Příspěvky

1

Sítě / Re:PODA GPON: vlastní SFP a IPv6/IPv4 adresy

« kdy: 23. 05. 2023, 00:41:37 »

Prefix delegation nepodporuje ani sitova strana PODY. Maji to nahackovane tak, ze pri pouziti vlastniho ONT v bridgi dostanete na svuj router jednu WAN IPv6 adresu (ve ktere je hardcoded privatni IPv4 adresa WANu) a na tu vam naroutujou nejakym automatem /64. Mohli by i vic, ale nechteji.

Jako bonus s vlastnim ONT a zaplacenou verejnou IPv4 mate k dispozici cely blok /30 verejnych IPv4 adres, ktere jsou naroutovane na tu privatni IPv4 na WANu.

Pri pouziti jejich ONT v rezimu "bridge" je jejich ONT ve skutecnosti v rezimu router s aktivnim DHCP serverem a poolem o velikosti /30 s jednou vyuzitelnou adresou.

2

Sítě / Re:Blokování přístupu přes IPv6

« kdy: 04. 05. 2023, 07:55:42 »

Jinak pripojeni od VF neni pro IPv6 testy uplne idealni. Compal umi pro podrizeny router ("za nim") slouzit jako Prefix delegating router. Tzn. statickou routu neudelate, ale pokud si Vas podrizeny firewall/router umi vyzadat blok adres pomoci DHCPv6-Prefix Delegation, dostanete od Compalu prefix /60 a ten muzete na podrizenem routeru dal delit na podsite /64.

3

Sítě / Re:Blokování přístupu přes IPv6

« kdy: 04. 05. 2023, 07:52:43 »

Ano, RouterOS firewall v Mikrotik zarizenich je stateful.
Zakaz vseho je jednoduchy, proste budete mit ve forward chainu pravidlo DROP (at uz implicitne nebo explicitne).
Povoleni zevnitr ven se typicky dela tak, ze ve forward chainu povoli vsechno co je ze src-interface-lan do dst-interface-wan (zadne konkretni IPv6 adresy explicitne zminovat nepotrebuju, pouzije se ::/0) a zaroven z src-if-wan do dst-if-lan vsechno, co je established, related.
Zpristupneni konkretnich sluzeb v LAN z Internetu pak udelate tak, ze povolite provoz z src-if-wan na dst-address-LAN + vybrany protokol/port.
K tomu obecne doporucuju nefiltrovat ICMPv6 (pozor, je to jiny IP protokol nez ICMPv4).

To vse plati pro forward chain stavoveho firewallu.
Pro input chain je situace slozitejsi, tam se da vic inspirovat tim Mikrotikem. Pokud si treba zakazete ICMPv6 na inputu, bude se vam rozpadat tabulka sousedu.

4

Sítě / Re:Blokování přístupu přes IPv6

« kdy: 03. 05. 2023, 21:49:27 »

Vsechny adresy jsou ::/0. Vsechny globalne routovatelne adresy jsou ::/0 minus par vybranych prefixu. Takhle se ale firewall na v6 uplne nestavi.

Zakladni firewall pro router bude typicky neco jako https://gist.github.com/ebababi/edad2fcc586961ae55b24686974176ad (je to tam dobre okomentovane).

Zkuste popsat slovy, ceho presne chcete dosahnout.

5

Distribuce / Re:Upgrade grub-pc na Proxmoxu rozbije boot

« kdy: 05. 04. 2023, 12:32:18 »

Osobne bych to fixnul pred vyrobenim image prave v tom systemu, ze ktereho budu delat image. V puvodnim prispevku jste psal o /dev/sda, ale cela cesta ke QEMU device v /dev/disk/by-id/ je taky mozna (pokud odpovida ceste v bezicim systemu).

6

Distribuce / Re:Upgrade grub-pc na Proxmoxu rozbije boot

« kdy: 04. 04. 2023, 15:02:18 »

Zkuste

Kód: [Vybrat]

echo "grub-pc grub-pc/install_devices_disks_changed string /dev/sda" | debconf-set-selections
echo "grub-pc grub-pc/install_devices string /dev/sda" | debconf-set-selectionsNásledné volání dpkg-reconfigure grub-pc (případně instalace novější verze balíku) by mělo proběhnout v pohodě.

