Příspěvky

76

Sítě / Re:T-Mobile internet optika připojení PPPoE v Ubuntu

« kdy: 18. 02. 2022, 20:25:57 »

Podle clanku na kuja.cz tam zadne zaludnosti nejsou. Ani VLAN tag nejspis neni potreba.
iptables pravidla urcite bude potreba upravit; predpokladam, ze eth0 je dnes WAN - tak pravidla, kde je eth0, budou nove muset obsahovat nazev ppp rozhrani. To se teoreticky muze jmenovat ppp0, ppp1, ..., obvykle to ale bude prave ppp0. Osobne mam natvrdo nastaveny nazev rozhrani na ppp999 pomoci radku "unit 999" v souboru "/etc/ppp/peers/dsl-provider".

77

Sítě / Re:T-Mobile internet optika připojení PPPoE v Ubuntu

« kdy: 18. 02. 2022, 01:09:35 »

GPON je technologie pristupove site.
Je na operatorovi, jestli provozuje sluzbu v rezimu IPoE (klasicke DHCP, tak to ma PODA) nebo PPPoE (to pouziva CETIN a T-Mobile).

PPPoE se da nastavit rucne, ale jednodussi mozna bude pouzit pppoeconf, viz napr. http://manpages.ubuntu.com/manpages/bionic/man8/pppoeconf.8.html

Uzivatelske jmeno a heslo k PPPoE sluzbe na infrastrukture T-Mobilu musi poskytnout T-Mobile.

Par obrazku pppoeconfu je napr. na https://www.linuxbabe.com/ubuntu/create-pppoe-connection-ubuntu-16-04

78

Sítě / Re:Divný způsob routingu IPv6

« kdy: 17. 02. 2022, 18:03:30 »

Pokud mate pristup k routeru i k serveru, tak napr.:
- router ma adresu 2001:db8:dead::1/64
- server ma adresu 2001:db8:dead::beef/64
- router nasmeruje /96 (jiny blok!) na server:
- 2001:db8:cafe:c001::/96 via 2001:db8:dead::beef

Nasledne na server budou chodit vsechny pozadavky na adresy 2001:db8:cafe:c001:: az 2001:db8:cafe:c001::ffff:ffff.

79

Sítě / Re:DMZ s veřejnými nebo s privátními adresami

« kdy: 04. 02. 2022, 01:03:38 »

Pokud máte routované adresy, tak static NAT nemá vůbec žádný smysl.

80

Sítě / Re:DMZ s veřejnými adresami vs DMZ s privátními staticky NATovanými adresami

« kdy: 03. 02. 2022, 16:26:44 »

Záleží na tom, jestli adresy jsou routované jako celý blok (obvyklý případ u IPv6, u IPv4 už méně) nebo "on-link".
Pokud jsou z pohledu routeru "on-link" (např. gateway má adresu 192.0.2.1/29, a klient používá 192.0.2.2 až 192.0.2.6), tak nezbývá než 1:1 NAT (nebo zhůvěřilosti s Proxy ARP).

Pokud máte routovaný menší blok, např. gateway 192.0.2.1/30, router 192.0.2.2/30, routovaný blok 192.0.2.4/30 (jen 4 adresy), tak pro ušetření adres dává smysl interní DMZ adresovat na privátních IPv4 adresách (např. router DMZ 10.255.1.1/24, server1 10.255.1.2/24), a routovat IPv4 adresy s maskou /32 na konkrétní privátní IP (např. 192.0.2.4 via 10.255.1.2) a na serveru mít /32 na dummy rozhraní.

Dá se vymyslet i kombinace, kdy IPv4 budete routovat jako /32 adresy a pro IPv6 se na DMZ interface na routeru přiřadí standardní /64.

81

Studium a uplatnění / Re:Strategie na recesi

« kdy: 03. 02. 2022, 10:28:22 »

Pardon za off-topic...

Já teda nevím co děláte

V expense listu chybí topení (nebo je to v elektřině a pak žiješ v zimě, nebo tě vytápí sousedi?), měsíční kupon na MHD (běžný výdaj), energie jsou nejspíš za loňskou cenu, 123 Kč na jídlo denně mi přijde podezřele málo, chybí tam sociální život, a do výdajů vstoupí často i auto (i ~10k/měsíc, když se započtou všechny výdaje na pořízení a provoz). Ale rozumím, že když člověk chce, tak se dokáže uskromnit a žít minimalisticky. Každopádně to v případě "jsem po škole, příjmy mám IT" úplně potřeba/obvyklé není.

