Přestaly Vám fungovat aktualizace na Windows 7?

Pokud jste zrovna nainstalovali originální windows 7 a nějak Vám nefungují aktualizace, respektive fungují, ale nic to nedělá, tak doporučím tento link.

Ve své podstatě jde o tyto aktualizace:

Windows 7 32-bit (x86):

Windows 7 64-bit (x64):

Jenže ani přesto Vám to nepůjde nainstalovat, takže před každou instalací konkrétní aktualizace musíte otevřít příkazovou řádku za admina a napsat:

net stop wuauserv
net start wuauserv 

Anebo po každé instalaci jednotlivých aktualizací restartovat počítač, pokud se necítíte na to, spustit příkazovou řádku za admina a provést restart služby. Oboje řešení jsou možná.

Příprava na LPIC-1 certifikační zkoušku #2 Otravná teorie 2/2

 

Dnes si spláchneme pojmosloví.

Není Linux jako Linux. Franta má Ubuntu Linux, Pepa má Debian Linux, Honza má CentOS Linux. Všechno je to Linux, ovšem každá z těchto distribucí má trošku upravené jádro, zastává jinou mentalitu a tomu odpovídá i míra využívání jednotlivých distribucí pro jejich účely.

Wikipedie sice není relevantní zdroj, proto sem koukněte na seznam linuxových distribucí jen pro základní orientaci v distribucích.

Svoje názory do článků budu psát kurzívou, aby jste věděli, že to nesouvisí s kurzem, ale s mým osobním přidáním názoru na věc.

Za mě nejslavnější distribuce seřazené dle abecedy:  

Arch Linux
CentOS
Debian
Fedora
Gentoo
Mint
OpenWRT
Puppy
Raspberian
Red Hat Enterprise Linux
Slackware
Slax
Suse
Ubuntu

Historie Linuxu v kostce zde. Zde historie od Unixu k Linuxu. Pro extra hnidopichy, které neodradily předchozí 2 články o historii přidám i tento, co je to Operační systém, což Vám odpoví na základní otázku života, smrti a tak podobně, co se účelu vzniku operačních systému týče.

Smysl a účel Kernelu

3 hlavní komponenty operačního systému jsou:

  • Filesystem (souborový systém)
  • Kernel
  • Shell

Kernel vše řídí a naviguje, řeší co se má dít s pamětí, spouští, zabijí programy, zajišťuje zobrazování textu na monitor. Kernel je v operačním systému takový základ, jako je gravitace a veškeré fyzikální zákony v našem existujícím světě. Když aplikace chce zapsat na disk, musí ji to povolit kernel. Pokud se 2 či více aplikací dožadují stejného zdroje, Kernel rozhodne komu a na jak dlouho zdroje přidělí. Představte si Kernel jako Matrix ve stejnojmenném filmu.

Kernel se tedy stará o běžící programy v počítači. Spuštěný program je proces. Procesy si představte jako pasažéry v autobusu. 8 jádrový procesor zvládne utáhnout 8 běžících procesů, které spotřebovávají 100% všech jader procesoru. Je to jako kdybychom měli autobus s 8 pasažéry, kteří zabírají 100% prostoru pro pasažéry, tedy všech 8 sedadel. Když nějaký proces jel dostatečně dlouho,  CPU ho dočasně pozastaví, aby se mohl svézt jiný proces. Všichni se tedy na těchto sedadlech autobusu neustále střídají a dělí o sedadla, aby mohli sedět všichni.

  • To je preemptivní multitasking (pre-emptive multitasking)

Multitasking je víceúlohovost. Každá žena umí multitasking, tedy zvládat více úkolů naráz. (poslouchat hudbu, číst, dávat přitom pozor na děti a ještě stíhat vařit).
Pre-emptivní (pre-emptive) znamená, že se Kernel rozhoduje, kdy předat řízení jakému procesu. (kdy se má který pasažér posadit) Když se neustále na procesoru běžící procesy střídají (když se neustále střídají pasažéři v tom kdo bude sedět na sedadle autobusu), tak se zdá, že počítač dělá hodně věcí současně. Ve skutečnosti je to však pouhé střídání se pasažérů na jednom sedadle.

