Sieci

Może @Pan_Slon coś doradzi

@curvidus Ubiquiti w wersji modela w której kilka AP'ków jest widzianych jako jedna siec wifi. Nie, nie mówię o mesh. Będzie trzeba połączyć dwa, trzy AP'ki kablem.

mam tp linki covr i teoretycznie funkcje routera mają. Niestety całość jest na tyle słaba, że używam tego jako drugiej sieci do "smart" domu. Tak, żeby brama wjazdowa, garaż i pare kamer miało zasięg bez ciągnięcia kabli. W domu jednak kabel pociągnąłem i rozstawiłem dwa access pointy. Działa to o niebo lepiej niż mesh. Dom ~220m2. Najbardziej bolało to, że czuć kiedy komunikujesz się z zewnętrznym node a kiedy z master node. Niemniej - tak, działa i możesz zrobić tak jak planujesz.

Wez router na klatkę i połącz się innym, krótkim kablem.

Podlacz lapka z gigabitowym portem eth i bedzie wszystko jasne. Giagabitowa usb karte kupisz w markiecie za 20 zl

Ewentualnie dhcp serwer na lapku (jwst w pakiecie z tftp client, znakdziesz na pewno na google) i podlacz go donportu wan na routerze

@scorcc jak nie planujesz zmieniać routera za 2-3 lata, to lepiej brać z 6.

@scorcc - bierz z WiFi 6 jak możesz - ale tylko taki co wspiera OpenWRT: https://openwrt.org/toh/start

@TRPEnjoyer w sensie 10zł miesięcznie by Ci rozwiązało problem ale szukasz alternatywy? Czemu?

@TRPEnjoyer Jakiś stunel, ale to też kosztuje jeśli użytkownik nie ma zasobu na zewnątrz

Ok sprawdziłem i są rozwiązania jak tunelling do zewnętrznego zasobu czy reverse proxy i to tanio wycenione jak localtonet.com czy localxpose.io, dobre i takie obejście.

"Pana domena toledoclubpolska.pl posiadała rekordy DNSSEC, które blokowały propagację zapisów DNS.

Usunąłem te rekordy.

Domena powinna zacząć poprawnie odpowiadać z naszego serwera w przeciągu 3-4godzin."

@dotevo https://jensd.be/343/linux/forward-a-tcp-port-to-another-ip-or-port-using-nat-with-iptables

W domu jednorodzinnym mam 1 Ubiquiti ap lr wifi5. Na całej działce mam super zasięg. Bez dhcp i jakis dziwnych ustawien jako sam ap to aplikacje możesz mieć na kompie. Działa miodzio z mikrotikiem.

@malkontent Oki, popatrzę za nim

Fajnie że można z góry ogarnąć adblocka

@Jason_Stafford masz nawet do wyboru, diversion lub adguard home, do tego jakieś firewalle i inne skrypty, oprogramowanie często aktualizowane

Od wielu lat używam routerów Asus z alternatywnym oprogramowaniem Merlin WRT. A dodatki typu adblock (Diversion) i firewall (Skynet) ograniasz za pomocą wbudowanego narzędzia amtm: https://diversion.ch/amtm.html

@S__C jestem konsumentem ale zadzwonię, dopytam się chociaż gadać nie lubię

No ichniejsze poradniki... z routerów z lat 2015... 0 aktualizacji

@UncleFester wolałbym i ich router jak najmniej robił bo jest zawodny. Ale opcja z DMZ nie wiedziałem, będzie to Plan B, dzięki wielkie

@UncleFester @S__C netia mi zniszczyła wczorajszy wieczór ale zrobiła mi niedzielę.

@S__C zadzwoniłem do netii tak jak mówiłeś. Niedziela, myślałem że będą problemy lecz odebrała kobieta. No to z doświadczenia już wiedziałem że uja z tego będzie. Sorry, nie jestem szownistą, ale mam życiowe doświadczenia z gadką z kobietami z supportu.

No to mówię jej co chce. No to odpowiedziała "aaa chce pan tryb bridge". No zaskoczenie, ONA MNIE ROZUMIE xD Nadajemy na tych samych falach!