82

Sítě / Re:Poskytovatel připojení po optice CETIN

« kdy: 01. 02. 2022, 19:25:00 »

Pokud to bude optika od CETINu, tak na infolince TM kecali. Zatim (!) nic jako 250/250 TM na CETIN infra neumi. Ani nemuzou, kdyz to CETIN sam zacne partnerum nabizet 1.3. :-) Spis si to pletou s vlastnimi optickymi tarify. Taky bych si to asi pletl, kdybych byl novacek ve firme, co nabizi tri ruzne opticke sluzby (CETIN FTTH, vlastni FTTH a viaGia).

Prehled tarifu na siti CETINu je v ceniku (https://www.t-mobile.cz/dcpublic/Cenik_sluzeb_T-Mobile-II.pdf) na strane 27. Nenechte se splest tim "xDSL" v nadpisu. Relevantni radek je "Max. dostupná rychlost Optik (stahování/odesílání dat)".

CETIN vzdycky zakoncuje mediakonvertorem a sluzbu predava na metalickem ethernetu - bud je konvertor v byte (ja mam konkretne https://www.wifihw.cz/default.asp?cls=stoitem&stiid=4952) nebo v podobe switche ve sklepe (jak pise M_D). Konvertor je soucasti sluzby a nic se za nej neplati.

SmartBox skutecne neni potreba, ale chapu, ze se ho O2 snazi prodat. Osobne bych si na optice CETINu sluzbu od O2 nevzal kvuli tomu, co jsem psal. Od TM je prvni pulrok za 299 Kc mesicne a pak se da domluvit slusna sleva naporad.

83

Sítě / Re:Poskytovatel připojení po optice CETIN

« kdy: 01. 02. 2022, 17:34:19 »

Jinak ja sluzbu od TM na optice CETINu mam, funguje to spolehlive, cena v ramci baliku sluzeb vyrazne lepsi nez cenikova.

Obcas se mi zda, ze mezi siti TM a CETINem probehne BGP flap (konektivita je chvili nedostupna; tohle ma potencialne dopad na vsechny zakazniky), to s nimi ted budu resit.

84

Sítě / Re:Poskytovatel připojení po optice CETIN

« kdy: 01. 02. 2022, 17:31:37 »

T-Mobile na infrastrukture CETINu poskytuje standardni profily, ty jsou zatim 100/20, 200/25 a 1000/100. Ty jsou s verejnou IPv4 adresou a s IPv6.
Pak na vlastni optice nabizi 250/250, 500/500 a 1000/500, to je ovsem bez verejne IPv4 adresy a bez IPv6.

O2 ma nevyhodu v nedostatecne IPv6, drahe IPv4 (vlastni verejna adresa za 254 Kc mesicne).

Ta rychlost 250/250 od T-Mobile vysla z kontroly dostupnosti na dane adrese?
Nestaci se podivat do ceniku. Je mozne, ze na dane adrese poskytuji sluzby obe spolecnosti, kazda po sve vlastni infrastrukture, ale takova varianta by byla extremne vyjimecna a neobvykla (jeste jsem ji nevidel). Pokud chcete IPv6, davalo by smysl vzit tarif T-Mobilu na infrastrukture CETINu.

Od brezna zacne CETIN velkoobchodnim partnerum nabizet zrychlene opticke profily, budou pak stejne rychle jako ty, ktere nabizi TM na vlastni infrastrukture. Jak rychle se T-Mobile prizpusobi a zacne je nabizet i koncovym uzivatelum, to zatim nevime.

85

Sítě / Re:Propojení dvou domků od jednoho ISP (Starlink)

« kdy: 31. 01. 2022, 00:31:18 »

T-Mobile a O2 sdileji mimo velka mesta svoji 4G infrastrukturu, takze kdyz nekde nejde O2, tak neni moc velka sance, ze s T-Mobile poridis lepe.

Tohle caste tvrzeni vychazi z nepochopeni sdileni siti a neni automaticky pravdive.
TM a O2 maji cca. 1:1 sdileni v zakladnim LTE pasmu (800 MHz). Kapacitni pasma (1800, 2100, 2600 MHz) si ale kazdy planuje sam, a tak se realne dostupna kapacita v jednom miste muze mezi operatory vyrazne lisit.
TM ma vyrazne vyssi kapacitu pro mobily, ale LTE pripojky pro domacnosti uz temer neprodava.
O2 ma zase 3,7 GHz kapacitni pasmo (v rezimu LTE/5G), kde ma dostatek kapacity pro "LTE/5G na doma", a to ted hodne tlaci. Presto je bezbym tarifem v tehle nabidce "50/10 Mbps", coz se Starlinkem moc srovnat nejde.

