SKFREE

Software - AirOS 5.5 final je von....

rado3105 - 12.04.2012 - 13:02
Post subject: AirOS 5.5 final je von....
takze kto chce nech upgraduje...
http://www.3dbwireless.com/boyd/?p=744
http://dl.ubnt.com/firmwares/XN-fw/v5.5/changelog.txt
http://www.ubnt.com/download


zmien viac ako dost....
JOFO - 12.04.2012 - 14:08
Post subject:
ako pre koho Smile
ja ju testujem uz od prvej beta verzie, takze pre mna takmer nic nove nepribudlo Smile
zatial to vizera na celkom vydareny fw.. hlavne VLANy ma potesili
rado3105 - 12.04.2012 - 14:17
Post subject:
ja budem hromadne upgradovat az ked vyjde novy aircontrol, 5.5 mam zatial len tam kde to bolo nevyhnutne(ap so starymi klientmi...)

aky ma vyznam to vlan, nejaky realny priklad? nepouzivam a neviem si to ani moc predstavit...
Dikobraz - 12.04.2012 - 15:17
Post subject:
rado3105 wrote: ›ja budem hromadne upgradovat az ked vyjde novy aircontrol, 5.5 mam zatial len tam kde to bolo nevyhnutne(ap so starymi klientmi...)

aky ma vyznam to vlan, nejaky realny priklad? nepouzivam a neviem si to ani moc predstavit...


Napr ja mam cez nanobridge natovanu domacu siet a cez VLAN si posielam IPTV a VOIP. Ono by to slo ajza NATkom ale s IPTV by bolo viac problemov.
JOFO - 12.04.2012 - 15:24
Post subject:
uvediem priklad z praxe.. pouzivam viacere VLANy:
- Management VLAN --> radia konfigurujem na samostanej VLANe
- Zakaznicka VLAN --> data od zakaznikov
- HotSpot VLAN --> vsetky data z HotSpotov su na jednej VLANe
- IPTV VLAN
- VoIP VLAN a ine...

Napr na sieti mi bezi jeden centralny HotSpot (s CaptivePortalom). Cely hotspot mam na samostatnej VLANe. Kazdy jeden moj hotspot ide cez tuto VLANu t.j. vsetky hostspoty su na jednom subnete. Prakticky to ma vyznam, ze zakaznik sa moze pripojit na hociktory moj hotspot (v ktorejkolvek lokalite kde mam pokrytie) a vzdy dostane svoju IPcku resp funguje cez svoj login hocikde, nezavisle od toho, aku topologiu mam medzi nim a hotspotom. Vyhodou je ze nemusis na hotspot pouzivat dalsie radio ale ide to z toho isteho radia ako normalny uzivatelia. Dalsou vyhodou je, ze vsetky hotspoty mam manazovane z jedneho miesta.
pixall - 12.04.2012 - 16:01
Post subject:
super JOFO, ty budes moj hovorca. pises to co by som napisal ja, ale tym ze to pises ty, mi setris cas Smile
marsl - 12.04.2012 - 16:15
Post subject:
JOFO wrote: ›uvediem priklad z praxe.. pouzivam viacere VLANy:
- Management VLAN --> radia konfigurujem na samostanej VLANe
- Zakaznicka VLAN --> data od zakaznikov
- HotSpot VLAN --> vsetky data z HotSpotov su na jednej VLANe
- IPTV VLAN
- VoIP VLAN a ine...

Napr na sieti mi bezi jeden centralny HotSpot (s CaptivePortalom). Cely hotspot mam na samostatnej VLANe. Kazdy jeden moj hotspot ide cez tuto VLANu t.j. vsetky hostspoty su na jednom subnete. Prakticky to ma vyznam, ze zakaznik sa moze pripojit na hociktory moj hotspot (v ktorejkolvek lokalite kde mam pokrytie) a vzdy dostane svoju IPcku resp funguje cez svoj login hocikde, nezavisle od toho, aku topologiu mam medzi nim a hotspotom. Vyhodou je ze nemusis na hotspot pouzivat dalsie radio ale ide to z toho isteho radia ako normalny uzivatelia. Dalsou vyhodou je, ze vsetky hotspoty mam manazovane z jedneho miesta.


