Poslední příspěvky

21

Vývoj / Re:Vysvětlení network boot možností na Aptio/AMI setup

« Poslední příspěvek od František Ryšánek kdy Dnes v 17:00:00 »

Ještě jedna neotestovaná hraběcí rada z mé strany:

3. řečnická otázka Jak mám vystavit certifikát  192.168.1.250?

Pro OpenVPN tu a tam použiju EasyRSA - sada skriptů okolo openssl , přibalená k OpenVPN.

V hledáčku mám výhledově step-ca , jakožto server pro privátní ACME.

V principu: provozujte si primitivní vlastní CA.
Kde třeba, budete muset klientským krabičkám/instancím podsunout svůj CA cert, aby Vaši "CA na koleně" uznávaly. Jedna věc je cert vystavit, další věc je ho obnovovat když vyexpiruje... platí pro serverové certy i pro CA cert.
Pokud Váš BIOS nebo krabička jakožto klient tohle všechno bezchybně podporuje, máte možná dost kliku. Pro každý jednotlivý model HW/SW/FW, co se Vám v síti vyskytne a s SSL/PKI obcuje...

22

Vývoj / Re:Vysvětlení network boot možností na Aptio/AMI setup

« Poslední příspěvek od František Ryšánek kdy Dnes v 16:17:29 »

Možná drobná nápověda:

5) v jakém "formátu" je boot image? uefi binárka, iso, exe, assembler? MBR partition )

Ano UEFI binárka, obvyklá přípona souboru je .efi .
Například zmíněné iPXE pro toto použití má podobu bináru ipxe.efi .
Bootloader iPXE obsahuje jednoduchý příkazový řádek (command line interpreter) a umí provést skript.
Skripty iPXE mají obvykle příponu .ipxe.
Už si nepamatuju podrobnosti, ale skript lze nebo je třeba "zapéct" (embednout) do iPXE při buildu.
Minimální skript pro odkaz na externí soubor s vlastním skriptem (v příkladu níže obsahuje menu) může vypadat takto:

Kód: [Vybrat]

#!ipxe

dhcp
chain tftp://10.20.30.40/ipxe/menu.ipxe

Následně menu.ipxe může obsahovat něco jako:

Kód: [Vybrat]

#!ipxe

#console --picture tftp://10.20.30.40/ipxe/background.png
#prompt --key 0x02 --timeout 2000 Press Ctrl-B for the iPXE command line... && shell ||

menu Please select a profile to boot:
 item memtest Memtest86+ 7.20 (memtest.org)

:memtest
  kernel tftp://10.20.30.40/os/memt720i64.efi
  imgargs memt720i64.efi keyboard=both usbinit=3
  boot

Kde se mi to hodí, URI začínám třeba nfs:// . Lokální cesta na serveru je věc konfigurace serveru.

Jenom si nejsem jistej, jak tohle zaklapne dohromady třeba se SecureBootem...

Tady je hrubá compile-time konfigurace:
https://github.com/ipxe/ipxe/blob/master/src/config/general.h

23

Vývoj / Re:Vysvětlení network boot možností na Aptio/AMI setup

« Poslední příspěvek od František Ryšánek kdy Dnes v 15:49:43 »

Doporučuji loadnout přes PXE napřed iPXE (bootloader) a ten umí všechno o čem jste psal.
Teda ne že bych to všecko testoval... pro natažení OS ze svého serveru v LAN mi stačí NFS.
ISC DHCPd umí v konfiguraci zařídit, aby se podal bootloader pro legacy BIOS (pxelinux) nebo UEFI (iPXE) podle obsahu DHCP dotazu... tzn. můžete bootovat oběma způsoby.
Máte-li zájem o příklad konfigurace, dejte vědět, někdy během víkendu bych se k tomu vrátil.

