Poslední příspěvky

1

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od xsouku04 kdy Dnes v 12:33:26 »

Lézt na všechny servery jen pomocí dvou jiných strojů nebo tunelů je zbytečně omezující, protože když jsou problémy, nemusí fungovat kde co. Takže tohle řešení celkem ujde.

Takhle evidentne nevhodne ovahovane moznosti selhani se jen tak nevidi
Jen pro zajimavost: proc si myslis, ze VPN, ktera potrebuje pouze funkcni DNS+UDP nemusi fungovat spise nez DNS+zdarma dynDNS kdesi za kopecky+TCP?

Protože ta vpn běží na stejných strojích s kterými může být právě problém. Běží na virtuálu, není to žádné speciální dedikované zařízení.  Jinak stačí, když bude fungovat alespoň jedna možnost. Tedy vpn nebo přímá výjimka. A samozřejmě těch adres z kterých se dá přistupovat je vícero a ne všechny musí být přes dynDNS. Bohužel se někdy mohou nečekaně změnit i veřejné adresy, které by se měnit nikdy neměly. Např. u vodafone (UPC).

2

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od messagebus kdy Dnes v 12:18:11 »

Lézt na všechny servery jen pomocí dvou jiných strojů nebo tunelů je zbytečně omezující, protože když jsou problémy, nemusí fungovat kde co. Takže tohle řešení celkem ujde.

Takhle evidentne nevhodne ovahovane moznosti selhani se jen tak nevidi
Jen pro zajimavost: proc si myslis, ze VPN, ktera potrebuje pouze funkcni DNS+UDP nemusi fungovat spise nez DNS+zdarma dynDNS kdesi za kopecky+TCP?

3

Windows a jiné systémy / Re:Instalace Windows na oficiálně nepodporované PC

« Poslední příspěvek od Rovano _ kdy Dnes v 12:08:44 »

Jasný. Díky za echo. Spíš to vidím max do virtuálky. Když jsem se v nich hrabal naposled a poprvé, tak to byla katastrofa to nové nastavení.

4

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od Michal Šmucr kdy Dnes v 11:51:12 »

Jen jestli to správně chápu,
tak v momentě kdy se z jakéhokoliv důvodu neaktualizují záznamy klienta u nějaké bezvadné free DNS služby, třeba kvůli její odstávce, přetížení atp. (počítám, že free varianta je bez jakéhokoliv závazku dostupnosti) nebo když nebude dočasně dostupná DNSka pro překlad na tom serveru, tak se klient po změně IP nepřipojí.
Taky je super, že ta DNS služba má na free tieru minimální hodinové TTL, takže když by tam někde u serveru byl třeba kešovací resolver (což občas dává docela smysl), tak vám může taky hodinu vracet starou IP (to se dá ale využít k tomu, že se může jít klient třeba projít, než vyprší všechny timeouty DNSce a cronu).
Nakonec to, že se v tom setu budou štosovat staré IP adresy, které může zrecyklovat kdokoliv (s tím CGNATem) a dáte jim přístup k těm službám, než je ručně vymažete a obnovíte celý set, už je jen taková třešnička na dortu.

Jako jo, je to docela vymakané, to nemohu říct. 
Taková VPN brána je oproti tomuhle systému problematická, protože - co kdyby se s ní něco stalo.

5

Sítě / Domácí switch s podporou 2,5 Gbit

« Poslední příspěvek od pkoci kdy Dnes v 11:44:54 »

Zdravím,

máte tip na domací 2.5 Gbit switch za rozumné peníze? Potřebuji 8 portů, managed není podmínkou, PoE není potřeba, preferuji nižší spotřebu, podpora IPv6. Chci to hlavně pro komunikaci mezi 2xPC a NASem, v budoucnu možná Wifi 7 AP.

Díky za případné doporučení.