Budem teraz asi za hlupeho, ale ak som spravne pochopil vlany tak vyhody to ma velke, ale ak ich chcem pouzivat na wifi tak musim mat celu siet bridgovanu nie? Cez routing vlany nefunguju ze?
JOFO - 12.04.2012 - 16:45
Post subject:
no vidis pixall Smile

marsl: je jedno aku topolugiu siete mas... VLANy si mozes nabridzovat aj cez routovanu siet ci NATko... takze celu siet mozes mat rozdelenu do subnetov, ktore na jednoitlivich trasach routujes a popri tom si mozes na celej sieti alebo len na casti spravit jednu alebo viac virtualnych sieti (VLAN)
ja som tomu tiez moc nerozumel ked som o tom prvykrat pocul, ale stacil jeden prakticky priklad a hned som pochopil vyhody VLANiek
pedro4444 - 12.04.2012 - 16:48
Post subject:
jofo mas to veru zaujimavo spravene..
budme musiet to Vlan troska aj ja nastudovat a nieco s tym poriesit..Smile
marsl - 12.04.2012 - 16:58
Post subject:
JOFO wrote: ›no vidis pixall Smile

marsl: je jedno aku topolugiu siete mas... VLANy si mozes nabridzovat aj cez routovanu siet ci NATko... takze celu siet mozes mat rozdelenu do subnetov, ktore na jednoitlivich trasach routujes a popri tom si mozes na celej sieti alebo len na casti spravit jednu alebo viac virtualnych sieti (VLAN)
ja som tomu tiez moc nerozumel ked som o tom prvykrat pocul, ale stacil jeden prakticky priklad a hned som pochopil vyhody VLANiek


Vyhodu som uz pochopil davnejsie. Len dostat ju do praxe... Smile
Mohol by som ta poprosit o jeden kokretny priklad na routovanej sieti? Povedzme na miktotikoch?
Dakujem
JOFO - 12.04.2012 - 17:23
Post subject:
najjednoduchsi sposob ako posuvat VLANy po sieti je, ze si nad kazdym ifacom, cez ktory ma prechadzat VLANa vytvoris VLAN iface a nastavis pozadovany VLAN Id.
Napr. nech ether1 je uplink (ktory mas napr zaNATovany) a napr wlan1 je APcko na ktorom chces vytvorit HotSpot.
Takze prva vec je, ze si nad wlan1 vytvoris VirtualAP iface s nazvom napr HS1. Dalsi krok je vytvorenie VLAN iface. Takze nad ether1 si vytvoris VLAN iface s VLAN Id napr 32 s nazvom napr HotSpot1. Kedze chces poslat vsetko z Hotspotu cez VLAN 32 von, vytvoris si Bridge, do ktoreho das HS1 a HotSpot1. Tot vsjo. Na uplinku budes mat okrem beznych netagovanych NATovanych dat aj VLAN 32, ktora ide mimo NATka. Tu si mozes na dalsom routri spracovat ako chces. Napr pustis captive portal a dhcp a mas zaklad hotspotu.
marsl - 12.04.2012 - 17:44
Post subject:
JOFO wrote: ›najjednoduchsi sposob ako posuvat VLANy po sieti je, ze si nad kazdym ifacom, cez ktory ma prechadzat VLANa vytvoris VLAN iface a nastavis pozadovany VLAN Id.
Napr. nech ether1 je uplink (ktory mas napr zaNATovany) a napr wlan1 je APcko na ktorom chces vytvorit HotSpot.
Takze prva vec je, ze si nad wlan1 vytvoris VirtualAP iface s nazvom napr HS1. Dalsi krok je vytvorenie VLAN iface. Takze nad ether1 si vytvoris VLAN iface s VLAN Id napr 32 s nazvom napr HotSpot1. Kedze chces poslat vsetko z Hotspotu cez VLAN 32 von, vytvoris si Bridge, do ktoreho das HS1 a HotSpot1. Tot vsjo. Na uplinku budes mat okrem beznych netagovanych NATovanych dat aj VLAN 32, ktora ide mimo NATka. Tu si mozes na dalsom routri spracovat ako chces. Napr pustis captive portal a dhcp a mas zaklad hotspotu.


Skor ma zaujima momentalne ako setrit verejne IP.

Ak chcem dat uzivatelovi na locu M5 verejnu IP priamo z DHCP. Aky bude postup ak dajme tomu ze verejne Ip mam na RB0. K Rocket sektoru sa musim dostat dajme tomu cez RB1, R21 RB3 - Kde napr. RB1 a RB2 bude spojene cez AP-station z RB2 cez eth na RB3 kde opat cez Eth na Rocket. Klient sa pripaja na rocket?

Edit.
Uz som to vyskusal a asi aj pochopil.

Na
RB0 kde je verejna IP napr na eth0, vytvorim vlan1 s id32, a vytvorim bridge etho a vlan1, dalev vytvorim vlan2 s id32 na wlan1 a hodim tiez do bridgu s vlan1 a eth0.

Na RB1 vytvorim na wlan2 vlan3 a dam do bridgu vlan3 a wlan2 s id 32. dalej vytvorim vlan4 s id32 pod wlan3 a vlan4 s id 32 dat opat do bridgu s vlan3...

