může mít taky zádrhele. Přitom by stačilo minimalistické HTTP GUI...

Som na tom podobne, používam HP M181fw -- a som spokojný. V linuxe (v mojom prípade Fedora) to tlačí a aj skenuje s otvorenými ovládačmi.

Ad otvorené štandardy pre skenovanie - oni existujú, jeden úplne otvorený, jeden kvázi otvorený. Ten úplne otvorený je WS-Scan (https://learn.microsoft.com/en-us/windows-hardware/drivers/image/scan-service--ws-scan--schema), ten kvázi-otvorený je eSCL/AirScan (podporujú ho Apple zariadenia). Sane ich podporuje oba (https://github.com/alexpevzner/sane-airscan) a minimálne je súčasťou Fedory (ostatné distribúcie neviem).

21

Sítě / Re:Mikrotik v panelovém bytě

« kdy: 27. 02. 2023, 23:00:45 »

Pokud k NASum pristupujes z domaci site, tak routovaci rychlost neni problem - routovaci znamena zvenci do vnitrni site (a naopak)

Spis nez kompletni vymenu jedineho zdroje wifi bych zkusil na opacny konec bytu pridat AP na kabelu - cAP ac, cAP ac XL, audience nebo neco jineho (dle dostupnosti a rozpoctu).

AP muzes pripadne koupit, vybalit, zkusit a pokud to nevyresi problem dle predstav, tak do 2 tydnu vratit...

No co jsem četl, routovací rychlost je zohledněná i při použití firewall pravidel - nechce se mi tam zase dávat moc switchu pod sebe abych toto obcházel - proto se i ptám na zkušenosti. Pravda těch pravidel tam zas tolik není ale na to odstřihnout třeba např nasy od internetu je to dobré v době kdy je tam mít nechci.
co se týče kjednoho dobrého ap pointu věřím, že jeden stačí ten hap ac 3 je tak na hraně toho co ještě jde nebo ne - ale např mobil se mi v kuchyni často odpojuje  od wifi -  což je řešitelné ale otravné.
Rychlost u wifi není nezbytná extrémní velká - stačí běžně - vše náročné je na metalice...

Gigabitovy traffic NAS bude NAS <-> PC, nie NAS <-> Internet. Pokial NAS nie je vo vlastnom subnete, ale v rovnakom subnete ako PC, tak to vsetko potecie cez bridge, nebude to routovane/natovane/firewallovane. A ak aj nejaky traffic potecie do internetu, bude limitovany rychlostou pripojenia na internet, nie vykonom routera. (TL;DR: rychlost routovania je irelevantna pre prenos dat medzi zariadenia v LAN).

Tiez by som to riesil asi nejakym vhodne umiestnenym cap ac; len sa bude treba zamysliet, ako to pospajat, ked nechces dalsi switch: hap ac3 ma 5 eth portov: 1 padne pre internet, 2x NAS, 2x PC+TV a je to plne. Kam pripojit ten cap ac? Takze bud dalsi switch, alebo na cap ac prebridgovat oba porty a napr. tv zapojit do neho (tv mavaju aj tak len 100 mbit porty).

22

Sítě / Re:Jak na DNS v interní síti

« kdy: 31. 01. 2023, 10:48:45 »

Dobry den.
Vytvoril bych 3 zony.
Pro kazdou zonu by byl master v te lokalite, kterou by zona obsluhovala a ve zbyvajicich  2  lokalitach by byly slave te zony.
To znamena, ze kazda konkretni lokalita by byla sobestacna a informace o okolnich lokalitach by mela jako slave resene transferem.
Kazde dhcpd by bylo parovane s zonou popisujici konkretni lokalitu.
Bohuzel nevim, jak toto umi mikrotik?
marek

Mikrotik nevie autoritatívne zóny, ani transfery, bohužiaľ. Svojimi schopnosťami sa podobá skôr DNS časti dnsmasq (až na ten drobný detail, že nie je integrovaný so svojim dhcp serverom, na rozdiel od dnsmasq).

Čo však vie, je forwardovať dotaz pre subdoménu (alebo regex) na špecifický DNS, takže by som to neriešil cez slave zones, ale obyčajným forwardom. Je šanca, ze pokiaľ forward skonči chybou, tak to nevadí, aj tak by ani resolvovaný host nebol dostupný.

Mikrotik má ešte jedno obmedzenie, ktoré si treba premyslieť: FWD dotazy nefungujú, pokiaľ samotný DNS používa DoH.

23

Hardware / Re:Chytrý elektroměr pro Home Asistenta

« kdy: 24. 01. 2023, 12:26:10 »

Je skutecne "vymyslene" a " vyrobene" v CR nejaka hodnota? Se seriozne ptam.

