Příspěvky

16

Hardware / Re:Jaký POE Injektor

« kdy: 25. 04. 2023, 17:11:07 »

Bohužel se mi pak ale povedlo nedopatřením (při dočasné testovací výměně) zapojit ten přívodní ethernet kabel do IDU jednotky B2338-168...

Původní text necituji celý, ale je v něm pro mě příliš málo informací. Není mi úplně jasné, co jste přesně s čím propojil,  neznám B2338-168 - ani zvenčí, tím méně zevnitř. Je mi líto :-(

17

Sítě / Re:openSUSE PC jako router

« kdy: 25. 04. 2023, 16:58:50 »

Vida, poradil jste si - palec nahoru :-)

Dokud byl firewalld v sedle, byla možnost se podívat, jak to navlékl pod kapotou - pomocí
iptables -L
iptables -t nat -L
nft list ruleset
...ale to už je asi jedno.

18

Hardware / Re:Náhrada za desky APU, tip na malé síťové počítače

« kdy: 21. 04. 2023, 20:57:40 »

ehh...

Docela se těším, co bude k dispozici s Intel "i3-305" = osmijádro Kaby Lake N.

Pardon - Alder Lake N.

19

Hardware / Re:Náhrada za desky APU, tip na malé síťové počítače

« kdy: 21. 04. 2023, 09:27:18 »

Souhlasím s tím, co psal RDa. V zásadě: "je nás málo" :-) kdo kupujeme desky malých formátů s větším počtem LAN portů a nejlíp i MiniPCI-e pro WiFi rádia. Nebo třeba jenom s jedním LAN portem.

Před pár lety měly značky Asus, Gigabyte a AsRock každá v sortimentu pár kancelářských desek s ATOMem počínaje BayTrail a jedním či dvěma LAN porty. V průběhu "chip shortage" se tyto modely přesunuly do kategorie "vapourware" a dnes prakticky ani nejsou zalistované v ceníkách (viz např. CZC, motherboardy s integrovaným procesorem). Prostě to vychcípalo :-( Popravdě na ITX dlouhodobě nejsou důstojné levné skříně apod. Prostě to vypadá, že ten segment prakticky vymřel.

Podobně to vypadá se slotem MiniPCI-e. V noťasech ho před pár lety nahradil M.2 a od té doby MiniPCI-e dožívá v průmyslových motherboardech. Dodnes se dají koupit kartičky WiFi (PCI-e) a LTE (USB) pro tuto patici, ale všechno je to se starými a ještě staršími čipy. Patrně v této souvislosti např. Mikrotik ukončil své redukce RB14e a RB14eU.
Moderní čipsety už se osazují pouze na M.2. Mimochodem 5G modemy v M.2 se s hostitelem umí bavit buď USB 3.0 nebo PCI-e... Bohužel nám v M.2 opět trochu zdivočela kombinatorika "klíčů" a mechanických rozměrů, což oproti MiniPCI-e dál omezilo prostor pro víceúčelové použití slotů.

Momentálně vidím aktuální ITX desky a případně desky menších formátů pouze v kategoriích "svébytný server" nebo "industrial" - s odpovídajícími cenami = několikanásobek cen, za které se prodávaly kancelářské ITX boardíky.

Např. SuperMicro tradičně mívalo v sortimentu modely desek s přídomkem "LN4" v objednacím kódu, který značil onboard 4x Gb Ethernet. Aktuálně vidím třeba A3SEV-4C-LN4. K vidění jsou i další boardy s různými kombinacemi 1Gb, 2.5Gb a 10Gb portů RJ45 a SFP. Bohužel ta jejich motherboard matrix neumí filtrovat ani třídit podle sloupců... Kdyžtak nahoře zvolte generaci desky, single CPU, 100 výsledků na stránku a dále hledejte v textu "system on chip" nebo třeba Mini-ITX. Bohužel tam není přímo vidět počet LAN portů, pouze tam bývají vyjmenovány použité modely čipů... Obecně je zde hezky vidět rozdělení na kancelářské a serverové boardy - serverové mají DIMM sloty podél (aby nebránily ventilaci) a stojí asi trojnásobek toho, co podobná desktopová deska s DIMM sloty naschvál napříč. Pomíjím rozdíly pod kapotou ve schopnostech sběrnic, řadičů DRAM apod. Bohužel dostupnost u SuperMicra byla zejména posledních pár let spíše sporadická (protože chip shortage) a obecně produktový životní cyklus není příliš dlouhý.

