Poslední příspěvky

1

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Zopper kdy Dnes v 12:16:15 »

Nicméně jestli se nepletu, tak Synology má také službu QuickConnect, která umožňuje vzdálené připojení na NAS, i když je schovaný v lokální síti za NATem i CG NATem. Data jdou přes relay servery Synology.

Což přesně už výše zmiňoval, že nechce, protože už to předtím používal a někdo mu do toho z jejich veřejného cloudu bušil a zkoušel se připojovat.

A jak přesně pomůže, že místo https://mujtajnynas.quickconnect.to půjde útočník na https://1.2.3.4? VPN teoreticky nabízí menší útočný vektor (je vystrčená jediná služba, která je navíc celkem malá a měla by být security-first), takže tu chápu. Ale vystrčit ten NAS přímo ven mi v obecné rovině přijde horší, než mít to přes QuickConnect a podobné služby. Protože Synology, CloudFlare a další poskytovatelé těchto "zveřejni server zevnitř" služeb aspoň mohou detekovat nějaké large-scale útoky a něco proti nim dělat. Lokálně je na to člověk úplně sám.

2

Server / Re:Zvýšený příchozí provoz na serveru

« Poslední příspěvek od mikesznovu kdy Dnes v 10:51:40 »

Boti, co zkouší naslepo http/s GET na wp-login, .env atd...
Případne ssh

3

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od rmrf kdy Dnes v 10:48:19 »

Což přesně už výše zmiňoval, že nechce, protože už to předtím používal a někdo mu do toho z jejich veřejného cloudu bušil a zkoušel se připojovat.

Aha. To jsem přehlédl.

4

Sítě / Re VPN vs VPS *Greenhouse*

« Poslední příspěvek od mikesznovu kdy Dnes v 10:43:46 »

Tohle mi přelítlo přes nos:
https://sequentialread.com/greenhouse-alpha/
Nestudoval jsem, úvodní odstavec kurzívou je takové intro/rozcestník,  techničtější popis je v tom Odkazu 'pragmatic...'

Ale opět další strana, které budete platit, byť asi málo

bušil, připojoval ,zkoušel...

Ten quickconnect (pro ty trápené NATem) od nasů se umí napojit jen na dané apky NASu (photo stadion ,filé stadion...) a na builtin webserver(vyčleněna Apoka na svůj webserver)  a ještě pres nějaké federovanou autentizaci nebo je to neomezené(ve smyslu  že to je něco SNI proxy , že Synology servery forwardujou podle SNI z vlastni domény a nebo podnájem.synology.me)? V prvním případě omezených služeb právě nerozumím že mu tam busí

5

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od tennyson.acie kdy Dnes v 10:27:30 »

Když se budete chtít odněkud připojit na váš VPN server, tak tam samozřejmě musí být také funkční IPv6.

Tohle je pro mě rozhodující, potřebuji se připojit odkudkoliv. Pravda, 90% času to bude přes LAN (kde využiji 1Gbps), ale těch 10% zvenčí je o to důležitějších.

Přesně tohle je ovšem to, co mi vůbec nedává smysl. Proč se handrkovat a řešit nějakou veřejnou IP adresu kvůli VPN když tutéž VPN mohu mít někde na VPS, kde to všechno funguje tak nějak per design z principu a ještě je to jak flexibilnější, tak univerzálnější tak levnější...

Možná proto, že u veřejné IPv4 v pohodě spustím WireGuard/OpenVPN server i na obyčejném TP-Link routeru za tisícovku a mám vše vyřešeno v podstatě zadarmo a bez účasti třetích stran.

6

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Martin-2 kdy Dnes v 10:25:06 »

Mrkněte ještě na "Back to home" od mikrotiku nebo obdobu od konkurence - V základu se připojí skrze IPv6 (direct) případně skrze IPv4 za natem, nakliká se v telefonu snadno, nastavení pro vzdálené PC je trochu toho nastavení v záložce cloud a pak v appce wireguard ale nic hrozného. Nestojí to nic a funguje spolehlivě.

Nevýhoda je prodleva která je vyšší než do vlastní veřejné IP a nutnost arm routeru (mmips atd. nepodporuje).

