Příspěvky

1

/dev/null / Re:Ministerstvo nerozumi jak internet funguje

« kdy: 13. 03. 2025, 20:03:25 »

Ehm, než začnu shánět letenku do Severní Koreje, co se podívat přesně, jak se mění už cca 10 let platná legislativa?
Týká se to jen připojení, kde je koncák za CGNAT, kdo má veřejnou IP adresu, tak pro toho se nic nemění, ISP si jen vede seznam, kdo(kdy měl jakou IP přidělenu. Kdo je za CGNAT, tak už 12 let uchovává ISPík fakticky info o každém odchozím spojení (příloha k vyhlášce č. 357/2012 Sb.):
3.3.7 u služby přístupu k internetu s překladem adres IP
3.3.7.1 privátní adresa IP,
3.3.7.2 veřejná adresa IP a číslo portu nebo přidělený rozsah portů,
3.3.7.3 datum a čas zahájení překladu adres ve formátu DD.MM.RRRR HH:MM:SS,
3.3.7.4 datum a čas ukončení překladu adres ve formátu DD.MM.RRRR HH:MM:SS,
Nově návrh přidává bod:
3.3.7.5 adresa IP a číslo portu, ke kterým bylo připojení uskutečněno.

Dosud legislativně tak u CGNAT linek jsem  měl ukládat jen zdrojový IP:port CGNAT brány a k tomu info, který kocnák to byl. Nyní ukládám i kam to spojení mířilo, ale jen na úrovni IP:port. Fakticky se stejně ukládalo i toto, co teprve teď do to vyhlášky přiskakuje jako ten 3.3.7.5 bod, protože to v těch netflow datech je odjakživa.

2

Server / Re:HTTP/S a certifikáty v embedded zařízeních

« kdy: 12. 03. 2025, 10:55:09 »

Řeší se interní CA.

Díky. A jak s tím zkracováním akceptované délky platnosti certifikátů? Je nějaký standard pro vydávání certifikátů interní CA (něco jako ACME), který by se běžně na embedded zařízeních používal - tedy něco jako že se zadá jen název stroje s interní CA a ono si to už bude o certifikáty žádat samo, pomocí standardního protokolu, všechny "krabičky" stejným způsobem?

Zkracování se týká těch veřejných CA. Pokud si udělám vlastní privátní CA a naimportuji do prohlížeče/OS, tak stále ve Firefoxu, Chrome, Edge jedou dlouhé doby platnosti. Jen Safari to řeže a odmítá certy s platností nad 2 roky (nad cca 384 dní). Chrom na jabkách to také nějakou dobu takto dělal, co používal OS validátor, ale asi to už opravili.
Tohle je ale řešení pro firmu a interní/technologické systémy. Pro veřejnost ne.
Protokolů je několik, včetně historického SCEP, ale z pohledu embedded světa to skoro nic neumí. U řady ani nejde ručně vyměnit to, co tma je od výrobce/samo si vygenerovalo při zapnutí. V řadě případů u nejrůznějších technologických embedded krabic, tak i u nových, je HTTPS stále sprosté slovo. Nebo zapnutí HTTPS tu krabici totálně odvaří, protože je v tom CPU, co to nedává. Třeba si hraju teď s analyzátorem plynů, bedna za XX MKč, má to web, po zapnutí HTTPS přestane půlka věcí fungovat a přihlášení trvá cca 10 minut, proti pár vteřinám na HTTP a ve většině případů to skončí timeoutem. Něco, že by šlo třeba změnit default heslo, tak to je z říše snů.... To je ta technologicko/výrobní realita zmiňovaná o příspěvek výše. :-)

3

Server / Re:HTTP/S a certifikáty v embedded zařízeních

« kdy: 11. 03. 2025, 18:25:22 »

Řeší se interní CA. Ale občas ne jednou, protože řada věcí ani nerozdýchá certifikáty s SHA256 a spokojeně si mrzne v době MD5/SHA1 a podobné...
Jinak se řeší izolací, k tomu je virtuál s něčím jako Win7 a starší a v něm dostatečně starý prohlížeč. Což je také cesta, jak udržet některé takovéto stařešiny v provozu. Jsem zvědav, zda se dožiju vyhlazení Windows NT4.0 z mého středně vzdáleného technologického okolí. :-)

