Poslední příspěvky

1

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Martin Poljak kdy Dnes v 13:44:39 »

Hlavně záleží na náročnosti využití (pro sebe nebo i víc lidí), protože ty VPS za koleno a půl  nebudou nějak závratně rychlé(hlavně latence bude 50ms+ a ne 10ms přírustek) , nepujde tam port 25 a taky nevíte, jestli náhle nezkrachují nebo se jim něco(business,hacker,porucha) nepodělá

Nevím, já mám VPS asi za euro měsíčně u Webdocku v Dánsku. To fakt není firma, která by plánovala krachovat, není to žádná garážovka (datacentrum mají postavené nové na zelené louce) a roundtrip mám až do toho Dánska cca ~30 ms a to ještě nevím, co z toho dělá bůhví jak oshapované O2 VDSL tady v kanceláři připojené přes dva velmi chatrné Wi-Fi routery. Ostatně 60 ms mám domů na konec světa na Vysočině přes VDSL, dva routery (z čehož jedno je deset let staré Banana Pi) a wi-fi meshový poslední metr přes podlahu do druhého patra. Port 25 na tom VPS samozřejmě normálně jde, mám ten VPS ostatně primárně kvůli tomu, že na něm běží moje MTA. Doba je fakt jinde i když souhlasím, že před pěti lety by o tom člověk mohl jen snít.

2

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Michal Šmucr kdy Dnes v 12:38:33 »

Jen ještě poznámka k tomu Wireguardu a jeho snadnému použití.. ne že by se to nedalo rozběhat nebo to byla raketová věda, ale..
Na normálním Synology DSM je nativně podporované OpenVPN (a L2TP/IPSec, PPTP), jen se přidá služba VPN Server a dá se to komplet naklikat z UI. Pak už stačí jen promapovat, povolit zmíněný OpenVPN port zvenku. Dostává to všechny aktualizace přímo od Synology, je to fakt easy.
U Wireguardu je to složitější, protože v jejich Linux distru není vůbec ten kernelový modul. Dá se zkompilovat nebo stáhnout od třetí strany pro konkrétní minor verzi DSM a architekturu (podle procesoru, co je v bedně) a nainstalovat.
Pak je potřeba za to ještě odněkud tahat.. jsou v podstatě dvě možnosti, buď si do DSM zahackovat nějaký init, co postaví ten tunel, nebo to řešit v kontejneru (potom, co si nainstaluju odpovídajcí službu).
Já to také někde používám a volil jsem druhou variantu. Funguje to v pohodě, ale minimálně to chce trochu nějaký linuxový síťový základ - routování, obsluha firewallu, ruční nastavení wg atp.
Zásadnější věc pak jsou samozřejmě aktualizace DSM.. tam už člověk musí dávat trochu pozor, případně to zopakovat a doufat, že třeba minor update něco nerozstřelí.

Ano geekovské řešení je koupit si třeba další RPi (Martin pak Odroid ) a rozběhnout tu VPN mimo NAS.. Případně vyměnit router, pokud už tenhle nepůjde přeflashovat na OpenWRT, protože ten zmíněný TP-Link taky WG nepodporuje. A pak si konečně postavit tu správnou hub and spoke topologii přes tunely na VPSce.

3

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Vietnanka kdy Dnes v 12:16:52 »

) "Jestli platit VPS nebo nebo oprátorovi za podobný výsledek se nedá nějak jednoduše rozseknout,obojí má svoje pro  a proti.  (Cenově to asi vyjde na stejno)

Hlavně záleží na náročnosti využití (pro sebe nebo i víc lidí), protože ty VPS za koleno a půl  nebudou nějak závratně rychlé(hlavně latence bude 50ms+ a ne 10ms přírustek) , nepujde tam port 25 a taky nevíte, jestli náhle nezkrachují nebo se jim něco(business,hacker,porucha) nepodělá

Ale rozchodit wireguard je věc na večer a pak na to stačí zapomenout. Běží to spolehlivě , ani o tom nevíte, jestli došlo  k restartu na jednom nebo druhym konci)



ale souhlasím, z geek hlediska je dobré mít oboje."
 

