Příspěvky

166

Hardware / Re:Lenovo již nenabízí laptopy s Fedorou?

« kdy: 16. 02. 2022, 21:05:34 »

jako rozumejsi reseni mi dneska prijde windows 10 a nainstalovany WSL 2 nez resit kde bezi linux nativne.

Takze bude riesit problemy s windows 10 plus problemy s wsl2? To uz radsej nativny linux.

da se cekat ze hardwarove problemy s w10 nebudou proto tam jsou uz od prodeje a videl si vubec co je to wsl2 kdyz mas tak vyhraneny nazor?

Vsak prave... na to, ze je to v podstate virtualka je smutne, ze tam nefunguju veci, co v normalnych virtualkach ano. Uz im tam aspon ide systemd? Aha, nie.

167

Hardware / Re:Lenovo již nenabízí laptopy s Fedorou?

« kdy: 16. 02. 2022, 19:19:41 »

jako rozumejsi reseni mi dneska prijde windows 10 a nainstalovany WSL 2 nez resit kde bezi linux nativne.

Takze bude riesit problemy s windows 10 plus problemy s wsl2? To uz radsej nativny linux.

168

Sítě / Re:WireGuard - nefunguje připojení více peerů

« kdy: 15. 02. 2022, 22:31:24 »

Na routeri:

Kód: [Vybrat]

add allowed-address=10.0.20.2/32 comment="Android-TEL" interface=wg1 public-key="ANDROID-PUB-KEY"
add allowed-address=10.0.20.3/32 comment="Windows-PC" interface=wg1 public-key="WINDOWS-PUB-KEY"

vo wireguarde je tunel definovany ip adresou a verejnym klucom; allowed-address definuje tu ip adresu - preto /32 - a public-key definuje ten kluc.

na telefone:

Kód: [Vybrat]

[Interface]
...
Address = 10.0.20.2/24
...

[Peer]
...
AllowedIPs = 10.0.0.0/24
...

a na pc:

Kód: [Vybrat]

[Interface]
...
Address = 10.0.20.3/24
...

[Peer]
...
AllowedIPs = 10.0.0.0/24
...

Na peerovi je 'Address' ip adresa na wg rozhrani, vratane subnetu; 'AllowedIPs' je cisto informacia pre klienta, ako nastavit routovaciu tabulku. Subnet, v ktorom je jeho wg interface tam uvadzat netreba.

Samozrejme, takto sa dostanes iba po wg rozhranie na routeri. Pokial chces ist dalej, treba bud nastavit forward do sieti, kam sa wg klienti maju dostat, alebo prihodit wg rozhranie do interface listu, ktory to uz ma nastavene. Na domace ucely, pridaj interface wireguard1 do interface listu LAN:

Kód: [Vybrat]

/interface/list
add interface=wireguard1 list=LAN

169

Sítě / Re:Domáci WiFi router s dobrou konfiguráciou

« kdy: 09. 02. 2022, 22:41:37 »

Turris MOX... no tak zrovna u routeru by som cakal, ze sa vie rebootnut[1] bez asistencie, ked uz ma automaticke updaty zapnute by default. Alebo sa akosi ocakava, ze funguje wifi[2]... Jednoducho, na takychto veciach by chlapci z CZ.NIC mali troska viac zamakat, toto nie je akceptovatelne ani len v domacich podmienkach.

Ked uz Turris, tak jednoznane Omnia. Ta mala tiez porodne bolesti, ale tie postupne vychytali. Mox ani po troch rokoch nie je v tejto faze.

[1] https://gitlab.nic.cz/turris/mox-boot-builder/-/releases/
[2] https://forum.turris.cz/t/no-wifi-in-mox-a-with-mimo-module/10320/2

170

Sítě / Re:Domáci WiFi router s dobrou konfiguráciou

« kdy: 09. 02. 2022, 14:59:28 »

Díky za doplnění! Ano hAP ac3 je moc pěkné dílo, nestojí moc a dá se s tím dobře hrát. Apple na svých macboocích používá 3x3, v populaci je už poměrně rozšířený. Routery s 3x3 nejsou také exotika, proto jsem se k tomu přiklonil.

Apple... bohuzial, bejvavalo, len do roku 2019. Od modelov 2020 su iba 2x2 MIMO. Od modelov 2021 (t.j. m1, vratane mini) podporuju ax.

Tiez mam doma 4x4 MIMO (nanoHD), tak velmi dobre viem, aky je rozdiel medzi starsim a novsim Macbook Pro .