A takto postupujem az k locu M5 kde nastavim ze eth0 ma byt vo vlane s id 32 a ak som to pochopil tak zakaznik dostane verejnu ip s RB0..

je to tak?
pedro4444 - 12.04.2012 - 17:59
Post subject:
ale ak riesis len verejnu ip tak konkretnu verejnu ip adresu bud naroutuj priamo na konkretne loco, alebo nanatuj... uz na tebe ktore riesenie sa ti paci...
marsl - 12.04.2012 - 18:04
Post subject:
pedro4444 wrote: ›ale ak riesis len verejnu ip tak konkretnu verejnu ip adresu bud naroutuj priamo na konkretne loco, alebo nanatuj... uz na tebe ktore riesenie sa ti paci...


Natovanie verejnych IP je hlupost podla mna... Lebo zakaznik ma loklanu Ip ktora sa "tvari" ako verejna... a ked mam na M5 narotuovat verejnu IP tak aby ju mal zakaznik az na PC, routry je to dost plytvanie..

Ale takto cez vlany ako som to pochopil, to bude pekne elegantne...
midnight_man - 12.04.2012 - 18:07
Post subject:
Takže keď to zhrniem:
New: Low TX power mode support for all M series models
-konečne na menšie vzdialenosti nebude signal -38

- Fix: Configuration change causes device with a long uptime to lock up
hura....nebudeme musieť rebootovať pred zmenou nastaveni (dufam)

- Improvement: AirMax performance in large PtMP networks
Tak na toto som zvedavý Rolling Eyes

- Improvement: Report Horizontal / Vertical antenna instead of "Chain 0 / Chain 1"
konečne budem vedieť čo je ktorý
Laughing
pedro4444 - 12.04.2012 - 18:12
Post subject:
preco hlupost? ja pouzivam ku koncovemu zakaznikovi pokila chce priamo do pc tak nat a zatial ziadny problem...
JOFO - 12.04.2012 - 18:15
Post subject:
chcelo by to skor nejaky jednoduchy nacrt topologie resp tejto situacie, aby som tomu uplne porozumel, cez co vsetko to ma ist... Smile
ak som to spravne pochopil tak mas na mysli nieco taketo:
Code: › NSLM5 <-- wlan --> RM5 <-- lan0 -- ether1 --> RB3 <-- ether2 -- ether1 --> RB2 <-- wlan1 -- wlan1 --> RB1 <-- ether1 --> verejne ipcky
RM5 je v mode AP-Bridge, RB1 s RB2 su v mode AP-Bridge

Takze pekne po poriadku:
1. Na RB1 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
2. Na RB1 vytvoris bridge iface napr PUB_IP do ktoreho das pub1 a ether1
3. Na RB2 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
4. Na RB2 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
5. Na RB2 vytvoris bridge PUB_IP a don das pub1 a pub2
6. Na RB3 vytvoris nad ether2 VLAN iface s VLAN Id 32 s nazvom pub1
7. Na RB3 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
8. Na RB3 vytvoris bridge PUB_IP do ktoreho das opat pub1 a pub2
9. Ak mas RM5 v bridge mode, nepotrebujes nic riesit. Ak ho mas v router mode, vytvoris na WLAN aj LAN0 VLAN s Id 32. Pridas novy bridge a das don wlan.32 aj lan0.32
10. Na NSLM5 vytvoris VLAN wlan.32 a ako WAN Interface nastavis wlan.32
Pripadne ak nenatujes, tak spravis brodge s lan0 a wlan.32

Takto by si mal zabezpecit ze klient sa bude tvarit, akoby bol pripojeny priamo k RB1 na uplink...
Snad som sa nikde nepomylil Smile
midnight_man - 12.04.2012 - 18:15
Post subject:
verejky do PC? Very Happy si normalny?
marsl - 12.04.2012 - 18:15
Post subject:
pedro4444 wrote: ›preco hlupost? ja pouzivam ku koncovemu zakaznikovi pokila chce priamo do pc tak nat a zatial ziadny problem...


Problem to nie je aspom som stym problem nemal ked som to pouzival. Ale je kopa ludi ktora chce verejnu IP a ked im povies ze IP 10.10.100.158 je v skutocnosti x.x.x.x verejna Ip tak pozera na teba ci si normalny, ze preco to robis tak ked inde to robia inak atd...
marsl - 12.04.2012 - 18:21
Post subject:
JOFO wrote: ›chcelo by to skor nejaky jednoduchy nacrt topologie resp tejto situacie, aby som tomu uplne porozumel, cez co vsetko to ma ist... Smile
ak som to spravne pochopil tak mas na mysli nieco taketo:
Code: › NSLM5 <-- wlan --> RM5 <-- lan0 -- ether1 --> RB3 <-- ether2 -- ether1 --> RB2 <-- wlan1 -- wlan1 --> RB1 <-- ether1 --> verejne ipcky
RM5 je v mode AP-Bridge, RB1 s RB2 su v mode AP-Bridge