Každá aplikace se domnívá, že má velký blok paměti vyhrazenou systémem, ale ve skutečnosti je Kernel tak “chytrý”, že neustále přemapovává, přerozděluje, organizuje malé bloky (části) paměti napříč běžícími aplikacemi, anebo odkládá nepoužívané části paměti na disk, aby si paměť uvolnil.

Když počítač startuje

načte základní program, kterému říkáme:

  • Bootloader
    ten následně spustí:
  • Kernel

Co je to Aplikace

představte si křižovatku a uprostřed ni je Policista, který organizuje dopravu. Policista je Kernel, projíždějící auta jsou spuštěné aplikace. Policista má nad auty výhradní kontrolu. Může je zastavovat, sledovat jejich provoz, pouštět dle požadavku a řešit systémové zdroje (uzavírat silnici apod…)

V rychlosti o Open-source

Linux vychází z operačního systému UNIX, který vzešel z laboratoří AT&T v USA. Autorem Linuxu je Linus Torvalds, byla to jeho disertační práce. K jeho projektu se pak přidali další lidi, kteří zajistili, aby se nejen v počátečních verzí linuxu neobjevily stejné chyby, jaké se objevily v OS UNIX. Open-source znamená otevřený kód. Napíšete program, jeho zdrojové kódy volně vydáte a pak se nestíháte divit, že Váš kód někdo vezme a třeba na to naváže. Jakmile je něco vydáno jako open-source, je to zdarma, pokud někdo chce na Vaši práci navázat, tak může. Pokud mě však paměť nešálí, nikdo nemůže použít něčí open-source kód v komerčním produktu. (To nechme na diskusi)

Ve zkratce a co největší stručnosti. Když programátor píše program, píše tzv zdrojový kód (source code), což je uživatelem čitelný seznam různých příkazů. Zdrojový kód (source code) může být psán v různých jazycích. Od programovacího jazyku C, až po jazyky jako jsou Java, PHP, Python, C#. Každý jazyk má své výhody a nevýhody, každý se hodí na něco jiného. Linux byl napsán v programovacím jazyku C.

Zdrojový kód (source code) je jako těsto, které potřebujete nechat upéct, aby se to dalo jíst. Zdrojový kód (source code) potřebujete proto zkompilovat (upéct), k čemuž použijete kompilátor (compiler). Kompilátor zdrojový kód (source code) vezme, pak následuje vcelku komplikovaný postup práce kompilátoru, který Vás výborně naučí na Mendelově Univerzitě pan Doc. Rybička v předmětu Teorie programovacích jazyků a na konci tohoto postupu máme spustitelný program. Ještě připomenu, že máme jazyky interpretované a kompilované. Kompilované jazyky jsem popsal těstem a pečením. Příkladem kompilovaných jazyků jsou například C++, C#, C, Pascal, Objective-C, Java.
Příkladem interpretovaných jazyků jsou například jazyky PHP, HTML, Perl, Python, BASH, JavaScript, Ruby, Tcl, VBScript, MATLAB, R, PostScript, Wolfram, Lua, Maple, Game Maker Language. Zdroj
Interpretované jazyky nepotřebujete kompilovat, ale při spuštění probíhá překlad zdrjového kódu interpretem, který musíte mít v systému. Pro interpretaci HTML kódu potřebujete internetový prohlížeč. Pro spuštění BASH skriptu potřebujete mít v systému nainstalovaný interpret bashe, zkrátka něco, co přeloží kód za chodu a vykoná co je potřeba. (Toť opravdu ve stručnosti, nechtěl jsem do toho moc zacházet. V diskusi mě prosím příliš netrestejte za takto jednoduchá vysvětlení).

GNU project (GNU’s not UNIX)

Až nedávno jsem se dozvěděl že GNU se vyslovuje [Ga-nů]. GNU vytvořilo různé nástroje pro OS UNIX, zdrojové kódy (source code) byly volně zcela zdarma dostupné (zejména pro různá UI, kompilátory apod…). Některé nástroje jsou z GNU dostupné i dnes v dnešním Linuxu.

