Příspěvky

76

Sítě / Re:Hardvérová akcelerácia IPsecu na MikroTiku

« kdy: 22. 10. 2022, 23:19:57 »

Žiadne L2TP, to sa potom balia pakety dvakrát, a druhýkrát to vždy robí CPU.

Samotné IKEv2, takto nejako (site to site):

Kód: [Vybrat]

/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256
add dh-group=modp2048 enc-algorithm=aes-256 name=profile2

/ip ipsec peer
add address=peer1.fqdn exchange-mode=ike2 name=peer1 profile=profile2
add address=peer2.fqdn exchange-mode=ike2 name=peer2 profile=profile2
add address=peer3.fqdn exchange-mode=ike2 name=peer3 profile=profile2

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,\
  aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm pfs-group=modp2048
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm name=proposal2 pfs-group=modp2048

/ip firewall filter
...
add action=accept chain=input comment="allow IPSEC IKE, NAT" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="allow IPSec ESP" protocol=ipsec-esp
...
add action=accept chain=forward comment="accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" ipsec-policy=out,ipsec
...


/ip firewall raw
add action=notrack chain=prerouting dst-address=peer1-subnet/24 src-address=local-subnet/24
add action=notrack chain=prerouting dst-address=local-subnet/24 src-address=peer1-subnet/24
add action=notrack chain=prerouting dst-address=peer2-subnet/24 src-address=local-subnet/24
add action=notrack chain=prerouting dst-address=local-subnet/24 src-address=peer2-subnet/24
add action=notrack chain=prerouting dst-address=peer3-subnet/24 src-address=local-subnet/24
add action=notrack chain=prerouting dst-address=local-subnet/24 src-address=peer3-subnet/24

/ip ipsec identity
add peer=peer1 remote-id=fqdn:peer1.fqdn secret=ABC
add peer=peer2 remote-id=fqdn:peer2.fqdn secret=DEF
add peer=peer3 remote-id=fqdn:peer3.fqdn secret=GHJ

/ip ipsec policy
add dst-address=peer1-subnet/24 peer=peer1 proposal=proposal2 src-address=local-subnet/24 tunnel=yes
add dst-address=peer2-subnet/24 peer=peer2 proposal=proposal2 src-address=local-subnet/24 tunnel=yes
add dst-address=peer3-subnet/24 peer=peer3 proposal=proposal2 src-address=local-subnet/24 tunnel=yes

77

Bazar / Re:Koupím switch se SFP+ a kabel CAT 6a

« kdy: 17. 10. 2022, 15:29:18 »

No to je kombinácia, za ktorú si treba priplatiť a aj tak nesplní všetko.

Unifi USW-Enterprise-8-PoE: 8x2.5 GbE, 120W PoE+ (af(at) + 2xSFP+. Nie je pasívne chladený. (500+ EUR)

Unifi US-XG-6PoE: 4x10 GbE, 170W PoE++ (bt) + 2xSFP+. Ani ten nie je pasívne chladený. (550+ EUR)

Mikrotik CSS610-8P-2S+IN: 8x1 GbE, 140W PoE (af/at) + 2xSFP+, je pasívne chladený, ale nemá 2.5 GbE. Do jedného SFP+ by sa dal dať transceiver, ale ten nebude PoE (260+ EUR + transceiver).

Alternatívou by mohlo byť použiť router a prebridgovať všetky porty: Mikrotik RB5009UPr+S+IN, 1xSFP+, 1x2.5 GbE, 7x1 GbE, všetkých 8 portov má PoE out (af/at), 130W, je pasívne chladený (300+ EUR).

78

Sítě / Re:Mesh wifi v rodinném domě

« kdy: 16. 10. 2022, 14:06:16 »

Varianta 1) je IMO spatna. Ty APecka si nebudou umet klienty predavat a klient pak zustane "vyset" na jednom AP, na ktere se prihlasi a dokud neztrati signal, tak se neprehlasi -> napr. telefon pak bude mit spatny signal a nefunkcni pripojeni k internetu/do site.

AP-cka si klientov nepredavaju, rozhodnutie ci roamovat alebo nie, je vzdy na klientovi. Preto to funguje medzi AP rozlicnych vyrobcov a staci rovnake SSID s rovnakym heslom.