Jo je, protože je přímý kontakt na výrobce, který je na adrese v ČR a lze na něj naběhnout kdyby něco. A kontakt na vývojáře (u toho SDS dokonce osobní) a lze se domluvit na opravách nebo nových funkcích ve FW, podpora v Češtině...

Jak tohle funguje u výrobku z Číny, je asi jasné... když nějaké Shelly vyhoří, jak si z Číňana vytáhnu peníze
Ale ani to co bude z korporátu nebude v tomto směru výhra (zkuste něco chtít po, nebo dostat např. ze Siemensu... leda se tam v Praze či Brně zaměstnat, upravit si kód, dát komit, a pak výpověď - potvrzuju že asi jen tohle funguje - ale to asi nebude dělat každý).

FYI, Shelly sú Bulhari, tam by som nevidel veľký rozdiel medzi adresou v ČR a adresou v BG.

24

Server / Re:Přechod z L2TP/IPsec na Wireguard nebo IKEv2

« kdy: 22. 01. 2023, 00:50:44 »

2. Může běžet wireguard zároveň s původní L2TP/IPsec, z dokumentace se mi zdá, že ano. Alespoň dočasně než vše překonfiguruji. Je to tak? To by možná nakonec bylo nejlepší řešení.

Áno, môže. Môžeš mať naraz všetky tri, L2TP, IKEv2 a wireguard a každý klient môže používať tú, pre ktorú má najlepšiu podporu. Resp. môžeš migrovať postupne.

3. Moje domácí adresa je veřejná, ale není statická. To jsem pochopil je trochu problém, protože klienti Wireguard dělají resolve adresy jen při spuštění. To chci řešit u propojení sítí (chalupa) přes watchdog a restart nebo skriptem. Řešil jste to někdo jinak? Na chalupě je také Mikrotik. V telefonu si prostě pustím klient znovu.

Toto nerieš. Áno, wg klient resolvuje iba pri inicializácii spojenia, ale to je v poriadku. Resolvnutie mena je len na to, aby vedel kam poslať prvý paket, keď nadväzuje spojenie. Keď je už spojenie autentifikované, na ip adrese už nezáleží; odpovedá na poslednú známu ip. Keď sa na druhej strane zmení a pakety začnú chodiť z novej ip, tak na tu novú ip bude odpovedať.

25

Sítě / Re:Horší WiFi na MikroTik hAP ax3

« kdy: 20. 01. 2023, 22:25:12 »

Pro ac3 je také dostupný wifiwave2, ale používám výchozí balík wireless (v ax3 už je jako výchozí wifiwave2). Takže pokud bych na ac3 nahodil wifiwave2, tak by měla být WiFi ještě lepší?

Wifiwave na ac3 má oproti default wireless balíku podporu WPA3+OWA+PMF, MU-MIMO a beamforming.

26

Sítě / Re:Horší WiFi na MikroTik hAP ax3

« kdy: 20. 01. 2023, 19:58:29 »

Mám to chápat tak, že pokud se objeví nějaké problémy s Wi-Fi, tak je dobré zkusit wifiwave2? Já se na wifiwave2 díval asi před rokem, a tehdy mi to přišlo jako RC verze, teď to na první pohled vypadá hotověji.

Len niektoré modely majú ten luxus, že sa dá vyberať medzi klasickým driverom a wifiwave2 (v podstate rb4011, hap ac3, audience, pričom rb4011 by stále stratil 2,4 GHz rádio). Iné, aj keď majú schopné rádio, ale nemajú dosť storage, majú smolu (cap ac) a modely s ax rádiom sú wifivave2-only.

Ono je to dosť použiteľné, nemá to všetky fičúry ako staré wifi (napr. v registration mi to ukáže len mac adresy, k hostname sa tam nedopracujem, property dialóg s detailmi vo winboxe nehrozí), ale z pohľadu používateľa je to dosť bezproblémové. Za posledný rok a štvrť som mal jediný problém s hap ac3 a to sa netýkal rádia, ale updatu (po updatovaní nenabootoval, ak bol nainštalovaný wifiwave2 package, restore potreboval netboot).

Capsman pre wifiwave2 už existuje, v experimentálnej forme. Nie je kompatibilný so starým capsmanom v2, vie manažovať len wifivave2 zariadenia.

27

Sítě / Re:Horší WiFi na MikroTik hAP ax3

« kdy: 20. 01. 2023, 16:10:31 »

Toto je uz roky omielana tema ktora proste raz musi skoncit. Prosim ludi, nepouzivajte preboha wifi na mikrotikoch. Z biznisju je to to najhorsie snad co existuje. Uz ma nebavi neustale citat o wifi issues s mikrotikom. Mikrotik mam rad kvoli ich routovaciemu vykonu a nastaveniach ale preboha ludia. Nepouzivajte mikrotik kvoli wifi, je to snad najtragickejsie co existuje.