6

Odkladiště / Re:Kontakt na ČVUT kvůli vyřazenému poli

« Poslední příspěvek od alex6bbc kdy Dnes v 11:12:18 »

Darovaný kůň nemusí mít všechny zuby, hlavně pokud se člověk sveze. :-D

Jako majitel koně, pohybující se mezi koňáky, k tomuto dodám, že darovaný kůň je v konečném důsledku většinou nejdražší... O vyřazeném HW to často platí také. Rozdíl je v tom, že HW se dá vypnout, zatímco kůň potřebuje žrát furt. Takže starý HW leda tak na příležitostné použití, na 24/7 provoz moc ne.

dela se jeste konsky salam z konskeho masa?!

7

Sítě / Re:Zbyl ještě nějaký použitelný tunnelbroker?!

« Poslední příspěvek od LolPhirae kdy Dnes v 11:01:17 »

Zkoušel jsem tunnelbroker.ch, no... dávají zdarma 2 tunely /64. První pokus s endpointem ve Švýcarsku krom dost zoufalé ztrátovosti paketů skončil tím, že bez jakéhokoliv upozornění změnili IPv4 adresu tunelu a nazdar. Na jakékoliv emaily nulová reakce.

Tak to tady jen oživím s tím, že bych všechny důrazně varoval před touto "firmou". Na původní email z července jsem dostal odpověď již včera.  Tunely (již dvakrát smazané a znovu vytvořené) jsou již setrvale nefunkční, endpointy se ruší bez předchozího oznámení a vůbec je to zjevně prima one-man show nějakého egomaniaka typu legendární Bubocloud nebo povedené dvojky z Pipni.cz 

Dávám sem celou konverzaci s jejich tzv. zákaznickou "podporou", resp. tzv. CEO této "firmy" - pro pobavení publika a jako příklad, jak zásadně nejednat se zákazníkem.

Datum: Neděle, Červenec 14 2024 10:21
To: Securebit AG Tunnelbroker <info@tunnelbroker.ch>
Subject: Switzerland tunnel endpoint (193.33.94.248) down
 
Dear Sir/Madam,
 
I’d like to inform you that your Switzerland tunnel endpoint (193.33.94.248)  has been unusable since Friday 2024-07-12 approx. 19:50 UTC, with packet loss reaching over 25% and not routing traffic at all.

<technické detaily vynechány>

====================
Dne 15. 10. 2024 16:34 napsal uživatel Securebit AG Tunnelbroker <info@tunnelbroker.ch>:

Hello
 
Sorry to hear.
Do you still have this issue?
 
For further questions, we are always at your disposal.
Best regards
 
Kevin Bühl
Chief Executive Officer

====================
Sent: Ziischtig, 15. Oktoober 2024 16:45
To: Securebit AG Tunnelbroker <info@tunnelbroker.ch>
Subject: RE: Switzerland tunnel endpoint (193.33.94.248) down

Hello,

I have deleted the broken tunnels and created new ones with DE endpoint. They stopped working after about a month. Never got them working again. Deleted one of them, created a new one with endpoint in CH. That one never started working.

Also, I do not expect 3 months response time to tickets.

I am afraid this service is completely unusable.

Regards.

====================
Odesílatel : Securebit AG Tunnelbroker [info@tunnelbroker.ch]
Datum : Úterý, Říjen 15 2024 16:46:27
Předmět: Switzerland tunnel endpoint (193.33.94.248) down
Hello
 
Understand, in this case please use our commercial services:
https://www.securebit.ch/internet/tunnel
 
Our resources for our free services are very limited.
 
For further questions, we are always at your disposal.
Best regards
 
Kevin Bühl
Chief Executive Officer

====================
Sent: Ziischtig, 15. Oktoober 2024 16:52
To: Securebit AG Tunnelbroker <info@tunnelbroker.ch>
Subject: RE: Switzerland tunnel endpoint (193.33.94.248) down

I am afraid I am not willing to pay for a service with completely non-functional support.

