Příspěvky

31

Server / Re:Autoritativní DNS server Bind pro PTR

« kdy: 22. 06. 2022, 12:19:33 »

Zdravim,

z mojich skusenosti autoritativny server pri dotaze hlada, ci mu existuje v zozname zon spravna zona.
Ak vidi, ze dotaz je na x.y.z.in-addr.arpa, tak hlada zonovy subor pre dany ip rozsah.
Ak je totaz na abc.domen.xyz, tak hlada zaznam v zone pre danu domenu.

Diretiva allow-query { any; };  postacuje na to, aby dotaz server spracoval.
recursion yes; - je pouzita, ak dany server okrem autoritativneho servra, robi aj rekurzor pre klientov.

Avsak tu treba este povolit z akych ip ma na dotazy odpovedat.

Kód: [Vybrat]

allow-recursion {
127.0.0.0/8;
192.168.0.0/16;
};

priklad zon pre localhost

Kód: [Vybrat]

zone "127.in-addr.arpa" {
          type master;
          file "/etc/bind/db.127";
};

zone "localhost" {
         type master;
         file "/etc/bind/db.local";
};

subor: db.127

Kód: [Vybrat]

;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      localhost.
1.0.0   IN      PTR     localhost.

subor: db.local

Kód: [Vybrat]

;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      localhost.
@       IN      A       127.0.0.1
@       IN      AAAA    ::1

Ak mate v logu hlasky refused pri dotazoch na PTR zaznam. Tak mozu byt, but z dotazov na rekurzor, alebo je zle definovana zona pre PTR subor. Treba si skontrolovat ci je spravne nazvana zona pre PTR.

IP rozsah 192.168.0.0/24 musi byt definovany pre PTR zonu ako "0.168.192.in-addr.arpa"

32

Odkladiště / Re:Unášení DNS provozu a hazard

« kdy: 28. 10. 2021, 11:15:45 »

Nic nie je dokonale v tomto svete. Clovek si nemoze byt nicim isty. Ani tym, ze niekto bude dodrzovat daky standard.

Jediny realny sposob ako sa ochranit pred unasanim sietoveho provozu providerom, je cez VPN.
Avsak k tomu potrebujes doverihodnu VPS, alebo hostingovu spolocnost, kam si supnes vlastne zelezo.
Na ktorom si spravis VPN, DNS server a u seba cez router budes vsetok trafik smerovat do tejto VPN.

33

Sítě / Re:rada pri kupe-router

« kdy: 21. 10. 2021, 16:23:23 »

prosim ta a pomohlo by ze by som teda kaslal na poe out a riesil to klasika poe switchom a ako router by som vybral

https://mikrotik.com/product/rb5009ug_s_in#fndtn-specifications

bude to stacit?, na tento ucel by boli slabe bezne rutre tplink, asus zhruba v cene okolo 100e?

Ono ked si kliknes v tych specifikaciach na test result, tak tak je pekne vidiet pri akej konfiguracii, akou rychlostou prenesie data. Cize ak tam budes mat router a 25 pravidiel vo firewalle, tak ti to bude routovat rychlostou do 7479,1Mbps. Ak su te pakety mensie, tak to ide pomalsie. Pri tych najmensich paketoch je to uz len 625,4Mbps.
Pri prenose velkych dat sa vzdy pouziva najvacsi paket, male pakety sa pouzivaju skor u dns, ci inych sluzieb. Uvadzana rychlost je vzdy medzi vsetkymi portami naraz. Cize relane tu rychlost vydel 8 a zistis, ze to je nieco pod 1Gbit. Ak by si chcel realnu rychlost 1Gbps na vsetchych portoch naraz, tak sa musis poobzerat po RB vyzsich rad. Ale tam uz cena od 800euro hore.

34

Sítě / Re:Wifi cez 4 pokoje

« kdy: 11. 10. 2021, 13:59:10 »

Este upresnim jednu vec u wifi extendru. Kazdy wifi extender znizuje povodnu rychlost o cca 30-50% a na svoj chod potrebuje silny wifi signal. Cim viacej by si  ich za sebou dal tym pomalsi net na konci. Napre pri 50Mbit linke a dvoch extendroch realne na konci dostane tak 15Mbit... Powerline je dobra vec, ak je dobre spravena elektro instalacia. A neprichazdza tam temer k ziadnym stratam rychlosti. Mam overene na 80Mbit linke cez powerline som mal na konci 75-80Mbit. A to bol powerline napojeny na opacnom konci domu a este aj na inom poskodi.

35

Odkladiště / Re:Unášení DNS provozu a hazard

« kdy: 07. 10. 2021, 11:26:09 »

Podla daneho zakona / nariadenia ma kazdy ISP, ci iny poskytovatel internetu (napr. verejne hotspoty) zabezpecit, aby jeho kleinti, ked zadaju adresu blokovanej stranky, obsah tejto stranky nenacital. Ziadny uradnik nebude kontrolovat, ako ma koncovy klient nastavene DNS servery. Avsak overovat to budu jednoducho tak, ze sa pripoja do siete daneho providera a skusia danu stranku nacitat pri defautlnej konfiguracii poskytnutej od providera. Ak to nepojde, tak je to v poriadku. Ak to pojde, tak ma provider po chlebe.

