Příspěvky

136

Sítě / Re:Jaký je nejlepší operátor?

« kdy: 31. 07. 2021, 16:15:34 »

75 je porad v mezich tarifu "az 100". Nove (zalezitost poslednich dnu) ale CETIN umoznuje bondovat dve "az stovky" do jedne "az 250", takze by Vam to jelo 150 (za cenu tarifu "az 250"). Tedy pokud to na Vasi adrese lze (mrknete na zrychlujemecesko.cz).

137

Sítě / Re:VoWiFi - WiFi volání a VPN

« kdy: 31. 07. 2021, 10:46:30 »

Jelikoz se pro VoWiFi smeruje traffic vzdy primou cestou (mimo VPNku v mobilu), tak ty VPNky nepomuzou.
Technicky je to IPSec na ePDG gateway, schovanou za hostname epdg.epc.mnc${MNC}.mcc230.pub.3gppnetwork.org, kde MNC je podle kodu operatora, tj. 001 = TM, 002 = O2, 003 = VF.

IPSec via ePDG je jen jiny transport pro IMS APN. Druhy, castejsi transport pro IMS APN je primo v mobilu (druhy pristupovy bod v siti LTE s vlastni IP adresou a routingem, aktivni vedle pristupoveho bodu pro "internet"). Technicky se pak IMS APN "predava" mezi IPSec transportem a LTE transportem.

Z Linuxu by to teoreticky slo, pokud bys dokazal
1) vytvorit IPSec tunel na ePDG (autentizovat se pomoci IKEv2/EAP-AKA na SIM karte)
2) zjistil IP adresu P-CSCF ("SIP") gatewaye v siti operatora
3) mel IMS klienta schopneho komunikovat s P-CSCF (autentizovat se pomoci SIM karty a IKEv2/EAP-AKA, pakety obalovat IPSec AH, ...)
Verejne dostupny klient mi ovsem neni znam.

Neco k tomu je tady: https://is.muni.cz/th/c8l5g/Thesis.pdf

138

Sítě / Re:VoWiFi - WiFi volání a VPN

« kdy: 30. 07. 2021, 18:21:02 »

U TM funguje VoWiFi po pripojeni telefonu k hotspotu s ceskou IP adresou (vytvoreneho napr. z ceskeho mobilniho datoveho tarifu v druhem zarizeni).

U O2 jsem slysel (ale neoveril) o pripadu, kdy sit odmitla zaregistrovat VoWiFi i v CR na ceske IP, ale uzivatel byl blizko u hranic.

Nejjednodussi blokovani je na urovni geolokace IP adres na vstupu do site (napr. na sitovem prvku ePDG). U O2 to blokovani ale asi maji vymakanejsi - na rozdil od podpory SMS pres VoWiFi. :-)

139

Sítě / Re:Zkušenosti s "5G" domácími připojeními (O2 a spol)

« kdy: 29. 07. 2021, 23:45:59 »

Vymenit kvalitni a rychle kabelove/wifi domaci pripojeni za LTE nedava smysl.

U pomaleho nebo nestabilniho kabeloveho/wifi pripojeni o tom lze uvazovat, ale je potreba pocitat s tim, ze sit sdilite s mobily (s vyjimkou O2 LTE na doma na 3,7 GHz) a rychlost se v case muze vyrazne menit.

Navic cena kvalitnich LTE modemu (se schopnosti agregovat dve, tri pasma LTE, protoze jen tak dosahnete stovek megabitu) je vyrazne vyssi nez u DSL. Treba takovy Zyxel LTE7490-M904-EU01V1F stoji pres 11 tisic s DPH.
A samozrejme musite v lokalite mit dostatecne silnou sit (vic LTE pasem) a kvalitni prijem. Pokud je v lokalite jen LTE 800, bude sluzba dosahovat max. podobnych parametru jako VDSL 50 Mbit/s.

Nakonec vetsinu zajemcu odradi i cena pausalu, Datamanie totiz ten 1 TB mesicne neda a neomezeny tarif od TM je za 1400 s vlastni statickou verejnou adresou vyrazne drazsi nez ta nejlepsi optika do domu.

140

Sítě / Re:Konečně větší upload

« kdy: 25. 07. 2021, 16:53:20 »

Pokud mate 1000 Mbit/s download, operatori obvykle k takove sluzbe umi 100 a vic Mbit/s upload. Tedy pokud to neni kabelovka exUPC (Vodafone), tam to je max. 70 pro business tarif.