Z jednej strony uradowany, bo kobiecina wie o co mi chodzi, ale z drugiej strony... zmienisz mi tryb router na tryb bridge tak jak ja wczoraj to robiłem przez pół wieczora i uja zadziała.

No ale nic nie mówię, niech przełącza... Przełączyła na tryb bridge, zapytałem się czy coś ustawiać na swoim routerze - ona że nic - rozłączyliśmy się. Yhm.. nic nie ustawiać.. taaa ale zobaczymy.

No i powtórka z wczoraj gdy sam to przestawiałem... brak internetu na routerze. No dobra, to ustawię hasło PPoe... i działa! xD

Jebańcy muszą mieć jakieś większe opcje. I chyba wiem jakie! Jak ja ustawiałem tryb bridge, to router widział internet... ale wewnętrzny. Jak ona przestawiła router - to mój router nie otrzymał żadnego IP, nawet wewnętrznego.

Musiała pewnie ustawić na którym porcie LAN ma być tryb Bridge - bo defaultowo było/jest że na żadnym. Więc samemu uja się zdziała bez supportu.

@Klopsztanga cieszę się, że udało się ogarnąć temat. Netia nie jest taka zła biorąc pod uwagę konkurencję np. Vectrę.

Zawsze możesz prosić o przełączenie do kogoś technicznego z wsparcia klienta lub 2-poziom nie wiem jak to się nazywa.

W każdym razie oni mają procedury na to i pewnie robi z "knowledgebase".

Kobietki admini też się zdarzają, wcale nie musi być gorzej - to co cenie sobie u kobiet z IT to, że się łatwo nie poddają, mają inne spojrzenie na problem i bardziej im zależy. Niestety jak gość zarobiony to powie żebyś spadał na drzewo banany prostować albo, że się nie da i już robi inny temat. Różnie to bywa nie ma co generalizować tylko skupić się na rozwiązaniu problemu.

Jeszcze raz gratuluję uporu w dążeniu do celu

@Marchew operator? Panie, to huawei. Jakby tylko operator miał dostęp to by było gites

@Klopsztanga Szczerze to wolę kiedy o wchodzeniu na pudelka wie chińczyk niż nasz polski rząd

@Marchew a ja wolę gdy przegląda moje internety jedna jednostka zamiast dwóch

Jak można się tym bawić? To nie sprzęt użytkowy?

@Kubilaj_Khan a no można, można się bawić opcjami

Zaraz wleci test lan'a 10gbe

@Klopsztanga hehe

@Klopsztanga w firmie od roku wisi na dwóch śrubach i ma się dobrze, no chyba, ze masz szafę z chińskiego gównolitu, ale jak kupujesz UDM to raczej chyba nie ( ͡° ͜ʖ ͡°)

te uszy na lajcie go utrzymają, a jak masz obawy to zawsze możesz szynami podeprzeć

@zomers @MaD @Gustawf dzięki za odpowiedzi. Na wszelki wypadek się pytam by nie było przypału, bo nie znam się na szafach rack , bo to moja pierwsza

@Marchew raczej taki kontroller sieci. Switch głównie z software i systemem operacyjnym

@miej_nos_na_pol_mordy Haiprin NAT, Loopback NAT się to nazywa. Musisz w 1 kolejności to na swoim routerze skonfigurować, jeżeli masz bezpośrednio na nim zewnętrzny adres IP. Jeżeli jednak nie masz na swoim routerze tego adresu IP zewnętrznego, to twój operator musi to skonfigurować u siebie.

@nicram wedlug routera, to od dostawcy dostaje IP w postaci 10.6.XX.XXX. Dopiero na stronach typu moje-ip.eu widze swoje IP. Czyli jesli dobrze rozumiem, to bez kontaktu z ISP sie nie obejdzie

@miej_nos_na_pol_mordy Zgadza się, to znaczy że masz NAT-owanie 1:1 (przekierowanie ruchu całego), ale bez hairpint nat.

@mike-litoris u mnie to służyło AŻ do wejścia aplikacją na rejestrator TVu. Teoretycznie mogłem korzystać z zasobów całej sieci domowej (i np. zapalić gdzieś światło), ale to była możliwość czysto teoretyczna.

