Poslední příspěvky

1

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od gnat kdy Dnes v 15:50:14 »

To že to prakticky žádný home router to neumí ?
To že na zprovoznění je třeba znalostí na úrovni Network engineera ?
To že pořád nemám fixní adresy pro vlastní zařízení a po restartu routeru můžu/dostanu jiný rozsah ?
To že když vypadne konektivita na všechny providery, tak nemám žádné adresy k přidělování ?

2

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od metabug kdy Dnes v 15:37:45 »

@John Doe: otázka nezní kolik potřebuji doma IPv4 adres, ale k čemu je dobré mít doma IPV6 adresy, které stejně nemůžou být veřejné, protože je musím dynamicky NATovat (překládat) na blok adres přidělený aktuálně routovaným providerem/technologií.

Principiální chyba je v tom že internetové adresy se přidělují organizaci a nikoliv jednotlivci a já nemůžu mít stabilní adresaci svých vlastních zařízení. Ty adresy se naopak mění nejen při změně providera, ale bohužel, vzhledem ke kvalitě implementace u našich providerů, se mění i podle toho jakým kanálem jsem aktuálně připojený (optika, 5G).

A tohle prostě nemá jiné jednoduché, funkční a levné řešení než neveřejné vnitřní adresy a NAT. A na to je IPv4 adres pořád dostatek (přes 4 miliardy). Jejich "nedostatek" je umělý a je způsoben zejména krátkozrakou politikou v začátcích internetu, kdy se rozhazovaly celé /8 rozsahy aniž by někdo zkoumal potřebu a tím že se z nich stalo, díky PR práci IPv6 evangelistů, ceněné zboží a pořád je na světě spousta syslů sedících na lacino získaných /8 rozsazích.

Co je za problém do sítě oznamovat všechny přijaté prefixy a v případě detekce výpadku jednoho připojení prostě přestat oznamovat ten konkrétní prefix do sítě nebo přestat oznamovat konkrétní defaultní routu?

3

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od gnat kdy Dnes v 15:34:34 »

@Jirsák: Až si budu moct položit otázku "Proč mám zbytečně moc IPv6 adres", tak přejdu na druhou stranu a budu propagovat IPv6 jako smysluplnou technologii pro všechny a ne jen pro partičku motající se kolem síťařiny.

Zásadní problém je totiž pořád stejný: neexistuje jednoduchá, uživatelsky přívětivá a finančně přístupná cesta pro uživatele jak získat a provozovat vlastní rozsah bez obezliček v podobě tunelování provozu přes 3. stranu. Dokud budou adresy vlastnit provideři a ne uživatelé, tak je to technologie pro partičku geeků.

4

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od BobTheBuilder kdy Dnes v 15:29:49 »

Mám připojení přes více poskytovatelů (drátové, wifinové, plus LTE jako záloha - všechny s problematickou rychlostí/spolehlivostí, takže přepínám na to, co zrovna funguje), a navrch VPN z jiné lokality.

Opravdu to potřebujete na úrovni IP protokolu? Nestačí jen mít v DNS víc IPv6 adres – schopnější aplikace při neúspěchu při navazování spojení zkusí další adresy z DNS. Jenom to dávám ke zvážení, protože řešení přes DNS můžete mít zdarma, vlastí blok IPv6 asi zdarma neseženete.

To nebude dobré řešení - kromě dlouhých DNS dotazů můžete zapomenout na certifikáty vystavené přes ACME - při vystavení/prodloužení certifikátu musíte mít dostupné všechny adresy k danému FQDN.
To už je lepší API na DNS a při změně prefixu (změně připojení) opravíte DNS.

5

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od gnat kdy Dnes v 15:26:59 »

@John Doe: otázka nezní kolik potřebuji doma IPv4 adres, ale k čemu je dobré mít doma IPV6 adresy, které stejně nemůžou být veřejné, protože je musím dynamicky NATovat (překládat) na blok adres přidělený aktuálně routovaným providerem/technologií.