141

Sítě / Re:IPv6 duplicate address detected - první adresu si zabere linux

« kdy: 22. 07. 2021, 17:52:28 »

Prvni adresa v subnetu je specificka.
https://datatracker.ietf.org/doc/html/rfc4291#section-2.6.1

Nejlepsi je neprirazovat ji nikde rucne.
(Nemam vyzkouseno, ale: pokud by Linux nemel aktivni forwarding a tedy nebyl routerem, nemel by tu adresu pouzivat.)

142

/dev/null / Re:COVID očkovací certifikát

« kdy: 21. 07. 2021, 18:56:28 »

Jeste k overeni: overovaci aplikace si stahne zname narodni x509 certifikaty. Kazdy x509 certifikat ma navic i svuj KeyID (kid).

V covid pasu (qr kod/HC1:...) je uveden kid x509 certifikatu, kterym byla vygenerovana signatura. Aplikace pak pomoci dat z x509 certifikatu (identifikovaneho kidem) overi platnost dat/signatury a tim i celeho covid pasu. Offline. Klidne v miste bez signalu. Nic se nikam neposila.

Jedinou podminkou uspesneho overeni platne podepsanych dat je, mit v aplikacnim ulozisti takovy x509 certifikat, jehoz kid je v covid pasu. Rucne vygenerovana data nedokazete platne podepsat, protoze nemate privatni klic k uznavanemu x509 certifikatu.

143

/dev/null / Re:COVID očkovací certifikát

« kdy: 21. 07. 2021, 18:52:52 »

Pokud nejaka aplikce neoveruje digital signature (ta v tom certifikatu je), je to samozrejme problem - ale primarne te aplikace.
Falesne certifikaty vygenerovat jdou, ale nebudou mit platne signatury.

K covid pasum mam vlakno na Twitteru - https://mobile.twitter.com/zajdee/status/1399436026398101508

Kazda zeme ma vlastni podpisovy certifikat (nebo nekolik certifikatu), ktere se vyuzivaji pro vypocet (a zpetne overeni) signatur. U nas je to MZCR. seznam a verejne casti uznavanych evropskych certifikatu jsou v prostredi naseho statu k dispozici na https://dgcverify.mzcr.cz/index.html

144

Sítě / Re:T-Mobile Internet cez Huawei Modem v Linuxe

« kdy: 20. 07. 2021, 19:01:46 »

Seriove porty se mohou "ztratit", pokud probehne USB modeswitch (nektera USB zarizeni, ktera modem prezentuje, se ztrati, jina ukazou). U nekterych Huawei zarizeni se pro ovladani modeswitch (zarizeni viditelna pred/po modeswitchi) pouziva prikaz

Kód: [Vybrat]

at^setport?
A1,a2:1,2,3,7,a1,a2

To by mohla byt pricina "zmizeni" seriovych portu. Instalace balicku PPP nic takoveho sama o sobe zpusobit nemuze.

Fake ethernet existuje proto, ze mobilni sit z podstaty fungovani stavi tunel mezi mobilem (modemem) a jadrem site a pridelena IP adresa ma masku /32. V pripade vytaceni PPP spojeni se onen konec tunelu posouva az do PPP klienta, takze s maskou /32 problem neni.

Na Ethernetu pro spravne fungovani DHCP je potreba maska vetsi, obvykle alespon /30. V mem prikladu nahore modem zvolil masku /28. No a technicky to funguje tak, ze uvnitr modemu nebo driveru je falesny DHCP server a modem pak prehazuje pakety z "tuneloveho interface" do "fake ethernet interface" - a zpet.

Dnesni modemy implementuji bud QMI protokol (pokud maji chipset od Qualcommu) nebo USB MBIM protokol; z pohledu uzivatele je to prakticky falesny ethernet, ktery pomoci DHCP klienta preda IP adresu z mobilni site (nebo /64 IPv6 prefix) az do Linuxoveho sitoveho stacku. MBIM dokonce neni vubec Ethernet (L2), predavaji se rovnou IP pakety (L3). Aby ale modem vedel, jakou IP adresu ma predat, musi nejdriv od uzivatele dostat nazev APN. Tedy totez, co se v pripade vytaceni pomoci PPP specifikuje v prikazu AT+CGDCONT=1,"IP","APN" (ta jednicka se pak pouziva pri vytaceni: *99***1# odkazuje na profil "1" nastaveny pres CGDCONT).