Takze pekne po poriadku:
1. Na RB1 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
2. Na RB1 vytvoris bridge iface napr PUB_IP do ktoreho das pub1 a ether1
3. Na RB2 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
4. Na RB2 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
5. Na RB2 vytvoris bridge PUB_IP a don das pub1 a pub2
6. Na RB3 vytvoris nad ether2 VLAN iface s VLAN Id 32 s nazvom pub1
7. Na RB3 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
8. Na RB3 vytvoris bridge PUB_IP do ktoreho das opat pub1 a pub2
9. Ak mas RM5 v bridge mode, nepotrebujes nic riesit. Ak ho mas v router mode, vytvoris na WLAN aj LAN0 VLAN s Id 32. Pridas novy bridge a das don wlan.32 aj lan0.32
10. Na NSLM5 vytvoris VLAN wlan.32 a ako WAN Interface nastavis wlan.32

Takto by si mal zabezpecit ze klient sa bude tvarit, akoby bol pripojeny priamo k RB1 na uplink...
Snad som sa nikde nepomylil Smile


Je mi to jasne. Ako to com som pisal ani nemam v skutocnosti len som to chcel kus skomplikovat Smile Ale myslim si ze som to pochopil... Wink
Dakujem sa vysvetlenie.

Len este uvazujem ako pod linuxom na hlavnej brane dam vlanu na eth1 a eth2. Eth0 je uz uplink do netu... Aby som mohol vlany pouzivat v celej sieti kedze jedna cas siete s druhou sa stretavaju na brane...
JOFO - 12.04.2012 - 18:24
Post subject:
v linuxe je na vytvaranie vlan utilita vconfig
Code: › vconfig add iface vlanid

a bridge vytvaras cez brctl
marsl - 12.04.2012 - 18:27
Post subject:
JOFO wrote: ›v linuxe je na vytvaranie vlan utilita vconfig
Code: › vconfig add iface vlanid

a bridge vytvaras cez brctl
,

Cize opat vytvorim cez vconfig pod eth1 a eth2 vlanu napr s id 32 a dam potom tieto vlany do bridgu?
JOFO - 12.04.2012 - 18:29
Post subject:
hej, presne tak
marsl - 12.04.2012 - 18:34
Post subject:
JOFO wrote: ›hej, presne tak


No kedze tomu uz ako tak chapem skus este vysvetlit to co si pisal ze:

- Management VLAN --> radia konfigurujem na samostanej VLANe
- Zakaznicka VLAN --> data od zakaznikov

To znamena ze zakaznikov mas v jednej vlane a zariadenia zakaznikov napr. Loco M5 v inej.
Cize ak si da zakaznik tracert tak ide hned von? A nevidi co vsetko mas po sieti?
pedro4444 - 12.04.2012 - 18:40
Post subject:
marsl wrote: ›
pedro4444 wrote: ›preco hlupost? ja pouzivam ku koncovemu zakaznikovi pokila chce priamo do pc tak nat a zatial ziadny problem...


Problem to nie je aspom som stym problem nemal ked som to pouzival. Ale je kopa ludi ktora chce verejnu IP a ked im povies ze IP 10.10.100.158 je v skutocnosti x.x.x.x verejna Ip tak pozera na teba ci si normalny, ze preco to robis tak ked inde to robia inak atd...



ja som sa s tymto este nestretol jednoducho zakaznik chcel verejnu on ma aj tak vzdy zapnute dhcp, nema sajnu aku ip ma pridelenu odomna a na to mu nanatujem verejnu, tu mu poviem a este som sa nestretol s niekym kto by taketo nieco hovoril, ked mu to ide v pohode preco by sa stazoval....
JOFO - 12.04.2012 - 19:25
Post subject:
marsl: to bol priklad pouzitia.. ja mam NATovanych zakaznikov routovanych cez viacere subnety (podla lokalit). Ale management VLAN je dobra prave pri nasadzovani verejnych IPciek, aby sa to nebilo s klientovimi sluzbami. Teda aby si mohol uzivatel spokojne spravit na svojej verejnej IPcke napr HTTP alebo SSH server.. Proste aby mal komplet vsetky porty volne a nezaberal ich manazment klientskeho radia...
VLANy sa daju pouzit podla lubovole...Smile
zelmar - 12.04.2012 - 20:15
Post subject:
marsl wrote: ›
JOFO wrote: ›hej, presne tak


No kedze tomu uz ako tak chapem skus este vysvetlit to co si pisal ze:

- Management VLAN --> radia konfigurujem na samostanej VLANe
- Zakaznicka VLAN --> data od zakaznikov

To znamena ze zakaznikov mas v jednej vlane a zariadenia zakaznikov napr. Loco M5 v inej.
Cize ak si da zakaznik tracert tak ide hned von? A nevidi co vsetko mas po sieti?


Vidim ze tu uz prepukla VLAN mania....

