Příspěvky

151

Sítě / Re:Jaký je nejlepší operátor?

« kdy: 08. 07. 2021, 09:14:31 »

Neni to jedno. Zalezi, co poptavate za sluzby.
Osobne mam dobre zkusenosti s UVTnetem, Metronetem a T-Mobilem.

(Metronet a T-Mobile maji verejne IPv4 adresy zdarma a v cene; Metronet ma zajimave ceny; UVTnet ma perfektni podporu a velmi kvalitni konektivitu; Metronet zvladne zaridit i slozitejsi operace typu "drat konci pres ulici, O2 nam reklo, ze to nejde, a najednou tu je parta kopacu od CETINu a po par hodinach mame Internet"; vsichni tri poskytuji skutecny Internet, tj. IPv4 i IPv6; T-Mobile neuctuje nic za zrizeni sluzby).

152

Sítě / Re:Konečně větší upload

« kdy: 16. 06. 2021, 15:35:02 »

Nejnižší cena často bývá v protikladu s kvalitní službou. Pokud problém nedokáže vyřešit s CETINem přímo jeden koncový operátor, třeba to zvládne jiný.
(To platí i pro tu službu s rychlostí 60/10, o které tu kolega psal. Vypadá to podivně, buď je to špatná linka, nebo chyba v nastavení. Každopádně 50 Mbps služby, které mám "na dosah" já, pořád jedou rychlostí 55/5 a ne 55/10.)

153

Sítě / Re:Konfigurace Zyxel VMG4005-B50A

« kdy: 25. 05. 2021, 21:47:17 »

Zkušenosti mám, měl jsem ho doma. Nebylo potřeba nic nastavovat, mezi modemem a routerem stačilo použít taggovanou VLANu (802.1q, VLAN 848).
Co znamená, že to nefunguje? Je k tomu nějaký error log? Jak přesně vypadá zkoušení - zkuste popsat co nejvíc detailů od zapojení modemu až po zalogované neúspěšné spojení v logu Asusu.
Měnil jste něco v nastavení Zyxelu? Je v něm tuším nastavení bridge, který by měl být ve výchozím stavu transparentní.

154

Sítě / Re:Konfigurace Zyxel VMG4005-B50A

« kdy: 25. 05. 2021, 20:04:53 »

Na Zyxelu nic nenastavujte.
V Asusu v nastaveni ethernet wan (pppoe) zaskrtnete 802.1q enable a vyplnte VLAN ID 848.
https://www.asus.com/support/FAQ/1016311/

155

Sítě / Re:Vzdálený přístup bez statické veřejné IP adresy

« kdy: 24. 05. 2021, 20:44:21 »

Tak to mám špatnou zprávu. 100.65.189.* patří podle RFC 6598 (https://datatracker.ietf.org/doc/html/rfc6598) do bloku 100.64.0.0/10 mezi vyhrazené IP bloky a zjednodušeně se používá na WAN straně tam, kde operátor nechce používat veřejné adresy. Do internetu přistupujete skrz NAT Vodafone, který IP 100.65.189.x přepisuje na 31.30.170.x.

Tenhle blok byl určen k tomu, aby operátoři nepoužívali pro adresování WAN rozhraní privátní IP adresy (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) a nevznikaly konflikty mezi sítí operátora a zákazníka.

Dynamické DNS tedy stačit nebude, protože Váš router není z Internetu přímo dostupný.

Zůstávají tedy varianty s VPN na VPS a přístupem skrze VPS, SSH tunelováním na VPS, zaplacením veřejné IP adresy Vodafonu, případně přechodu k jinému operátorovi.

156

Sítě / Re:Vzdálený přístup bez statické veřejné IP adresy

« kdy: 24. 05. 2021, 15:32:49 »

Podle manuálu (strany 28, 66 a 67) by se po kliknutí na "šipku vpravo" (s podtextem "stav") na obrazovce se seznamem zařízení měl ukázat "connection status" a v něm by měla být i IP adresa.

https://prodotti.zyxel.it/USERSGUIDE/VMG3312-T20A.pdf

157

Sítě / Re:Vzdálený přístup bez statické veřejné IP adresy

« kdy: 24. 05. 2021, 12:36:12 »

Tzn. v routeru v nejakem prehledu WAN (stavu pripojeni) je jaka IP adresa? (Staci prvni tri oktety.)

