Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Radek Zajíc

Stran: 1 ... 26 27 [28] 29 30 ... 33
406
Sítě / Re:Jak se přiděluje IP adresa na DSL?
« kdy: 27. 06. 2019, 14:39:01 »
Ano, tohle je běžná praxe v některých zemích (typicky Německo). To by přece nešlo, aby měl rezidentní zákazník stabilní připojení a adresu - tak ho jednou za 24 hodin odpojíme (a při připojení dostane jinou adresu). Pokud chce tomuto předejít, může si připlatit za business linku.

U nás naštěstí snad nikdo toto neprovozuje. (Dynamické IPv4 adresy dávalo svého času O2, dnes už ale veřejné IPv4 v základu nedávají.)

407
Sítě / Re:Linuxový router a IPv6 forwarding
« kdy: 27. 06. 2019, 08:47:17 »
Ovsem ja jsem nepsal o tom, ze operator vyhradi napr. /56 a z nej vybere jeden prefix a ten pak pouzije na WAN. :-) Tenhle rezim sice je standardizovan (https://tools.ietf.org/html/rfc6603), ale na beznych domacich routerech neni obvykle podporovan. Mel by se jednoho dne vyuzivat v sitich zalozenych na standardech 3GPP, kde se s touhle variantou pocita.

Na beznych pripojkach typu xDSL, GPON, Wi-Fi/FWA mate na WAN skutecne adresu z jineho prefixu nez z toho, ktery dostanete na LAN. Operator pak vyhradi napr. /64 + /64 (O2) nebo /64 + /56 (T-Mobile, Metronet).
Alternativne na WAN zadny prefix byt nemusi a routuje se na link-local adresu protistrany nebo "do tunelu" (u PPPoE).
Na kabelovkach je zase bezne, ze WAN strana dostane _jednu_ adresu z DHCPv6 plus delegovany prefix (/56, /60, atp.). Takhle to standardizoval DOCSIS.

Pak je jeste pristup, kdy zadny delegovany prefix nemate, a mate tedy jen /64 na WAN. Abyste dostal IPv6 i do LAN, musite provadet bud NDP proxy nebo prefix sharing (https://tools.ietf.org/html/rfc7278 - smazu prefix/adresu z WAN a nakonfiguruji na LAN; funguje to jen diky tomu, ze mam cely prefix pro sebe a protistrana routuje "do tunelu"; tohle je bezny pristup v mobilnich sitich na mobilech u funkce "osobni hotspot").

408
Sítě / Re:Jak se přiděluje IP adresa na DSL?
« kdy: 27. 06. 2019, 08:35:21 »
Lepsi material od CETINu je primo technicka specifikace na https://www.cetin.cz/documents/10182/116411/MMO+-+Př%C3%ADloha+12+-+Technická+specifikace.pdf/2817b7d0-3ed2-4882-9f48-c111d2226135

Jde z toho poznat, ze na DSL funguji oba pristupy - IP rezim, kdy se prideluje z DHCP (DSLAM bude provadet DHCP relay a obohacovani DHCP pozadavku o ID portu - option 82) i PPPoE rezim (DSLAM obohacuje PPPoE pozadavky o ID portu - funkce PPPoE intermediate agent).
V PPPoE rezimu se adresy prideluji a routuji na PPPoE koncentratoru (BRAS) a dal jsou v siti operatora routovane standardnimi mechanismy dynamickeho routingu (OSPF, BGP, ISIS, ...).

409
Sítě / Re:Linuxový router a IPv6 forwarding
« kdy: 24. 06. 2019, 18:05:35 »
Můj router na rozhraní WAN (alespoň ve výchozím stavu) nemá veřejnou 6, přesto vše v LAN jede. Kde udělali soudruzi z T-Mobile chybu?
To neni podminka. Pokud se bavime o DSL (jinde TM IPv6 nema), tam BRAS routuje delegovany prefix do PPPoE tunelu, tj. ani nepotrebuje znat globalni/link-local adresu.