VLANy su skvela vec ako oddelit datove toky od seba (aj ed z pohladu devajsov sa ni nedeje lebo paket je stale taky isty len ma nejake bajtiky navyse.
VLANy su silna vec ale treba si uvedomit ze je to stale len L2 riesenie co so sebou prinasa problemy napr. velka broadcast domena, sledovat MAC address tabulky na davejsoch atd.
Rozdiel medzi routovanim a vlanovanim je ze routre si navzajom vidia iba MAC svojich iface+co je na nich, kdezdo pri vlan topologi kezdy clen tejto topologie vidi mac vsetkych ostatnych a ako to uz vo svete byva vzdy sa najde nieco co sa moze dodrbat.
Preto odporucanie routovat,routovat, routovat to je zlate pravidlo IP sveta a VLANnovat silne s rozumom,premyzlene, lebo to moze priniest viac problemov ako uzitku.
Ked uz tu riesite tie selijake MK a tracerouty tak tam urobi L2TP tunely niekam na centralny router(popr EoIP v podani MK) a zakaznik bude vidiet ze je na jeen skok v nete. Konfiguracia otazka par sekund az minut.
A na setrenie verejnych IP jednoznacne chlapci PPPoE+radius a jeden spolocny pool.
U nas je bezne ze zakaznik ked si pozrie aku ma verejnu IP tak mu vypise napr. 87.239.56.0 a druhemu 57.0 a podobne zhovadilosti.
pixall - 12.04.2012 - 20:41
Post subject:
pekne ste sa rozkecali... ja k tomu tolko ze

1) prekladat verejnu IP na vnutornu je zvrhlost pretoze to vyslovene vadi protokolom, ktore IPcku zahrnaju do datovej casti paketu. typicky priklad je FTP, IPSEC, SIP. samotny IPSEC sa odmietne cez natko spojit, poklada ho za porusenie bezpecnosti, lebo s paketom po ceste niekto nieco spravil (prelozil v nom adresu) a uz nie je doveryhodny. existuje na to v IPSECu NAT traversal ktory ten preklad odignoruje, ale uz to nie je taka zaryuka bezpecnosti, ako keby tam NATko nebolo a NAT traversal by nebol zapnuty. pri protokole FTP vedie NAT k nutnosti pouzivat passive mode - a ked ma server passive mode nahodou zakazany, tak FTP nejde pouzit cez NAT vobec. na SIPe je castym prejavom NAT ze telefonny hovor pocut iba v jednom smere, su na to rozne helpery (moduly do NAT ktore maju SIPu pomoct preliezt cez NAT)... otazka je ale, preco ma provider minat vykon svojich zariadeni na NATovanie, ked tym prinesie uzivatelovi mierne pokazenu sluzbu, a sebe naviac problemove situaci pri logovani toho, ktory ucastnik isel do netu pod ktorou IP adresou. NAT je korektny a zmysluplny na vnutrofiremnej sieti, ale na serioznu verejnu telekomunikacnu siet nepatri.

2) verejna IP na klientovom PCcku nie je problem (resp neverejnu IP nie je mozne chapat ako ochranu PC pred nastrahami internetu). windowsy obsahuju firewall uz davno, potom existuju dalsie personal firewally, a v este stale zostava moznost na strane providera filtrovat prichadzajuce spojenia na takyto pocitac....

3) setrit verejne IP sa da najlepsie cez PPPoE. na kazdeho prave prihlaseneho klienta je treba prave jednu verejnu IP adresu, ani o chlp viac. ziadne delenie na subnety, ziadne stratene IP na network, broadcast a router, ziadne nepouzite IPcky v subnetoch... ked mam 1000 klientov z toho maximalne 700 online, staci na to 700 IP adries. nezavisi pritom na akej velkej sieti su, pretoze este raz zdoraznim, PPPoE zerie jednu IP na klienta a netreba nechavat nic na subnet, mask, gateway, ani delit rozsah na mensie subnety (kde potom ostavaju nevyuzite IPky).

4) VLAN versus routovana siet... to co je popisane vyssie (ze sa na ethernet potre dvihne vlana a ta sa zbridzuje s inym portom alebo vlanou) je z nudze cnost ktora vyplyva z implementacie VLAN v linuxe, ale toto nie je to prave orechove. bezna implementacia VLAN v sietovych prvkoch je taka, ze bud zapnes na porte nejake VLANy, alebo naopak pridelis porty do nejakej VLANy, ale uz nic nebridgujes, to sa deje "samo". a nerobia sa VLANy (co je layer2 ficurka) nad routovanou sietou (co uz le layer3), ale naopak, nad fyzickou sietou sa robia VLANy (layer2), a medzi jednotlivymi VLANami sa potom robi routing (layer3).

upozornenie na zaver... vsetky tu spomenute veci (vlany, pppoe, zrusenie NATka) nocu byt na prvy pohlad vselijake, ale ked im clovek pride na chut, su velmi navykove.. kto ich raz skusil, nebude vediet prestat... Laughing
JOFO - 12.04.2012 - 21:16
Post subject:
svata pravda pixall Smile
je to velmi navykove Very Happy
ewew - 12.04.2012 - 21:21
Post subject:
pixall wrote: ›pekne ste sa rozkecali... ja k tomu tolko ze

2) verejna IP na klientovom PCcku nie je problem (resp neverejnu IP nie je mozne chapat ako ochranu PC pred nastrahami internetu). windowsy obsahuju firewall uz davno, potom existuju dalsie personal firewally, a v este stale zostava moznost na strane providera filtrovat prichadzajuce spojenia na takyto pocitac....