Faktycznie moje doświadczenia z tym były raczej słabe - przekonany byłem, że to kwestia słabego uploadu (choć powinien spokojnie przepchnąć obraz) w domu, ale to chyba nie to.

Myślę realnie nad wystawieniem (a najpierw przestawieniem na jakiś pięcocyfrowy) portu rejestratora (ma dwa - 80 do wejścia przez przeglądarkę i bodaj 5900 do transmisji obrazu i całej reszty - tak, to jest jakiś chiński z dupy wysrany rejestrator, aplikacja jest do dupy, no ale w miarę działa i nic innego go nie rozumie) na świat i olanie VPN w telefonie - dla komputera (gdybym faktycznie czegoś potrzebował) zostałoby L2TP, które na Linuksie działało całkiem dobrze.

Pytanie, jaka jest realna szansa włamu i narobienia szkód w sieci wewnętrznej.

@REXus

jaka jest realna szansa włamu

100%, raczej powinieneć pytać o czas w którym do tego dojdzie.

wystaw sobie ssh na raspberry pi i zobaczysz jak szybko małe chińskie rączki pukają do Twych drzwi

Mam reverse proxy na którym wystawiam dwie aplikację a resztę żądań (na mój IP ale nie na zdefiniowane vhosty) przerzucam na duckduckgo i musiałbym CI pokazać ile-set megabajtów ma dzienny access.log

a najpierw przestawieniem na jakiś pięcocyfrowy) portu rejestratora

zapomnij- w najlepszym wypadku botom zajęło dwa dni rozpracowanie że ssh nasłuchuje u mnie na porcie 22022.

i narobienia szkód w sieci wewnętrznej.

Jest takie powiedzenie- jeśli ktoś ma fizyczny dostęp do Twojego komputera- to już nie jest Twój komputer. Podobnie ma się sprawa z siecią. Przynajmniej ja do tego podchodzę bardzo na serio.

Temu możesz spróbować wdrożyć koncept DMZ - czyli takiej strefy sieci domowej która widoczna jest ze świata, z sieci wewnętrznej, ale ona NIE widzi Twojej sieci wewnętrznej.

Ja do takiego DMZu np mam wpięty firmowy komputer - bo traktuję go jako obce urządzenie w sieci. A nuż któryś admin będzie się nudził i odpyta cały zakres poszukując np zasobu SMB

Mam też inny segment w którym siedzi np NAS - on widzi całą sieć domową i sieć domowa widzi jego, ale on nie ma łączności z internetem i lamentuje że nie może pobrać aktualizacji Ale dzięki temu wiem że jakich metryk nie zbierałby - nie zadzwoni do bazy i nie sprzeda mnie.

Także jakbyś pytał mnie o zdanie - tylko i wyłącznie VPN na chatę.

@mike-litoris wiem jak szybko dzieją się pewne rzeczy - kiedyś niechcący wieczorem wystawiłem DNSa i rano się zdziwiłem, jak łączność muli. Po zablokowaniu jeszcze przez tydzień firewall ich odbijał.

Tylko, że trochę co innego SSH, które dawałoby realne możliwości, a co innego np. HTTP (mam przekierowany port na serwerek lighttpd i nie dzieje się kompletnie nic), czy kompletnie z dupy wysrany rejestrator, nasłuchujący na dwóch (jak się okazało) portach (jak rozumiem, jeden jest do komunikacji, a drugi do transmisji wideo) w sobie tylko znany sposób. No, może jeszcze tym chińczykom, którzy go zbudowali, bo już polski dystrybutor na pewno nie miał pojęcia (co wnioskuję z instrukcji). Realnie - trzeba by przez te porty wejść na konsolę tego ustrojstwa, żeby coś nachrzanić - bo to, że ktoś zdobędzie obraz z mojego podwórka - hmm... są łatwiejsze sposoby, z mniejszą szansą, że się zorientuję.

Na razie wystawiłem, od wczoraj MT nie zarejestrował ani jednego pakietu na tych portach. Jak mawiają - jeździć, obserwować, w razie "W" wyłączę przekierowania (i nad DMZ się wtedy też zastanowię).

Kojarzę że Mikrotik hAP ac ma taką możliwość ale jest to drogie rozwiązanie.