145

Sítě / Re:T-Mobile Internet cez Huawei Modem v Linuxe

« kdy: 20. 07. 2021, 16:06:58 »

Pro zajímavost, Huawei E396:

Kód: [Vybrat]

root@router:~# mmcli -m 0 --simple-connect="apn=internet,ip-type=ipv4"
successfully connected the modem
root@router:~# ip link set wwan0 up
root@router:~# dhclient wwan0
root@router:~# ip a
(...)
37: wwan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
    link/ether 3e:6f:59:2d:d8:14 brd ff:ff:ff:ff:ff:ff
    inet 100.117.128.88/28 brd 100.117.128.95 scope global dynamic wwan0
       valid_lft 7200sec preferred_lft 7200sec
    inet6 fe80::3c6f:59ff:fe2d:d814/64 scope link
       valid_lft forever preferred_lft forever
root@router:~# ip route | grep wwan
default via 100.117.128.81 dev wwan0
100.117.128.80/28 dev wwan0 proto kernel scope link src 100.117.128.88

root@router:~# mmcli -m 0
  --------------------------------
  General  |            dbus path: /org/freedesktop/ModemManager1/Modem/0
           |            device id: f13359cc0d01883b118ab5cdba4f19baa83e6248
  --------------------------------
  Hardware |         manufacturer: QUALCOMM INCORPORATED
           |                model: 0
           |    firmware revision: M9200B-SCAQWBZD-3.3.330155T  1  [Aug 09 2012 23:00:00]
           |         h/w revision: 203F1000
           |            supported: gsm-umts, lte
           |              current: gsm-umts, lte
           |         equipment id: 860999001008525
  --------------------------------
  System   |               device: /sys/devices/pci0000:00/0000:00:1c.0/0000:02:00.0/usb3/3-1
           |              drivers: option1, qmi_wwan
           |               plugin: Huawei
           |         primary port: cdc-wdm0
           |                ports: cdc-wdm0 (qmi), ttyUSB2 (qcdm), wwan0 (net), ttyUSB1 (at),
           |                       ttyUSB3 (at)
  --------------------------------
  Status   |                 lock: sim-pin2
           |       unlock retries: sim-pin (3), sim-puk (10), sim-pin2 (3), sim-puk2 (10)
           |                state: connected
           |          power state: on
           |          access tech: lte
           |       signal quality: 67% (recent)
  --------------------------------
  Modes    |            supported: allowed: 2g; preferred: none
           |                       allowed: 3g; preferred: none
           |                       allowed: 4g; preferred: none
           |                       allowed: 2g, 3g; preferred: 3g
           |                       allowed: 2g, 3g; preferred: 2g
           |                       allowed: 2g, 4g; preferred: 4g
           |                       allowed: 2g, 4g; preferred: 2g
           |                       allowed: 3g, 4g; preferred: 3g
           |                       allowed: 3g, 4g; preferred: 4g
           |                       allowed: 2g, 3g, 4g; preferred: 4g
           |                       allowed: 2g, 3g, 4g; preferred: 3g
           |                       allowed: 2g, 3g, 4g; preferred: 2g
           |              current: allowed: 2g, 3g, 4g; preferred: none
  --------------------------------
  Bands    |            supported: egsm, dcs, pcs, g850, utran-1, utran-3, utran-8
           |              current: egsm, dcs, pcs, g850, utran-1, utran-3, utran-8
  --------------------------------
  IP       |            supported: ipv4, ipv6, ipv4v6
  --------------------------------
  3GPP     |                 imei: 860999001008525
           |          operator id: 23002
           |        operator name: O2.CZ
           |         registration: home
  --------------------------------
  3GPP EPS | ue mode of operation: ps-1
  --------------------------------
  SIM      |            dbus path: /org/freedesktop/ModemManager1/SIM/0
  --------------------------------
  Bearer   |            dbus path: /org/freedesktop/ModemManager1/Bearer/1
           |                       /org/freedesktop/ModemManager1/Bearer/0