V průmyslovém segmentu bych zmínil aktuální stálici Advantech AIMB-218 (bohužel jenom 2 porty GbEth) = asi poslední "normální" ITX deska s 2x Gb Eth, co mi zbyla na radaru, ovšem za "průmyslovou" cenu.

Taktéž v průmyslovém segmentu bych zmínil výrobce motherboardů ICOP - který obecně drží dlouhé životní cykly produktů, dostupnost malých množství a "legacy" technologie, např. MiniPCI-e. Oni mají primárně svůj vlastní Vortex SoC, který je na síťování poměrně slabý - ale zařadili do sortimentu i ATOMové modely. Aktuálně u nich vidím nějaké 3.5" SBC s osvědčenými staršími ATOMy Apollo Lake a dvěma porty Gb Eth. Ceny jsou pochopitelně poněkud průmyslové.

Již zmíněné CZC má zalistováno několik serverových ITX boardů AsRock  - na objednávku, skladem to nedrží, ceny jsou "horší než běžné průmyslové".

Docela se těším, co bude k dispozici s Intel "i3-305" = osmijádro Kaby Lake N. Zatím je na trhu cca jeden notebook prašivé kategorie.

BTW i226 je podle mého ořezaný brácha i225. Stejně staré dvojče. Stejný příbuzenský poměr jako i211 vs. i210.

Bohužel mi připadá, že je ta situace celá odvozena od demografie našeho živočišného druhu. Nás hračičků je v populaci málo - i v rámci segmentu "ajeťáků a síťařů" jsme v menšině. A výroba hardwaru, včetně designu produktů a rozsahu výroby, je cílena tvrdě na většinu populace. Našemu menšinovému sportu se věnují menšinoví výrobci, kteří mají co dělat, aby nějak přežili se součástkami, které na ně zbydou.

20

Sítě / Re:Poraďte router pro středně velkou firmu

« kdy: 18. 04. 2023, 14:09:53 »

BTW: pokud se bavime o zcela libovolne odolnosti proti vypadku, tak je pochopitelne treba mit PI adresy, a pokud je nemas, tak je to v kazdem pripade takovy to bastleni na dvorku.

To je hodně konzervativní pozice.
PI adresy jsou dvojsečné. Pokud už se je podaří získat, tak za tu "nezávislost" se snadno platí tím, že pokud párkrát flapnete, tak Vás budou velcí hráči naschvál "hubit" v globálním BGP.

Za mě: i s dvěma konektivitami od dvou různých ISP (dva různé autonomní systémy) se dá vyžít velmi dobře. Relace navazované směrem ven fungují samotížně prostě podle momentálního default routu. Relace navazované směrem dovnitř je potřeba obsloužit "policy routingem" - což trochu žere CPU, ale jinak konfiguračně v dnešní době žádná křeč, dokonce user-friendly open-source firewally to mívají jako jednoduchou klikací volbu. SMTP e-mail jede přes dva MX záznamy na dvě IP adresy - jenom pokud by se to obsloužilo jediným serverem, tak je trochu hraní s potřebou dvojího "smtp_helo_name" (případně pokud by byly potřeba dva SSL/PKI certy). Služby jako WWW, které neumí failover mezi více IP adresami, lze usadit někam do hostingu se zajištěnou vyšší spolehlivostí / redundantní konektivitou...
Druhá možnost samozřejmě je, zvolit dostatečně velkého ISP s interně redundantní infrastrukturou, a pořídit si dva nezávislé uplinky do jeho AS.

21

Sítě / Re:Poraďte router pro středně velkou firmu

« kdy: 18. 04. 2023, 12:26:17 »

Při stahování ISO souboru (700 Mbit/s) koukám, že to jedno jádro vytíží na 100 %, druhé 20 %, ostatní nic.

To se stává i v lepších rodinách. Obecně load balancing napříč "nějakými zdroji" (tradičně Eth porty v bundlu) nebývá per paket, ale per destination nebo per flow apod. Tady zrovna Vám konkrétní flow sežere celé CPU jádro. Ve vanilkovém linuxu (nebo OpenWRT) bych se případně zajímal, zda mám zapnutý irqbalance - a neslibuju, že zrovna ten by Váš případ měl řešit.