171

Sítě / Re:Domáci WiFi router s dobrou konfiguráciou

« kdy: 09. 02. 2022, 12:33:07 »

Wifi router komunikuje vždy v jeden okamžik pouze s jedním klientem (počítej to v ns, jsou to kraťoučké okamžiky), pokud s nějakým klientem ztrácí více času než je zdrávo (např. kvůli špatnému signálu), nestihne se běžný časový okamžik takových klientů obsloužit více. Poté může nastávat situace, kdy kvůli špatnému signálu celé rádio přepne na starší technologie s nižší modulací (802.11b/g/n), tj. i pro všechny ostatní klienty se může celý router zpomalit nebo být na desítky ms nedostupný.

Výrobci se tohle samozřejmě snaží nějak řešit. Vznikla např. technologie beamforming, která umožňuje modulovat vyřazovací signál tak, aby jeho polarita odpovídala lépe "natočením" antén klienta (klasicky dnes je jedno, jestli mám mobil ležato nebo stojato). Nebo existují také věci jako diversity, multiplexing, vše vyžaduje více antén.

Nově již můžeš u routerů hledat podporu technologie MU-MIMO (dostupná ale až s 802.11ac/ax), k tomu asistuje OFDM(A) (vertikální rozšíření přenosových linek do mikropásem). Číslo za MU-MIMO udává počet up-down stream, 3x3 je dobrý kompromis, musí to ale podporovat i klientská zařízení.

V praxi se poté používá i schopnost routerů odstřihnout klienty se špatným signálem, aby ostatní nebrzdili.

Běžné domácí routery zvládají dobře nějakých 1 - 5 současně připojených zařízení, pak jejich schopnosti hodně rychle padají dolu. Ve firemním sektoru se dostáváme i na zařízení, které zvládají desítky připojených klientů.

Jako základní ukazatel používám počet zpracovaných ethernet paketů (a jejich velikost) na straně, při větším množství zařízení by to nemělo klesat.

Snad stačí, popis je možná chaotický, přeskakuji myšlenkově mezi prací a odpovědi a nechci tomu věnovat příliš času.

Zrovna hAP ac3 je jeden z mala (dvoch: druhy je Audience) Mikrotikov, ktory zvlada ac wave2 bez nejakych velkych kompromisov (rb4011 napr. len na 5 Ghz, 2,4 Ghz radio je vtedy dole). S balickom wifiwave2 ma MU-MIMO aj beamforming, aj ked ma iba 2x2 MIMO.

99% zariadeni ma maximalne 2x2 MIMO; kedysi som mal laptop, co zvladal 3x3 MIMO, ale to bola uz vtedy vzacnost a aj novsie modely od tohto vyrobcu su uz iba 2x2, rovnako ako vsetci ostatni.

172

Sítě / Re:Domáci WiFi router s dobrou konfiguráciou

« kdy: 09. 02. 2022, 12:27:55 »

toto presne nechcem - tak to mam teraz, ale nefunguje to uplne 100%tne (napr. chrome v androide alebo youtube app pre android). chcem to nastavit na jednom mieste pre vsetky zariadenia v sieti, dokonca aby to mala automaticky nastavena aj navsteva, ked sa u mna pripoji na wifi.

Suhlasim, ze ten Mikrotik by bola dobra/seriozna hracka, ale teraz to najskor skusim s pi-hole + rasberry pi.

DNS blokovanie nefunguje na 100%. Reklamy na Youtube v Chrome pre Android alebo Youtube aplikacii budes mat aj tak. Na Youtube funguje len nieco ako uBlock v browseri, pretoze reklama ide z rovnakeho zdroja ako videa, tak to na DNS urovni nevies rozlisit, musis pozriet DOM stranky a len na zaklade toho rozhodnut, co je reklama a co nie. Teda to, co dokaze len plugin do prehliadaca.

Jediny sposob, ako mat na Androide Youtube bez reklam je bud browser s pluginom (t.j. Firefox + uBlock) alebo alternativny prehravac pre Youtube, ako napr. NewPipe.

173

Sítě / Re:Domáci WiFi router s dobrou konfiguráciou

« kdy: 08. 02. 2022, 20:36:38 »

Ten Mikrotik vyzera velmi zaujimavo. Co som zlahka preletel  konfiguraciu tak to vyzera naozaj dobre. Ak by som mohol vlastny DNS server naistalovat priamo na ulozisko v routri, tak by to bolo este lepsie, nepotreboval by som 2. krabicku s pi-hole alebo Unbound, ako navrhoval Petr Krcmar.

hAP ac3 je fajn router, ale na ulozisko priamo v routri si DNS server nenainstalujes, Mikrotik nepodporuje balicky tretich stran, podpora pre docker este nie je hotova a 128 MB ulozisko tiez nie je velka vyhra.