4

Studium a uplatnění / Re:Založení OSVČ v ČR

« kdy: 23. 12. 2024, 21:51:50 »

Přidávám se je greenlinuxguru a další - běž se zeptat nejen jak založit živnost v ČR, ale i někoho, jak je to s přeshraničním podnikáním.
Tuším, že tě nětěší, jak je OSVČ sdírán na SK a je myšlenka, že si založím živnost v ČR a na ni budu fakturovat do SK (a pojedu nejlépe v nějakém paušálu)?

ano budem uctovat aj v EUR aj v CZK. ak by som mal ale ucet v CR a odberatel mojich sluzieb posiela zo SK, tak neviem ci nebude platit poplatky za prevod do zahranicia.

Kde tě může potkat zrada - pokud platí některý z bodů:
a) mám trvalé bydliště na SK,
b) na SK má trvalé bydliště má manželka,
c) na SK má trvalé bydliště nezaopatřený potomek, kterého ještě živím,
d) vlastním na SK nemovitost k bydlení,
tak tě SK strana může považovat za SK usazeného a v takovém případě nemohu podnikat z ČR jako OSVČ na ČR živnost v režimu směrnice o přeshraničním poskytování služeb, aktivity na SK musím fakturovat na SK živnost (a patřičně ji tam danit). Tohle si v podstatě vydupalo primárně Rakousko v řadě soudních sporů před SDEU na téma přeshraničních živností a té směrnice.
Můžu paralelně při tom podnikat na ČR živnost v Česku a s touto ČR živností i do ostatních zemí, ale ne na SK. Nicméně další zrada v takovém režimu tě může potkat i z pohledu sociálky - je tam několik "blbých" vyjímek. Něco stylem, že pokud pojedeš na tu ČR živnost a podíl fakturací do Česka bude méně než 25%, tak se ti platba sociálky přenáší do místa tvého ekonomického středu zájmu - tam, kde toho nejvíce vyfakturuješ.

Jaká je šance, že budu odchycen? Aktuálně je to minimální, musel by si tvé osoby všimnout finacové/sociálka/živnosťnák/... na SK a požádat ČR stranu o  spolupráci a šetření (pár let už mají povinnost si takhle vycházet vstříc).
Ale nějak se nám aktuálně mění "nepříjemně" legislativa ohledně automatizovaného poskytování informací přeshraničně, rozšiřuje se oblast i o fyzické osoby, takže finančák i banky mají v rámci EU práskat vše do místa tvé rezidentury (pro právnické osoby/korporáty/... to v podstatě platí už řadu let). Takže je otázka, jak tam s tím naloží, zda budou salámisti i nadále, nebo se v těch přehledech bude někdo nebo nějaký automat na SK rejpat...

Takže opět platí to na začítku, třeba probrat s někým se na toto zaměřující i s ohledme na ty "moderní" legislativní trendy. :-(

Ak sa mozem este spytat, ak je zena na materskej, je mozne si uplatnit zlavu na manzelku a dieta, ked sme zo SVK?

Ano, pokud nejméně 90% z tvých příjmů+manželky bude pocházet z území ČR (a manželka/potomek má trvalý pobyt na území EU).

5

Software / Re:Znak skoromezery rozbije curl

« kdy: 23. 12. 2024, 17:51:18 »

Ta reakce curl 7.8.11 je správná, URL může obsahovat jen US-ASCII a ostatní se má eskejpovat. 8.11.1 asi vyhodnotil, že to nezačíná platnou definicí schema, pro které je dovoleno jen a~z,0~9,-,+,. a musí začínat písmenem, takže asi vzal, že přímo začíná authority část a dle dvojtečky bral oddělovač na číslo portu a tam našel to /, takže řval?
S tímhle také bojuji, hlavně když člověk má to psát jako dokument do wordu, pak se z toho dělá hezky vypadající PDF a nakonec z toho kopírovat nějaké příkazy do cli - to je pak boj s divnými mezerami, uvozovkami, ...

6

Sítě / Re:IPv6 adresa od ISP a přístup do LAN zvenčí

« kdy: 05. 12. 2024, 10:04:16 »

Nemám tenhle po ruce, ale pokud si pamatuji - "Port Mapping Configuration" nastavuje jaké spojení může přijít z WAN do vnitřní sítě a pomocí "IP Filter Configuration" se nastavuje, co může z LAN jít směrem ven. A ještě v tom filter configu bylo globální škrtátko, zda definované pravidla jsou white nebo blacklist (čili zda pravidla danou komunikaci povolují nebo zakazují).

7

Sítě / Re:Přepínání rychlosti routeru

« kdy: 30. 11. 2024, 17:16:13 »

Hm, pěkná rušička. 13.56 MHz? Nevypne ti to za provozu třeba i RFID otvírání dveří u baráku? :-)
Jinak i hodně šmejd routery měly v nastavení možnost přepínání WAN portu mezi auto/1G/100M natvrdo, tak by to možná šlo i bez toho switche.
A nebo si pořid jako router něco, co se dá rozumně ovládat na dálku. Pokud tu rušičku ovládáš třeba Modbusem, tak takový Mikrotik i přes MQTT/HTTPS API a když pošlu příkaz k zapnutí rušičky, tak i pošlu i routeru, ať přepne WAN port na 100 Mbps a budeš to mít pěkně sjednocené....
A máš představu, kudy je trasován Ethernet kabel ISP k té zásuvce? Zda ten kabel náhodou nevede pár cm ve zdi vedle té rušičky, pak ten poslední kousek patche, i kdyby byl máčen ve svěcené vodě, tak už to nezachrání.
A tahle rušička i s tím, co bude za tím, tak to nějaké to tisíci EURo stojí, takže dát už pár stovek za to, ať ti tu linku ISPík vymění v baráku od toho jeho switche/rádia přímo v optice a dáš si router s WAN portem přímo na SFP a budeš mít klid (nebo zjistíš, že se ti to ruší někudy úplně jinudy, než přes ten WAN Ethernet kabel).

8

Sítě / Re:Přepínání rychlosti routeru

« kdy: 30. 11. 2024, 09:06:10 »

Pochopil jsem, že je problém na WAN portu, který je normální Ethernet - dle toho chápu, že to bude nějaký rozvod v baráku, s centrálním switchem a do bytu mi jde už jen metalický Ethernet, kam jsem si připoil svůj router?
Co krok 1 - zeptat se svého ISPíka a přednést mu problém. Pokud je to nějaký menší místní, trochu rozumný, tak bude mít ochotu a prostředky to řešit. Ať už přeměřit kabel do bytu/opravit/přehodit na jiný, dodat jiný router pro vyzkoušení, ...

9

Sítě / Re:Root.cz přes IPv6 se nezobrazí ve Firefoxu

« kdy: 30. 11. 2024, 08:54:04 »

Add to očekávání, že na PPPoE bude MTU1492, tak pozor na to - nemusí být. Zvláště pokud tam má Mikrotik, tak pokud při nastavování PPPoE klienta si MTU nenastavil ručně, tak má defaultně: max-mtu (integer; Default: 1460), max-mru (integer; Default: 1460)
Aktuálně platné hodnoty (které si server-klient odsouhlasili) je vidět v statusu toho PPPoE spojení jako MTU a MRU.  Pokud tam mám míň jak 1492, tak bych se i zeptal ISPíka, co max umí jeho síť a dle toho opravil. A nejlépe, zda i podporuje RFC 4638, pak i na PPPoE může být MTU 1500 - když už chceme, aby zaznělo i nějaké RFC. :-)

10

Sítě / Re:root.cz přes IPv6 se ve Firefoxu nezobrazí, v Chrome ano

« kdy: 29. 11. 2024, 13:53:30 »

Co máš nastaveno na tom Mikrotiku pod /ipv6/nd za parametry ohlašované do LAN, zejména parametr mtu (ponížen patřičně o PPPoE záhlaví)? V kombinaci s nějakou blbostí v ipv6 firewallu (zahazující ICMPv6), tak je to dobrý způsob odstřelení provozu.