802.11 r/k/v su iba hinty, ktore maju klientovi pomoct v rozhodovani, plus asistencia pre rychlejsi EAP handshake po preroamovani (teda pri WPA Personal irelevantne), ale ci ich klient pouzije alebo bude tvrdo vysiet na jednom AP je vzdy na nom. Maximum co moze AP spravit, je vykopnut klienta ked RSSI spadne pod urceny threshold, ale tento pristup ma tiez svoje vlastne problemy (napriklad AP nevie, ci klient vobec vidi nejake ine AP so silnejsim signalom).

Fakt nevím, co pořád má kdo s nějakým údajně zabugovaným FW a jaké problémy musí řešit (a jestli to vůbec souvisí s Ubiquiti a ne třeba mizerně navrženou celou sítí).

Pretoze bugy sa stavaju a to, ze sa niekde neprejavi neznamena, ze inde  sa to nemoze stat. Nie vsade su idealne laboratorne podmienky.

Priklad 1: mal som nanoHD pomerne blizko rusnej ulice. Kazde auto s vlastnym AP a kazdy chodec so zapnutym hotspotom na telefone (a ze ich je!), ktori po ulici presli, boli pekne zaradene medzi susedne AP, takze trvalo cca 6 dni, kym zodpovedny proces vycerpal vsetku RAM a OOM ho odstrelilo. To malo za nasledok, ze AP zapol bielu LED, prestal komunikovat s kontrolerom a Wifi prestalo fungovat, az do dalsieho restartu; manualneho samozrejme.

Na inom nanoHD, ktore bolo v budove v tichej ulicke, sa tento problem nikdy nevyskytol. Ubiquiti ho vyriesilo v novom firmware, po nejakych 4 mesiacoch.

Priklad 2: US 24, pripojeny s LAG-ovanou linkou. Cez tuto linku neprechadzali DHCP pakety. Problem bol znova vyrieseny v dalsom firmware.

79

Sítě / Re:Mesh wifi v rodinném domě

« kdy: 13. 10. 2022, 20:30:08 »

1) Wifi mesh znamená, že wifi AP má uplink tiež cez wifi a sieť nie je statická, ale vie sa prispôsobiť, ako pribúdajú alebo miznú jednotlivé uzly. Toto nechcete, ak sa tomu dá vyhnúť. Pokiaľ potrebujete niekoľko AP a každý z nich má uplink cez ethernet, tak to bude "len" roaming medzi AP s rovnakým SSID.

2) Mikrotik, pri týchto rýchlostiach najskôr hEX PoE (RB960PGS) ako router a potrebný počet cAP ac (RBcAPGi-5acD2nD) ako AP. S PoE verziou máte vyriešené aj napájanie pre 4 AP (pozor, je to pasív, nie af/at) a cAP ac majú dva ethernet porty, ktoré sa dajú prebridgovať, aj s PoE passthrough.

Na miestach, kde netreba AP vešať na strop/stenu a je treba tam mať viac ako 2 ethernet porty sa dá dať niečo ako hAP ac^2 (RBD52G-5HacD2HnD-TC) alebo hAP ax^2 (C52iG-5HaxD2HaxD-TC).

Nevýhody sú, že 1) je to o dosť drahšie riešenie ako spomínaný TP-Link, 2) Mikrotiky sú momentálne unobtanium, takže treba objednať a čakať, možno aj niekoľko mesiacov 3) najbližie mesiace sa očakáva nástupca cAP ac pre wifi 6 (cAP ax)  a 4) pokiaľ ich nepoznáte, tak s prvým nastavením sa trocha potrápite.

80

Sítě / Re:Doporučte firewall pro malou firmu

« kdy: 12. 10. 2022, 21:56:03 »

Ty produkty od Turris se dokonce prodavaji i u nas, coz mne prekvapilo
https://linitx.com/category/turris/1302
a vypadaji hodne zajimave ...........
Jsem prekvapen ze to nebylo prvni ze zarizeni, ktere tady nekdo doporucil ......

Prečo prekvapený, že sa predávajú v Čechách? Je to český produkt, tak by som to tak nejako očakával..

A to že to nie je prvé z odporučených zariadení, za to môže možno aj tak trocha špecifický prístup výrobcu k updatom,  zachovaním konfigurácie pri updatoch a podobných drobnostiach a skúsenostiach ľudí, čo sa to snažili udržať "v produkcii". Veď si stačí pozrieť fóra.

