Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - ja.

Stran: 1 [2] 3 4 ... 7
16
Sítě / Re:Domáci router
« kdy: 30. 04. 2021, 17:16:52 »
Riešil som niečo podobné, akurát s 80 cm kamennou stenou. Skončilo to tak, že som do nich vŕtal diery, naťahal ethernet a teraz sú AP v tých miestnostiach, kde má byť dostupná wifi.

Áno, bolo to kopec roboty, do ktorej sa mi nechcelo.

17
Sítě / Re:Domáci router
« kdy: 29. 04. 2021, 23:55:11 »
Trochu se nechytám, lidé chtějí automatické upgrady na routerech??? Tj. dovolit výrobci, aby jim tam dle jeho uvážení instaloval nové neotestované verze a riskoval, že router v ten nejblbější moment přestane fungovat, jako nám to předvádějí hoši z CZ.NICu?

Já svoje mikrotiky (asi 45 ks, vesnickej wifinář) nechám aktualizovat tak jednou-dvakrát do roka (pár kliknutí v The Dude rozhraní) až poté, co na diskuzních forech přestanou přibývat nářky od těch, co je to postihlo v den vydání.

Sice neprovozuji 45ks routrů, ale jen 5, vše s TurrisOS se zapnutými automatickými aktualizacemi a během posledních 4 let si nepamatuju kdy by to aktualizace rozbila a musel bych ručně něco opravovat. Takže bych poprosil o bližší údaje k těm "neotestovaným verzím" které hoši z CZ.NICu posílaj.

Napríklad ani nie rok naspäť, vyšiel Turris OS 5 pre Mox a po update dosť veľa ľuďom nefungovala wifi. Riešením bol rollback na Turris OS 4 a zakázať updaty, kým to chlapci z CZ.NICu neopravili.

18
Hardware / Re:WD Red - SMR
« kdy: 29. 04. 2021, 21:52:27 »
SMR disky jsou problematické jen se systémy, které je neumí (NTFS, EXT4 atd).

Jsou v pohodě pokud je nad nimi něco jako F2FS nebo CEPH
Plně to řeší až Zone Storage Support, který je pro NVMe a SMR disky - Protože SMR a SSD mají hodně společného.

viz http://zonedstorage.io

Lenže to musí byť host-managed SMR, a to tieto spotrebiteľské disky nie sú. Tie sú device-managed SMR, ktoré s hostom nekomunikujú ohľadom manažovania SMR, všetko si riešia interne a preto filesystém nemá šancu inteligentne niečo zariadiť.

19
Sítě / Re:Domáci router
« kdy: 29. 04. 2021, 17:26:53 »
Asi bych se vrátil k původní otázce:
Citace
...doporučili by ste nejaký domáci router tak do 2000 na ktorý by sa nemuselo potom tak 5 rokov "siahnuť"?...
Nové zařízení které se samo aktualizuje a je bezpečné trvale za uvednou cenu neseženete.
Zatím jediný routery které se udržují aktuální bez zásahu uživatele jsou od NIC.cz https://www.turris.cz.
Mají systém postavený nad OpenWRT s vlastním aktualizačním mechanizmem.
U všech ostatních by měl člověk pravidelně kontrolovat jestli nemají nějaké bezpečnostní problémy a jestli výrobce nedal opravenou verzi FW a ručně ho aktualizovat.

Co dělám jinak, že se mi MK sám aktualizuje a vlastně 3 roky jsem na něj nesáhl? Teda jo, když si potřebuji promapovat nějaké porty

Asi ste si napísali vlastný skript (alebo skopírovali ho z wiki MK), pretože MK sa sám neupgraduje. Na rozdiel od vyššie spomenutého Turrisu alebo voliteľne pri Unifi, ktoré sa síce upgradujú, ale to neznamená, že po upgrade aj fungujú.

20
Sítě / Re:Domáci router
« kdy: 29. 04. 2021, 15:01:38 »
A co vám v něm chybí? Ze zkušenosti je SwOS poměrně přímočarý a především extrémně spolehlivý. Jediná věc, která mi tam chybí, je administrace přes IPv6 (nevím, zda to už nemají v nových verzích).

CLI alebo API. Bez toho SwOS nie je možné manažovať nástrojmi ako je Ansible alebo Terraform, treba sa prihlásiť na webui a tam to urobiť buď ručne, alebo scrapovať stránky.

21
70 Mega je v pohode. Ja len, že niekto má gigovú prípojku a chcel by dosiahnuť aspoň 500 mega cez wifi.
Cez steny na 5 GHz je lepšie keď to má externé antény. Mikrotik cez viac ako 1 stenu funguje mizerne na 5 GHz.

500 mbit PHY speed na 5 GHz je taký základ, nie niečo výnimočné. Na 70 Mbit stačí jeden 20 MHz n-kový kanál.  Rýchlosť sa dá dosiahnuť širšími kanálmi a viacerými streamami, 2x2 MIMO klient (t.j. väčšina) pri šírke 80 MHz by mal dosiahnuť PHY 867 Mbps a realisticky 600-700 Mbps, 3x3 cez gigabit (nie že by mu to pomohlo ak AP nemá na to uplink).