root@router:~# mmcli -b 0
  ------------------------
  General    |  dbus path: /org/freedesktop/ModemManager1/Bearer/0
             |       type: default
  ------------------------
  Status     |  connected: no
             |  suspended: no
             | ip timeout: 20
  ------------------------
  Properties |        apn: internet
             |    roaming: allowed
             |    ip type: ipv6
root@router:~# mmcli -b 1
  --------------------------------
  General            |  dbus path: /org/freedesktop/ModemManager1/Bearer/1
                     |       type: default
  --------------------------------
  Status             |  connected: yes
                     |  suspended: no
                     |  interface: wwan0
                     | ip timeout: 20
  --------------------------------
  Properties         |        apn: internet
                     |    roaming: allowed
                     |    ip type: ipv4
  --------------------------------
  IPv4 configuration |     method: dhcp
                     |    address: 100.117.128.88
                     |     prefix: 30
                     |    gateway: 100.117.128.89
                     |        dns: 160.218.161.60, 194.228.211.33
                     |        mtu: 1500
  --------------------------------
  Statistics         |   duration: 210
                     |   bytes rx: 135013
                     |   bytes tx: 367050

Zajímá Vás zejména:

Kód: [Vybrat]

state: connected
access tech: lte
signal quality: 67% (recent)

146

Sítě / Re:T-Mobile Internet cez Huawei Modem v Linuxe

« kdy: 20. 07. 2021, 15:53:21 »

Ukažte výstup příkazů

Kód: [Vybrat]

mmcli -L 

mmcli -m 0

mmcli -m 0 --simple-connect="apn=internet.t-mobile.cz,ip-type=ipv4"

mmcli -m 0


mmcli -m 0 --simple-disconnect

147

Sítě / Re:T-Mobile Internet cez Huawei Modem v Linuxe

« kdy: 20. 07. 2021, 13:14:25 »

APN je potřeba definovat při každém navázání spojení. Pokud to neuděláte, riskujete, že se použije defaultní (APN s prázdným názvem, ""). A defaultní APN Vás připojí jen do sítě pro IMS (VoLTE, VoWiFi), bez konektivity do Internetu.

T-Mobile skutečně přiděluje IP adresy z 100.64.0.0/10, a to jak pro APN IMS ("") tak pro APN Internet ("internet.t-mobile.cz").

Maska 255.0.0.0 a brána 100.0.0.1 jsou ale špatně. Odkud se berou?

Tyhle modemy vytvářejí fake ethernet, ale obvykle pracují s menší IPv4 maskou, třeba /30.

Jak přesně "vytáčíte" spojení? Minicom je terminál, ale tím se rozhodně nic nevytáčí. Používáte PPP rozhraní? QMI (? Jakým nástrojem nastavujete APN?

Já třeba mám takovéhle jednoduché, fousaté (takže se nesmějte:-)) skripty pro mmcli (wrapper pro vytáčení spojení pro Qualcomm modem):

Kód: [Vybrat]

# cat /usr/local/bin/wwan-up.sh
#!/bin/bash

MODEMID=`mmcli -L | grep QUALCOMM | awk '{print $1}' | awk -F'/' '{print $6}'`

if [ "q$MODEMID" == "q" ]; then
    echo "Modem not found."
    exit 3
fi

APN=$1
PDN=$2

if [ "q$APN" == "q" ]; then
    echo "APN not set; Usage: $0 <ApnName> <ipv4|ipv6|ipv4v6>"
    exit 3
fi
if [ "q$PDN" == "q" ]; then
    echo "PDN not set; Usage: $0 <ApnName> <ipv4|ipv6|ipv4v6>"
    exit 3
fi

mmcli -m $MODEMID --simple-connect="apn=$APN,ip-type=$PDN"

exit 0

Kód: [Vybrat]

# cat /usr/local/bin/wwan-down.sh
#!/bin/bash

MODEMID=`mmcli -L | grep QUALCOMM | awk '{print $1}' | awk -F'/' '{print $6}'`

if [ "q$MODEMID" == "q" ]; then
    echo "Modem not found."
    exit 3
fi

mmcli -m $MODEMID --simple-disconnect

exit 0

Kód: [Vybrat]

# cat /usr/local/bin/wwan-route.sh
#!/bin/bash

IP=`ip a s dev wwan0 | grep -w inet | awk '{print $2}' | sed 's/\/30//'`
IP1=`echo $IP | awk -F. '{print $1 "." $2 "." $3}'`
IP2=`echo $IP | awk -F. '{print $4}'`
IP3=$((IP2+1))
GW=$IP1.$IP3
echo "Executing ip route add default via $GW"
ip route add default via $GW

Kód: [Vybrat]