Začni tím, že si ověříš, že nebudete spadat pod NIS2 a osobně si myslím, že při této velikosti budete. Abys nevyhodil prachy a spoustu času za nějaký řešení, který se za rok buď bude muset rozšířit nebo úplně vyměnit.

Ze zvědavosti jsem mrknul, co se o NIS2 a Zákonu o kybernetické bezpečnosti dá dočíst, a brodil jsem se víceméně spoustou meta-řečí okolo. Když pominu obsáhlou rovinu motivačně-řečnivou a trochu více k věci rovinu organizačních opatření, zajímá mě: už jsou jasné nějaké technické požadavky a konkrétní technická řešení, týkající se konkrétně firemního firewallu?

Co všechno logovat, musí to mít IDS/IPS, má se to bavit přes nějaká externí rozhraní s nějakým kolektivním systémem informování o hrozbách? Musí to mít povinně horkou zálohu (active+backup)? Co všechno na kterých vrstvách má FW filtrovat? Jsou nějaké best practices, co ještě dovolit a co zakázat? Konkrétní nároky na autentikaci admina? Na autentikaci remote VPN klientů, pokud FW slouží také jako VPN access server? Dovolené a zakázané šifry / tunelové technologie? Co smí přicestovat emailem / downloadem z webu? Je povinnost používat nějaké externí služby pro zjišťování, zda je zkoumaný vzorek čistý vs. závadný?

Zkusil jsem pogooglit, jestli na to téma uveřejnil nějaký názor třeba projekt Turris nebo CZ.NIC, a nevidím dohromady nic.

Nebo to stojí tak, že "na tyto otázky má dát jasnou odpověď analýza rizik a provozně-organizačního uspořádání, kterou je třeba za tím účelem v konkrétní organizaci pořídit, a závěry a doporučení přetavit v interní směrnici" ?

Pokud toto zatím není technicky detailně jasné, a ten firewall je třeba řešit teď, za mě o důvod víc pořídit něco otevřeného a přiměřeně silného za relativně málo peněz na open hardwaru :-) než si koupit od komerčního dodavatele slib, že tento dnešní produkt bude za rok-dva vyhovovat jakémusi politicko-legislativnímu prostředí, které se do té doby vyvine...

Ano potkal jsem v praxi některé svědomité firmy, kterých se NIS2 primárně týká, a zhruba vím, jak k tomuto zadání už několik let přistupují. Dělají maximum technicky možného. Ale když si představím, že bych byl správcem ve firmě, která pomalu roste k hranici 50 lidí, a oborem se možná okrajově dotýká záběru NIS2 resp. našeho domácího Zákona, tak bych se možná drbal na hlavě, do kolika všelijakých chomoutů chci dobrovolně strčit hlavu. Pokud správně chápu, zatím se zdá, že se ta věc nesnaží "vnutit určitou úroveň bezpečnostního cirkusu" rekurzivně i vnějším partnerům, kteří jsou mimo přímou působnost NIS2/Zákona. Zřejmě stačí, že tito "zůstanou venku před hradbami." (Srovnejte se systémem jakosti ISO a jeho pojmem "kvalifikovaných dodavatelů", nebo s mezinárodním hnutím proti krvavým minerálům apod.)

22

Vývoj / Re:C pre-preprocesor

« kdy: 18. 04. 2023, 11:13:30 »

ChatGPT jsem se ptal jestli mi napise pravidla ktera pouziva a kdybych veril ze tam je "rozum", tak bych rekl, ze "jsme si vubec neporozumeli" :-). Ani na nekolikaty pokus ji vysvetlit co mne zajima.

Což je mimochodem *velice* zajímavý poznatek. Člověk by řekl, že tu věc má "naučenou hrubou silou v motorické paměti", asi jako základní úkony řízení auta nebo jízdu na lyžích. "Držení rovnováhy" taky těžko vysvětlíte.
Přitom ale v jiných oblastech dokáže zdůvodňovat docela hezky...

Toto si dokážu vysvětlit dvěma různými způsoby:

A) GPT4 řeší různé činnosti/oblasti různými způsoby. Proto má některé "v motorické paměti" a jiné umí přesně spočítat a zhruba zdůvodnit

B) narazil jste na oblast, kterou vysvětlovat nechce/nesmí = cenzura, obchodní tajemství. Když umí zdvořile odmítnout odpověď na "sprostá témata", proč by nemohl odmítnout odpověď na témata obchodně hodnotná...