410
Sítě / Re:Linuxový router a IPv6 forwarding
« kdy: 22. 06. 2019, 07:32:49 »
ISP dnes uz nepripojuji jednotlive pocitace, prakticky vzdy jen routery zakazniku. Proto musi:
1. jak pridelit adresu routeru (jsou jen dve varianty: router advertisement, DHCPv6)
2. jak rict routeru, ktere adresy ma pouzivat na sve "LAN" strane (pokud ISP nema kontrolu nad zakaznickym routerem, zbyvaji mu jen moznosti DHCPv6 Prefix Delegation nebo staticka komfigurace v soucinnosti se zakaznikem)
3. jak naroutovat adresy, ktere ma router pouzivat v LAN

Pokud ISP v kroku 1) zacal oznamovat k routeru prefix /56 pomoci router advertisementu, ma to spatne. Router si z tohoto prefixu nemuze snadno vzit nejakou /64 a tu oznamovat do LAN. Aby neco takoveho bylo mozne, musel by fungovat jako Neighbor Discovery Protocol (NDP) Proxy. To je ale spis nouzove reseni a rozhodne neni spravne.

411
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 17. 05. 2019, 15:50:33 »
A ted zase nechapu jak to funguje. Podle ceho dhcpv6 identifikuje, kdo to zada o prefix aby to pridelilo ten spravny staticky ?
Je to jednoduchy. Pri vytaceni PPPoE spojeni jde provoz skrze CETIN DSLAM resp. GPON ONT. Ten na zaklade identifikace konkretniho DSL portu resp. GPON OLT (zakaznicky jednotky) obohacuje PPPoE pakety o tzv. cislo okruhu (circuit-ID). Kod, ktery tohle dela, se nazyva PPPoE Intermediate Agent.
CETIN BRAS (=druhy konec toho PPPoE tunelu; prvni konec je ten RouterOS u tebe doma), CETIN RADIUS a ISP (Metronet) RADIUS na zaklade tohohle circuit-ID identifikuje konkretniho zakaznika. A na zaklade znalosti zakaznika muze Metronet RADIUS pri pripojeni vzdycky poslat CETIN BRASu stejny prefix. A tohle plati i pro IPv4.
(Na ceste muze dochazet k ruznym obohacovanim a prekladum circuit-ID, na strane ISP je to obvykle prosty cislo - driv telefonni, dneska obecny cislo, prideleny CETINem, ktery si ISP musi na svy strane zanest do uzivatelsky databaze.)

Nevim jak funguje accept_ra=2 v linuxu. Ale kdyz si pustim nejakou beznou linuxovou distribuci tak se mi tam ipv6 nastavi a kdyz si vypisu nastaveni site tak tam patricne polozky vidim.

Linux (A tedy i RouterOS, protoze to je vlastne Linux kernel obaleny o spoustu proprietarnich ptakovin) funguje tak, ze je-li aktivni IPv6 forwarding a `accept_ra==1`, pak kernel neakceptuje RA a nenastavi si adresu podle SLAAC. Je-li aktivni IPv6 forwarding a `accept_ra==2`, pak kernel akceptuje RA a nastavi si adresu podle SLAAC. Je-li forwarding neaktivni, pak se `accept_ra` 1 i 2 chovaji stejne a vzdycky nastavi adresu podle SLAAC.
Na standardni stanici je IPv6 forwarding neaktivni a `accept_ra==1`. Na standardnim RouterOS boxu s aktivnim IPv6 balickem je IPv6 forwarding aktivni a `accept_ra` zustava `1`, proto si nevytvari adresu podle SLAAC, pokud mu prijde RA paket. Zapina se to prave tim extra prepinacem, kterej jim asi nefunguje.

412
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 16. 05. 2019, 20:25:12 »
Mimochodem, jakou máš verzi RouterOS? Nastavení
Kód: [Vybrat]
accept-router-advertisements=yes by mělo fungovat jako v Linuxu
Kód: [Vybrat]
accept_ra=2ale vypadá to, že to kluci v Mikrotiku měli/mají rozbitý.
https://forum.mikrotik.com/viewtopic.php?t=115735
Citace
Version 6.38rc52 has been released.
Changes since previous version:
...
*) ipv6 - fixed "accept-router-advertisements" behaviour;

413
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 16. 05. 2019, 20:18:42 »
Ah. No a není to tím, že IPv6 v základu nedávají? (To tedy ani veřejnou IPv4 - jen na požádání.)
Nulová odpověď od DHCPv6 při pokusu o DHCPv6 PD totiž naznačuje, že na svojí straně Metronet nenastavil správně uživatelskou databázi/RADIUS a tedy CETIN nedostal vůbec informaci, že má IPv6 aktivovat. Třeba ji prostě zapomněli nastavit. :-)