S správne nastavením firewallom na klientskom PC nie je problém. Len s čo s systémom, ktorý nemá správne nastavený firewall alebo neaktualizovaný systém ?
Iste si počul o probléme s RDP. Iná vec je, že samba tiež posiela broadcasty do Internetu.

Môj názor je, že priama verejná IP je vhodná len pre dobre zabezpečený serve s verejnými službami.
kiwi - 12.04.2012 - 22:00
Post subject:
paci sa mi ako si tu strielaju komplimenty jofo s najvyssim sefom alpi Smile, ale nie o tom som chcel Smile

som rad, ze aj mikrotikaci prisli na chut vlankam a nechcem verit vlastnym ociam, ze sa tu naozaj rozbehol "naucny" serial, ako nieco niekde nove nastavit a naucit sa

nenechajte sa rusit, a mudrujte Smile, dobre sa to cita
midnight_man - 12.04.2012 - 22:29
Post subject:
Misove riesenie siete s priradovanim verejnych IP je fajn riešenie. Už davno zmýšlam nad tým postaviť sa k tomu podobne..nakoľko je to aj do IPV6 krasne "prechodné" Ale mišo, tiez ip adresu dostane len tupý TP link router položeny na chladničke. Dnes keď máš doma 3-4 PC sa to ináč ani neda.

Stojim za tym, ze verejna IP nepatri klientom do PC, ani tým..čo si myslia, že to vedia. Dôvody snáď ani netreba menovať...Ale ak niekoho baví písať maily na správu blacklistov, aby vašu IP odblokovali tak prosím.

Správne tu niekto poznamenal že verejná IP patrí len do strojov na to určených, poskytujúcich výhradne nejaké služby. Nie klientom do PC.
rado3105 - 12.04.2012 - 22:49
Post subject:
vsetko to prave ide tym smerom, 1ip - 1osoba(resp. osoba viac ip registrovanych na seba), cim vlastne sa umozni aj lepsia kontrola osob....(sopa, pipa...)
JOFO - 12.04.2012 - 23:20
Post subject:
kiwi, sranda musi byt... Very Happy
Thomas - 12.04.2012 - 23:22
Post subject:
midnight_man wrote: ›Misove riesenie siete s priradovanim verejnych IP je fajn riešenie. Už davno zmýšlam nad tým postaviť sa k tomu podobne..nakoľko je to aj do IPV6 krasne "prechodné" Ale mišo, tiez ip adresu dostane len tupý TP link router položeny na chladničke. Dnes keď máš doma 3-4 PC sa to ináč ani neda.

Stojim za tym, ze verejna IP nepatri klientom do PC, ani tým..čo si myslia, že to vedia. Dôvody snáď ani netreba menovať...Ale ak niekoho baví písať maily na správu blacklistov, aby vašu IP odblokovali tak prosím.

Správne tu niekto poznamenal že verejná IP patrí len do strojov na to určených, poskytujúcich výhradne nejaké služby. Nie klientom do PC.


ale čo nepatrí ako to robia velký ISP ? dsl, wimax ... ?
tiež dávaju verejnu ip priamo klientovi a koľko krát priamo na PC bez nejakého routra ?
a čo budeš hovoriť potom pri IPv6 ked klientovi nejako či už pppoe alebo dhcp natlačíš do routra subnet /64 ktorý bude napriamo routovaný bez akéhokoľvek natu ? klient bude mať hovadsky moc verejných ip adries
pixall - 14.04.2012 - 00:20
Post subject:
ewew wrote: ›S správne nastavením firewallom na klientskom PC nie je problém. Len s čo s systémom, ktorý nemá správne nastavený firewall alebo neaktualizovaný systém ?
Iste si počul o probléme s RDP. Iná vec je, že samba tiež posiela broadcasty do Internetu.


chapem co hovoris. pri planovani migracia userov na verejne IP som vychadzal z toho ze bezny user je laik, a ked sa mu nepostaram o zakladnu ne/zranitelnost PC z internetu ja ako provider ale necham to alibisticky na neho, tak to dostanem naspat ako boomerang zasranim pocitacov klientskych pocitacov, nahlasovanim poruch, zahlcovanim liniek wormami, atd.