Distribuce Linuxu

Distribuci Linuxu si představte jako jeden velký koncern vyrábějící automobily. V podstatě je jedno jestli si koupíte škodovku, nebo volskwagen či audi. Patří pod stejný koncern, všechny mají 4 kola, volant, karoserii, stěrače, kufr, sedadla, všechny vyžadují údržbu, pohonné hmoty apod. Co dělá linux linuxem a auto autem? Vezměte linux, nástroje GNU, přidejte třeba grafické uživatelské rozhraní, emailového klienta, webový prohlížeč, nějaké karetní hry a máte základ distribuce linuxu. Ve své podstatě distribuce Linuxu dělají z Linuxu použitelný operační systém, protože obsahují stovky nástrojů a programů, bez nichž by operační systém byl pro uživatele nepoužitelný základ asi tak, jako když by se Vám výrobce automobilu snažil prodat jen podvozek, namísto hotového automobilu. I ten podvozek se rozjede, ale nechtěli byste na podvozku jet vysokou rychlostí v zimě.

Mezi základní distribuce jmenuji Debian, Ubuntu, Centos, Red Hat, Fedora, Arch Linux, Scientific Linux, Puppy linux, Suse/OpenSuse, Slax, Slackware.
Rozeberme si tu ale 2 distribuce, které jsem zmínil na začátku. Ubuntu a Centos.

Ubuntu vyšlo z Debian linuxu, takže většina problémů, které řešíte na Debianu, pravděpodobně řešíte i na Ubuntu a naopak. Centos vychází z Red Hat enterprise Linuxu a je velmi podobný i Fedoře či Scientific Linuxu.
Pokud instalujete programy, můžete využít balíčkovací systémy yum a apt využívající balíčky rpm a deb. To uživatelé Windows neznají. V zásadě napíšete příkaz, co chcete nainstalovat a operační systém to za Vás vyhledá v dostupných repozitářích, stáhne, nainstaluje a připraví ke spuštění. Už chápete genialitu Linuxu? ;-)

Centos, Fedora, Red Hat používají RPM balíčkovacího manažera (zkratka Red Hat Package Manager). Debian, Ubuntu a další odnoše jako je ZorinOS, Edubuntu, Kubuntu apod. obsahují deb balíčky.

Na Centos/Fedora/Red Hat linuxu instalujete balíčky pomocí příkazu yum a na Debian/Ubuntu  pomocí příkazu apt-get.

 

Release cycle

Tohle je velmi důležité vědět. Každá distribuce má jiný životní cyklus (life cycle). Nebudu tu ultra do podrobna probírat životní cykly, freezy apod… Důležité je znát zkratu LTS (Long term support), což znamená dlouhodobá podpora bezpečnostích aktualizací a jednotlivých balíčků. Pokud chcete dát nějakou distribuci na server, chcete aby měla co nejdelší dobu LTS. Zpravidla Ubuntu žije u LTS distribucí zhruba 5 let, Debian mívá +- 4 roky zdroj, Centos žije většinou 10 let, Fedora mívá velmi krátký životní cyklus několik desítek měsíců. Není na to vyloženě návod nebo doporučení co používat. Pokud chcete mít v systému nejnovější balíčky, zato ale občas zanadávat, že Vám občas nějaký program nemusí běžet pořádně, protože je moc nový a ještě úplně neodladěný, tak zkuste pro běžný počítač třeba Fedoru, Ubuntu-desktop, Arch Linux apod… Pokud chcete něco stabilního, co Vám někde na nějaké serverové mašině za firewallem poběží vklidu a nechcete s tím mít moc problémů, tak by vás mohl zaujmout Centos. Pokud potřebujete stabilitu a budete přecházet na novější verze distribuce jednou za 3 až 4 roky, tak debian nebo ubuntu-server. Toť moje doporučení, nesouvisí to nijak s konkrétními znalostmi linuxu, nebo něčím, co byste měli nutně dělat.

i386 vs. x86_64

Stručně. i386, i486, i586, i686 apod… jsou 32bitové distribuce Linuxu, které Vám poběží na starším počítači. Umí využít maximálně něco přes 3,2 GB RAM i přestože můžete mít 4 GB či víc, tak systém vidí jen tuto část. Nespustíte na takovém systému 64bitové aplikace a programy spuštěné v takovém systému by měly konzumovat méně operační paměti (RAM).