81

Windows a jiné systémy / Re:Správa domácích počítačů + sítě

« kdy: 12. 10. 2022, 21:49:02 »

Škoda toho Synology... keby to bolo niečo z plus série (DS220+, DS218+, apod), tak tie podporujú Synology Directory Server, čo je Samba v AD režime. S tým by sa dali všetky počítače pripojiť do domény a základná požiadavka by bola splnená.

82

Sítě / Re:Optika od T-Mobile a vlastní MikroTik

« kdy: 09. 10. 2022, 20:07:05 »

A jinak to odmítání Wi-free je přesná ukázka, co jsem psal výše - z nepochopení. Ta WiFi totiž běží na úplně stejném kanálu jako WiFi, kterou má v modemu přímo účastník neboli je to pouze další přidané SSID s jinou IP adresou. Takže to nikdy nebude zasírat okolí o nic víc a o nic míň, než jak to dělá přímo WiFi hlavní.

Toto je presne nepochopenie, ako funguje viacero SSID na jednom rádiu. Ono advertisment SSID nie je zadarmo, a zaroveň spomalí všetok traffic na 802.11b, aby to pochopili aj najstarší klienti -- a to nejaký čas trvá, čo ti potom v danom pásme chýba.

Nie nadarmo napr. Ubiquiti limituje počet SSID na jednom rádiu na 4 -- je to práve preto, že to má vplyv.

83

Sítě / Re:Optika od T-Mobile a vlastní MikroTik

« kdy: 08. 10. 2022, 21:56:39 »

Navíc to bylo v době ještě celkem drahých mobilních tarifů, takže využívání Wi-free někde na cestách jednoznačně přišlo vhod. Dneska už tato služba zmizela, takže je to fuk.

Zmizla? Práve teraz som v okolí napočítal 23 (!) AP so SSID "UPC Wi-Free", na všetkých troch neprekrývajúcich sa kanáloch v 2,4 GHz - 1, 6, 11. Neviem kto to stále používa, ale je to zbytočné zasie***ie pásma v susedstve. Na toho, kto to má v meste zapnuté sa pozerám rovnako cez prsty, ako keď si zapne 40 MHz pásmo v 2,4 GHz.

84

Sítě / Re:Firemní síť přes optický router od Telekomu

« kdy: 26. 09. 2022, 13:36:29 »

Apropo, u nás je běžné, že firemní internet má jiné tarify i parametry (a jinou podporu) než ten pro domácnosti, to u vás na slovači není?

Na slovači to je, ale nie každá firma potrebuje SLA a dedikované pásmo. No tak keď to nepotrebuje, tak to nebude platiť. V česku je to podobné, Vodafone/UPC tiež ponúka firemné pripojenie, ktoré je vo svojej podstate pripojenie pre domácnosti. No tak toto je niečo na ten spôsob.

85

Sítě / Re:Firemní síť přes optický router od Telekomu

« kdy: 26. 09. 2022, 11:30:49 »

Ako spomínal predrečník, chceš to mať v bridge mode. Router mode na týchto zariadeniach je tak pre nenáročnú domácnosť.

Počítaj ale s nasledovným:

1) ty to do bridge mode prepnúť nebudeš môcť, to musí urobiť provider cez TR-069. Takáto vec sa dohaduje ľahšie pred podpisom zmluvy ako po podpise.

2) Telecom používa PPPoE. Uisti sa, že máš credentials niekde zaznamenané, nielen v CPE. Podobne router ktorý budeš používať by mal zvládať PPPoE rýchlosťou, ktorú si platíte (toto bývalo často bolestivé, pretože PPPoE bolo single-threaded a slabé CPU v malých routeroch to nezvládali pri vyšších rýchlostiach).

3) Keď budeš mať server v inej VLAN ako používateľov, treba si uvedomiť, že všetok traffic na neho potečie cez router. Bude treba použiť taký, ktorý s tým nebude mať kapacitný problém. T.j. keď má routovať WAN s PPPoE, NAT, firewallom na 1 Gbps a server ďalší aspoň 1 Gbps, tak to mnoho malých routerov nezvláda.

86

Hardware / Re:Výběr domácího NAS

« kdy: 23. 09. 2022, 13:52:49 »

Na nasej ulici uz vykradli niekolko RD. Takze tak...

A kolko diskov z NAS ukradli?