4

Vývoj / Re:Metoda Dockeru v TrueNAS vs Proxmox+truenas SCALE

« Poslední příspěvek od Vietnanka kdy Dnes v 12:00:09 »

Diky za vycerpavacjici odpoved. To bys mi mohl poradit, co tedy bude lepsi. Rozhoduju se mezi Truenas scale a proxmox+uvnitr_truenasScale (ano, primarni ucel obou je jiny). Nejde o nejaky mission critical vec, bude vsechno na jednom SSD (minimalne nez si to osaham a zacne se mi libit jedno nebo druhe nebo oboje)
abych to upresnil, spis chci homelab hypervisor na beh vice masin a true nas scale bude spis bonus. Mozna tedy jsem si odpovedel sam, zajimame, jestli is truenas scale se da v pohode pouzit na virtualizci, ma udajne navic i KVM

s ani jednim nemam zkusenost





na true nas blogu jsem cetrl clanek, ze virtualizovany truenas je naprosto OK, pokud je I/O primo predane pres passthrough

5

Vývoj / Vysvětlení network boot možností na Aptio/AMI setup

« Poslední příspěvek od Vietnanka kdy Dnes v 11:54:48 »

Nějak nerozumím  , zda je možný http nebo https boot (kromě TFTP PXE) a s vlastním "Boot URI"   network boot na intel  desce s APTIO ambi boot setup utility (typická modrá obrazovka s taby Main,advanced,boot,Save+Exit):

V advanced tabu(nikoli boot):
V network stack options submenu povolím na enabled, ukáží se 2x2 volby IPV4/IPV6 x PXE/HTTP 
vyjdu zpět do sekce advanced a je tam možnosti tls auth option a dál 3 menu:
MAC:xx-xx.....xx:IPV4 Network
MAC:xx-xx.....xx:Http boot  --- toto mě zajímá
MAC:xx-xx.....xx:IPv6  Network

v http boot je položka něco jako -input name (asi jen nějaké pojmenování)
-volba ipv4 nebo ipv6
-Boot URI ..: tohle je kámen úrazu !!!!

1.  To mohu nechat prázdné a bez toho to bude bootovat nějaké implicitní URL předané v DHCP OPTION? musí jít o https ?
2. Proč po zadání http://.. to hodí alert typu "bad URI format! Must be URI starting https" - to znamená že až tedy po pěti obrazovkách poprvé se člověk dozví, že to je HTTPS BOOT?

3. řečnická otázka Jak mám vystavit certifikát  192.168.1.250?
4. jaký má toto omezení smysl??? v kontextu že tftp pxe boot je asi staré udp tftp a zadruhé pokud platí hypotéza, že bez  zadané boot uri to možná bude bootovat z toho url přečteného z dhcp odpovědi?



(4-bonusová) kdy bude iscsci boot? umí to coreboot nebo nějaký počítač? nebo se to musí dělat přes mezičlánek přes pxeboot, který natáhne podporu iscsci? (nevím jestli je to grub,gpxe,ipxe


5) v jakém "formátu" je boot image? uefi binárka, iso, exe, assembler? MBR partition )


ai chat na tohle papoušku pouze obecný kecy a vysvětluje kroky bootování, člověk se od AI nic nedozví

6

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Michal Šmucr kdy Dnes v 11:53:29 »

Vždyť tu VPN, o které píše, taky musí nakonfigurovat. A zrovna WireGuard je vyloženě nastav a zapomeň. Ale je fakt, že vlastně moc nechápu, k čemu ji v té jeho popisované konfiguraci vůbec potřebuje, ta je tam tak nějak navíc, nedává tam smysl.

Podle toho prvního postu bych tak tipoval, že už ji má nakonfigurovanou, když mu to fungovalo s předchozím ISP bez CG NATu. To že se mu měnila adresa řešil předtím přes DDNS službu (mujnas15.synology.me).
OpenVPN mi tam smysl dává, pokud nechce vystrčit celý Synology NAS přímo do internetu. Připojí se třeba z mobilu, notebooku atp. přes OpenVPN klienta a až pak do NASu.