pretoze skutocne pri migracii beznych userov z neverejnych na verejne IP vystavime usera vacsiemu riziku utoku z internetu, vytvorime beznym frantom uzivatelom default firewall na nasej strane. masina ktora ich teraz NATuje, ich bude namiesto NATu firewallovat. pricom firewall je koncipovany tak ze bude zmenitelny alebo vypnutelny pre kazdeho usera osobitne. takze defaultne bude samba, RDP, atd zakazana (resp nielen tieto, ale vsetky spojenia z internetu na PC) ak dotycny nie je BFU a chce to pouzit, tak si to bude moct na vlastnu zodpovednost povolit.

ewew wrote: ›Môj názor je, že priama verejná IP je vhodná len pre dobre zabezpečený serve s verejnými službami.


to by som si ja tvrdit nedovolil, pretoze inymi slovami to znamena, ze vsetci internet provideri (okrem dsl zdielacov a wifickarov) nevedia co robia, ked davaju zakaznikom verejne IPky.
pixall - 14.04.2012 - 01:21
Post subject:
midnight_man wrote: ›Misove riesenie siete s priradovanim verejnych IP je fajn riešenie. Už davno zmýšlam nad tým postaviť sa k tomu podobne..nakoľko je to aj do IPV6 krasne "prechodné" Ale mišo, tiez ip adresu dostane len tupý TP link router položeny na chladničke. Dnes keď máš doma 3-4 PC sa to ináč ani neda.


pozor, ja som netvrdil (alebo ak nahodou ano tak som to tak nemyslel) ze verejna IP do kazdeho PC..... to ani nie. tvrdim ze verejna IP kazdemu klientovi (zakaznikovi, ucastnikovi). ak ma len jeden pocitac, tak mu ta IPka bude rovno v pocitaci. ak ma TPlink na chladnicke, tak ta verejna IPka bude dam. proste tvrdim ze to treba v tejto veci robit presne tak, ako sa to bezne robi u strednych a velkych operatorov.

midnight_man wrote: ›
Stojim za tym, ze verejna IP nepatri klientom do PC, ani tým..čo si myslia, že to vedia. Dôvody snáď ani netreba menovať...Ale ak niekoho baví písať maily na správu blacklistov, aby vašu IP odblokovali tak prosím.


pred blacklistami a spamlistami mame naskok, sme rychlejsi.... useri u nas maju ratelimit na odosielanie mailov cez SMTP, ak ho prekrocia (pocas nejakeho casoveho intervalu) tak sa im SMTP blokne. odblokne sa automaticky ked prestanu pribudat dalsie pokusy o odoslanie mailu.... clovek pocka, a za chvilu mail odosle.. no spambot bude busit dalej aj do firewallu a udrzi ho tak zavrety. ked sa ozve user ze nemoze odoslat postu, pozrieme ci nie je bloknuty a ak ano, je to jasne. staci najst v pocitaci pricinu a za chvilu je blokovanie prec a posta fici. tie limity su take, ze user ich normalnym pouzivanim nedosiahne, ale bordel to chyta uspesne.
pedro4444 - 14.04.2012 - 10:20
Post subject:
tiez som toho nazoru ze verejna ip nepatri do kazdej masiny.... Ja aj ked naplno prepukne ipv6 aj tak nadalej budem pouzivat nat pre ochranu svojich pc a aj uzivatelov to im lahko pojde vysvetlit ze je to pre nich riziko a ti co teda silou mocou to budu chciet tak budis ale nech si pak znasaju nasledky...
zelmar - 14.04.2012 - 13:09
Post subject:
pedro4444 wrote: ›tiez som toho nazoru ze verejna ip nepatri do kazdej masiny.... Ja aj ked naplno prepukne ipv6 aj tak nadalej budem pouzivat nat pre ochranu svojich pc a aj uzivatelov to im lahko pojde vysvetlit ze je to pre nich riziko a ti co teda silou mocou to budu chciet tak budis ale nech si pak znasaju nasledky...


A ako budes natovat ipv6?

IPv6 od zakladu pocitala s tym ze NAT tu je a nerobi dobrotu mnohym protokolom a preto bola navrhnuta tak ako je teda kazda domacnost /64 (18446744073709551616) verejnych IP. A uzivatelom to nevysvetlis jedine si narobis robotu sam sebe.
Routre ktore podporuju ipv6 si veselo cez link local pokecaju s najblizsim routrom a dhcp serverom cez link local nafasuje /64 prefix a naladuje ho rovno na svoje LAN rozhranie a routuje o zivot.Ziadne naty paty dnaty snat a ine aty zvrhlosti.
midnight_man - 14.04.2012 - 14:52
Post subject:
zelmar, teda pocita sa s tym ze klient dostane IPV6 do TP linku? alebo sa budu pridelovat IP kazdemu zariadeniu ktore ma zakaznik pripojene k sieti? Tym padom sa zas dostavame k rieseniu centralneho radiusu alebo teda PPPOE...ako to vidiš ty?
pedro4444 - 14.04.2012 - 17:04
Post subject:
to mas pravdu klientov riesit nebudem to by som sii veru dal zbytocnu robotu nech si tu verejnu uziju ale pre ochranu seba,lebo ja som niekde cital ze aj ipv6 bude mat nejaky ten nat... ale zodraznujem len so mto cital rad sa encham poucit..Smile
Thomas - 14.04.2012 - 18:48
Post subject:
zelmar wrote: ›
A ako budes natovat ipv6?