Když příkazem uname -a na linuxu zjistíte informace o kernelu a bude tam někde napsáno x86_64 či AMD64, tak víte, že se právě nacházíte na 64bitovém linuxu, který využije řádově více ram (zhruba 16,8 milionů terabajtů RAM zdroj). Zvládá spouštět i 32 bitové aplikace, aplikace i systém budou konzumovat nepatrně více paměti.

 

Shell

To není reklama na čerpací stanice, to je rozhraní (interface), který nám umožňuje do počítače zadávat příkazy, co po něm chceme aby udělal. Shell je v podstatě interpret (viz nahoře o interpretovaných jazycích). Příkazy, které zadáme do Shellu vykoná kernel.

Existují 2 typy shellů:

  • GUI (Graphical User Interface) <- grafické rozhraní, ikonky, plocha, okna, klikání myší
  • CLI (Command Line Interface) <- textové rozhraní, příkazy, to čeho se začátečníci bojí jak čert kříže

Výhody CLI

  • Opakování příkazů (command repetition) – napsat znovu stejný příkaz znamená mít možnost zopakovat co chcete
  • Zdroje (resources) – na serverech třeba GUI většinou není, protože GUI žere docela dost paměti, příkazová řádka je velmi nenáročná na systémové zdroje  a systém je tak mnohem stabilnější.
  • Skriptování (scripting) – napíšete si skript, skládající se z mnoha příkazů, který za Vás něco udělá kdykoliv budete chtít, kolikrát budete chtít. V grafickém rozhraní se špatně něco automatizuje.
  • Flexibilita příkazů (Command Flexibility) – možnosti příkazů, které Vám jednotlivé příkazy nabízí jsou většinou bohatší, než Vám nabídne nějaký grafický program, kde když není tlačítko, tak zkrátka nějakou funkci nevyvoláte. U příkazu zvolíte přepínač a najednou jste schopni např. data setřídit od největšího po nejmenší a naopak, nebo opomenout velká a malá písmena atd…
  • Vzdálený přístup (remote access) – Pokud se připojíte na server přes příkazy, nepotřebujete ani rychlý internet, ani myš, stačí Vám jen klávesnice a napsat pár příkazů, nebo je dokonce jen poslat vykonat na vzdálený server bez nutnosti někam klikat a čekat než se Vám načte vzdálené grafické rozhraní.
  • Vývoj (development) – když někdo vyvíjí aplikaci, tak vyvinout základní funkčnost někde v příkazové řádce trvá mnohem kratší dobu, než vyvinout grafickou aplikaci, kde musíte na něco klikat, řešíte rozložení prvků, vzhled, uživatelskou přívětivost, vývoj grafických aplikací zkrátka trvá déle a nezaručuje to, že by aplikace byla robustnější, nebo spolehlivější.
  • Snazší automatizace (ease of automation) – napíšete skript, který zavolá jiný skript. Až projedete tímto kurzem, pochopíte, výhody automatizace na linuxu.

Chtěl jsem tu začít se základními linux příkazy, ale asi to nechám na příště.

 

 

 

Příprava na LPIC-1 certifikační zkoušku #1

Zdravím všechny, kdo si chce byť jen osvěžit znalosti Linuxu, nebo kdo s Linuxem začíná.