23

Sítě / Re:Poraďte router pro středně velkou firmu

« kdy: 16. 04. 2023, 21:57:25 »

Mikrotik chci primarne pouzit na VLAN routing a management. Pro ochranu provozu z/do internetu pfSense s IDS/IPS.

...nejsem v obraze ohledně novinek a nejsem v oboru rutinér. Směl bych poprosit o vysvětlivku, když nasadíte Pfsense, co přesně ohledně VLAN a "managementu" zbyde na Mikrotik? Z mého povrchního pohledu, pfSense / opnsense umí dot1Q tagging (zacházet s fyzickým eth rozhraním jako s VLAN trunkem) a dál stačí libovolný switch. Troufám si tvrdit, že na většině základních managed switchů je práce s VLANami příjemnější než na Mikrotiku...

Byla tu řeč o VRRP - pfSense/opnsense údajně používají CARP.

Když se bavíme o firewallu na PC, jenom bych zmínil, že není od věci, zakázat C-states hlubší než C1. Kvůli latencím při řidším provozu, pokud máte zároveň na síti provoz, který je na latence háklivý - třeba (ne)šikovně napsanou DB aplikaci. U pfSense nevím jaký je default, opnsense má zřejmě z výroby omezeno na maximálně C1 (za mě správně). FreeBSD pro to má sysctl proměnou hw.acpi.cpu.cx_lowest . Vanilkový Linux by default využívá nejhlubší mikrospánky, které hardware nabízí - tady je vhodné omezit např. pomocí intel_idle.max_cstate=1 (na kernel command line).

Pokud jde o platformu X86 stroje, na základní forwarding paketů (zejm. pro rychlost 100 Mb) stačí čtyřjádro BayTrail ATOM. Možná by stačil i na gigabit - záleží na podrobnostech (jaký provoz, jak složitá konfigurace FW pravidel). Nemám ale zkušenost, co všechno vyvádí pfSense/opnsense a nakolik jsou ty fičurky procesorově náročné. Chci říct, že než jít rovnou po nějakém enterprise železe, přimlouval bych se provést napřed test, zda by nestačil relativně obyčejný procesor. Matně si vybavuju, že vystropovat 10Gb iSCSI na běžném PC býval už trochu problém.

24

Server / Re:iSCSI Multipathing v Proxmox

« kdy: 14. 04. 2023, 09:23:25 »

[...] Takze to vypada, ze jeden subnet pro vice src ip na pve nebude fungovat bez dalsi magie, takze to holt predelame na aspon 2 subnety.

Palec nahoru za ověření experimentem / průzkum bojem.
A taky za to, že jste zvolil jednoduché přehledné řešení s jasně definovaným chováním.

25

Vývoj / Re:C pre-preprocesor

« kdy: 13. 04. 2023, 23:17:34 »

Hoši děkuju za tohle vlákno :-) Konkrétně Capstone je veliký rozcestník na další čtení. Obor nějak soustavně nesleduju, takže mě překvapilo, kolik volně dostupného softu kolem toho je. A přestože jsem už notně off topic, zmínil bych třeba tuhle paní - ta zjevně umí:
https://hasherezade.github.io/
https://www.youtube.com/@hasherezade/videos
https://hshrzd.wordpress.com/how-to-start/

26

Sítě / Re:LTE modem E3372h - uvedení do původního stavu

« kdy: 13. 04. 2023, 11:30:25 »

... kladu si otázku, jestli by se to kamarádilo třeba s kartou, co je v mikrotiku "RBLHGR&R11e-LTE6" (? )

Narazil jsem na nějaké informace, co je zač R11e-LTE6. "Podobný ZTE MF286R" (wtf?), rozhraní ACM+RNDIS. Za mě: pro všeobecné použití, tzn. s výjimkou Mikrotiku (a snad nového OpenWRT) bych dal raději ruce pryč :-) pokud to někdo vlastnoručně nevyzkouší a nenapíše, že jsem trouba.

Jako elektricky na vrstvách USB tahle LTE karta v redukci USB/MiniPCI-e velmi pravděpodobně fungovat bude, ale otázkou jsou k tomu ovladače pod Windows a generickým Linuxem, konfigurace síťovin na té věci apod.