24

/dev/null / Re:rusko prý vypne SIM, kdo nedá biometrické údaje

« Poslední příspěvek od Honza1Ubuntu kdy Dnes v 15:45:13 »

proc by nas to melo prekvapovat v zemi, kde se takove veci bezne hlidaji.

me to spis desi v evrope, ze eu chce chat controll, cenzuru socialnich siti, ovlivnovani voleb.

V totalitní zemi, kde nepohodlní lidé padají z oken, mě to skutečně nepřekvapuje a u (post)bolševiků také ne. Ovšem cenzuru se snaží zavádět Evropská Unie, i další demokratické celky. Což už mě překvapuje. Do Chat Control nevidím, nevím jak tedy půjde obejít. Musel bych si to pořádně nastudovat. Ale dost možná to skončí jako nefunkční buzerace (takových zákonů už je více). Ale ono se není čemu divit. Právě šíření dezinformaci, strašení, cílené rozdělování společnosti (víme odkud vítr vane) je možná důvod, proč se o to EU snaží.

Samotné SIM karty u nás v ČR ještě hlídané nejsou, v okolních státech tuším ano, ale nevím přesně. Nikdy jsem to pořádně nezjišťoval. Totalitní režim SIM karty kontrolovat samozřejmě bude.

25

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od radimtkadlec kdy Dnes v 15:45:07 »

Děkuji za další vyčerpávající odpovědi.

Když se budete chtít odněkud připojit na váš VPN server, tak tam samozřejmě musí být také funkční IPv6.

Tohle je pro mě rozhodující, potřebuji se připojit odkudkoliv. Pravda, 90% času to bude přes LAN (kde využiji 1Gbps), ale těch 10% zvenčí je o to důležitějších.

OpenVPN mi tam smysl dává, pokud nechce vystrčit celý Synology NAS přímo do internetu. Připojí se třeba z mobilu, notebooku atp. přes OpenVPN klienta a až pak do NASu.

Přesně tak. Dříve jsem používal Synology Quick Connect a zaznamenal několik pokusů o nabourání se do NASu. Naštěstí jsem měl 2FA, takže neúspěšných. Od té doby jsem nakonfiguroval VPN a vše jelo jak po másle odkudkoliv, dokud jsem nezměnil ISP za účelem vyšší rychlosti a nižší ceny. CG NAT samozřejmě markeťáci nezmiňují...

Re VPS - musím si to více nastudovat, ale v tuto chvíli bych intuitivně zůstal u svého starého řešení.. Času bohužel nemám na rozdávání. NAS potřebuji primárně pro bezpečný přístup k datům odkudkoliv.

Ještě otázka do pranice - kdy bude v Česku IPv6 všude?

26

Vývoj / Re:Vysvětlení network boot možností na Aptio/AMI setup

« Poslední příspěvek od RDa kdy Dnes v 15:36:55 »

iSCSI boot je soucasti vetsiny serverovych desek co mi prosla rukama (hlavne supermicro), typicky to vzdy najdes na desce s 10G portem.

Alternativne si kup moderni sitovku do PCIe, ktera pak do UEFI biosu doda volby pro nastaveni iSCSI.


Format souboru - u PXE bootu je image tusim "bios rom extension", tj. 16-bit real mode kod:
https://superuser.com/questions/1637976/what-is-boot-file-in-pxe-booting

Kód: [Vybrat]

/var/tftp/pxe-bios # file pxelinux.0
pxelinux.0: data
zatimco u UEFI se jedna o klasickou .efi binarku:

Kód: [Vybrat]

/var/tftp/pxe-uefi-x64 # file syslinux.efi
syslinux.efi: PE32+ executable for EFI (application), x86-64 (stripped to external PDB)

(dhcp musi umit podle tazatele odpovidat stylem kdo se pta, takove dostane optiony.. tj. vi zda pozadavek prisel z pxe/bios nebo pxe/uefi)

HTTP/s ani iSCSI jsem neresil. Nejspis iSCSI by bylo jednodussi.. vystavit image disku a chova se to jako "nativni" disk.. jen to chce ovladace ve win mit predem natazeny at to i dobootuje, nebo moduly v linuxu.