Je divne, ze by se adresa menila behem existujiciho PPPoE pripojeni. Zmenit se samozrejme muze pri odpojeni/znovupripojeni (treba pri restartu).

158

Sítě / Re:Vzdálený přístup bez statické veřejné IP adresy

« kdy: 24. 05. 2021, 11:29:11 »

Vodafone, PPPoE - takže to je nějaká forma DSL. Screenshoty bohužel nedorazily, ale Vodafone u VDSL služby uvádí neveřejnou adresu, takže ta pravděpodobně bude i na WAN portu (PPPoE).

Existuje nějaký důvod, proč zůstávat u Vodafonu? Například T-Mobile nebo Metronet umí na VDSL jak IPv6, tak veřejnou IPv4 adresu (statickou) v ceně služby.
Nativní IPv6 se nedělá tunelem, prostě se použije konektivita, která od ISP je (vedle IPv4 konektivity).

Triky s VPN na NASu asi budou fungovat, podobně se SSH forwardingem a pod., ale je to rovnák (workaround) na ohejbák (neveřejná adresa na WAN/PPPoE rozhraní). Navíc - kolik ta VPN resp. VPS bude stát? Veřejná IPv4 adresa u Vodafone stojí 175 Kč měsíčně.

159

Sítě / Re:Vzdálený přístup bez statické veřejné IP adresy

« kdy: 24. 05. 2021, 05:34:43 »

V puvodnim prispevku chybi informace, co je to za ISP a technologii pripojeni.
Podle toho VMGneco zyxelu to vypada na DSL.
Pokud je to DSL, nekteri ISP nabizeji verejnou IP adresu v cene sluzby.

Jste si jist, ze nemate verejnou IP adresu? Jak v routeru vypada stav a nastaveni WANu, tj. jaky protokol (DHCP nebo PPPoE), jaka IP adresa je prirazena, zmeni se adresa po restartu routeru?

Jakym protokolem chcete pristupovat k tomu NASu?

160

Sítě / Re:VDSL2+ WiFi router/AP s možností blokace všech webů, kromě vybraných?

« kdy: 07. 05. 2021, 12:31:10 »

Reálně asi pět routerů na světě, jejichž podpora v české DSL síti není zaručena.
https://openwrt.org/toh/views/toh_modem_supported?datasrt=availability

Asi to nechcete slyšet, ale lepší variantou je najít normální VDSL modem s podporou režimu bridge a za něj připojit libovolný router s OpenWRT nebo jinou Linuxovou distribucí.

161

Sítě / Re:Konečně větší upload

« kdy: 29. 04. 2021, 16:10:56 »

Neni na tom moc "co resit".
Jde o postupnou migraci stovek tisic pripojek, ma to plne v rezii CETIN. Zacina se nejpomalejsimi linkami (20/2). Co jsem dnes kontroloval asi desitku linek s profilem 50/5, upload zatim realne nebyl navysen ani u jedne. Podobne u 100/10.
V materialech pro ISP ale CETIN sam pise, ze 100/10 budou zrychlovat az od 17. kvetna (a maji na to cas do konce letosniho roku).
Navysena rychlost je zatim ve forme "technickeho pilotu do konce roku 2021", pricemz od Noveho roku bude nejspis platit nova velkoobchodni nabidka. V te muze byt teoreticky i soucasna rychlost uploadu (s asymetrii 1:10), ale je to dost nepravdepodobna varianta. Pravdepodobnejsi je, ze uvedene rychlosti budou platne "naporad" (pripadne muze probehnout i korekce nahoru nebo dolu).