7

Hardware / Re:4jádro na programování v PHP (na Ubuntu)

« kdy: 26. 03. 2023, 12:40:51 »

32 GB RAM a SSD jsou zaklad. Ten procesor v odkazovanem notebooku je ale dost stary (12 let) a jeho vykon je dost spatny. Provozovat na tom Chrome a dnesni weby nebo moderni vyvojova prostredi bude dost utrpeni...
Na porovnani vykonu procesoru je dobry cpubenchmark.net. Tam se snadno muze ukazat, ze nejaka modernejsi i5 bez Hyperthreadingu bude vykonnejsi nez tahle stara i7.

8

Sítě / Re:Mobilní internet pro práci z domova

« kdy: 19. 03. 2023, 11:09:19 »

Jinak jeden znamy resil podobny problem; nakonec ma novy dum kousek od okresniho mesta ve StC kraji (par desitek km od Prahy), kde ale poradny internet neni. Jako SRE (coz neni uplne developer, ale je to blizka oblast) to vyresil tak, ze u sebe pracuje s gitem, ale vsechny datove narocnejsi aktivity jako CI, build kontejneru, deploymenty, atp. probihaji remote. Takze use case, ktery tu zminil @vcunat (build container image a push do vzdaleneho container repository) uz ho netrapi.

9

Sítě / Re:Mobilní internet pro práci z domova

« kdy: 19. 03. 2023, 11:04:46 »

K relevantnim odkazum bych doplnil jeste zrychlujemecesko.cz. Pro chalupy na vesnicich, kde je remote DSLAM a telefonni vedeni, muze podat aktualnejsi informace nez mapainternetu.cz. Rychle VDSL je pro praci dobre pouzitelne, mel jsem na vesnici cca 170 Mbps down a 25 Mbps up, latence do Orahy stabilne cca 12 ms (cca 450 m kabeloveho podzemniho vedeni od DSLAMu). Pokud pujdete do VDSL, preskocte nejvetsiho hrace (O2), za verenou IPv4 adresu si nechava tezce priplatit, IPv6 ma zprznene, prodava SmartBox na petilete splatky...

LTE je dobre jako zaloha, ale pro primarni pripojeni se hodi jen malo - protoze skutecne datove i rychlostne neomezene LTE stoji 1000+ Kc (u TM 1020 Kc), jste za operatorskym NATem, na vesnici je hodne ruznoroda kvalita (tam, kde jsem mel VDSL 170/25, bylo jen LTE 800, ale zato s realnou, celkem vysokou, rychlosti 60/20, vsichni totiz meli VDSL; v jinem miste, kde neni nic nez LTE, jsem rad za 8/2 s vysokym jitterem a silne kolisajici kvalitou, a to moc na praci neni).

Navic porovnani rychlosti LTE telefonem je omezene vypovidajici, protoze telefony a modemy mivaji ruzne anteny, ruzne kombinace pasem, ktere dokazi agregovat, atp. Neni dnes vyjimecne, ze mobil agreguje tri pasma (kdyz v lokalite jsou), ale modem zvladne jen dve, v horsim pripade jedno (a skonci na pretizenem LTE 800).

Lokalni ISP s bezdratem mohou byt skvela volba, ale pred porizenim sluzby hodne tezko posoudite jejich kvalitu. Pokud teprve kupujete nemovitost v lokalite, kterou neznate, je to obrovska sazka do loterie. Pokud ma ISP v miste optiku, bude to lepsi (vyssi rychlost, pravdepodobne stabilnejsi sluzby nez pri pripojeni radiem), ale garanci taky nemate - i dobra pristupova technologie (optika) se da zprznit chybnymi technickymi a obchodnimi rozhodnutimi.

10

Hardware / Re:Notebook s ISO klávesnicou

« kdy: 01. 03. 2023, 16:04:15 »

hřebík do rakve tomu dal ANSI-only Apple, který všichni kopírují.