Principiální chyba je v tom že internetové adresy se přidělují organizaci a nikoliv jednotlivci a já nemůžu mít stabilní adresaci svých vlastních zařízení. Ty adresy se naopak mění nejen při změně providera, ale bohužel, vzhledem ke kvalitě implementace u našich providerů, se mění i podle toho jakým kanálem jsem aktuálně připojený (optika, 5G).

A tohle prostě nemá jiné jednoduché, funkční a levné řešení než neveřejné vnitřní adresy a NAT. A na to je IPv4 adres pořád dostatek (přes 4 miliardy). Jejich "nedostatek" je umělý a je způsoben zejména krátkozrakou politikou v začátcích internetu, kdy se rozhazovaly celé /8 rozsahy aniž by někdo zkoumal potřebu a tím že se z nich stalo, díky PR práci IPv6 evangelistů, ceněné zboží a pořád je na světě spousta syslů sedících na lacino získaných /8 rozsazích.

6

Software / Re:Bootování iPXE s aktivním Secure Bootem

« Poslední příspěvek od Křestní jméno Příjmení kdy Dnes v 15:25:19 »

Vyzkousel jsem v kvm qemu.
Mam dva virtualni stroje, jeden s secureboot, druhy bez.
virsh dumpxml linux2024 | xmlstarlet sel -t   -m "/domain"   -v "name" -o " "   -v "os/loader/@type" -o " "   -v "os/loader" -n
linux2024 pflash /usr/share/edk2/ovmf/OVMF_CODE.secboot.fd
virsh dumpxml linux2024-2 | xmlstarlet sel -t   -m "/domain"   -v "name" -o " "   -v "os/loader/@type" -o " "   -v "os/loader" -n
linux2024-2 pflash /usr/share/edk2/ovmf/OVMF_CODE.fd

Oba stroje jsou schopne nabootovat fedoru s nfsroot pomoci dhcp -> tftp/shim ->tftp/grub -> tftp/vmlinuz+initrd -> dhcp -> nfsroot
ten bez securebootu i dhcp -> ipxe -> dhcp -> http/vmlinuz+initrd -> dhcp -> nfsroot
a dhcp -> ->tftp/grub -> tftp/vmlinuz+initrd -> dhcp -> nfsroot

se securebootem skonci na Exec format error po stazeni http/vmlinuz+initrd
respektive Access Denied -- reject probably by Secure Boot

Takze si myslim, ze ten podepsanej ipxe od toho broadcomu muze spoustet pouze veci podepsane broadcomem.
A to fedora kernel asi neni.

moje konfigurace:
mkdir -p /mnt/nfsroot/fc42
dnf -y --use-host-config --installroot=/mnt/nfsroot/fc42 --releasever=42 install openssh-server openssh-clients nfs-utils yum kernel dracut-network
kernel="$(find /mnt/nfsroot/fc42/usr/lib/modules/ -maxdepth 1 -mindepth 1 -printf '%f\000' | sort -z| head -z -n1| tr -d '\000')"

chroot /mnt/nfsroot/fc42 dracut /boot/initramfs-nfs-$kernel.img --add "nfs network base ifcfg ssh-client debug" --add-drivers "$(find "/mnt/nfsroot/fc42/usr/lib/modules/$kernel/kernel/drivers/net/ethernet/" -name "*.ko.xz" | sed -e 's/.*\/\(.\+\)\.ko\.xz$/\1/p;d'|tr \\n " ") nfs nfsv3 vmxnet3 " $kernel


mkdir -p /var/lib/tftpboot/fc42/

mkdir -p /var/lib/tftpboot/uefi
cp /boot/efi/EFI/fedora/{shimx64.efi,grubx64.efi} /var/lib/tftpboot/uefi/
chmod 755 /var/lib/tftpboot/uefi/*

cp /mnt/nfsroot/fc42/boot/initramfs-nfs-$kernel.img /var/lib/tftpboot/fc42/
cp /mnt/nfsroot/fc42/boot/vmlinuz-$kernel /var/lib/tftpboot/fc42/
chmod 644 /var/lib/tftpboot/fc42/{initramfs-nfs-$kernel.img,vmlinuz-$kernel}