Takze aj ked z plneho DNS nic nebude, stale je tam resolver, kde si vies dat staticke zaznamy (ale nie SOA pre zonu). Takze zavisi, co od toho DNS chces, na blokovanie staci, akurat budes musiet nejako naimportovat alebo naformatovat block list, vacsina z nich nechodi vo vhodnom formate pre Mikrotik.

174

Sítě / Re:Propojení dvou domků od jednoho ISP (Starlink)

« kdy: 31. 01. 2022, 13:03:25 »

Táto téma sa nedávno riešila na reddite: https://www.reddit.com/r/homeassistant/comments/rzsmr9/2022_high_end_privacy_respecting_haintegrable_no/

Mám to odložené, pretože tiež to budem onedlho riešiť a zatiaľ vyzerá, že v diskusii sa pomerne zhodli na Valetudo, alternatívnom firmware pre rootnuté zariadenia.

175

Hardware / Re:Mikrotik RB941 2nd hAP Lite a fw 7.1.1

« kdy: 28. 01. 2022, 11:07:50 »

Používam jeden RBSXTR&R11e-LTE, ktorý má trocha iný procesor, ale cca v tej istej lige, plus má viac RAM.

7.1 a 7.1.1 sú tam úplne v poriadku, konfigurácia bola zmigrovaná zo 6.x úplne hladko, až som bol prekvapený, čakal som viac problémov (viac-menej jediná vec, čo mi nejde sú grafy cez https). Dokonca sa zdá, že vyriešili aj memory leak pri DoH (ale nevyriešili statický FWD, keď sa používa DoH). Vyťaženie procesora je v jednotkách percent.

176

Sítě / Re:Jak protáhnout optiku trubkou do obýváku?

« kdy: 26. 01. 2022, 12:10:02 »

V tomhle ohledu pokud by tam muselo stejne byt koncove zarizeni (prevodnik navic), tak bych jej nechal u mericu a misto tel. kabelu bych s jeho pomoci natahnul klasicke UTP, ktere muze poslouzit i poe pro napajeni z obyvaku. Tohle je podle me nejjednodusi funkcni reseni.

... a já bych k té zprávě dodal jen to, že do SFP potrtu na Omnii můžete dát RJ45 SFP modul (https://www.alza.cz/ubiquiti-uf-rj45-1g-d5596804.htm) ... pokud máte málo portů ...

Na Omnii je to pase, to je combo port - bud SFP alebo povodne RJ45, obe su zavesene na eth1 bez switch chipu.

177

Bazar / Re:Prodám MikroTik RouterBOARD RB4011iGS+5HacQ2HnD-IN

« kdy: 23. 01. 2022, 20:07:39 »

U Unifi si dejte pozor na pár dost blbých problémů, které mě trápily. Ono je to sice na Debianu a dá se to různě ohýbat, ale vlastně jsem došel k tomu, že to je to, co u zařízení, na která se potřebuji spolehnout fakt nechci. Dal se doinstalovat Wireguard, ale jsou starosti s aktualizacemi a kompletní konfigurace jen v TUI. IPSec VPN jim moc nefungují, narazil jsem na X různých problémů, když na tom bylo asi 8 tunelů. Ani podpora to nevyřešila. A to ani nemluvím o radostech, jako že z GUI nenastavíte Sha512, jde to jen přes CLI. Jenže když to jednou nastavíte přes CLI a potom tam hrábnete přes GUI, jak 512 v GUI chybí, zase se to vynuluje... A to jen proto, že jsou líní to přidat do toho options... Je to plné takových chyb, které prostě otravují život.

Ono je to trošinku o inom, ako o tom, že sú leniví pridať option do GUI.

V Unifi je IPSec implementovaný pomocou strongswanu, takže teoreticky zvláda všetko, čo sa v strongswane dá nastaviť. Vtip je v tom, že v USG sa používali MIPS Octeony, ktoré nevedeli akcelerovať v hw všetko, čo strongswan zvláda používateľovi sľúbiť. Ten zvyšok musí bežať v sw, samozrejme s nižším výkonom. Preto v GUI vidíš len to, čo Octeon zvláda akcelerovať.

178

Sítě / Re:Jaký internet do softwarové agentury?

« kdy: 18. 01. 2022, 13:04:06 »

No my máme mikrotik a DDNS se nám nepodařilo nastavit. Navíc jsem pak stejně zjistil, že ten O2 backup nemá pevnou IP, takže si budu muset za ní připlatit.