Pokud už proběhne DHCPv6 výměna (tj. RouterOS dostane prefix), je třeba nakonfigurovat jen adresu na LAN ve tvaru "additivní adresy", tj. adresy, která se přičte k adrese IPv6 poolu, a informaci o poolu. Tj. pokud mám např. LAN a GuestNet:
Kód: [Vybrat]
/ipv6 address
add address=::0:0:0:0:1/64 from-pool=<DHCPv6Pool> interface=LAN
(...)
/ipv6 address
add address=::ff:0:0:0:1/64 from-pool=<DHCPv6Pool> interface=GuestNet
Pro pool prefix 2001:db8:baba:de00::/56 se pak pro LAN nastaví 2001:db8:baba:de00::1/64 a pro GuestNet 2001:db8:baba:deff::1/64.

Tenhle návod je sice na první pohled pro DSL, ale prakticky by měl fungovat i na FTTB/FTTH (je tam jen potřeba nastavit VLAN 848 a teprve nad ní vytáčet PPPoE): https://www.zemj.com/2018/10/19/mikrotik-o2-ipv6-klidne-multiiptv-nastaveni/
Téměř se shoduje s tím, cos napsal - s rozdílem, že vůbec nekonfiguruje adresu na WAN (PPPoE).

414
Sítě / Re:Mikrotik, IPv6 a ISP Metronet
« kdy: 16. 05. 2019, 13:14:15 »
Ahoj PPK,

situace je ve skutečnosti možná jednodušší než se může zdát. Metronet využívá referenční nabídku CETINu, takže z pohledu uživatele na PPPoE přípojkách:
- na WAN rozhraní (PPPoE) přichází IPv6 router advertisementy a router se podle nich může nakonfigurovat (někteří ISP vůbec nemají pro WAN rozhraní IPv6 prefix, ale nevadí to - na WAN je vždycky link-local adresa, kterou přiděluje protistrana, a ta pro DHCPv6 stačí, viz níže)
- pro LAN rozhraní je potřeba nakonfigurovat DHCPv6 klienta, aby zasílal požadavek na prefix delegation (PD)
- DHCPv6 dotazy chodí z klientského routeru z link-local adresy na multicast adresu ff02::1:2 a DHCPv6 server odpovídá z link-local adresy (viz např. https://www.cloudshark.org/captures/eeedef4dd779)

Referenční přípojka CETINu (na DSL i FTTB/H) vypadá takhle:
IP konektivita: Klientská-LAN <-> Klientský router <-- PPPoE --> CETIN BRAS <--> ISP router <--> Internet
IP alokace: CETIN BRAS <--> CETIN RADIUS <--> ISP RADIUS

BRASy mají ~stejnou konfiguraci pro DSL i FTTB/H.

Typicky navázání spojení pak vypadá takhle:
1. Klientův router (KR) vytočí PPPoE s aktivním IPv6CP
2. CETIN BRAS si od CETIN RADIUS a ten od ISP RADIUS zjistí, zda je uživatel aktivní, a vyžádá si informace o prefixech (WAN, Delegated)
3. CETIN BRAS odpoví na PPPoE a PPPoE spojení se sestaví s IPv6CP (zažil jsem špatně nakonfigurovaný BRAS, který IPv6CP odmítal - šlo o BRAS profil Avonetu, v tomtéž regionu IPv6 na DSL T-Mobilu fungovalo)
4. CETIN BRAS nainstaluje do své routovací tabulky WAN prefix a nasměruje ho do PPPoE rozhraní k uživateli
5. KR si nastaví na WAN link-local adresu z IPv6CP
6. CETIN BRAS vyšle unsolicited router-advertisementy (je-li přidělen WAN prefix)
7. KR aktivizuje DHCPv6 klienta a ten zašle požadavek na delegaci prefixu (PD)
8. CETIN BRAS v roli DHCPv6 serveru odpoví klientovi - informuje ho o přiděleném prefixu a jeho časové platnosti; zároveň na dobu platnosti nainstaluje do své routovací tabulky delegovaný prefix a nasměruje ho do PPPoE rozhraní k uživateli
9. KR si z přiděleného prefixu vybere jednu /64 a tu nainstaluje na LAN rozhraní. Zároveň začne do LAN oznamovat dostupnost prefixu pomocí router-advertisementů
10. Klient má funkční IPv6 konektivitu na LAN

CETINí BRASy provádějí reverse path filtering, tedy nepropustí ven provoz, pro který neexistuje mapování v routovací tabulce, a ani ke klientovi nepošlou provoz zvenku, který by byl nasměrován na prefix, který není nainstalován v routovací tabulce (to dává smysl). Zároveň se delegovaný prefix nikdy neinstaluje dřív než dojde k úspěšnému vyžádání prefixu DHCPv6 klientem.