162

Server / Re:DNS: chilské domény z resolveru ve střední Evropě

« kdy: 27. 04. 2021, 14:56:56 »

Ze sítě T-Mobilu:

Kód: [Vybrat]

$ dig www.movistar.cl @200.54.125.35

; <<>> DiG 9.10.6 <<>> www.movistar.cl @200.54.125.35
;; global options: +cmd
;; connection timed out; no servers could be reached

$ dig +tcp www.movistar.cl @200.54.125.35
;; Connection to 200.54.125.35#53(200.54.125.35) for www.movistar.cl failed: timed out.
;; Connection to 200.54.125.35#53(200.54.125.35) for www.movistar.cl failed: timed out.

; <<>> DiG 9.10.6 <<>> +tcp www.movistar.cl @200.54.125.35
;; global options: +cmd
;; connection timed out; no servers could be reached
;; Connection to 200.54.125.35#53(200.54.125.35) for www.movistar.cl failed: timed out.

Kód: [Vybrat]

$ dig www.movistar.cl @201.220.232.36
; <<>> DiG 9.10.6 <<>> www.movistar.cl @201.220.232.36
;; global options: +cmd
;; connection timed out; no servers could be reached

$ dig +tcp www.movistar.cl @201.220.232.36
;; Connection to 201.220.232.36#53(201.220.232.36) for www.movistar.cl failed: timed out.
;; Connection to 201.220.232.36#53(201.220.232.36) for www.movistar.cl failed: timed out.

; <<>> DiG 9.10.6 <<>> +tcp www.movistar.cl @201.220.232.36
;; global options: +cmd
;; connection timed out; no servers could be reached
;; Connection to 201.220.232.36#53(201.220.232.36) for www.movistar.cl failed: timed out.

Ovšem z jiné sítě, s relativně novými adresami (přiděleno RIPE NCC v roce 2018):

Kód: [Vybrat]

# dig  www.movistar.cl @200.54.125.35

; <<>> DiG 9.11.3-1ubuntu1.14-Ubuntu <<>> www.movistar.cl @200.54.125.35
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61271
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 3ed4f78bfb152eb191c7c2306087fb01ededa8c7de4336c7 (good)
;; QUESTION SECTION:
;www.movistar.cl.		IN	A

;; AUTHORITY SECTION:
www.movistar.cl.	600	IN	NS	dns-webmovistar-ext1.movistar.cl.
www.movistar.cl.	600	IN	NS	dns-webmovistar-ext2.movistar.cl.

;; ADDITIONAL SECTION:
dns-webmovistar-ext1.movistar.cl. 14400	IN A	200.54.125.32
dns-webmovistar-ext2.movistar.cl. 14400	IN A	186.148.3.14

;; Query time: 222 msec
;; SERVER: 200.54.125.35#53(200.54.125.35)
;; WHEN: Tue Apr 27 14:52:36 CEST 2021
;; MSG SIZE  rcvd: 174 

Takže: odněkud to jde, odjinud to nejde. Jak kdyby zablokovali některé české sítě.

Navíc: www.movistar.cl nemá záznam ani na autoritativních nameserverech, funguje jen movistar.cl:

Kód: [Vybrat]

# dig  movistar.cl @200.54.125.35

; <<>> DiG 9.11.3-1ubuntu1.14-Ubuntu <<>> movistar.cl @200.54.125.35
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39649
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
; COOKIE: 277208bc5fd6270dd202036d6087fbcfacf5f01e5459fb54 (good)
;; QUESTION SECTION:
;movistar.cl.			IN	A

;; ANSWER SECTION:
movistar.cl.		14400	IN	A	200.54.125.238

;; AUTHORITY SECTION:
movistar.cl.		14400	IN	NS	dns01.movistar.cl.
movistar.cl.		14400	IN	NS	dns02.movistar.cl.