Cize ak provider poskytuje 8.8.8.8 ci iny DNS pre klientov, tak musi dotazy filtrovat. Je uz na nom, akym sposobom. Na to aby zakon dodrzal. Ak mas ako klient s tymto problem, nastav si dns, aky ches a ktoremu doverujes.

36

Distribuce / Re:Mizející místo na disku v Ubuntu

« kdy: 20. 09. 2021, 14:45:14 »

Ja som riesil obdobny problem na Ubuntu 18.04 TLS. Nakoniec som zisitl, ze problem spocival v nezmazanych updatoch kernu pri secure aktualizaciach systemu. Stacilo spustit prikaz 

Kód: [Vybrat]

apt-get autoremove --purge a zrazu bol disk cisty a kopec miesta.

37

Sítě / Re:Zkušenosti s TP-Link EAP Omada

« kdy: 26. 08. 2021, 14:47:22 »

...

Dana sprava mala ist do ineho vlakna neviem preco ju dalo sem a zmazat ju neviem

38

Sítě / Re:Zkušenosti s TP-Link EAP Omada

« kdy: 26. 08. 2021, 09:05:52 »

Osobne by som siel tiez cestou natiahnut 2 chranicky a do jednej dat CYKY a do druhej ten FTP kabel. Avsak to FTP treba uzemnit iba najednom koci a druhy neuzemnovat vobec. Uzemni ten koniec, kde je poe, co napaja kameru. Aby si nemal ine potenciale zeme. Povacine sa to robi tak, ze na jednu stranu sa da tieneny RJ45 konektor a na druhu stranu netieneny.

Uz som osobne zazil ako sa do cca 40m FTP kabla, ktory bol vo vnutry vodojemu a na oboch stranach tieneny konektor a dokladne uzemneny. Naidukovalo take napetie, ze ked sa dolna tienena koncovka priblizika k uzemnenemu switchu, tak preskocila iskra. Medzi uzemenenym switcha a kocovkou bolo videt pekny elektricky obluk, ktory bol stali az pokial sa koncova neodialila od tienenia. A to podotykam, ze potencial zeme bol na oboch koncoch rovnaky.... Po vymeneny jednej kocovky za obycajnu sa problem odstranil.

39

Sítě / Re:WiFi router - pomoc s vyberem

« kdy: 24. 08. 2021, 08:57:42 »

=> jak ty Ubiquiti funguji kdyz neni prima viditelnost?
Dal by som do pozornosti, že wifi je obojsmerná komunikácia. Funguje to inak ako DVB-TV.
To, ako to bude fungovať ako celok záleží aj od tej druhej strany. Zbytočne budeš prepalovať routrom steny, keď počítač bude vysielať slabý signál, ktorý sa na router ledva dostane.

Ak sa bavime o outdoorovej antene, ta ma vzdy daky vyzarovaci uhol od 30 do 120 stupnov. Zalezi o ake ubiqity ide a ano, tam je potrebna priama vyditelnost medzi vysielacim a prijimacim zariadenim. Specialnym pripadom su omni anteny, ktore maju vyzarovaci uhol 360 stupnov.

Komunikacia medzi wifi routrom a notebookom ci telefonom je obojstranna. Avask tu sa vyuziva toho faktu, ze zariadenia vacsinou iba stahuju data a neodosielaju ich tolko. Cize na 100Mbit downloadu treba max do 1mbit upload.
Na co vacsinou tie zariadania so svojim slabim vysielacim signalom stacia. Problem nastane, ak treba uploadovat vacsie mozstvo dat. A koli slabemu signalu to z telefonu ci notebooku ide ako v lete na saniach... Ale zariadenie ukazuje,
ze ma plny signal. Co aj ma, ale iba pre download, nie pre upload.

A to je ten problem,  na ktory 99,9 percent ludi nemysli. A len chcu co najvykonejsi router. Ale ze treba ma aj vykonu wifi v zariadeni, ktore sa na ten router hlasi. Nenapadne nikoho.

A ako ste poznamenal v dalsom prispevku najlespie su kablove rozvody a co nemusi ist cez wifi, nech ide racej cez kabel.
IPTV, Stolny pocitac, kamerove systemy, etc...

40

Sítě / Re:WiFi router - pomoc s vyberem

« kdy: 23. 08. 2021, 16:29:02 »

Otazku ohladne pokytia som dostaval casto a taktiez sa vela ludi pyta na super vykonny router, co pokryje plochu x m² v dome a este aj zahradu. Avsak ziadny taky router neexistuje. Kedze kazdy router ma obmedzeny vysielaci vykon, ktory je stanoveny normou pre kazdu krajinu. Takze moja odpoved je: musis pouzit viaecero zariadeni na pokrytie velkej plochy. Cim viacej prekazok v trase signalu, tym viacej zariadeni treba.

