Příspěvky

1

Sítě / Re:NAT prerouting pravidlo iptables neotevře port

« kdy: 29. 03. 2023, 14:52:10 »

Obecne plati, ze ked presmerovavate porty cez DST-NAT, tak treba dany port povolit aj vo forward pravidle. Kedze pakety idu cez firewall nasledovnym sposobom PRE-routing (DST-NAT) -> Routing -> Forward -> POST-Routing (SRC-NAT).

Vy ste paketu sice povolili cestu cez DST-NAT a routing, ale na forwarde ste ho zahodili, tym padom na POST-routing a cielovy server nedorazil. Ak sa jedna o firewall na serveri, kde dana sluzba bezi, tak tam sa povoluje iba v Inpute.

2

Sítě / Re:Pakety tečou neNATované do veřejného rozhraní

« kdy: 29. 03. 2023, 14:29:59 »

Pre lepsiu predstavu ako idu pakety cez router si porzite tento obrazok - je to sice k mikrotiku, ale funguje to rovnako u kazdeho routra. Pri prechode paketu z alebo do siete idu pakety nasledovne:



Najskor sa spracuje PRE-routing -> routing -> Forward -> POST-routing. Co znamena, ze aj pakety sa natuju/maskuju az na post-routingu. Ako uz bolo spomenute, pojde najkor o daky problem v routingu. Alebo je zle nastavene maskarada. Osobne, ked robim maskaradu, tak v nej uvadzam aj ip rozsahy, ktore sa maju maskovat. Tym padom, aj ked nastane problem v routingu, pri odchode paketu cez wan inteface by sa mal zamaskovat cez nat na ip wan rozhrania.

napr.

Kód: [Vybrat]

iptables -t nat -A POSTROUTING -o wan -s 192.168.1.0/24  -j MASQUERADE

3

Server / Re:Nefunkční mailserver s Postfixem

« kdy: 14. 03. 2023, 13:13:30 »

Ak si zaciatocnik v postfixe, tak osobne by som odporucal siahnut po hotovom rieseni. Dlhodobo som spravoval mail servre, ktore som si instaloval, ale casom ma prestalo bavit riesit rozne problemi. Tak som siahol po hotovom rieseni.
A odvtedy ani neviem, ze daky mail server existuje. Dovtedy som maval aj 15-30 staznosti tyzdenne, ze mail nepresiel alebo sa nedalo prihalasit do schranky, chodi vela spamu,  atd..

Riesenia ako modoboa, iredmail, mailcow atd..., ktore sa jedoducho instaluju a mas tam vsetko, co chces. Mail server, virtualne schranky (v databaze), amavis, clamav, spammassasin, tls/ssl, DMARK, DKIM, SPF atd... Cele sa to nasledne spravuje cez webove rozhranie. A aj updaty su priamo cez web rozhranie. Sam som nasadzoval modobou na 10 mailovych domen na jednom severi a instalacia bola bez problemova. Dolezite je, ze tam mas vsetky, uz dnes potrebne ochrany, ktore na mailovom serveri musia byt, aby si nebol blokovany.

Vid priklad instalacie zakladnej instalacie:

Kód: [Vybrat]

> git clone https://github.com/modoboa/modoboa-installer
> cd modoboa-installer
> sudo ./run.py <your domain>
odkaz na podrobnejsi instalacny manual, kde su popisane aj ine funkcie.
https://github.com/modoboa/modoboa-installer

4

Sítě / Re:Mikrotik v panelovém bytě

« kdy: 10. 03. 2023, 15:04:12 »

Díky za info tohle jsem asi hledal navíc jsi mne překvapil já práve z toho co jsem četl myslel, že 4011 bude výkonější nez 5009.
Jestli jedna nebo více sítí - no vždy jsem zatím přemýšlel spíše o jedné....ale možná je to blbost...tp link se mi moc nechce  aktualizace žádné podpora nic moc....měl jsem od nich archer vr2900...

Hlavny rozdiel medzi 4011 (32bit) a 5009 (64bit) je ten, ze 5009 ma novsiu architekturu cpu a ma vylepseny sietovy chip.

https://mikrotik.com/products/compare/RB4011iGSplusRM+RB5009UGplusSplusIN

Na stranke mikrotiku je temer ku kazdemu modelu aj  priepustnost pri roznych konfiguraciach. Kezde vo vysledkoch na stranke mikrotiku su len testi z bridgingu a routingu. Ale iba s fitrami a zvlast simple queue, to pri porovnani ukaze v celku male rozdieli v priepustnosti.