27

Bazar / Sháním starší notebook pro kamaráda na web

« Poslední příspěvek od Honza1Ubuntu kdy Dnes v 15:33:29 »

Zdravím,

Sháním nějaký základní starší notebook pro kamaráda na prohlížení webu, Youtube, mail, prohlížení fotek a pod, něco na čem poběží Ubuntu (což mi připadá jako nejjednoduší systém, kamarád se v PC nevyzná skoro vůbec). Nejlepší jsou asi Thinkpady, protože jsou i odolnější. Tak když se někdo bude něčeho zbavovat, odkoupím.

28

/dev/null / Re:rusko prý vypne SIM, kdo nedá biometrické údaje

« Poslední příspěvek od a6b kdy Dnes v 15:03:53 »

proc by nas to melo prekvapovat v zemi, kde se takove veci bezne hlidaji.

me to spis desi v evrope, ze eu chce chat controll, cenzuru socialnich siti, ovlivnovani voleb.

29

/dev/null / Re:rusko prý vypne SIM, kdo nedá biometrické údaje

« Poslední příspěvek od Moroskasasa kdy Dnes v 14:07:44 »

někde jsem četl zprávičku, že v Rusku se prý vypne SIM těm uživatelům, kteří si dovolí nedat biometrické údaje k SIM, víte o to m něco víc? Nebo za to budou potrestáni nějak (navíc, že jim propadne třeba ten kredit nebo nepujde volat)?  co když někdo má sim na kredit?  nevím, jaký je tamňí trh, kolik operátorů, jak lze koupit SIM, jestli už mají eSIM atd. Jak si to přestavuje putin, že operároři budou nahánět své ovečky  do poboček jako o2 guru aby tam dávaly otisky  jako ČT chtěla obtěžovat operátory s svými  byznysovými problémy vybírání televizních poplatků že bude chtít od ISP  občenů, kteří si dovolili mít připojení k internetu

Za me se z Ruska stává severní Korea chtějí jenom aby občané nic nevěděli a a mohly je dobře sledovat aby zamezili jaky koliv protesty a mohly jim ještě víc zmást hlavu tím že jsou nejlepší, zároveň jsem přemýšlel jak to obejít a asi nejlepší způsob by pro občany bylo kdyby si koupili simku mimo Rusko a používali roming 😂 nebo starling od Elona. A na tvoji otázku je to pracná dokonce nutí všechny si stáhnout nějakou aplikaci MAX která každých 5 minut fotí fotku.

30

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Martin Poljak kdy Dnes v 13:44:39 »

Hlavně záleží na náročnosti využití (pro sebe nebo i víc lidí), protože ty VPS za koleno a půl  nebudou nějak závratně rychlé(hlavně latence bude 50ms+ a ne 10ms přírustek) , nepujde tam port 25 a taky nevíte, jestli náhle nezkrachují nebo se jim něco(business,hacker,porucha) nepodělá

Nevím, já mám VPS asi za euro měsíčně u Webdocku v Dánsku. To fakt není firma, která by plánovala krachovat, není to žádná garážovka (datacentrum mají postavené nové na zelené louce) a roundtrip mám až do toho Dánska cca ~30 ms a to ještě nevím, co z toho dělá bůhví jak oshapované O2 VDSL tady v kanceláři připojené přes dva velmi chatrné Wi-Fi routery. Ostatně 60 ms mám domů na konec světa na Vysočině přes VDSL, dva routery (z čehož jedno je deset let staré Banana Pi) a wi-fi meshový poslední metr přes podlahu do druhého patra. Port 25 na tom VPS samozřejmě normálně jde, mám ten VPS ostatně primárně kvůli tomu, že na něm běží moje MTA. Doba je fakt jinde i když souhlasím, že před pěti lety by o tom člověk mohl jen snít.