# cat /usr/local/bin/wwan-ipv6.sh
#!/bin/bash

IF=$1

if [ "q$IF" == "q" ]; then
    echo "Usage: $0 <IfaceName>"
    exit 3
fi

echo 2 > /proc/sys/net/ipv6/conf/$IF/accept_ra
echo "Sleeping for 2s"
sleep 2
echo "Trying to get IPv6 prefix..."
rdisc6 -1 $IF

exit 0

A v (Debian/Ubuntu) /etc/network/interfaces pak mám:

Kód: [Vybrat]

auto wwan0
iface wwan0 inet dhcp
    pre-up /usr/bin/qmi-network `ls -1 /dev/cdc-wdm*|head -n1` start
    post-down /usr/bin/qmi-network `ls -1 /dev/cdc-wdm*|head -n1` stop
    pre-up /usr/local/bin/wwan-up.sh internet.t-mobile.cz ipv4 || exit 0
    post-down /usr/local/bin/wwan-down.sh
#    post-up /usr/local/bin/wwan-ipv6.sh wwan0 || exit 0
    post-up /usr/local/bin/route-metric.sh wwan0 5 || exit 0
    post-up /sbin/iptables -t nat -A POSTROUTING -o wwan0 -j MASQUERADE || exit 0
    post-up chmod a+rw /dev/cdc-wdm* || exit 0

148

Sítě / Re:x86 deska s SFP+

« kdy: 12. 07. 2021, 09:01:39 »

Doslova za par korun se da sehnat (pouzita) jednoportova SFP+ karta Mellanox ConnextX-3. Do 5k i s deskou se to nevejde, ale alternativa ke kartam od Asusu a spol. je to zajimava.

Mam doma x86 router s dvojSFP+ kartou od Dellu s chipsetem od Broadcomu a nejvic mi na tom vadi hlucny vetracek. ConnectX-3 ma pasivni chlazeni; mam ji ve druhem stroji a planuju ji poridit i pro router, misto karty od Dellu.

Zatim nedostupnou alternativou k x86 by mohl byt Turris Omnia 2022, ktery ma mit desetigigabitove rozhrani. Cena ani dostupnost ani presnejsi parametry ale jeste bohuzel zname nejsou.

149

Sítě / Re:Jaký je nejlepší operátor?

« kdy: 08. 07. 2021, 20:01:07 »

> jediný operátor co dělá bonding je O2
Bonding dnes dělají všichni partneři CETINu kromě Vodafonu. O2 taky, ale bylo (kromě Vodafonu) až poslední operátor, který bonding nabídl.

> V ceníku mají IP adresu za 100 Kč/měsíc :thinking:
Je to tak, ale při objednávce DSL si můžete říct o veřejnou IPv4 adresu za nula Kč. Spíš tedy nesedí ten ceník.

> A jak je to s tím Terminátorem? To řeknu, že mám zájem třeba o xDSL 50/5 (tj. rychlost, kterou v místě zvládne jeden pár) a že bych k tomu rád Terminátor, a oni odpoví: „tak jo“?
Přesně tak. 

150

Sítě / Re:Jaký je nejlepší operátor?

« kdy: 08. 07. 2021, 14:40:52 »

Jasně. Jaký. Pokud se tazatel skutečně ptá "jaký" a ne "který", tak odpověď za mě je, že nejlepší operátor je takový, který:
- neúčtuje poplatky za zřízení
- nabízí veřejnou IPv4 adresu za rozumnou cenu (ideálně nula Kč)
- nabízí IPv6 o velikosti alespoň /56
- umí poskytnout službu v kompletní řadě cetiních tarifů (optika, ethernet, bonding)
- umí poskytnout CETIN Terminátor (ZyXEL VMG4005B) ke každé službě
- má redundantní propoj mezi vlastní sítí a sítí CETINu (https://www.lupa.cz/aktuality/sit-cetin-ma-patrne-plosny-vypadek-hlasi-nekteri-operatori/)
- má nízké ceny
- má kvalitní, správně naškálovanou a redundantní peeringovou a tranzitní konektivitu (NIX.cz, Tier 1 ISP)
- má kvalitní technickou a obchodní podporu
- umožňuje platit faktury kartou, převodem i inkasem

No a teď ten problém, přichází otázka "který to je?" a odpověď: "takový operátor u nás neexistuje."
Nejblíž tomu mají ti tři, které jsem zmínil ve svém předchozím příspěvku. Každý z nich ale některé z bodů nesplňuje.