86

Studium a uplatnění / Re:Plat/MD rate architekta AWS

« kdy: 29. 01. 2022, 18:35:26 »

Maly, nevyznamny vzorek: 160kKc, HPP. https://www.cooljobs.eu/cz/azure/26892

Nabidky sluzeb cloudovych platforem jsou obrovske a i kdyz si udelate certifikace, nemuzete byt expert na cele portfolio. Presto v tom v nasledujicich letech bude obrovsky potencial - kdekdo chce do cloudu a k tomu potrebuje znalosti, jak se co v ktere platforme dela, co a jak udelat jde, a hlavne kolik to bude stat.

87

Sítě / Re:Divný způsob routingu IPv6

« kdy: 28. 01. 2022, 13:47:08 »

Ještě pokus odpovědět, i když bez předchozího těžko říct:

1. Je toto standardní chování IPv6?

Ne

2. Jde o nějakou speciální funkci IPv6?

Ne

3. Jde o nějakou formu "dynamického" routingu /přiřazení/alokace?

Nemělo by

4. Může jít o nějakou formu "Firewallu"/DDos ochrany (icmp není ani tcp ani stavový pokud vím)

Můžete ve firewallu blokovat ICMPv6 a tak se router nedozví, že adresu máte (ICMPv6 k vám dorazí, ale firewall vám je zahodí)

5. Hraje roli, že jde o počítač u VPS hostéra?

Může, neznáme podobu jeho sítě

6. Suma sumárum, co je původem tohoto chování? Protokol, síť, konfigurace, a kdo(můj vps nebo nějaký router v infrastruktuře)?

Nemáme dostatek dat k zodpovězení

7. Proč tcpdump nevidí veškerý příchozí provoz na libovolnou IP z rozsahu?

Protože vám router provoz, který vám nepatří, neposílá?
Adresy mohou být "on-link" a pak router nejprve hledá, kdo adresu na lokálním segmentu má. Pokud takový stroj najde, pošle mu paket. Pokud nenajde, paket zahodí.
Adresy ale mohou být i routované, kdy router posílá na konkrétní počítač (resp. IPv6 adresu, např. některou link local adresu) všechen provoz z celého přiděleného prefixu. Tohle ale není obvyklý režim nasazení IPv6 u menších hosterů.

8. Proč dostupnost IP adresy "má zpoždění" (vznik i zánik) ?

Po přiřazení adresy na rozhraní má nejprve proběhnout DAD (Duplicate Address Detection), kdy se nejprve počítač pokusí ověřit, že přiřazovanou adresu na síti nikdo jiný nemá. Pokud nemá, adresu začne používat. Pokud má, adresu označí jako dadfailed a nepoužívá ji. DAD lze v Linuxu vypnout, pokud máte nad segmentem dobrou kontrolu - https://blog.tankywoo.com/2013/09/27/ipv6-dadfailed-problem.html

9. Kde se pakety po cestě ztrácí? (když se posílá paket na adresu která ještě není přidaná a pak když se posílá paket na čerstvě přidanou adresu ale první neprojde)

Nemáme dostatek dat k zodpovězení

Přidávám i okomentovaný příklad, jak vypadá komunikace na síti:
# router hledá, kde je IP adresa ::3

Kód: [Vybrat]

13:27:00.855986 IP6 fe80::268a:7ff:fe5d:d730 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:01.121937 IP6 :: > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:01.900611 IP6 fe80::268a:7ff:fe5d:d730 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32

# přidání adresy ::3 na rozhraní, router se dozvídá, kdo na segmentu má adresu ::3

Kód: [Vybrat]

13:27:02.864376 IP6 fe80::268a:7ff:fe5d:d730 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:02.864445 IP6 2001:db8:dead:beef::3 > fe80::268a:7ff:fe5d:d730: ICMP6, neighbor advertisement, tgt is 2001:db8:dead:beef::3, length 32

# router už ví, na jakou hardwarovou adresu posílat pakety, začíná je tedy  na stroj posílat:

Kód: [Vybrat]