Tu však vstupuje do hry softvér bežiaci na Mikrotiku; napríklad klienti s Intel čipmi majú problém s Mikrotikovou predstavou 80 MHz kanálu (chcú dva streamy, Mikrotik im v rámci svojej nepodpory MIMO dáva iba jeden, nedohodnú sa). Pri 40 MHz šírke kanálu Intely pobežia na 400-433 Mbps PHY.

Mikrotik má celkovo problém aj s podporou ac wave2 - nepodporuje to ani na zariadeniach, ktoré na to železo majú (t.j. hap ac3, rb4011, audience). Resp. má experimentálnu podporu v ROS7, a nie je kompatibilná s CAPsMANom.

V bytoch sú problém panely, teda železo v nich. S tehlovými priečkami až taký problém nie je. Samozrejme, čím menej prekážok medzi AP a klientom, tým lepšie, na 5 GHz urobí nejaký útlm aj papier.

22
Distribuce / Re:Ubuntu: nefunkční integrace s Active Directory
« kdy: 25. 04. 2021, 12:40:49 »
Ešte jeden detail, ktorý môže/nemusí súvisieť so zamietnutým loginom: nestačí pripojiť počítač do domény, treba povoliť prihlasovanie doménovým používateľom. Robí sa to cez realm permit. Malo by fungovať realm permit --all pre všetkých, ale v 20.04 mi to nešlo, fungovalo mi realm permit username pre vymenovaných používateľov.

23
Distribuce / Re:Ubuntu: nefunkční integrace s Active Directory
« kdy: 25. 04. 2021, 12:26:14 »
Ja mám Ubuntu 20.04 pripojené k AD bežiacej na Synology (t.j. Samba pod kapotou). Keďže je to 20.04, tak je ešte bez adsys.

Pripojenie do domény bolo robené cez realm join, v sssd.conf boli len kozmetické dolaďovačky:

Kód: [Vybrat]
fallback_homedir = /home/%u
use_fully_qualified_names = False
ldap_user_gecos = displayName

Active Directory bežne sudoers nerieši vôbec, to je jeden z rozdielov, čo FreeIPA rieši a AD nie. Takže sudoers som dopĺňal ručne, ako aj adminov pre PolKit (to sú tie GUI dialógy pre autentifikáciu admina, napr. v Gnome Software alebo v Gnome Disks).

Funguje mi to už asi rok, bolo treba trochu doladiť (napr. mkhomedir v 20.04 na ZFS nevytvára subvolume pre home dirs userov, to opravili až v 20.10, browsery by default nepoužívajú spnego a treba ho povoliť), jediný zostávajúci problém je bug v gvfsd, ktorý je spúšťaný pri logine príliš skoro, ešte neexistuje KRB5CCNAME a potom nevie o existencii kerberos ticketov.

24
Hardware / Re:Jakou dokovaci stanici pro Thunderbolt 3?
« kdy: 21. 04. 2021, 10:56:07 »
1. Nie, keď máš na notebooku len USB-C (t.j. USB cez USB-C), tak to neznamená aj TB3. TB3 je extra protokol, ktorý musí radič podporovať a vyžaduje aj špeciálny TB3 kábel, ktorý akurát má USB-C konektor.

2. Pri USB-C je displayport v alternate-mode, 1 alebo 2 páry TX/RX (páry preto,  lebo konektor je možné zasunúť oboma stranami). Pri rozlíšení do 4k@30 stačí jeden pár, pri vyššom treba 2 páry. Keď sa použijú 2 páry (t.j. 4k@60), neostane už nič pre USB3, iba samostatné vodiče pre USB2 a power delivery. USB-C displayport alternate mode zvláda iba jeden monitor.

Novšie generácie USB-C dockov vedia aj 4k@60 cez jeden pár, takže zostane druhý pár pre USB3, ale vyžadujú USB 3.2 Gen 2x2 na hostovi.

TB3 zvláda viac monitorov (pokiaľ to zvláda host, Apple M1 stroje s interným monitorom zvládajú iba jeden externý aj cez TB3, Intel verzie vedia viac). Displayport signál je paketizovaný vovnútri TB3 alternate streamu.

3. Tá dokovacia stanica je USB-C? Ak áno, preto používa oba porty, aby mala väčší bandwidth na všetky konektory, čo poskytuje.

4. Pokiaľ to chceš k Air, tak si kúp TB3 dock. Zvláda toho viac ako ľubovoľný USB-C dock, ale je o dosť drahší a bude kompatibilný iba s počítačmi, ktoré podporujú TB3.

25
Desktop / Re:Virtualizovaný desktop bez grafické akcelerace
« kdy: 19. 04. 2021, 11:40:12 »
Na bežnú desktopovú prácu vo VM nie je treba fyzická grafická karta; pokiaľ by ste potrebovali aplikáciu, ktorá vyžaduje GPU, tak OK, ale bežný desktop a bežné aplikácie to nepotrebujú. V prípade Proxmox clusteru by to bolo aj trocha kontraproduktívne, stratili by ste možnosť migrovať virtuálku medzi jednotlivými nodami.