mkdir /mnt/nfsroot/fc42/root/.ssh/
chmod 500 /mnt/nfsroot/fc42/root/.ssh/
touch /mnt/nfsroot/fc42/root/.ssh/authorized_keys
chmod 400 /mnt/nfsroot/fc42/root/.ssh/authorized_keys
cat /home/marek/.ssh/id_rsa.pub >> /mnt/nfsroot/fc42/root/.ssh/authorized_keys

echo "/mnt/nfsroot/fc42 192.168.0.0/24(rw,sync,no_subtree_check,no_root_squash)" > /etc/exports.d/fc42.exports

echo "menuentry  'fc42' --class fedora --class gnu-linux --class gnu --class os {
   linuxefi fc42/vmlinuz-$kernel ip=dhcp root=/dev/nfs nfsroot=192.168.0.13:/mnt/nfsroot/fc42/ rw selinux=1 enforcing=0  net.ifnames=0
   initrdefi fc42/initramfs-nfs-$kernel.img
}" >> /var/lib/tftpboot/uefi/grub.cfg


echo '<VirtualHost *:4433>
    ServerName boot.example.local

    DocumentRoot "/var/www/html/pxe"

    <Directory "/var/www/html/pxe">
        Options Indexes FollowSymLinks
        AllowOverride All
        Require all granted
    </Directory>
    #ScriptAlias /cgi-bin/ "/var/www/cgi-bin/"

    <Directory "/var/www/html/cgi-bin">
        Options +ExecCGI
        AllowOverride None
        Require all granted
    </Directory>

    # Logging
    ErrorLog "/var/log/httpd/pxe_error.log"
    CustomLog "/var/log/httpd/pxe_access.log" combined
</VirtualHost>' > /etc/httpd/conf.d/pxe4433.conf
mkdir -p /var/www/html/pxe
chown -R apache:apache /var/www/html/pxe
echo 'RewriteEngine On
RewriteCond %{REQUEST_URI} ^/Altiris/iPXE/GetPxeScript\.aspx$
RewriteRule ^(.*)$ /cgi-bin/pxe.sh [QSA,L]' > /var/www/html/pxe/.htaccess

echo '#!/bin/bash
echo "Content-type: text/plain"
echo ""

cat <<EOF
#!ipxe
dhcp
kernel http://192.168.0.13:4433/fc42/vmlinuz-'"$kernel"' ip=dhcp root=/dev/nfs nfsroot=192.168.0.13:/mnt/nfsroot/fc42/ rw selinux=1 enforcing=0  net.ifnames=0 initrd=initramfs-nfs-'"$kernel"'.img
initrd http://192.168.0.13:4433/fc42/initramfs-nfs-'"$kernel"'.img
boot
EOF
' > /var/www/cgi-bin/pxe.sh
cp -r /var/lib/tftpboot/fc42/ /var/www/html/pxe/

chmod 755 /var/www/cgi-bin/pxe.sh

NEW="$(awk 'BEGIN {LISTEN=0} LISTEN==0 && /^[[:blank:]]*Listen[[:blank:]]/ {print "Listen 4433";LISTEN=1} // {print} END {if(LISTEN==0){print "Listen 4433"}}' /etc/httpd/conf/httpd.conf )"
cat /etc/httpd/conf/httpd.conf > /etc/httpd/conf/httpd.conf.backup
echo "$NEW" > /etc/httpd/conf/httpd.conf
semanage port -a -t http_port_t -p tcp 4433
systemctl start httpd

***************************************************************

A potom v /etc/kea/kea-dhcp4.conf odkomentovat patricnou metodu:
 {
        "id": 2,
        "subnet": "192.168.0.0/24",
        "interface": "br3",
        "next-server": "192.168.0.13",
        "boot-file-name": "uefi/grubx64.efi",
        #"boot-file-name": "uefi/shimx64.efi",
        #"boot-file-name": "ipxe/ipxe.efi",
        "pools": [
          {
            "pool": "192.168.0.14 - 192.168.0.50"
          }
        ],
        "option-data": [
          {
            "space": "dhcp4",
            "name": "routers",
            "code": 3,
            "data": "192.168.0.13",
          },
          {
            "space": "dhcp4",
            "name": "domain-name-servers",
            "code": 6,
            "data": "8.8.8.8"
          }
        ]
      }

7

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od Filip Jirsák (forum) kdy Dnes v 15:24:01 »

Zatím mi žádný z místních IPv6 influencerů nevysvětlil, k čemu doma potřebuji 1208925819614629174706176  IP adres.