 

Já budu mít během tutorialu spuštěný virtualbox se:

LPIC v kostce

LPIC platí po dobu 5 let, což je asi nejférovější certifikace co znám. Linux LPIC-1 vyžaduje složení certifikačních zkoušek 101 a 102. Ve srovnání s tím dle mých informací: Cisco vás certifikuje obvykle na 3 roky, Juniper na 2, Mikrotik na 3 roky, no a mít Linux certifikaci na 5 let, to je prostě perfektní v poměru cena/výkon ve srovnání s ostatními certifikacemi. Na druhou stranu je pravda, že na Linuxu se toho co se základních příkazů týče, za posledních 5 let taky příliš mnoho nezměnilo a proto je vcelku logické, že Vám takovou certifikaci dají rovnou na 5 let.  Zde už odkaz na stránky certifikace. Mým cílem je během příštích 5 až 8 let udělat všechny 3 levely LPIC certifikace a stát se tak malým Linuxovým Kingem. ;-) Zkoušky lze dělat buď u vzdělávacích školících autorit, typu Gopas, nebo využít možností výrazných slev např. na konferencích Linux Days, nebo tuším že i na OpenAlt konferencích v Brně tato možnost je a dají se tam pokud se nepletu všechny LPIC certifikace dělat se slušnou slevou, což je opět fér. Kdokoliv máte linux, otevřete si příkazovou řádku, nebo si na windows nainstalujte třeba Oracle Virtualbox, uvnitř kterého si nainstalujete jakýkoliv Vám vyhovující linux. Pokud nevíte jak na to, tak Vás nejspíš budu muset provést nějakým videem.

Budu se snažit psát co nejuniverzálnější návod tak, aby se nestávalo, že mi Ubunťák bude řvát, že mu příkazy pro Centos Linux či Fedoru neběží a zase Fedorák neřval, že mu ty /etc/init.d/apache2 nic neříká. Takto budou mít všichni jeden virtualbox se stejnou virtuálkou a budou všem fungovat stejné příkazy.

  • Pro zkušenější uživatele budu psát v bodech, jako je uvedena tato věta.

Příprava na Windows

Oracle Virtualbox pro Windows

Ať si zkrátím čas i práci. Hned první video, které jsem našel na youtubu je použitelné, jakožto návod na instalaci VirtualBoxu.

Příprava na Linux

zde už vcelku profesionální video jak nainstalovat VirtualBox pro vybrané distribuce Linuxu (Debian, Ubuntu)

VirtualBox Nainstalován

virtualbox jsme stáhnuli a nainstalovali. Nyní je potřeba vytvořit virtuální stroj a s tím Vám opět detailně nepomohu, protože předpokládám, že mým kurzem budou procházet všichni uživatelé, všech věkových skupin, všech zařízení, od notebooků, přes herní stanice až po brutální workstationy či servery s opravdu velkou velikostí RAM.

Jeden jednoduchý a starší univerzální návod jak si vytvořit vlastní virtuálku s Virtualboxem je např. zde, včetně obrázků! Pokud umíte googlit, napište do googlu něco ve smyslu “jak instalovat virtualbox”, nebo “virtualbox tutorial”, anebo “virtualbox vytvoření virtuálky”.

  • Vytvořte 2x virtuální stroj. pokud máte na počítači 4 GB RAM, tak každému virtuálnímu stroji můžete věnovat zhruba 1,5 GB Ram, pokud plánujete pouštět jen jeden z nich, tak každému věnujete 2GB RAM. Pokud Vám stačí nouzovka, tak by mělo bohatě s grafickým rozhraním stačit 1GB RAM per virtuálka, pokud si nainstalujete virtuálku bez grafického rozhraní, mohlo by Vám bohatě stačit jen 512 MB RAM. Procesor/Procesorové jádro Vám na naše pokusy stačí jeden CPU, 1 jádro. Pokud chcete více výkonu, věnujte každé virtuálce alespoň 2 jádra. Velikost virtuálního disku Vám bude stačit 10 GB na virtuálku bohatě s rezervou.

Pokud nemáte v BIOSu aktivované virtualizační instrukce procesoru (v BIOSu secure virtual machine code enabled, nebo virtualization instructions enabled apod….), tak Vám VirtualBox poběží jen s jedním jádrem, ale i tak to na naše hrátky v terminálu a trénování příkazů bude bohatě stačit.