RouterOS by default nepřijímá router advertisementy, pokud je zároveň routerem - musí se to explicitně povolit (https://wiki.mikrotik.com/wiki/Manual:IPv6/Settings). Pokud povolíš tohle nastavení, můžeš zrušit tu ruční adresu na PPPoE rozhraní.
Zároveň bohužel platí, že RouterOS má v defaultu balíček IPv6 zakázaný a musí se povolit. Pokud je povolen, pak skáčou link-local adresy na ethernetových rozhraních a objeví se link-local adresa na PPPoE rozhraní (je-li aktivní IPv6CP).

Pokud něco nefungovalo jak mělo (a není to tím, že by v Metronetu zapomněli nastavit svůj RADIUS, aby vracel CETINímu RADIUSu informaci o přiřazených prefixech - i to už jsem jinde viděl), mohlo by to být problémem ve firewallu (nepřijímání RA - zahozené ICMPv6, neúspěch DHCPv6 - zahozené odchozí/příchozí UDP na portech 546/547).

Rozhodně nedoporučuju nastavovat cokoli staticky - není to podporovaná konfigurace. Detaily má CETIN veřejně v technické specifikaci v sekci 5.8.4 (mají tam chybu; tvrdí, že delegovaný prefix je automaticky směrován, ale ve skutečností platí moje slova o nutnosti provedení DHCPv6 dotazu).

(Text jsem musel napsat podruhé, poprvé mi ho Root kvůli odhlášení z fóra sežral. :-/)

415
Sítě / Re:Nejlepší ADSL/VDSL poskytovatel?
« kdy: 02. 05. 2019, 06:32:37 »
Ping na seznam.cz je 15 ms, ping na hetzner.de je 25 ms.
Bylo by mozne nam sem dat IPv4 a IPv6 traceroute na seznam.cz, hetzner.de, ulozto.cz, apod.? Jak kvalitni je tranzitni konektivita, resp. pres jakeho upstream ISP? Diky.

416
Sítě / Re:Naroutovaný rozsah IP adres
« kdy: 17. 03. 2019, 07:15:15 »
Pokud ve vnitrni siti nepotrebuji verejne adresy pouzivat windowsi stroje, da se routovat po jedne adrese. Tj. pocitace ve vnitrni siti budou mit sve obvykle privatni adresy a na routeru nastavite, ze verejna adresa 192.168.220.x/32 je routovana na 10.0.0.2.

Na stroji 10.0.0.2 pak nastavite onu 192.168.220.x/32 na dummy rozhrani (nebo loopbacku nebo bridge bez zapojenych interfacu). Jen je pak trosku slozitejsi konfigurace routovani na stroji 10.0.0.2 - default gateway na Linuxu by napriklad musela byt "default via 10.0.0.1 src 192.168.220.x").

417
Sítě / Re:IPv6 za NATem
« kdy: 16. 03. 2019, 08:55:30 »
Name & shame: jaky je to ISP, prosim? Je treba na takove ukazovat.

(Resenim je samozrejme aby ISP dodal bazmek, ktery funguje jako L2 bridge. Takove jsou bezne dostupne, napr. CETIN je na sve GPON siti dodava. Ale chapu, ze s nekomunikujicim ISP se takova vec resi tezko. Alternativne zmena ISP, coz muze byt problem, pokud v lokalite neni rozumna konkurence.)

418
V kazde fazi bootu (bios, nacteni uefi app/mbr, nacteni bootmanageru, nacteni windows kernelu, nacteni vybranych ovladacu) se provadi measurement (pocitaji kontrolni soucty). Tyhle kontrolni soucty se postupne retezi v TMP (s kazdym souctem se provede concat binarnich retezcu - obsahu konkretniho tom registru + vypocitaneho hashe, a vysledny binarni retezec se pote prozene hash operaci a opet ulozi do konkretniho tom registru). Windows umi tuto radu hashovacich operaci predpocitat pri aktivaci bitlockeru resp. pri aktualizaci systemu. Windows pri inicializaci bitlockeru inicializuji i tpm owner heslo - to se drive ukladalo, dnes ho zapominaji, protoze ho pro dalsi praci nepotrebuji. Uvnitr TPM je pak i (teoreticky) unikatni Storage Root Key, ktery se pouziva pro dalsi praci.