;; ADDITIONAL SECTION:
dns02.movistar.cl.	14400	IN	A	201.220.232.36
dns01.movistar.cl.	14400	IN	A	200.54.125.35

;; Query time: 226 msec
;; SERVER: 200.54.125.35#53(200.54.125.35)
;; WHEN: Tue Apr 27 14:56:02 CEST 2021
;; MSG SIZE  rcvd: 156

163

Sítě / Re:Zkušenosti s "5G" domácími připojeními (O2 a spol)

« kdy: 24. 04. 2021, 22:38:17 »

Nikdo u nas nema 5G na doma, protoze takovou sluzbu zadny cesky operator nenabizi.

Vsichni nabizeji jen LTE na doma, v pripade O2 a Nordicu na vyhrazenych pasmech (3,6-3,8 GHz). U O2 vedle toho nabizeji LTE na doma se zakladni rychlosti 20 Mbit/s, to bezi na stejnych pasmech jako telefony a sdili to s nimi kapacitu. TM ma pasmo sdilene s mobily vzdycky (pro LTE na doma posiloval kapacitu site formou vystavby LTE s MIMO 4x4) a kvuli velkemu zajmu uz ma leckde "vycerpanou kapacitu". Vodafone pro pripojeni na doma dost vyuzival LTE 2100 tam, kde ho mel/ma, mobily do toho pasma obvykle neposilal. Kde nebylo LTE 2100, tam se pouzilo nejlepsi mozne pasmo (1,8 GHz, pripadne 800 MHz).

Nevyhody sluzeb sdilenych s mobily jsou jasne - ruzna prioritizace (zakaznik s tarifem v mobilu plati vic). I u sluzeb na vyhrazenych pasmech muzete narazit na vycerpanou kapacitu - a pak vam novou sluzbu nezridi.

164

Sítě / Re:Používání nějakého tunelu pro IPv6

« kdy: 24. 04. 2021, 07:58:38 »

A on uz Odorik pouziva IPv6? Jeste nedavno to nedelal.

Jinak ta hlaska je zpusobena rozdilnym autonomnim systemem, resp. registraci IPv4 adres pod nekdejsi GTS. Taky jsem to videl: https://twitter.com/zajdee/status/1324034598502883330?s=21

Realne to nicemu nevadilo. Je to jen dusledek nedostatku IPv4 adres, takze TM ted na DSL rozdava adresy, ktere "koupil" s GTSkou a nevyuzil je jinde. Mozna by stalo za to jim to nahlasit.

K problemu se SIPem, co je to za problemy? A mate na Turrisu aktivni ten SIP ALG? Vyhoda Turrisu je, ze ho muzete zakazat/povolit, coz na beznych domacich routerech obvykle nejde.

165

Sítě / Re:KVM / Guest s přístupem na internet, bez přístupu do LAN

« kdy: 22. 04. 2021, 20:00:16 »

Jak velky problem je proste vymenit router za neco schopneho provozu s VLAN?
Jak je pripojeny PC? Kabelem nebo pres WiFi?
Ty virtualni stroje vyuzivaji pripojeni k lokalni siti v rezimu NAT nebo bridge?

Jakz-takz bezpecna varianta je:
- zmenit konfiguraci virtualniho stroje, aby pouzival rezim bridge (virtualni stroj musi dostat IP adresu primo z lokalni sité tedy asi 192.168.0.x)
- povolit na hostitelskem stroji (ne ve virtualu) netfilteru, aby na bridge filtroval pravidla (hledejte googlem "bridge-nf-call-iptables=1", je to sysctl nastaveni)
- pridat na spravne misto ve firewallu pravidla, aby virtualni stroj mohl pristupovat jen na gateway; pokud je gateway 192.168.0.1 a adresa stroje 192.168.0.128, pak to bude neco jako
iptables -A INPUT -s 192.168.0.128 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.128 -d 192.168.0.0/24 -j DROP
iptables -A FORWARD -s 192.168.0.128 -d 0.0.0.0/0 -j ACCEPT

Konkretni realizace samozrejme zalezi na tom, jak se nastavuje firewall, jestli se treba nepouzivaji nftables, jaka distribuce se pouziva, atp.
Dal to taky neblokuje IPv6, takze scany po IPv6 porad budou mozne.