Nyní obrázkový návod jak vytvářím Virtuálku s Centos 7:

Centos 7 1. obrazovka instalace VM

Centos 7 1. obrazovka instalace VM

Centos 7 2. obrazovka instalace VM (volba velikosti vyhrazené RAM pro VM)

Centos 7 2. obrazovka instalace VM (volba velikosti vyhrazené RAM pro VM)

Centos 7 3. obrazovka instalace VM (volba velikosti vyhrazeného virtuálního pevného disku pro VM) Neztratíte žádná data! Jedná se jen o vytvoření souboru s virtuálním pevným diskem.

Centos 7 3. obrazovka instalace VM (volba velikosti vyhrazeného virtuálního pevného disku pro VM) Neztratíte žádná data! Jedná se jen o vytvoření souboru s virtuálním pevným diskem.

 

nabídka s typy souborů s pevným diskem (VDI tedy VirtualBox disk Image), dále VHD (Virtual Hard Disk) a VMDK (Virtual Machine Disk), kterou používá zejména VMware, ale je též kompatibilní s dalšími typy virtualizačních technologií

Centos 7 4. obrazovka instalace VM (volba typu virtuálního disku) Zde je pro naše účely v podstatě úplně jedno kterou volbu zvolíme.

 

Centos 7 5. obrazovka instalace VM. Pevná velikost zabere celou zvolenou kapacitu na disku a je obvykle rychlejší při práci. Dynamicky alokované zvolí všichni majitelé SSD disků a majitelé menších pevných disků, kde není moc místa na zbyt

Centos 7 5. obrazovka instalace VM. Pevná velikost zabere celou zvolenou kapacitu na disku a je obvykle rychlejší při práci. Dynamicky alokované zvolí všichni majitelé SSD disků a majitelé menších pevných disků, kde není moc místa na zbyt

 

Centos 7 6. obrazovka instalace VM. Posuvníkem zvolíme velikost virtuálního pevného disku. Na obě virtuálky nám stačí klidně standardních 8 GB, kdo chce víc, může nastavit třeba 15GB, kdo méně, přežije na Centos 7 i se 4 GB, na Ubuntu doporučím alespoň 8 GB.

Centos 7 6. obrazovka instalace VM. Posuvníkem zvolíme velikost virtuálního pevného disku. Na obě virtuálky nám stačí klidně standardních 8 GB, kdo chce víc, může nastavit třeba 15GB, kdo méně, přežije na Centos 7 i se 4 GB, na Ubuntu doporučím alespoň 8 GB.

 

Centos 7. Obrazovka připojení instalačního média v podobě .iso souboru.

Centos 7. Obrazovka připojení instalačního média v podobě .iso souboru. (klikněte pro zvětšení na obrázek)

 

Dále můžeme kliknout pravým tlačítkem na logo červeného klobouku u virtuálky, náseledně na spustit (stejný postup provedeme pro virtuálku s Ubuntu 16.04 LTS Linuxem) a nastartuje se nám okno se spuštěnou instalací CentOS 7 Linuxu.

  • Když klikneme do okna, vyskočením z Virtualboxu pro opětovné uvolnění myši a klávesnice pro náš aktuální počítač stiskněte pravý CTRL.
Instalační obrazovka Centos 7

Instalační obrazovka Centos 7

A dále bude nejjednodušší natočit tiché video s ukázkou instalace Centosu 7 přímo na youtube:

Uživatele jsem vytvořil pro naše výukové účely:

uživatel: root
heslo: linuxlpikurz123
uživatel2: linux
heslo: linuxlpikurz123

Potom co se přihlásíte (třeba za roota), tak pro vypnutí virtuálky napište:

systemctl poweroff

Pokud jste prošli až sem, tak jste se kvalifikovali na další díl, který přísahám už bude mnohem lehčí.

 

Na závěr lekce opakovačka z toho co jsme se naučili z používání Virtualboxu + klávesové zkratky + Linuxové příkazy:

  • systemctl poweroff     #vypne virtuální linuxový počítač uvnitř Virtualboxu s běžícím CentOS 7
  • [Pravý CTRL] ( pravý control)  #uvolní klávesnici a myš z virtuálního počítače, takže budete moci zpět ovládat Váš hlavní operační systém
  • [Pravý CTRL] + [HOME]   #Přepne VirtualBox do celoobrazovkového režimu

 

Více v příštím díle. Pokud cokoliv nebudete vědět, pište do komentářů, rád Vám pomohu, poradím, nebojte se radit si i navzájem.