Aby Windows dokazaly nabootovat, museji znat BitLocker FVEK. K jeho ziskani se pouziva VMK. VMK je pri bootu priomen na disku v tzv. sealed podobe (neni zasifrovan bitlockerem, ale je sealovan TPM Storage Root Key a stavem TPM registru). Abyste tedy dokazal otevrit BitLocker volume, musel byste dostat TPM do ocekavaneho stavu (tedy vedet, co vsechno je nutne ohashovat, a pak rucne predpocitat vsechny hashe a provest operaci TPM Extend; to se) a nasledne pozadat TPM o provedeni operace TPM Unseal nad VMK. Pomoci znalosti nesifrovaneho, unsealovaneho VMK byste pak desifroval FVEK a tim uz lze desifrovat samotny filesystem.

Coz Vas muze privest k otazce, kde se vezme zasealovany VMK. Je to proste: Windows AFAIK skutecne maji FVEK v pameti, takze dokazou spocitat nesifrovany VMK. Zaroven predpocitaji ocekavany stav TPM registru po rebootu, a na zaklade znalosti techto registru pozadaji TPM, aby provedl TPM Seal operaci. Vysledkem je sealed VMK, ktery se ulozi na disk, aby ho po rebootu Windows/TPM zkusily pomoci operace Unseal precist (vizte vyse). Pokud nesedi stav TPM registru, operace Unseal neprobehne (nebo jsou jejim vysledkem data, ktera nejsou platnym VMK) a uzivatel je vyzvan k recovery pomoci klice pro recovery.

Nejjednodussi zpusob, jak se zmocnit FVEK, tak i nadale je DMA pristup, prip. memory dump po resetu a bootu do nejake lightweight distribuce (pokud platforma necisti pamet), a scan pameti na pritomnost AES encryption schedule.

Slozitejsi zpusob (spise teoreticky) je hack biosu/uefi, aby nezacal vubec provadet seal operace (nebo vypajeni TPM a jeho pripojeni na platformu, ktera s nim dokaze komunikovat), a replikace jednotlivych Extend operaci (pokud dokazete zjistit, cim Windows extenduji PCR8 az PCR11), a nasledne vyvolani Unseal operace (za predpokladu, ze vite, kde na disku je VMK ulozen).

Vice napr.
https://blogs.technet.microsoft.com/motiba/2017/05/24/locking-up-your-bitlocker/
http://download.microsoft.com/download/a/f/7/af7777e5-7dcd-4800-8a0a-b18336565f5b/bitlockerflow.doc
https://www.scribd.com/doc/130070110/Extracting-Encryption-keys-from-RAM

419
Sítě / Re:LTE pásma 1,8 GHz vs. 3,7 GHz
« kdy: 19. 11. 2018, 21:06:23 »
3,7 GHz je pasmo urcene pro TDD sluzby. Je technologicky neutralni, typicky v nem operatori provozuji WiMAX nebo LTE, starsi technologie asi uz dnes neposkytuji pozadovanou propustnost a kvalitu sluzby. V CR tedy v tomto pasmu mame LTE, na SK nevim.

420
Sítě / Re:LTE pásma 1,8 GHz vs. 3,7 GHz
« kdy: 19. 11. 2018, 18:37:06 »
V pasmu 3,7 provozuje Poda, Nordic, O2 a brzy i Vodafone TDD LTE. Neni to Wi-Fi. S Wi-Fi to ma spolecne jen to TDD. O2 a Nordic pouzivaji 8x8 MIMO a 20 MHz siroke kanaly (ktere lze slucovat).

Nikdo tomu nerika petigigabitovy internet, marketaci tomu mozna rikaji sit pate generace, ale jde opravdu jen o marketing. :-)

Nevyhody jsou jasne - sdilene pasmo. Z VDSL nema moc smysl upgradovat, z ADSL asi i jo.

Stran: 1 ... 26 27 [28] 29 30 ... 33