To, že to vy nepotřebujete, neznamená, že je potřeba všem komplikovat život nějakými pidisítěmi.

IPv6 bylo navrženo s tím, že IP adres potřebujeme tolik, že už nikdy nebudeme mít výhodu krátkých adres. Zároveň bylo navrženo s tím, aby se už nikdy nemusela vytvářet nová generace ještě větších IP adres. Takže se pokračovalo tím, že IPv6 potřebujeme mít nesmyslně mnoho. Pak už dává smysl postavit IPv6 na tom, že se IPv6 adresami bude vyloženě plýtvat – protože to přináší podstatné výhody, zejména daleko menší fragmentaci IPv6 bloků.

Otázka „proč mám zbytečně moc IPv6 adres“ tedy značí nepochopení jednoho ze základních principů, na kterých IPv6 stojí. Pokud nemáte pocit, že máte zbytečně moc IPv6 adres, znamená to, že jich máte málo. Tím pádem riskujete, že do budoucna budete potřebovat další – a dostanete jiný blok, takže budete mít nesouvislé bloky. A přesně tomu se chtěli autoři IPv6 vyhnout. Protože přesně to je jeden z velkých problémů IPv4, o kterém akorát domácí uživatelé nevědí.

8

Sítě / Re:DMZ na Proxmoxe

« Poslední příspěvek od Ħαℓ₸℮ℵ ␏⫢ ⦚ kdy Dnes v 15:21:00 »

zkratka netns mi docvakla ihned, ale ne co jsem se chtěl zeptat,je jestli v jednom pc  běžícím pičítači/OS je možné mít víc sad iptables pravidel a jak spolu koexistují . je to stejnym mechhanismem jako netNS? ... Našeptávate dřív než seceptàm

Netns si představuju že je jako argument předám  příkazu  ~lxc-start nebo /init , /systemd a od něj všechny podprocesy dědí.(ostatně tak to vidim v htop, který hraje všemi barvami než kdy jindy dřív nebo na "plain single user", "singleCT" distribuci) Nebo jenom jednoràzově pro nějaký mnou vybraný proces typu wget,quagga,tayga,bird,knotD.

9

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od Filip Jirsák (forum) kdy Dnes v 15:14:26 »

Mám připojení přes více poskytovatelů (drátové, wifinové, plus LTE jako záloha - všechny s problematickou rychlostí/spolehlivostí, takže přepínám na to, co zrovna funguje), a navrch VPN z jiné lokality.

Opravdu to potřebujete na úrovni IP protokolu? Nestačí jen mít v DNS víc IPv6 adres – schopnější aplikace při neúspěchu při navazování spojení zkusí další adresy z DNS. Jenom to dávám ke zvážení, protože řešení přes DNS můžete mít zdarma, vlastí blok IPv6 asi zdarma neseženete.

10

Nová témata / Re:Jak získat vlastní IPv6 rozsah?

« Poslední příspěvek od Filip Jirsák (forum) kdy Dnes v 15:11:43 »

A pak se všichi advokáti IPv6 diví, že to nikdo z koncáků vlastně nechce, protože jediné finančně gramotné řešení je schovat tu domácí síť za NAT a překládat to na stabilní vnitřní adresy a pak nemá IPv6 žádnou výhodu kromě toho že se ta adresa nedá zapamatovat, takže se přímá adresace hůře používá a domácí DNS je nutnost

Nesmysl. Stabilní IPv6 adresy v síti máte vždy, jsou to link-local adresy.

R. R. Šimek ale řeší úplně jiný problém – potřebuje adresy routovatelné z internetu. V tom mu samozřejmě žádný NAT překládající na neroutovatelné adresy nepomůže.