 

Uživatelé nemohou číst logy apache, ikdyž jsou prosymlinkovány a mají práva (debian/ubuntu)

I to se může stát. Ačkoliv máte na soubor práva CHMOD 777 a máte ho dokonce prosymlinkovaný do adresáře uživatele, tak dokud není r a X tedy spouštění pro adresář, tak to nepůjde. (v mém případě to tak nešlo)

 

řešení:

na centosu/fedoře/redhat

chmod -R go+rX /var/log/httpd

na debianu/ubuntu:

chmod -R go+rX /var/log/apache2/

 

zdroj

Oracle Virtualbox změna UUID disku

Mám 1 virtuálku a tu si chci naduplikovat. Nakopíruji někam druhou kopii .vdi souboru. Virtualbox při přidání image však řve, že to nejde, protože UUID virtuálního disku je stejné, jako dříve přidaný virtuální disk.

Jak postupovat? Pokud jste v linuxu, tak už píšete příkaz, pokud jste ve windows tak:

cd C:\Program Files\Oracle\VirtualBox\

VBoxManage.exe internalcommands sethduuid e:/cesta/k/soubor_virtualniho_disku_virtualky.vdi

pak to napíše něco ve smyslu:

UUID changed to: b35a1e……atd…………………..4c2

Pak už jde druhý vytvořený soubor přidat do virtualboxu do druhé virtuálky.

 

Testoval jsem to ve Virtualboxu 5.1.6 (verze z roku 2016)

zdroj

Přejmenování síťové karty z ens7, enp8, epo3 apod… na eth0, eth1 a eth2 (Centos 7)

Když tento zákrok uděláte, spadne Vám rozhraní, takže pokud jste připojení k internetu, můžete si server odstřihnout! Pozor na to!

 

síťová rozhraní vylistujeme příkazem:  (pokud máme nainstalovaný yum install epel-release && yum provides ifconfig -y )

ifconfig -a
/sbin/ip link set ens7 down
/sbin/ip link set ens7 name eth0
/sbin/ip link set ens7 up

 

Enjoy ;-)

zdroj

Užitečné klávesové zkratky v Google Chrome a Google Drive

Klávesové zkratky pro webový prohlížeč Google Chrome

Otevřít nové okno Ctrl + n
Otevřít nové okno v anonymním režimu Ctrl + Shift + n
Otevřít novou kartu a přejít na ni Ctrl + t
Znovu otevřít poslední zavřenou kartu a přejít na ni Ctrl + Shift + t
Přejít na další otevřenou kartu Ctrl + Tab nebo Ctrl + PgDn
Přejít na předchozí otevřenou kartu Ctrl + Shift + Tab nebo Ctrl + PgUp
Přejít na konkrétní kartu Ctrl + 1 až Ctrl + 8
Přejít na poslední kartu Ctrl + 9
Otevřít domovskou stránku na aktuální kartě Alt + Home
Otevřít předchozí stránku z historie prohlížení na aktuální kartě Alt + šipka vlevo
Otevřít následující stránku z historie prohlížení na aktuální kartě Alt + šipka vpravo
Zavřít aktuální kartu Ctrl + w nebo Ctrl + F4
Zavřít všechny otevřené karty a prohlížeč Ctrl + Shift + w
Minimalizovat aktuální okno Alt + mezerník + n
Maximalizovat aktuální okno Alt + mezerník + x
Ukončit aplikaci Google Chrome Ctrl + Shift + q nebo Alt + F4

 

Nápověda klávesových zkratek přímo v GMAILU:

SHIFT + ?