Mam NAS namontovany v racku. Mne sa to nechce vymontovat, ked na tom nieco potrebujem urobit, aj ked viem kde su kluce od racku a mam neobmedzene mnozstvo casu. Pochybujem, ze by sa nejaky zlodej obtazoval kvoli NAS, routeru alebo switchu, ked si musi svihnut a zmiznut co najskor.

87

Distribuce / Re:apt upgrade necháva neaktualizované balíčky

« kdy: 20. 09. 2022, 10:13:56 »

Ubuntu? Ti zacali agresivnejsie vyuzivat "phased updates", teda updaty nejdu vsetkym naraz, ale postupne, keby bol nejaky problem, aby ho nemali vsetci naraz.

Vymenovat balicky sice funguje, ale budu oznacene ako manualne instalovane, nie ako dependency! Moze to byt prekvapko v buducnosti.

Viac info: https://askubuntu.com/questions/1420969/how-to-force-packages-that-have-been-kept-back-to-be-installed-as-automat

88

Sítě / Re:Optika od T-Mobile a vlastní MikroTik

« kdy: 15. 09. 2022, 19:45:26 »

No nutit mi nějaké zařízení od ISP je jako kdyby mi distributor elektřiny nutil obyčejné žárovky místo LEDkových.

Podle mne záleží na tom, kam Vám to zařízení nutí. Třeba distributor elektřiny používá vlastní elektroměry a těžko ho přesvědčíte, že si chcete měřit elektřinu sám nějakým vlastním přístrojem.

Vsak ISP nikto nekeca do toho, ake routre maju pouzivat na svojej strane. Tu hovorime za predavacim rozhranim, ergo za elektromerom.

Chapes ale ze predavajuce rozhranie je prave ten router/modem?

(1) Modem alebo ONT ano, (2) router len ak sa dohodne so zakaznikom.

K predavaciemu rozhraniu sa pripaja zakaznikov router WAN rozhranim (1). Poskytovatel sa moze dohodnut so zakaznikom / zakaznik moze, ale nemusi suhlasit, ze mu poskytne aj sluzby routra a iba vtedy aj moznost (2).

89

Sítě / Re:Optika od T-Mobile a vlastní MikroTik

« kdy: 14. 09. 2022, 19:06:31 »

No nutit mi nějaké zařízení od ISP je jako kdyby mi distributor elektřiny nutil obyčejné žárovky místo LEDkových.

Podle mne záleží na tom, kam Vám to zařízení nutí. Třeba distributor elektřiny používá vlastní elektroměry a těžko ho přesvědčíte, že si chcete měřit elektřinu sám nějakým vlastním přístrojem.

Vsak ISP nikto nekeca do toho, ake routre maju pouzivat na svojej strane. Tu hovorime za predavacim rozhranim, ergo za elektromerom.

90

Sítě / Re:Optika od T-Mobile a vlastní MikroTik

« kdy: 13. 09. 2022, 13:38:49 »

me ted de o to, ze tam mam dve krabicky, misto jedne. Ten modem by sel prepnout z modu bridge do nat, a mikrotik bych uz nepotreboval. jenze na podpore mi rekli ze v tomto pripade bych musel zacit platit za vyuzivani routeru 30kc za mesic.

cely mi to pride takovy nestastny, kdyz je zarizeni v rezimu bridge tak ho jako nepouzivam a platit nemusim, a kdyz se prekonfigoruje, tak najednou platit musim? dava to nekomu smysl?

Ked je v bridge, tak ten modem sa sprava len ako prevodnik z gpon na ethernet. Ked je v bridge, tak tam nic nevyuzivas, preto je to zadarmo. Ak by bol v mode NAT, tak vyuzivas jeho dalsie sluzby ako dhcp, wifi atd... a preto musis za to platit
[/quote]

To nemusi byt celkom pravda; napr. slovensky Telecom a Orange bridguju iba jednu vlan-u (internet); do iptv vlan ta nepustia. Preto musis pouzit port 1 pre svoj router (ten je zapojeny do bridge) a na zvysnych portoch je stale NAT+DHCP+IGMP proxy s uplinkom do iptv vlan.

Skor by som povedal, ze to ma co do cinenia s technickou specifikaciou ucastnickych rozhrani; maju tam zadefinovane, ze je to 1000BASE-T, tak poskytuju 1000BASE-T. Ze zakaznika vedia presvedcit, aby si prenajal router s wifi, to je sluzba navyse, za ktoru ho skasiruju. Ze to poskytuje ta ista krabicka, ktoru by mal doma aj tak? No a co?