13:27:02.864674 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 6, length 16
13:27:02.864740 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 6, length 16
13:27:03.868775 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 7, length 16
13:27:03.868839 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 7, length 16
13:27:04.873429 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 8, length 16
13:27:04.873497 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 8, length 16
13:27:05.877497 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 9, length 16
13:27:05.877560 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 9, length 16
13:27:06.882740 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 10, length 16
13:27:06.882805 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 10, length 16
13:27:07.887585 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 11, length 16
13:27:07.887654 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 11, length 16

# router ověřuje, jestli je adresa ::3 na stejném stroji

Kód: [Vybrat]

13:27:08.428737 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:08.428794 IP6 2001:db8:dead:beef::3 > fe80::268a:7ff:fe5d:d730: ICMP6, neighbor advertisement, tgt is 2001:db8:dead:beef::3, length 24

# pingy dál chodí

Kód: [Vybrat]

13:27:08.891327 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 12, length 16
13:27:08.891386 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 12, length 16
13:27:09.895367 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 13, length 16
13:27:09.895431 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 13, length 16
13:27:10.899728 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 14, length 16
13:27:10.899793 IP6 2001:db8:dead:beef::3 > 2001:db8:bad:f00::28f5:d749:e59d:722e: ICMP6, echo reply, seq 14, length 16

# adresa je odebrána z rozhraní; na stroj, kde adresa byla, přichází paket, který stroji nepatří
# stroj hledá na lokálním segmentu jiný počítač s IPv6 adresou ::3, aby mohl případně provést ICMPv6 Redirect
# žádný jiný stroj s adresou ::3 ale na segmentu není

Kód: [Vybrat]

13:27:11.903432 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 15, length 16
13:27:11.903508 IP6 fe80::da58:d7ff:fe00:5089 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32

# přichází jedny z posledních echo requestů, ale už je nemá kdo obsloužit

Kód: [Vybrat]

13:27:12.907495 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 16, length 16
13:27:13.912212 IP6 2001:db8:bad:f00::28f5:d749:e59d:722e > 2001:db8:dead:beef::3: ICMP6, echo request, seq 17, length 16
13:27:13.961937 IP6 fe80::da58:d7ff:fe00:5089 > ff02::1:ff00:3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32

# už i router hledá, kdo má adresu ::3, ale už nám neposílá ICMP pakety

Kód: [Vybrat]

13:27:14.060597 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:14.080582 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32
13:27:14.100700 IP6 fe80::268a:7ff:fe5d:d730 > 2001:db8:dead:beef::3: ICMP6, neighbor solicitation, who has 2001:db8:dead:beef::3, length 32

88

Sítě / Re:Divný způsob routingu IPv6

« kdy: 28. 01. 2022, 12:51:46 »

Zkuste nasledujici test:
1. spustte tcpdump s filtrem icmp6 (aby logoval jen icmp6 provoz), napr. (eth0 nahradte vlastnim rozhranim):

Kód: [Vybrat]

tcpdump -i eth0 -vv -nn icmp6

2. zacnete zvenku ping6at adresu, ktera stroji neni prirazena
3. priradte adresu na rozhrani
4. odchytte vsechen icmpv6 provoz (neuspesne i uspesne pingy, router advertisementy, neighbor solicitation)
5. prestante ping6at a poslete nam sem ten tcpdump

Bez snimku paketu, bez znalosti konfigurace routingu a bez znalosti konkretniho nasazeni v siti konkretniho hostera muzeme jen spekulovat.
- Co je to za hostera?
- Jak vypada routovaci tabulka (ip -6 route)?
- Jak vypada IPv6 firewall?
- Nejsou nektere IPv6 adresy ve vypisu ip -6 a s dev eth0 ve stavu deprecated nebo tentative?

89

Distribuce / Re:Obnova Red Hat developer subscription

« kdy: 15. 01. 2022, 05:07:13 »

Driv to bylo tak, ze bylo potreba prihlasit se do developer portalu a stahnout ISO image. Pri tom se odsouhlasily podminky a tim doslo k prodlouzeni subscription.
Treba to porad plati...

90

Hardware / Re:Internetové Wi-Fi rádio

« kdy: 28. 12. 2021, 11:54:40 »

Pokud chcete poslouchat a ne se starat o software, jsou internetova radia z Lidlu OK. Mame doma dve, na tom starsim je obcas potreba znovu vyvolat pripojeni k siti. Novejsi (siroky) ma o neco horsi zvuk. Obecne obe maji zvuk lepsiho tranzistoraku, takze zalezi, jestli to staci.
Na kvalitnejsi poslech je ale s MP3 streamy (casto stale jeste ve 128 kbps) stejne potreba zapomenout.