Ale ako som pisal, mam to z vlasnej skusenosi a realnej prevadzky. Kde realne vidno tie rozdieli. A su dost velke. Hlavne ak sa jedna o vpn-ky, tunnely a na danom routri je zapnuty filtering, shaping cez simple queue,  nat, mangle, vlany, atd...

5

Sítě / Re:Mikrotik v panelovém bytě

« kdy: 28. 02. 2023, 13:15:01 »

Z mojich skusenosti, co sa wifi pokrytia tyka. Panelaky obzvlast, ak su tam zelezo-betonove steny a velky priestor sa jednym wifi routrom pokryt neda. Navyse v case najvacsiej spicky, co su veceri, ked je kazdy na internete, tak sa zariadenia rusia navzajom zo susedmi, ak to maju zle nastavene. Vzdy sa najdu miesta, kde ten signal bude slaby alebo ziadny. Preto treba vzdy dve a viac zariadeni na pokrytie.

Nasledne zalezi od toho, ci chces mat v ramci celeho bytu jeden nazov wifi siete - mesh siet, alebo ti nevadi, ze ma kazda wifi iny nazov. Kazde ma svoje plusy a minusi.  Od toho sa si vies odvodit ake zariadenia treba.

Ako uz bolo spomenute vyzsie na mesh siete je dobry bud TP-LINK Deco, Unifi, TP-LINK EAP, v najhorsom tie CAps od mikrotiku. Mikrotik ma v celku dost zlu wifi oproti inym vyrobcom.  K unifi a EAP treba zvlast kontroler, ktory zabezpeci mesh siet, Deco ci Caps maju tuto funkcionalitu v sebe. Pri kupe AP by som sa poobzeral po zariadeniach, co maju podporu wifi6, ktore aj na 2,4ghz pasme dosahuju vacsie rychlosti ako starsie verzie. A hlavne su menej nachylne na rusenie.

Mikrotik ako taky ma routovaciu rychlost a bridgovaciu rychlost. Rychlost pri routovani ovplyvnuju firewall pravidla, mangle pravidla, nat, shaping... Bridge rychlost zase ovplyvnuju pravidla na bridge a vlany.

vid. priklad...
Mam RB4011, ktore maju cez 100fw pravidiel a zaroven robia shaping cca 100-150 klientov a routing zvladu do 1Gbitu bez problemov. Zo switchovanim nemaju problem ist aj cez 5Gbit. Po vyskusani RB5009, by som sa k RB4011 uz nevracal. Cena je ta ista, ale priepustnost je uplne inde. Uz len pri VPNkach, co mam overene,tak na 5009 som mal priepustnost 350+Mbps bez problemov, kdezto 4011 zakapavala na 150+Mbps...

Ak ti tvoj mikrotik cez lan porty v bridge prenesie 1gbps medzi zariadeniami, tak nemas dovod ho menit. Ak ti do internetu da 250Mbps, tak asi tiez nie je dovod ho koli tomu menit.

6

Sítě / Re:Monitoring sítě

« kdy: 17. 02. 2023, 14:50:08 »

No ja  polozim otazku inak. Chce monitorovat zariadenia v sieti, ich stav ci trafik, ktory cez tu siet ide? Pripadne si kreslit topologiu siete?

Od toho sa odvijaju a jednotlive monitovacie systemy.  Napriklad DUDE od mikrotiku je dobry na monitoring
stavu zariadeni (ci je zive alebo nie) a pripadneho trafiku na jednotlive porty. Da sa tam kreslit topologia siete.

Cacti, Zabbix, Nagios, LibreNMS, atd.. su zase nastroje, na podrobnejsi monitoring konkretneho zariadenia. Ci uz cez snmp, ipmp, ci iny druh protokolov na zber dat.  Ktore nasledne na zaklade nejakych pravidiel, bud generuju grafy alebo iny druh upozorneni... Napr. poslu sms, ze je nieco chybne, alebo prestalo fungovat.

Na monitoring datoveho toku cez siet - tzv. trafik flow su zase ine nastroje. Preto treba upresnit, na aky ucel ten monitoring chces. Kedze pojem monitoring zahrna strasne siroku oblast. A tazko ti tu niekto poradi, aky software pouzivat, ked nikto nevie, co vlastne od toho ocakavas. Co ma byt vystup daneho monitoringu. 

Kedze v praxy sa vzdy pouziva kombinacia vacerych monitorovacich softwarov. Kedze neexistuje software, ktory by vedel vsetko. Napr. u nas vo firme mame zabix, cacti, dude, librenms, nagios,... kazdy z nich monitoruje nieco ine v sieti.