27

Vývoj / Re:PHP 8.2 nevrací ve funkci date čas s timezone

« kdy: 13. 04. 2023, 07:51:36 »

Koukám správně, že v php.ini jsou oba řádky s proměnnou "date.timezone =" zakomentované?
Tzn. se použije nějaký compile-time default?

Vidím dva balíčky, které mají v názvu "debian", různé číslo verze, ale stejné datum... to vznikne jak? Je to přirozená vlastnost nějakého upstream build systému, nebo jste si je kompiloval a balil sám? (vrtá mi hlavou možná další souvislost třeba s locale v okamžiku kompilace)

28

Server / Re:iSCSI Multipathing v Proxmox

« kdy: 12. 04. 2023, 16:06:15 »

Aby byl funkcni multipath, co je potreba?
[a dál dotaz na kombinace IP subnety vs. porty na storage boxu]

To je dobrá otázka. Podle mého záleží, co umí ten storage box.

Pokud to má uvnitř jedinou instanci firmwaru, která vidí ty své čtyři porty jako eth0...eth3, tak bez dalšího bych řekl, že nemá smysl dávat těm čtyřem rozhraním IP adresy z jediného společného subnetu. V tom případě totiž traffic směrem ven pojede nejspíš jediným rozhraním. Aspoň takto by se choval standardní Linux.

Jak se tu nedávno probíralo, i v tom Linuxu se dá zařídit, aby "odpovědi odcházely stejným rozhraním, odkud přišel dotaz" (per TCP spojení) - ale znamená to nějaké hraní s iptables, ten storage box by musel řešit connection tracking a nějaké navazující věci... odhadem by to mohlo být procesorově náročné a tedy nežádoucí. Nebo by na to výrobce musel mít nějaký svůj vlastní modul v kernelu - nemohu vyloučit, viděl jsem už různá zvěrstva.

Uměl by ten storage box proti switchi trunking / bonding? Toto buď pomocí LACP nebo i bez. Pokud ano uměl, můžou se dvě a více rozhraní chovat jako "failover group", možná dokonce s jakýmsi load balancingem, a tím pádem ten storage box může mít klidně jedinou společnou IP adresu.

Obecně by mělo fungovat, postavit to jako dvojhvězdu. Každý PVE box po jednom fousu do každé hvězdy, každý storage box taktéž (dva porty storage boxu by zůstaly "na ocet"). A na každou L2 hvězdu jiný L3 subnet.

Grammar nazi poznámka: mít dva samostatné storage boxy připojené k jedinému hostiteli, a provozovat nad nimi nějaký (geograficky) rozprostřený mirror, to je terminologicky něco jiného, než multipath.

Multipath znamená, že máte jeden storage box (dokonce jeden LUN) vidět z jednoho hostitele dvěma nezávislými cestami. Za starých časů bych ke "sloučení do jednoho blokového zařízení" použil v Linuxu modul dm-multipath.

Ono v Linuxu jde ledacos poskládat "holýma rukama" na kterékoli distribuci, ale některé distribuce mají své vlastní specifické uživatelsky příjemné nástroje...

Mimochodem než geograficky rozprostřený mirror z blokových zařízení, zvážil bych možná spíš CEPH, pokud tomu jde naproti geografické rozmístění počítačů. A tahat storage traffic skrz L3 router by mi kdysi taky připadalo jako svatokrádež. Já vím - lepším switchům je už asi dvacet let dost jedno, jestli forwardují L2 nebo L3.

29

Server / Re:Bind nenačte zónové soubory

« kdy: 11. 04. 2023, 13:03:18 »

Inu hledal bych v logu. Jak zvednout debug level, k tomu jsem našel třeba dvě vlákna kdesi ve fórech z rodiny StackExchange...

Ještě mě napadá, jestli třeba named.conf není validní / well formed / formátově správně, akorát jste si zakomentoval odkaz na ty dvě zóny... Blbej nápad, ale nemohu se nepodělit ;-) Chybějící středník nebo tak něco... Z logu na levelu "info" by mohlo být vidět, jestli se snaží zóny ze samostatných souborů načíst. Případně strace by to asi taky ukázal.

30

Odkladiště / Re:IT boss and guy meme

« kdy: 09. 04. 2023, 17:36:24 »

$ ./autogpt ...

:-DDD
Je to v háji.
Byly doby, kdy by člověk dostal ve fóru prostě URL na Google Images.