7

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Michal Šmucr kdy Dnes v 10:12:18 »

Nicméně jestli se nepletu, tak Synology má také službu QuickConnect, která umožňuje vzdálené připojení na NAS, i když je schovaný v lokální síti za NATem i CG NATem. Data jdou přes relay servery Synology.

Což přesně už výše zmiňoval, že nechce, protože už to předtím používal a někdo mu do toho z jejich veřejného cloudu bušil a zkoušel se připojovat.

8

Bazar / Re:Sháním (levně) Radeon PRO WX

« Poslední příspěvek od Martin K. kdy Dnes v 10:11:17 »

PowerColor R55O, nebo třeba OEM Dell R9J9P do Optiplex řady 9000

Za tenhle tip díky moc! RX550 jsem měl ve výběru, ale u nás už jsou porůznu dostupné jen varianty s chladičem přes dva sloty a to ještě za ceny hodně přes 2kKč, naopak z Číny jsem viděl jen jejich no-name klony, které od pohledu nepůsobily nijak důvěryhodně - přeci jen rád bych, aby mi cílový hardware ještě vydržel a odpálit ho čínskou grafikou značek jako SEJISHI nebo SHrohyna se mi nechtělo. Dellu ale asi věřím, takže kupuju...

9

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Michal Šmucr kdy Dnes v 10:10:28 »

Přesně tohle je ovšem to, co mi vůbec nedává smysl. Proč se handrkovat a řešit nějakou veřejnou IP adresu kvůli VPN když tutéž VPN mohu mít někde na VPS, kde to všechno funguje tak nějak per design z principu a ještě je to jak flexibilnější, tak univerzálnější tak levnější...

Tak nějak ty základní nevýhody tu už padly (musí nakonfigurovat a udržovat další server v internetu, přidá to latenci, což je docela znát třeba při přímém použití CIFS/SMB mountů..). A ano technicky vzato ve VPS může rozjet i OpenVPN server s povolenou komunikací mezi klienty a správným routováním, na Synology je pak i OpenVPN klient, který se tam může připojovat.
Ale s tou flexibilitou nebo univerzálností záleží, co chcete.. pokud potřebuju mít veřejný hub s nějakou dobrou konektivitou a spojuju víc sítí dohromady, případně chci mít služby, co běží nezávisle na domácím připojení (viz třeba váš mail server), nebo si s něčím hrát, ano VPS dává smysl.
Ale zas pokud chci mít doma lepší připojení, co mi v budoucnu umožní forwardovat jakékoliv porty na libovolné zařízení uvnitř, zbaví mě CG-NATu (což je IMO ještě větší benefit než ta neměnná adresa, která se dá většinou obejít přes DDNS), tak dává smysl prostě připlatit, nemyslím, že je to tak zásadní cenový rozdíl (pár stovek za rok). Handrkovat se s nikým nemusí, stačí to objednat, zapnou to a příští měsíc to má jako další položku na faktuře.
Obecně ten CG-NAT bohužel neovlivní jen ty explicitně mapované služby z venku.. kolikrát to třeba u spousty služeb pouštěných zevnitř způsobí to, že se tiše přepne režim do nějakého kompletního relayování přes veřejný server místo rychlejší peer-to-peer komunikace. I když třeba služba nutně nepoužívá UPnP/PCP aby si je dynamicky otevřela na routeru, tak může používat UDP hole punching, který s tím dalším NATem po cestě už nezabere.
Týká se to třeba různých VoIP, teamspeaku a síťového hraní z PC nebo konzolí, ale i třeba už tady zmíněného ZeroTieru.
Podobně klasický use-case se seedováním torrentů.

10

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od rmrf kdy Dnes v 10:01:23 »

Proč se handrkovat a řešit nějakou veřejnou IP adresu kvůli VPN když tutéž VPN mohu mít někde na VPS, kde to všechno funguje tak nějak per design z principu a ještě je to jak flexibilnější, tak univerzálnější tak levnější...

Já se obávám, že se by se nejednalo o tutéž VPN. On má nejspíš na mysli něco od Synology, co se dá jednoduše naklikat v manažéru NASky. A k tomu potřebuje mít veřejnou IP adresu.

Nicméně jestli se nepletu, tak Synology má také službu QuickConnect, která umožňuje vzdálené připojení na NAS, i když je schovaný v lokální síti za NATem i CG NATem. Data jdou přes relay servery Synology.