Ale zase nepreháňajme. Áno, Mikrotik nie je najdokonalejšia wifi v celom známom vesmíre, ale mnohým vyhovuje, napríklad aj mne. Áno, Mikrotik má v porovnaní s inými len spodnú časť ponuky (napr. cap ac je ekvivalent ac lite, prichdázajúci cap ax je ekvivalent u6 lite, na vyššie modely ako nanohd alebo u6 pro/ent odpoveď nemajú), ale v mnohých prípadoch to stačí a ako spomenuli ostatní, iné značky majú aj iné problémy.

No a wifiwave2 už používajú vendor wifi stack, už nie sú žiadne vlastné drivery, takže zariadenia majú podobné vlastnosti ako iné, s tým istých chipsetom.

nahodou, volakedy pouzivali atheros wifi moduly, a slapalo to paradne.
Ja mam doma nejake tie najlacnejsie hAP, ale tie su vyslovene na pokrytie 1 miestnosti - mam 2 na kazdom poschodi jedno. A mikrotiky musim mat, lebo napr. ja mam 3 siete - domacu, hostia a IoT. a kazda je oddelena. Viem to spravovat cez capsman - hlavny router mam 750G
Dokazem toto s inym vyrobcom?

Áno, viacero SSID a ich tagovanie na VLAN-y dokážu aj iné AP. Napríklad vyššie spomínané Unifi, alebo Omada. Na rozdiel od capsmanu, cez Unifi alebo Omada controller manažuješ komplet zariadenie, nie len rádio.

28

Sítě / Re:Wifi 2.4G/5G bg/n

« kdy: 20. 01. 2023, 15:58:02 »

WiFi AP karta, co neumí souběh obou pásem 2,4 i 5 GHz, je úplně k ničemu a začal bych její výměnou.

Ani to nie je dobré riešenie, karta, ktorá to robí tak robi multiplex.

Kvalitné dual band AP majú dve fyzické rádiá, pre každé pásmo zvlášť.

Asi by som neriešil kartu do AP, ktoré bolo vyrobené pre 802.11n a rovno si kúpil ac/ax AP. Okrem vyriešeného rádia to bude mať doriešené aj antény, prípadne reflektory k anténam.

29

Hardware / Re:Chytrý elektroměr pro Home Asistenta

« kdy: 19. 01. 2023, 20:53:51 »

libi se mi tenhle model od toho vyrobce, ale 16A je proste malo.

https://www.electroworld.cz/shelly-pro-3-3x16a-spinaci-modul
https://www.electroworld.cz/shelly-shelly-pro-4pm-spinaci-modul

Pozor, predošlý link bol na Shelly Pro 3EM - to je merač. V závislosti od typu cievky vie merať do 50A alebo 120A, na každom kanále.

Tieto dva linky sú na viackanálové relé Shelly Pro 3 (bez "EM") a Shelly Pro 4PM ("PM", nie "EM"), ktoré vie aj merať. Je to viacmenej na zopnutie/rozopnutie jednotlivého okruhu. Do zásuvkového okruhu asi netlačíš viac ako 16A... či?

30

Sítě / Re:Wifi 2.4G/5G bg/n

« kdy: 19. 01. 2023, 14:59:51 »

Diky za odpovedi.
A cim teda muze byt, ze na 20Mhz mam vzdycky max 65Mbit/s?

Presne tym, co som ti napisal: 65 Mbps zodpovedá 20 MHz širokému kanálu, bez MIMO, MCS 6.

- máš nastavený 20 MHz široký kanál (to je option htmode 'HT20' v konfigurácií). Na 2.4 GHz je to nastavenie, ktoré berie ohľad na okolie.

- tvoj hardvér nevie MIMO (alebo nazývané spatial streams). Či ho nevie AP neviem, špecifikácia AR922X sa nedá rozumne vygoogliť, všetky výsledky sú stiahni driver. V každom prípade, MIMO musí podporovať aj AP, aj klient.

- tvoj AP a klient sa dohodli na druhej najrýchlejšej modulácii pre 802.11n, MCS 6. Existuje ešte jedna rýchlejšia, kde by si mohol dosiahnuť 72,2 Mbps. Prečo sa dohodli na druhej, je otázka na prostredie a stav antén.

Napríklad k3dAR uviedol, že on má 144 Mbps, pretože síce ide cez 20 MHz kanál, ale s MIMO 2x2 a modulačnou schémou MCS 15 (t.j. 2x72,2 Mbps).