7

Sítě / Re:Prodloužení připojení LAN

« kdy: 27. 01. 2023, 11:04:01 »

Z vlastnej skusenosti mozem odporucit optiku a prevodniky od TP-Linku radu TL-FC311A-B. Je to prevodnik na jedno vlakno. Koli tomu su oznacene A a B - par. Pripadne switch/mikrotik s sfp sachtou a tam si vies dat napr. MikroTik pár SFP S-3553LC20D, SM, 20km, 1.25G. Moznosti ako to riesit je vela.

8

Sítě / Re:Mesh wifi v rodinném domě

« kdy: 18. 10. 2022, 17:26:09 »

Uz par rokov prevadzkujem hotspoty postavene na omade a EAP od TP-Linku (cca 60-100 ap na jeden cluster). V mojom pripade starsie modeli EAP110 a EAP115. A funguje to v celku spolahlivo. Obcas sa stane, ze sa dake ap odpoji z clustru, ale jednym klikom v omade kontrolery sa prida naspat a nastavi ssid a vsetky potrebne veci. Prechod medzi ap tiez funguje bez vacsich problemov.

Omada kontroler sa da kupit bud hardwarovy alebo sa naistaluje software na daky mini server ci notebook, ktory to riadi.
Mam otestovane obe varianty, jak hardwarovy, tak software cez WM a dokocna vzdialene cez vpn-ku.

Cenovo je to lacnejsie ako unifi a clovek dosiahne podobny, ak nie rovnaky efekt.

Mikrotik ma v celku dost zle wifi karty v routroch. Caps funguje v celku slusne, ale da to v celku pracu to rozbehat do bezproblemoveho chodu.

9

Sítě / Re:Síťařský žargon

« kdy: 14. 10. 2022, 12:57:53 »

No uple vsetko asi nevysvetlim, ale aspon nieco sa pokusim objasnit:

trasy vedly několika směrovači navíc --> Data sli cez routre naviac, ako bolo nevyhnute potrebne. Kazdy smerovac je router v ceste medzi zdrojom a cielom dat. Cielom je dosiahnut, aby tato trasa bola, co najkratsia. Mozete si to predstavit aj ako chodbu na ktorej su dvere a vy sa potrebujete dostat z jedneho konca na druhy. Ak tam budu 4 dvere, tak sa dostanete na koniec rychlejsie ako ked ich tam bude 10. Kedze kazde musite otvorit a zavriet.

statický routing přes NIX (co je na tom špatného) a jak je to správně routing přes zahraničí --> Tymto je myslene, ze boli nakonfigurovane staticke routy, co je v dynamicky meniacom sa prostredi neziaduce. Cize data aj, ked realne mali kratsiu trasu zo zdroja, k cielu a naopak, tak ju nemohli vyuzit. Lebo staticky routing ich smeroval stale jednou a tou istou trasou. Ako priklad mozeme uviest vstup do domu. Mate predny a zadny vchod. Staticka routa vam bude stale hovorit, ze do domu sa da ist iba zadnymi dverami a nie prednymi. Pritom prednymi dverami je to rychlejsie.

provozem trasy byly hraničně saturované  --> tymto je myslene, ze susediace linky boli pretazene, nasledkom coho prichadzalo k znizeniu kvality poskytovanej sluzby. Ako priklad uvediem kanalizaciu. Ked z vaseho domu budete vypustat privela splaskov do kanalizacie, tak sa zaplni aj hlavna. Lebo v v nej nestiha odtekat, tak rychlo. Nasledkom coho sa spomali odtok aj u vas.

10

Distribuce / Re:Jak instalovat Linux bez DVD mechaniky

« kdy: 13. 10. 2022, 11:15:05 »

Ja používam Ventoy. Mám 64GB flashku, na nej nakopirovane ISO obrazy Win7, Win10 a Win11, GRML, Memtest86, Debian NetInstall, Fedoru Workstation, Ubuntu Server a Clonezillu.

Je to jednoduché, žiadne zložite rozbaľovanie ISO obrazov alebo hranie sa s partíciami. Jednoducho nakopíruješ obraz na USB na partíciu Ventoy (vo Windows druhú ani nevidno) a nabootuješ. Ak je zapnutý SecureBoot pri bootovaní ponúkne nahrať kľúč do keyringu ak je treba a po opätovnom nabootovaní len vyberieš obraz, ktorý chceš ďalej bootovať. Ďalšia výhoda je, že Ventoy bootuje jak v EFI tak v legacy mode.
 
V minulosti som mal problémi s Rufusom aj surovým kopírovaním pomocou dd, USB občas nechcelo nabootovať a bolo potrebné trochu laborovať s nastaveniami.