Podle toho obrázku rozložení používá Apple modifikovanou ISO variantu a ne ANSI (modifikovanou, protože spodní řada je Fn-Control-Option-Command, zatímco ISO na obrázku má Ctrl-Fn-Os-Alt).

11

Studium a uplatnění / Re:Zkušenosti s indickými kolegy vývojáři

« kdy: 23. 02. 2023, 06:12:19 »

greenlinuxguru spis psal o 150k CZK/mesic hrubeho, coz je pri aktualnim kurzu cca. $108k/rok (mzdovy naklad vc. soc./zdrav. hrazeneho zamestnavatelem).

Mzdove naklady developera z midwestu vychazi pri prepoctu na CZK na cca. 90k CZK/mesic hrubeho.

I v CR najdeme lidi, kteri berou vyrazne vic nez 150k nebo min nez 90k, ale obecne to vypada, ze se nase dev/ops mzdy zacinaji vyrovnavat zapadu.

12

Sítě / Re:Zkušenosti s více IP na serveru

« kdy: 18. 02. 2023, 14:53:17 »

Pokud mate na serveru vic IP z jednoho bloku a vite, ze pro odchozi provoz chcete pouzit prave jednu z nich, dejte ji do "ip route add/change default via ...", napr. takto:

Kód: [Vybrat]

ip -6 route change default via fe80::1 src 2001:db8:dead:beef::babe dev eth0
Spojeni odchazejici default routou pak budou navazovana z 2001:db8:dead:beef::babe.

Hetzner smeruje na server celou /64, ale je na vas, jak si ji rozdelite. Pokud skutecne budete mit na interface vic adres, pak system obvykle nekterou z nich vybere a pouzije.

Policy based routing (ip rule ...) jde taky pouzit, ale na tenhle use case mi prijde zbytecne slozity.

13

Server / Re:MailCow: nedoručování mailů po změně ISP

« kdy: 29. 01. 2023, 21:38:15 »

Jinak server odpovida dost pomalu, jak kdyby se snazil resolvovat domeny a nedarilo se mi to (cemuz by napovidala i chyba ze screenshotu), neni mozne, ze tam je nejaky problem s rekurzivnim DNS?

14

Server / Re:MailCow: nedoručování mailů po změně ISP

« kdy: 29. 01. 2023, 21:35:34 »

Mozny problem: server pri pripojeni na port 25 vyzaduje TLS session pomoci STARTTLS, ale poskytuje neplatny (self signed) certifikat. Otestujte napr. pomoci:

Kód: [Vybrat]

openssl s_client -starttls smtp -crlf -connect mail.lintner.dev:25
Dalsi mozny problem: zen.spamhaus.org muze odesilatele blokovat. Z me domaci IP mi na jednoduchy SMTP handshake server odpovedel chybou 550:

Kód: [Vybrat]

EHLO test.microsoft.com
250-mail.lintner.dev
250-SIZE 104857600
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 CHUNKING
MAIL FROM:<no-reply@microsoft.com>
250 2.1.0 Ok
rcpt to:<tomas@lintner.dev>
550 5.7.1 Service unavailable; client [78.80.xxx.xxx] blocked using zen.spamhaus.orgMuze to byt prkotina, ale kazdopadne by to melo byt videt v logu.

15

Sítě / Re:Nová optická síť CETIN (O2 ?) na vesnici

« kdy: 25. 01. 2023, 13:32:18 »

Pripojky do 100 metru se neumistuji, z toho si dovolim divoce odvodit, ze se na ne nebude vztahovat ani to ustanoveni o umistovani prevazne pod zem. (Viz taky napr. https://www.mpo.cz/assets/cz/e-komunikace-a-posta/elektronicke-komunikace/narodni-legislativa-a-predpisy/2019/7/Metodicka-pracovni-pomucka-MPO-a-MMR.pdf)

Jelikoz uz jsem par nadzemnich optickych siti CETINu potkal, tak verim tomu, ze to skutecne bude GPON az do domu a ne VDSL.

Zrizeni v ramci vetsi akce je vzdycky jednodussi a levnejsi nez individualni vystavba, proto ma smysl se k akci pripojit (a pohlidat si, co presne O2 podepisuju).