7

Bazar / Re:Daruji řadič MSA2012i a disky z pole

« Poslední příspěvek od Miroslav Duschek kdy Dnes v 11:50:13 »

Dobry den,

mel bych o to pripadne zajem, je mozna posta i do CR? Pripadne za kolik?

Dekuji

8

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Martin Poljak kdy Dnes v 11:36:25 »

Není o dost snazší i levnější koupit si na tu VPN za euro a půl měsíčně malý VPS?

VPS musíte nastavit a udržovat, řešit navazování tunelu z NASu nebo routeru, správně všechno vychytat. Zvýší to latenci atp.

Vždyť tu VPN, o které píše, taky musí nakonfigurovat. A zrovna WireGuard je vyloženě nastav a zapomeň. Ale je fakt, že vlastně moc nechápu, k čemu ji v té jeho popisované konfiguraci vůbec potřebuje, ta je tam tak nějak navíc, nedává tam smysl.

9

Sítě / Re:Cetin terminátor a port forwarding

« Poslední příspěvek od Michal Šmucr kdy Dnes v 11:18:45 »

Ještě před tím se ale zeptám (a omlouvám se, trochu se v tom ztrácím), jestli v tomto případě není lepší IPv6?

To je trochu složitá otázka, protože záleží na mnoha okolnostech.
IPv6 musíte mít nejdřív bez problémů rozchozenou a funkční v lokální síti, resp. na těch zařízeních, kam se potřebujete připojovat. Zjednodušeně.. aby zařízení v LAN z routeru korektně dostávala přidělené IPv6 adresy z prefixu (rozsahu), co máte od ISP. Také při komunikaci do internetu je potřeba, aby zařízení používala správnou MTU toho PPPoE spojení (1492 bajtů), protože IPv6 nefragmentuje pakety.
Pak už na straně routeru nepoužíváte mapování (NAT), ale pouze přidáte do IPv6 firewallu pravidlo, aby povolilo nová spojení zvenku na tu adresu zařízení, s kterým chcete komunikovat (např. kde běží OpenVPN server).
Většina těch domácích routerů už má nějaký výchozí set pravidel skrtytých v UI, co povolují komunikaci iniciovanou ze všech adres ve vnitřní síti, takže jen přidáváte, co už jsem zmiňoval.
To je stručný obecný popis.
Je tam určitá šance, že většina věcí bude chodit se základním nastavením out-of-box.. Ale ve spoustě ohledech se dá s nejruznějšími zařízení a službami docela narazit a můžete se na jejich nastavení zaseknout (a číst, hledat, zkoušet..). Nemusí to být úplně přímočaré.

Nakonec i když to rozběháte (což bych obecně doporučil, abyste měl funkční IPv6 konektivitu nezávisle na tom přístupu zvenku), tak je tam jedna poměrně rozhodující věc.
Když se budete chtít odněkud připojit na váš VPN server, tak tam samozřejmě musí být také funkční IPv6. Což třeba u mobilních připojení je většinou vcelku v pohodě, nicméně spousty typicky firemních LAN nebo třeba veřejných WiFi sítí a některých poskytovatelů je pořád jen na IPv4.
Možná to není u vás problém a všude, kde se pohybujete je IPv6 dostupné, ale poměrně často je potřeba mít pro službu (VPN) funkční i s IPv4, aby se dalo opravdu připojovat odkudkoliv.

10

Sítě / Re:Výběr AP do bytu

« Poslední příspěvek od František Ryšánek kdy Dnes v 11:05:52 »

Hmm... U7 Lite... zajímavý hardware, QCA5300 series.
Podpora v OpenWRT není a možná ještě dlouho nebude.
Ledaže bych chtěl být průkopník...

https://wiki.codelinaro.org/en/clo/qsdk/overview

https://github.com/Lvellios/OpenWrt-IPQ

https://wickedyoda.com/?p=2979

Prsty mě svrbí ale na hraní momentálně nemám čas.