Tiez som zacal pouzivat Ventoy miesto Rufusu, ci inych usb boot utilit na instalaciu os. Vyhoda je, ze sa nahra aky kolvek iso na usb a ventoy, ho zobrazi v menu pri boote s USB. Cim odpada neustale formatovanie usb kluca.

Jedine, kde som mal problem z nacitanim iso z Ventoy, boli nejake android zariadenia. Ktore nevedeli nacitat usb kluc vo spravnom formate.

11

Sítě / Re:Proč poskytovatel blokuje port 22?

« kdy: 12. 10. 2022, 10:29:09 »

Kazdy operator ma na to iny dovod, ktory nikto z nas nevie. Ako bolo uvedene vyzsie. Manazment zariadeni a idealne aj ich monitoring by mal byt cez VLAN-u pripadne samostatny rozsah. Avsak povedzme si na rovinu, kolko rychlo kvasenych operatorov je na trhu a nemaju ani zakladne znalosti zo sietariny. Takze sa nie je comu divit.

12

Sítě / Re:Je důvod, aby provider blokoval port 22 ?

« kdy: 11. 10. 2022, 14:03:26 »

Na danom porte moze bezat daka sluzba ako monitoring ci dialkova sprava zariadenia. A preto je tento port blokovany aj smerom von. Tym si poskytovatel zabezpecil jeho neustalu dostupnost.

Prosim ta, trocha to vysvetli. Ako moze ovplyvnit to, ze niekto sa chce pripojit na ssh na co ja viem server v amerike s tym, ze provider ma na porte 22 monitoring. ved to su 2 uplne odlisne veci.

No kludne mozes odklanat cely trafik z portu 22 na svoje monitorovacie zariadenie, ktore vobec nemusi odpovedat spat.  Takze pre klienta sa tvari ten port ako blokovany, ale relane dotazi na ten port chodia. Ak si spravca routra, nie je problem to spravit. Pretoze kazdy klient, ktory sa pripaja do interentu ide cez forward alebo src-nat.

Z minulosti si pamatam ako takymto sialenym sposobom operatori riesili presmerovanie dns dotazov na ich dns server.

13

Sítě / Re:Je důvod, aby provider blokoval port 22 ?

« kdy: 10. 10. 2022, 13:00:10 »

Na vasu otazku, vam asi nikto okrem prevadzkovatela neda presnu odpovet. Standarte sa porty smerom von nechavaju otvorene vsetky. Avsak najdu sa vynimky. Na danom porte moze bezat daka sluzba ako monitoring ci dialkova sprava zariadenia. A preto je tento port blokovany aj smerom von. Tym si poskytovatel zabezpecil jeho neustalu dostupnost.

14

Odkladiště / Re:Živý stream ledního hokeje

« kdy: 26. 09. 2022, 11:35:21 »

Co sa tyka Base64 retazca. Tak su to len zakodovane parametre z url. Base64 decoder z vasho retazca vytiahne nieco taketo:

tri:e4.gts.livebox.cz:11111111-11111:111111111:1111111111111:1111111111:111.111.111.111:a1aaa1a11a111a11111a111a1aaaa11a

Predpokladam, ze zvysne parametre za url su prihlasovacie meno, heslo k uctu + dalsie parametre  na overenie. Na zaklade tychto veci server vie kolko mate spustenych videii, ci mate platny ucet a dalsie informacie o ktorych vie iba prevadzkovatel sluzby. Preto sa neda sledovat prenos bez registracie, ani prenos na viacero zariadeniach.

Z danych parametrov sa ani neda presne urcit, ktory na co sluzi. A predpokladam, ze sa do daneho linku pribaluje aj generovany salt.

15

Sítě / Re:Mikrotik klonovani nastaveni

« kdy: 02. 09. 2022, 16:32:09 »

Osobne odporucam konfiguraciu mikrotikov exportovat cez konzolu a prikaz

Kód: [Vybrat]

export file=backup
a nasledne si tento subor stiahnut, otvorit v notepade ci inom textovom editore a cez crtl+c a ctrl+v vlozit
vsetko do konzoli na ne nakofigurovanom mikrotiku.

Kedze utilita Backup/Restore na mikrotiku funguje iba na rovnakom modeli a treba aj rovanku verziu firmwaru,
aby import zbehol korektne na 100%.  Pri inom modeli ci verzii firmware sa moze stat, ze nieco zle importuje alebo
naopak ani ne importuje vobec.

Kdezto export konfiguracie do suboru a nasledy import cez vlozenie do konzole funguje 100% a nezavisle na modeli
ci firmware v mikrotiku. Ak vyhodi pri importe chyby, lachko sa da dohladat, ktory prikaz nezbehol spravne.