Čo ale vplyv má, je použitý protokol na prístup k vzdialenému deskopu. SPICE neuvažuje s latenciou, je fajn pri lokálnom prístupe ku konzole, aby virt-manager niečo zobrazil, ale na prácu iba v prípade localhostu, nie cez sieť, už cez LAN je to dosť bolestivé. VNC pre každý frame porovnáva dve bitmapy celého desktopu (predošlý a aktuálny), urobí deltu a pošle ju klientovi. RDP bolo navrhnuté ako transport pre GDI príkazy, podobne ako kedysi X11 cez TCP, akurát bol od začiatku async, preto Windows cez RDP je oveľa svižnejší ako VNC a aj ako X11. RDP má mechanizmus negociovanie kvality spojenia, resp. zahadzovanie detailov podľa stavu linky (t.j. neprenášať wallpaper, vypnúť animácie, vypnúť prekresľovanie okna pri presune/zmene veľkosti, apod), je použiteľné aj cez DSL.

Čo sa týka linuxových virtuálok, tak aktuálne distribúcie s Gnome majú tuším podporu VNC, ale mne to vždy pripadalo pomalé. Skúsil by som xrdp alebo x2go; stratíte podporu Waylandu, ale aspoň to bude ako-tak použiteľné.

26
/dev/null / Re:Je to plnohodnotná veřejná adresa?
« kdy: 14. 04. 2021, 12:15:06 »
Proroutování adresy na koncové zařízení je technicky velmi jednoduchá věc, přeci nemůže nikdo v diskusi psát, že to stojí o hodně víc, než ty adresy, které na to padnou.
Ano, je to jednoduchá věc – když to děláte ve své síti s pěti počítači. ISP pravděpodobně používá nějakou automatizaci – zasahovat do automatické konfigurace ručně je vždycky velmi problematické.

No práve ISP, ktorí majú problém preroutovať cez svoj core non-rfc1918 adresu budú mať u seba bordel, a nie automatizáciu. U nás ich zvykneme nazývať "šuflikanti".

27
/dev/null / Re:Je to plnohodnotná veřejná adresa?
« kdy: 13. 04. 2021, 14:40:12 »
Edit2: A pak ještě jak se to projeví pokud je to 1:1 NAT, což je téma threadu

No ESP s 1:1 NAT vôbec nepôjde (pretože sa zvyčajne NAT-uje iba ICMP, TCP, UDP, ako bolo spomenuté vyššie), pôjde iba UDP encapsulated ESP.

28
Sítě / Re:Orientace jak na VPN
« kdy: 12. 04. 2021, 22:37:12 »
Má použity RB 912R-2nd-LTM...

Ja by som len upozornil, že RB 912R-2nd-LTM sa dodáva bez LTE modemu, takže pri naceňovaní je asi vhodnejšie pozerať po "LtAP mini LTE kit" alebo "LtAP mini 4G kit", kde je v balení aj modem (rozdiel medzi modemami v LTE kit a 4G kit je v podporovaných frekvenciách a v podpore TDD). A rovno prihodiť aj ACSMAUFL, keď chcete externú anténu a v prípade tohto modelu nebáť sa skrutkovača a vylamovania predlisovaného otvoru: k LtAP sa dá pripojiť externá anténa, ale nie je vyvedený konektor; je tam len predpríprava.

29
/dev/null / Re:Je to plnohodnotná veřejná adresa?
« kdy: 12. 04. 2021, 22:27:45 »
TCP/UDP na porty 0-65535
Pokud by se vám podařilo poslat TCP nebo UDP paket na port mimo rozsah 0–65535, zaznamenal byste první aut v historii IP protokolu…

Ono sú tu aj iné protokoly ako TCP a UDP. Napr. pre spomínaný IPSec zaujímavý ESP.

Jiné protokoly než TCP a UDP ovšem nejsou TCP nebo UDP protokol. O jiných protokolech jsem v tomto vlákně psal jako první, a od té doby jsem opravdu na jejich existenci nezapomněl. Odpovídal jsem přesně na to, co jsem citoval.

To len preto, že ste si to vytrhli z kontextu a potom bijete slamenného panáka. Pôvodné tvrdenie na ktoré ste odpovedali bolo:

NAT někdy filtruje některé protokoly a povoluje jen základní ICMP provoz a TCP/UDP na porty 0-65535

Áno, čísla portov sú tam nadbytočné, ale každý normálny človek pochopil, že pointa je o tom, že NAT filtruje protokoly. Len Jirsák niečo vytrhol z kontextu a musí zakontrovať.

30
/dev/null / Re:Je to plnohodnotná veřejná adresa?
« kdy: 12. 04. 2021, 21:33:08 »
TCP/UDP na porty 0-65535
Pokud by se vám podařilo poslat TCP nebo UDP paket na port mimo rozsah 0–65535, zaznamenal byste první aut v historii IP protokolu…

Ono sú tu aj iné protokoly ako TCP a UDP. Napr. pre spomínaný IPSec zaujímavý ESP.

Stran: 1 [2] 3 4 ... 7