IPv6 od zakladu pocitala s tym ze NAT tu je a nerobi dobrotu mnohym protokolom a preto bola navrhnuta tak ako je teda kazda domacnost /64 (18446744073709551616) verejnych IP. A uzivatelom to nevysvetlis jedine si narobis robotu sam sebe.
Routre ktore podporuju ipv6 si veselo cez link local pokecaju s najblizsim routrom a dhcp serverom cez link local nafasuje /64 prefix a naladuje ho rovno na svoje LAN rozhranie a routuje o zivot.Ziadne naty paty dnaty snat a ine aty zvrhlosti.


Mno koncom minuleho roka vyšla sprava že linuxovy kernel by mal obsahovať NAT aj pre IPv6 , ale v akom je to štádiu neviem moc som to nesledoval .
pixall - 14.04.2012 - 18:56
Post subject:
Thomas wrote: ›Mno koncom minuleho roka vyšla sprava že linuxovy kernel by mal obsahovať NAT aj pre IPv6 , ale v akom je to štádiu neviem moc som to nesledoval .


NAT sa pouziva nielen na skrytie celej siete za jednu verejnu IP, ale aj (vo svojej prapodstate) na zmenu zdroja alebo ciela paketu... skratka leti mi cez router nejaky paket a chcem ho presmerovat niekde inde, lebo bager. transparentne proxy, a tak podobne. uplne zahodit NAT je blbost, ale pouzivat ho na kazdom routeri je tiez trochu blbost. extremy su skodlive Smile
rado3105 - 14.04.2012 - 19:19
Post subject:
co som cital, tak NAT ma v ipv6 sluzit len na komunikaciu s ipv4, iny vyznam, resp. pouzitie v ipv6 ma nenapada....
midnight_man - 14.04.2012 - 22:42
Post subject:
IPV4 ako vsetci vieme je hodne stare....vtedy nik netušil ako to bude dnes. V tej dobe sa podla mna nepocitalo s tym ze bude tolko osobny PC na svete...myšlienka verejných IP adries pre klientov nebola vtedy "in". Tak tu bol NAT. Dnes sa doba mení, pri internete sa tlačí na nutnosť vedieť identifikovať zdroj packetu..prišlo IPV6 a vela problemov je vyriešenych.

Mna by zaujimalo kedy bude totalna nutnost prejst s IPV4 na 6?? NA kedy to vidite.
pixall - 14.04.2012 - 23:51
Post subject:
midnight_man wrote: ›IPV4 ako vsetci vieme je hodne stare....vtedy nik netušil ako to bude dnes. V tej dobe sa podla mna nepocitalo s tym ze bude tolko osobny PC na svete...myšlienka verejných IP adries pre klientov nebola vtedy "in". Tak tu bol NAT. Dnes sa doba mení, pri internete sa tlačí na nutnosť vedieť identifikovať zdroj packetu..prišlo IPV6 a vela problemov je vyriešenych.

Mna by zaujimalo kedy bude totalna nutnost prejst s IPV4 na 6?? NA kedy to vidite.


na velmi dlho... v ipv4 adresnom priestore je IPcka pre polovicu ludi na zemi, a ak v domacnosti ziju priemerne 4 ludia, tak je IPciek v ipv4 dvakrat viac nez domacnosti na svete. a to ani zdaleka nie su a ani tak skoro nebudu vsetci online. aj optimisticky plan EU spred par rokov, o tom ze v 2020 bude online kazdy europan, sa uz dnes javi ako nerealny.

dnes mame opticku trubku, v nej mikrotrubku, v nej kabel, v nom buffer, v nom vlakno, v nom DWDM, v nom nejake MPLS, v nom nejaky ethernet, v nom jedno dve QinQ, v tom nejake IP, v tom SIP, v nom T.38 a v nom sa este furt prehanaju nejake ciernobiele faxy na 9600 bps... fax bol technicky prekonany uz bezmala pred 20 rokmi, novsie riesenie ho aj pocetnostou predbehlo snad pred desatrocim, no a stale je tu a niektori bez neho nevedia zit. IMHO, az ked za par desiatok rokov umrie fax, tak az niekedy vtedy za zacne IPv4 zaoberat prvymi problemami stredneho veku... Laughing myslim ze okrem strasenia ze dochadzaju IPcky, sa este hodne dlho nic vazne neudeje... ak teda neratame ten koniec sveta v decembri 2012 Wink
midnight_man - 15.04.2012 - 00:04
Post subject:
hej, tiez som sa cudoval ze multifunkcne od samsungu za 400€ ma fax a telefonnu pripojku Cool
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits