Příspěvky

166

Sítě / Re:100 Mbit, 1GBit, 10 GBit, 40 GBit k čemu vlastně?

« kdy: 24. 11. 2020, 23:16:36 »

DAC kabel (někde značí twinax), tak se dělá v pasivním i aktivním provedení. 1-3 metrů bývá obvykle pasiv, delší už něco v sobě mají. Ale teplotně je to vždy OK a volil bych, pokud délka stačí. Cenově je někdy levnější multimode SFP+ modul, zvláště pokud bývá u řady věcí volně přihozen.
Ale SFP+ DAC kabel vítězí v odezvě, na 5 metrů propoji to dělá cca 10 ns pro DAC proti optice (a vynechme to 10GBaseT, kde ta budící sekvence do kabelu je skoro nekonečná). :-)

167

Sítě / Re:100 Mbit, 1GBit, 10 GBit, 40 GBit k čemu vlastně?

« kdy: 24. 11. 2020, 22:49:29 »

Add osazování 10GBaseT moduly do SFP+ šachet. Když se také podíváte do dokumentace řady switchů, tak tam najdete informaci, že když osazujete tyto moduly, tak můžete osadit třeba jen každý čtvrtý port (a ty tři mezi tím mají zůstat volné) a podobně.
Takže u toho pečícího Mikrotiku se nedivím a byl bych zvědav, jak by ten Ubiquiti switch ustál, kdyby se mu ty SFP+ sloty osázely plně 10GBaseT moduly. Ale když se podívám na Mikrotik SFP+ metalický modul S+RJ10, tak uvádí v papírech pro 10GbaseT na 30 metrů spotřebu max 2,5 W (chip Marvell 88X3310P). Hm, mám jeden kousek nasazen, metr kabelu, modul reportuje svoji teplotu na 69 st.C, router RB4011 jako takový 38 st.C. Slušné. :-)

168

Sítě / Re:IPv6 a IPv4 v domácí síti

« kdy: 17. 11. 2020, 10:11:29 »

Duležirý fakt je, že tazatel je v Rakousku! Tam je dost věcí jinak a upřimně mu držím palce, jestli-že jeho operátor mu dovolí přehození na IPv4 only připojení s veřejkou. U řady těchto postUPC sítí v AT/DE/... platí, že takové přehození už neumožňují a DS-Lite připojneí je jediné, co pro rezidenční segment nabízejí. Útěk jinam, třeba na DSL služby, tak také velmi snadno skončíte na stejném, jenom nosné médium místo coaxu bude dvojdrát. :-(
Takž tady si u Vodafone můžeme ještě děkovat,  pokud stále nemá problémy přepínat mezi DS-Lite a IPV4 only.
Co se provozu DS-Lite a veřejné IPv4 adresy týče, tak ano, je to principiálně možné  - je to věc hlavně konfigurace AFTR (brána na straně ISP). Ale problém bývá, že to nikdo nepodporuje/nenabízí. Občas někdo dovoluje aspoň dynamické otevření portu směřem do vnitřní sítě (PCP).

Ale jinak, zmíněný režim, že koncák je za CGNATem operátora a k tomu má aspoň nějaké IPv6, tak to vypadá jako mojoritně aktuální směr i v Česku, ne. Těch opravdu s plnohodnotným dual stack veřejná IPv4 a k tomu i IPv6 je pár a obvykle za chechták navíc. :-)

169

Sítě / Re:IPv6 a IPv4 v domácí síti

« kdy: 16. 11. 2020, 13:04:03 »

Jeden jediný rozumný důvod proč si nechat IPv6 a zbavit se tak veřejné IPv4 je prosím pěkně jaký?

Řekl bych, že tazatel si pořídil rezidenční připojení od kabelovky Vodafonu/exUPC a zjistil, že je to dneska default DS-Lite s IPv6 a neveřejkou IPv4 za CGNATem a teď řeší, co s tím lze dělat...
V jeho případě, když chce domů přístupy pro příbuzenstvo, tak pokud příbuzné nemá na linkách s nativním IPv6 a routery, co dovolí udělat k němu VPN přes IPv6, tak přehození na IPv4 only variantu s veřejkou, dokud jsou k tomu ještě u Vodafonu nakloněni, tak bude asi výhodnější řešení (na to IPv6 DS-Lite to může překlopit kdykoliv zpět a stejně tak to udělá Vodafone jednou všem residentům a vysvětlí, že je to pro ně výhoda).
Stav ideál s veřejkou IPv4 a bloky IPv6 od Vodafone na té lince počítat moc nemůže.
Takže doplnění o IPv6 řešit tunelem od nějakého nezávislého brookera a může zatím doma trénovat dual stack provoz a až se provcičí, tak třeba i ten IPv6 only.

170

Sítě / Re:IPv6 / IPv4

« kdy: 16. 11. 2020, 10:46:56 »

Dostat se na IPv6 only server z IPv4 venku by šlo třeba pomocí NAT64 na hraně té IPv6 sítě (a obdobně i směrem ven z IPv6 only na IPv4).
Nicméně u exUPC nebudete aktuálně z venku přímo po IPv4 dostupný, jestli-že máte linku v konfugiraci s DS lite, což nebude úplně ono.
Šel bych cestou přehození na ten režim IPv4 only od exUPC a případné doplňkové hrátky s IPv6 řešil tunelováním IPv6 provozu přes tu IPv4 síť (zmíněné VPS nebo he.net), přestože to má u exUPC určité "výkonostní specifika" jako klasický dual-stack.
Provozovat doma IPv6 only síť s případným hraničním NAT64 se dá, ale má to určité omezení - některé služby se s tím nevyrovnají (narazil jsem obvkyle u SIP VoIP, VPNky). Dále musíte mít doma vše v lokální sítí s podporou IPv6 - typicky narazíte v prvním kole třeba i se starší tiskárnou/skenerem.

171

Sítě / Re:DVB-T2 streamování do lokální domácí sítě

« kdy: 10. 11. 2020, 21:13:13 »

Add multicast - je dneska v menšině. Síť na to musí být uělána a musí být i naplánována přímo správně od zdrojového operátora streamů. ISPíci, co mjí TV multicastem, tak k nim nejde volně internetem, ale přes nějaký vyhraznrý spoj/VLANa od operátora od kterého to berou. A samozřejmě je ten multicast inteligentní, šíří se jen ty streamy, na co se aktuálně kouká a jde to jen do těch větví sítě, kde na to právě někdo kouká. Samozřejmě tím jde živý přenos, zpožděné přehrávání je unicast.
Ale i většina živého přenosu jde dnes unicastem, stačí mnohem jednodušší síť a jde to posílat volně internetem odkudkoliv/kamkoliv. Opět ale platí, že řada ISP, kteří nabízí ke svým službám nějakého TV operátora, tak jak stoupne TV provoz od spřízněného TV operátora, tak se do sítě daného ISP nasadí "proxy" a pak jdou do sítě ISPíka od operátora aktuálně sledované streamy jen 1x a až v sítí ISP se namnoží k jednotlivým koncákům. Zpožděné přehrávání jde pak přímo od TV operátora ke koncákovi vždy.
A třetí stav je, že jsou zde TV operátoři, co jsou zároveň i velkými ISP a v podstatě hlcení unicastem konkurenčních sítí používají jako strategii, aby zlomili zákoše, že když vezmeš Internet přímo od nás, tak ti TV pojede bez kuckání (ha, ha). :-)

172

Sítě / Re:Mikrotik router a Apache server na linuxe - nepřístupný z veřejné IP

« kdy: 02. 11. 2020, 09:35:40 »

Nu, tak si jen oprav tu hairpin nat část z 198.51.100.222 na tu tvoji skutečnou IP:
/ip firewall nat
add chain=dstnat dst-address=78.45.51.41 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.251 protocol=tcp dst-port=80 out-interface=bridge action=masquerade

173

Sítě / Re:Mikrotik router a Apache server na linuxe - nepřístupný z veřejné IP

« kdy: 02. 11. 2020, 09:10:06 »

Pokud má Mikrotik na WAN portu 192.168.1.6, tak pravidlo pro přístup na interní web z Internetu musí být ve formě:
/ip firewall nat
add chain=dstnat dst-address=192.168.1.6 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
(Na compal ti dojde požadavek na veřejnou IP, třeba 198.51.100.222, compal udělá pomocí DMZ nat na 192.168.1.6 a na Mikrotiku následně musíš to 192.168.1.6 přenatovat a přeposlat na tu 192.168.88.251).
Také je třeba mít vedle nat pravidla i filter pravidlo, které dovolí paketům projít z wan do lan. Defaultní provedneí firewallu v ROSu to nedovolí. Čili něco jako:
/ip firewall filter
add chain=forward dst-address=192.168.88.251 protocol=tcp dst-port=80 action=accept

Pokud chceš i to, aby jsi z vnitřní LAN sítě při přístupu na tu veřejnou IP (např. 198.51.100.222) se dostla na ten lokální vnitřní web, tak k tomu potřebuješ ještě něco jako:
/ip firewall nat
add chain=dstnat dst-address=198.51.100.222 protocol=tcp dst-port=80 action=dst-nat to-address=192.168.88.251
add chain=srcnat src-address=192.168.88.0/24 dst-address=192.168.88.251 protocol=tcp dst-port=80 out-interface=bridge action=masquerade

A pak v NATu musí bít i obecná maškaráda pro odchozí provoz směrme do internetu, což tma asi máš (/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade).

Také bych volil variantu, že compal bude jen v bridge režimu a obsloužil to celé na tom Mikrotiku. Pro další APčka bych použil nějaký ten CAP dle volby (já mám hlavní rotuer RB4011 a k němu jako wifiny po bejváku 2x wAP ac).

174

Windows a jiné systémy / Re:Bezpečnost přístupu na SSH z Win10 přes WSL / PuTTY

« kdy: 28. 10. 2020, 21:44:46 »

To si z domácího počítače nahodíš VPNku do roboty, pak tím pustíš RDP na nějaký W10 stroj a na něm chceš pouštět SSH k tomu hejnu interních linuxů?
Pokud ano, tak mi to nasazení řešení s GSSAPI/Kerberos vychází nejrozumněji. Nebude při něm tvých soukromých citlivých autorizačních dat potřeba a nikde uloženo více, než je použito aktuálně. Putty to umí, jen potřebuješ pro ty linuxy zíkat systémové Kerberos klíče s příslušným SPN ve stejné doméně, v které máš účet na té W10 stanici. V podstatě, pokud na těch linuxech máš třeba i Sambu a tu začlenuješ do AD korporátní domény, tak během toho se patřičně vše vytvoří, pokud je Samba nastavena, aby používala systémový keytab (/etc/krb5.keytab). Nebo ti admin AD domény může to vygenerovat na ADčku a jen předat pro jednotlivé linux stroje, pokud se Samba nepoužívá.
Jiná možnost je, že použiješ certifikát uložený na čipové kartě. Mám čtečku u sebe, v ní kartu na které mám certifikát pro SSH, pro to RDP spojení do práce povolíš zpětný přístup na čtečku čipové karty a tam musíš použít variantu putty agenta s podporou čipové karty (když jsme to používali, tak to nebylo oficiální součástí Putty, byl to projekt zvlášť -  PuTTY SC, jestli je to už v něm přímo teď, to nevím), takže certifikát máš u sebe a Putty si umí skrz toho agenta a kanál v RDP vyřídit autorizaci přes čipovku u tebe doma, takže tvůj tajný klíč neopouští bezpečí tvého domácího atomového krytu. :-)

175

Windows a jiné systémy / Re:Bezpečnost přístupu na SSH z Win10 přes WSL / PuTTY

« kdy: 28. 10. 2020, 09:58:41 »

Nu, možno použít nějaký TOTP jako druhý kanál, pokud bych chtěl řešit sekundární ověřovací kanál. Je otázkou, kde ty servery jsou a kolik jich je, dle toho pak plyne jak gigo OTP server část použít a případně i pro co dalšího, než je jen SSH - např LinOTP. (U klienta třeba FreeOTP do mobilu, jsou implemeetace pro jablko i androuše, pokud nechci vyloženě specializovanou krabičku typu Feitian C-200.)
Druhý pohled na věc je, zda by nešel použít Kerberos? Pokud ta W10 stanice je v nějaké korporátní doméně, pokud pro ten linux můžu vygenerovat doménový SPN a patřičný keytab, tak pak můžu ze stanice používat SSO a neřešit, co když mi to někdo lokálně ukradne (v tom případě ukradne i ty W10 přihlašovací údaje, pokud se používá jméno/heslo do woken). A pak jen v AD nastavím, zda pro daný linux server a/nebo uživatele případně povolím i forward Kerberos ticketů dál do linux světa pro případné pokračování Kerberosem někam dál.

176

Software / Re:Náhrada za teamwiever

« kdy: 18. 10. 2020, 21:53:05 »

Add xsouku04:
NoMachine for Everybody je zdarma, ale musím mít nějakou formu, jak se tam spojit. Pokud mám metodu, jek se do sítě rodičů spojit, tak bych také hlasoval pro NoMachine. Chystaná free služba NoMachine Network zatím není v provozu (s tou pak to bude spojitelné skrz jejich servery). Jinak ostatní verze NoMachine nejsou za jendorázový polatek, ale roční servisní předplatné (když přestanu platit, tak SW funguje dál, jen nejsou aktualizace a support).
(Pokud by na obou koncích byly Windows, tak se dá použít nativní Windows řešení v podobě vestavěné vzdálené asistence.)

177

Studium a uplatnění / Re:Bezpečnostní prověrka - osobnostní způsobilost

« kdy: 10. 10. 2020, 22:30:09 »

Kurt123: Nepropadal bych dopředu panice. Jak jsem psal, pokud je to mírná forma a doktor potvrdí, že se léčíš, spolupracuješ, nejsou excesy, tak by to neměl být nepřekonatelný problém, pokud jde o pozici, kde reálně nemáš šanci "škodit". Takže pokud nejseš se svými doktory nějak na kordy, tak dají asi pozitivní reference, nejhůře NBÚ si tě nechá poslat na vyšetření ke svým, ale pokud je to stupeň důvěrné, tak bych to nečekal. To tě spíše budou prudit na něčem z výpisu z banky. A tyto vyplněné formuláře ani není důvod ukazovat ve firmě, dáš je přímo osobně až na NBÚ (lepší to vše předat na místě, domluvit si termín, na místě ti to zkontrolují, poradí, řeknou co a jak doplnit a máš to rychlejší, než se pak s nima jen bavit korespondenčně).
Samozřejmě fungování na pozici, kde jsi pod jakýmsi dohledem NBÚm z tohoto je pak nějaký životní opruz, který tě může potkat, ale je to na zvážení, zda ta práce za to stojí nebo máš možnosti jinde rozumné bez toho.

178

Studium a uplatnění / Re:Bezpečnostní prověrka - osobnostní způsobilost

« kdy: 10. 10. 2020, 21:27:00 »

LukePole: Tady máš ty dotazníky: https://www.nbu.cz/cs/dotazniky-ke-stazeni/
Myslím, že otázky v tom "Prohlášení k osobnostní způsobilosti" jsou celkem jasně formulované.

179

Studium a uplatnění / Re:Bezpečnostní prověrka - osobnostní způsobilost

« kdy: 10. 10. 2020, 21:00:04 »

LukePole: Jednak se požaduje zhodnotit sám sebe v životopise a dále (to si ani nevybavuji, že se to vyplňovalo, ale těch papírů byla tuna) vyplňuješ "Prohlášení k osobnostní způsobilosti" - jestli jsem/byl léčen psychiatrem nebo v péči psychologa a definuješ jaké potíže, kdy, kde, kým, jaké diagnéozy a jak léčen. Takže se na to celkem jasně ptají. Vlastní "Dotazník fyzické osoby" řeší ten chlast/drogy/hazard. Další dotazník je pak k historii právní způsobilosti (ten si i pamatuji).

180

Studium a uplatnění / Re:Bezpečnostní prověrka - osobnostní způsobilost

« kdy: 10. 10. 2020, 14:57:42 »

Ostatně si matně vzpomínám, že se léčba musela uvádět jenom v případě alkoholismu a návykových látek, kde to svoje opodstatnění samozřejmě má.

V samotném dotazníku je přímo jen kolonka na drogy/chlast/hráčství a lečení na to. Zhodnocení svého duševního zdraví je požadovaná součást přikládaného životopisu a když to tam není, tak chtěli doplnit. Takže jde o to, jak se sám správně politicky korektně popsat, aby to nikoho dál nezajímalo a nedelo se zase z jejich strany moc rozporovat. :-)