Mikrotik je zrovna jeden z tých, kde vendor prevádzkuje vlastnú DDNS službu. /ip cloud set ddns-enabled=yes a je to, odteraz bude router udržiavať záznam <seriove-cislo>.sn.mynetname.net, na ktorý si vo vašej doméne nastavte CNAME (alebo ALIAS, pokiaľ to vaše DNS podporuje).

179

Distribuce / Re:Právo odpojení VPN Network manager Debian 11

« kdy: 03. 01. 2022, 15:21:04 »

1. zakáž/zruš službu wg-quick, nie je potrebná, len sa motá network manageru do kšeftu,
2. naimportuj wg profil do network managera (nmcli connection import type wireguard file /path/to/wg0.conf)
3. skontroluj, či má novovytvorený profil nastavenú vlastnosť connection.autoconnect = true (by default by mal mať)
4. nastav profilu connection.permissions na toho používateľa, ktorý má právo zapnúť/vypnúť spojenie. Prázdna vlastnosť znamená všetci používatelia.

Nm applet nezobrazuje medzi vpn žiadny profil, ktorý má connection.type = wireguard, zobrazí iba connection.type = vpn.

180

Sítě / Re:VPN na tplink MR200 nejde a nejde

« kdy: 31. 12. 2021, 00:03:11 »

V prvom rade si treba vyjasnit, aky typ VPN je pozadovany. Site-to-site sa konfiguruje inac, ako Roadwarrior, takze pokial chcete site-to-site A<->B a potom roadwarrior<->B, tak najprv nastavte jedno, potom druhe a nesnazte sa to robit naraz.

K existujucemu stavu, resp. k niektorym poziadavkam:

• ano, VPN (A<->B) sa da takto prevadzkovat. Privatna dynamicka adresa na jednom konci je problem, ktory sa da eliminovat:
  
  • vytvorit spojenie bude vzdy nutne zo strany bez verejnej adresy (A). Naopak, zo strany B sa nebude dat pripojit, vzdy sa musi pripajat A na B.
  • IPSec je standardne on-demand; ked cez neho po nejaky cas netecu pakety, tak sa tunel zhodi, a znova sa vytvori, az ked nejake pakety budu na ceste, ci uz z jednej alebo druhej strany. Vzhladom na predosly bod je jasne, ze zo strany B to v tomto pripade nepojde, tak ho treba nastavit tak, aby bol tunel permamentny a pri preruseni ho vzdy A obnovil.
  • IPSec/IKE overuje bud pomocou id+preshared key (psk), alebo pomocou certifikatu. Bezne sa ako id pouziva bud ip adresa, alebo fqdn. Kedze mate privatnu adresu, tak oboje je nepouzitelne a pokial by ste aj na strane B nastavili privatnu adresu A ako id, tak to bude fungovat len do okamihu, kym sa nezmeni. Da sa to vyriesit tak, ze bud sa nastavi id na nejaku znamu hodnotu (musia podporovat obe strany), alebo sa namiesto overovania id+psk pouzije ale certifikat, kde sa overuje podla common name. Certifikaty su zase dalsia zajacia nora.
• pri site-to-site nie je ziadny problem s NAT, pokial sa adresne rozsahy oboch sieti neprekryvaju.
• moderne VPN su routovane, takze nikdy to nebude "ako v lokalnej sieti". Funkcnost zalozena na broadcaste v lokalnej sieti vam nepojde (su sposoby, ako cast z nich sprevadzkovat pomocou mdns reflectoru, ale zrovna ten mikrotik nepodporuje a pochybujem, ze tplink ano). Pokial fakt potrebujete prepojit siete na L2, skuste Zerotier.

Pri roadwarrior pripojeni zase plati:

• je jedno, pokial ste za NAT a mate privatnu IP. Verejnu IP potrebuje mat VPN gateway na opacnom konci (B splna);
• o to, ci je tunel vytvoreny (je naviazane spojenie) sa stara vas klient
• mate tam mikrotik... zabudnite na openvpn, pouzite bud wireguard (od routeros v7), alebo ipsec/l2tp (sanca je, ze ho mikrotik bude hw akcelerovat).
• pokial mobilne aplikacie idu cez servery vyrobcu, tak by malo byt jedno, v akej sieti su spostene a fungovat z celeho internetu, nie? Ved predsa to je pointa, preco idu cez server a nie priamo v LAN.

Na vasom mieste teda:

• bud vyskusajte vyssie zmieneny zerotier (dost mozne, ze do siete A budete musiet pridat nejake zariadenie, minimalne rpi, kde to pobezi), co moze byt najjednoduchsie riesenie,
  
• alebo sa pri pokuse sprevadzkovat VPN o nich naucite viac, ako ste kedy chceli vediet