Please understand that people use the free service for testing whether it fits their needs and decide whether they are going to switch to a paid-for plan.

Abandoned endpoints without prior notice, responding to tickets after 3 months, no apparent way to contact support visible on the website - would you decide to pay for services of such provider?!

Regards.

A následuje závěrečná perla:

Odesílatel : Securebit AG Tunnelbroker [info@tunnelbroker.ch]
Datum : Úterý, Říjen 15 2024 18:29:21
Předmět: Switzerland tunnel endpoint (193.33.94.248) down

You don’t need to use them 

Jo tak za tohle bych určitě chtěl platit, to ti Venca písk, Kevine... 

8

Hardware / Re:Chytrý detektor kouře do domu

« Poslední příspěvek od JurajP kdy Dnes v 10:56:12 »

a s Nestom od google nema niekto skusenost? Je to celkom vyzdvihovany detektor, ale drahy a posledna fw verzia je z 02/2023, takze je dost mozne, ze to uz nebude mat ani podporu

9

Sítě / Re:Firewall s whitelistem při často měnící se ip adrese

« Poslední příspěvek od xsouku04 kdy Dnes v 10:35:59 »

Tak jsem to vyřešil pomoci Sets.

V /etc/nftables.conf v tabulce filter nadefinuji prázdný set

Kód: [Vybrat]

   set ssh_acc_set {                                                                                                                                                                                                                                         
      type ipv4_addr                                                                                                                                                                                                                                         
      }


Přidám pak pravidlo:

 ip saddr @ssh_acc_set       counter accept # dynamické ip adesy 

A do cronu pak pro každou doménu, co může změnit ip adresu dám tohle:

Kód: [Vybrat]

00 7  * * * root  nft add element filter ssh_acc_set { $(dig +short subdomena.domena.cz) comment \"subdomena.domena.cz $(date +\%F_\%H:\%M:\%S)\" }
Tam je zajímavé, že znak % se v cronu musí escepovat, protože má zvláštní význam. ip adresu získávám pomocí příkazu
dig +short .

Že úloha crontabu proběhla mohu ověřit pomocí

Kód: [Vybrat]

journalctl -u cron| tail -n 50



Každou novou ip adresu to pak samo přidá do whitelistu včetně poznámky o jakou se jedná doménu a kdy se tak stalo. Pokud už tam ip adresa je (většina případů) tak se nestane nic. Zůstane původní záznam.

Kód: [Vybrat]

nft list set filter ssh_acc_set
table ip filter {
        set ssh_acc_set {
                type ipv4_addr
                elements = { 49.176.124.121 comment "subdomena.domena.cz 2024-10-16_09:56:01" }
        }
}

Množinu mohu promazat příkazem flush, ale pak je nutné přidat aktuální ip adresy.

Kód: [Vybrat]

nft flush set filter ssh_acc_set


Na to jak nftables přesložitělé, třetí předělávka, to bohužel nic moc neumí a nepracuje se s tím dobře.

Jako dynamický dns používám  http://freedns.afraid.org/ .  Je zadarmo a možnosti jak aktualizovat ip adresu jsou pravdu bohaté. Např. stačí načíst speciální url s hashem z cronu.

Lézt na všechny servery jen pomocí dvou jiných strojů nebo tunelů je zbytečně omezující, protože když jsou problémy, nemusí fungovat kde co. Takže tohle řešení celkem ujde.

10

Sítě / Re:Řešení internetu na samotě

« Poslední příspěvek od vitajakoubek kdy Dnes v 09:44:28 »

kamarád schání něco na dílnu co ma v prumyslovym areálu , 5G tam je okrajový právě, lte venku 2 čárky, uvnitř sotva jedna, podle netmonstra a co jsme koukali do map tak na vysílač by viděl ale má ho pod kopcem takže tomu i odpovídá ta kvalita. No nic mam tu MF268 plonkovou tak jí tam zkusíme a uvidíme co to dá na lte