11

Vývoj / Re:Bind socketu na konkrétní síťovou kartu v C

« kdy: 09. 11. 2024, 12:11:52 »

...by mě zajímalo, co by se stalo, kdybych spustil nějaký proces přímo, bez "ip netns exec $NAMESPACE", a pak bindoval sockety na rozhraní, již přiřazená popsaným způsobem do izolovaných namespaces...

V takovém připadě se tomu procesu to nepovede, protože daný iface/IP v jiném namespace nevidí. Zkrátka to dopadne No such device/Cannot assign requested address.
Proces, pokud má práva (CAP_SYS_ADMIN), tak si může přepnout namespace pomocí setns(). Přesněji, je to per vlákno, takže jde pak použít vícevláknová aplikace, kde každé vlákno binduje/používá interfejsy v jiném namespace.
Takže toto je možná i čistější řešení pro tazatele, kdy si tu třetí síťovku hodí do jiného namespace a spustí tu apku nad tím, pokud by potřeboval komunikvoat přes víc sítí, tak víc těch vláken v různých net namespaces...

12

Vývoj / Re:Bind socketu na konkrétní síťovou kartu v C

« kdy: 08. 11. 2024, 16:43:03 »

Já chválím za ten rp_filter - bez jeho vypnutí to nefunguje, pokud mám víc síťovek ve stejném IP segmentu. :-)
Jsem to zkusil pustit. Funguje to a data dojdou zpět do recvfrom(). Pokud binduji konkrétní iface a client IP, tak by měla být shoda toho IP a iface, datagram musí přijít tím bindnutým ifacem a navíc musí být vypnutý rp_filter pro daný iface (zkrátka musí souhlasit na příchozím daná IP a iface). Pokud jako odchozí IP dám jinou, než odpovídá na vynucený iface, tak ono to odejde přes bindnutý iface se zadanou IP, ale vlivem ARP a forward tabulky ve switchi se odpověď vrátí často jiným ifacem a je smůla (pokud se vrátí tím předepsaným, tak se data také doručí do recvfrom()). Je to celkem striktní v případě unicast provozu.

13

Sítě / Re:Routa nepřejde do stavu linkdown/dead

« kdy: 08. 11. 2024, 15:09:49 »

mensina: Ano, UDLD je na Cisco bednách možnost. Sice má trochu jiný účel, ale na bod-bod lince má efekt podobný tomu obecnějšímu BFD.

14

Vývoj / Re:Bind socketu na konkrétní síťovou kartu v C

« kdy: 08. 11. 2024, 14:47:11 »

Jan Novotný: A jak máš ty IP k těm síťovkám přiřazené? Uvádíš tři interfejsy a tři IP 192.168.1.51, 192.168.1.52, 192.168.1.53 a potřebu komunikovat přes třetí s iface name enp0s8. Bindneš v kódu k socketu daný iface enp0s8 a client IP 192.168.1.51. Nepatří k té třetí síťovce správně ta IP 192.168.1.53?

jjrsk: Ono ne vždy to standardní dělá co chci, občas se nějaká vylomenina hodí. :-) Třeba něčím podobným, v kombinaci s multicastem, tak obcházím nutnost mít switche s HSR (které stojí nechutný peníz a navíc mají obvykle moc málo portů) a stačí mi k tomu obyč switche s MSTP a 2 VLANy a mám také bezeztrátový přenos a "zero-time recovery" při selhání jednoho switche/propoje.

15

Sítě / Re:Routa nepřejde do stavu linkdown/dead

« kdy: 08. 11. 2024, 11:58:31 »

neregistrovany: BFD není rozšíření OSPF, je to dost samostatný framwork, kdy použití s OSPF je jedna z aplikací. Tady je pár oslavných slajdů v PDF, co vše je s tím zamýšleno řešit: https://web.archive.org/web/20051104185353/https://www.ripe.net/ripe/meetings/ripe-48/presentations/ripe48-eof-bfd.pdf