Preto by som siel smerom, ako tu uz niektory navrhovali. Pouzit router ako privodne zariadenia pre interent. Kludne by som si vybral router bez wifi, ktory bude v racku. Napr. nejaky mikrotik. Nasledne v dome osadil AP na vhodne miesta, aby pokryli cely dom aj zahradu. Ak chces mat v dome iba jeden nazov siete, tak by som siel cestou TP-Link EAP 215 a Omada controller, alebo Unifi a ich controller. Cez ktory si spravujes celu wifi siet. Ak casom zistis, ze ti niekde nestaci pokrytie, priadas len daslie zariadenie a problem mas vyrieseny.

Urcite sa nesnaz najst jedno zariadenie, co pokyrie vsetko. Kedze take neexistuje. Ak to chces silou mocou riesit jednym routrom, tak potom musis umiestnit do prostriedka budovy, aby si mal pokrytie kazdym smerom. Akurat pocitaj s tym ze na okraji, kde sicce bude daky signal, tak ta rychlost bude mizerna. Radovo tak 1-2Mbity. Co ti ledva nacita web stranku a video tak v 360p kvalite.

41

Sítě / Re:TP-Link EAP Omada

« kdy: 23. 08. 2021, 15:57:39 »

Mám ten Omada SW v Dockeru na routeru (případně se dá zakoupit jejich HW). Vše bez problémů. Na doma ok.

jde mi taky o ten management více jednotek, SW jsem zatím neviděl, znám jen ten šílenej Unifi controller...

Suhlasim pouzival som obe riesenia. Ci uz hw controler alebo software, ktory naistalujes kam len chces.
Ci uz na Virtualny server (Proxmox, Virtualbox, VMWare, etc...), alebo na lokalny pc s windowsom ci linuxom.
Funguje to rovnako. Dokonca to funguje bez problemov aj cez VPN tunel, ak chces spravovat
viacero lokalit cez jeden controler.

42

Sítě / Re:Zkušenosti s TP-Link EAP Omada

« kdy: 23. 08. 2021, 15:47:10 »

Pouzivam Omadu na spravu hotspot siet s cca 60+ zariadeniami EAP110 indoor aj outdoor / EAP115 / EAP125.
A nezaznamel som za 4 roky fungovania ziadny problem. V poctate je to to iste co Unifi, akurat lacnejsia alternativa.

Adaptacia novych zariadeni je na jeden klik v Omade. V pokryti a funkcionalite nie je medzi nimi ziadny rozdiel.

U EAP si akurat musis vybrat spravny model ,ci chces napajanie cez AT alebo AF. Tj. cez poe injektor alebo poe switch.
Pripadne ci chces 2,4Ghz siet alebo kombinovanu 2,4Ghz/5Ghz.

43

Sítě / Re:Mikrotik - login failure via winbox z IP adresy bridge

« kdy: 28. 07. 2021, 12:38:49 »

Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.

Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...

Opravdu je na interface "bridge" nastavená stejná Admin MAC address jako na interface "ether2-master" MAC address. Mám na tom bridgi tedy nastavit jinou?
 

Urcie ano. Na bridge treba vypnut admin mac address a zmenit ju na dalsiu volnu, ako maju eth porty mikrotku.

U mna presne toto nastavenie sposobovalo, ze mi spanning tree hlasil, ze mu prichadza rovanky paket z bridge na bridge. Cim docasne blokovalo interface, kde bolo pripojene AP, ktore chvilu slo a chvilu nie.

Po vypnuti admin mac adresy a zmene mac na bridge, vseko funguje ako ma a uz dane chybove hlasky o loop-e paketov na bridge nevidim.

44

Sítě / Re:Mikrotik - login failure via winbox z IP adresy bridge

« kdy: 26. 07. 2021, 14:45:19 »

Ten firewall vypada dost divne. Kedze hlavna zasada je vzdy povolit, co sa ma povolit a zakazat vsetko ostane na konci firewallu jednoduchym input drop all pravidlom. Pokial neriesis nejaky limit rate pre ddos ci ping flood. Kde treba mat drop skor.

Este by som odporucal skontrolovat nastavenie bridge interfacu, ci tam nie je nastavena admin mac adresa.
Tato adresa sa vacsinou nakonuje z jedneho interfacu v bridge. A moze sposobovat aj loop paketov ...

45

Software / Re:Zapamatovatelné zaheslování souboru

« kdy: 19. 07. 2021, 16:48:00 »

Z mojej skusenosti je najlepsie to ukoncit priamo v racku. Idealne do optickeho patch panelu. Kde sa stym nebude hybat a predide sa poskodeniu optickych vlakien. Ak to nie je mozne, tak optiku ukoncit na dobre pristupnom mieste, co najblizsie racku. Aby to v pripade poskodenia bolo lahke opravit.