 

Klávesové zkratky v Google Drive:

Vytvoření nového souboru v google drive:

Dokument Shift + t
Prezentace Shift + p
Tabulka Shift + s
Malování Shift + d
Složka (f jako folder) Shift + f
Formulář Shift + o

 

Nápověda klávesových zkratek v google drive:

SHIFT + +

(je to klávesa + zpravidla vedle tlačítka backspace na mazání)

 

Pohybování v souborech a složkách google Drive lze pomocí šipek na klávesnici.

Zmáčknutím klávesy ENTER se dostaneme do složky, nebo otevřeme soubor pro editaci.

Pro návrat ze složky do nadřazené složky:

ALT + ← (šipka doleva)

 

zdroj – oficiální nápověda googlu

Fifa 17 startup crash (po zapnutí hra spadne)

Kamarád mě oslovil s problémem, kdy mu Fifa 17 demo na PC s AMD FX 8120, 4GB RAM, radeon 6950 spadne po spuštění.

Novější ovladače problém nevyřešily, různá nastavení problém taktéž nevyřešily.

Pomohlo tohle video:

https://www.youtube.com/watch?v=8bvmYG2K5ec

Konkrétně aplikace dxcpl.exe, která je k dispozici ke stažení zde: (100% funkční odkaz, bez virů, bez problémů)

https://ulozto.cz/!cnvyyt8X8/dxcpl-exe

Aplikaci nahrajte do adresáře s hrou, spusťte s právy administrátora, přidejte cesty jak k setupu hry, tak k .exe spouštěcímu souboru hry, zaškrtněte force on, corruption, error, featured level limit nastavte na: 11_0, force WARP a Disable Feature Level Upgrade.

Dáte OK, spustíte následně hru a fungujete. Kdyby hra stále nešla, spusťte ji s právy administrátora.

Jen podotýkám, že na internetových forech i v článcích se píše, že je potřeba minimálně 8GB RAM pro spuštění hry. Není to pravda, stačí Vám 4GB RAM.

 

 

Portforwarding na Windows

Máte stroj A, za něho je připojen stroj B. Stroj A má veřejnou ip. Stroj B má neveřejnou IP např.: 192.168.123.3. Stroj B běží na windows a má povolenou vzdálenou plochu na portu 3389.

Chci zadat do připojení ke vzdálené ploše adresu A:3390 a chci se přitom dostat na stroj B:3389, jak na to?

Na stroji A otevřeme příkazový řádek za správce a napíšeme:

netsh interface portproxy add v4tov4 listenport=3390 connectaddress=192.168.123.3 connectport=3389

Případně pokud chceme určit specifickou adresu stroje A, tak:

netsh interface portproxy add v4tov4 listenaddress=ip_stroje_A_např_123.123.123.123 listenport=3390 connectaddress=192.168.123.3 connectport=3389

 A to je vše přátelé. Windows neumí portforwardit UDP, ale pouze TCP packety. UDP se používají na audio/video některé PC hry. TCP se používá na služby, kde je potřeba zajistit konzistenci dat (www stránky, souborov služby, emailové služby apod…).Nastavení zůstává na stroji i po restartu, není tedy nutné na to psát skripty či to nějak automatizovat.

Otestováno na Windows server 2012, ale funguje to i na jiných verzích windows. ;-)

 

zdroj

Vytvoření nového GPT disku a přidání do SW RAID 6 diskového pole

cat /proc/mdstat ukazuje degradované pole.

Přidal jsem fungl nový a čistý disk z reklamace.

 

parted /dev/sda

GNU Parted 3.2
Using /dev/sda
Welcome to GNU Parted! Type 'help' to view a list of commands.
(parted) mklabel gpt
(parted) unit TB
(parted) mkpart primary 0.00TB 3.00TB
(parted) print
Model: ATA WDC WD30EFRX-68A (scsi)
Disk /dev/sda: 3,00TB
Sector size (logical/physical): 512B/4096B
Partition Table: gpt
Disk Flags:
Number Start End Size File system Name Flags
 1 0,00TB 3,00TB 3,00TB primary
(parted) set 1 raid on
(parted) print
Model: ATA WDC WD30EFRX-68A (scsi)
Disk /dev/sda: 3,00TB
Sector size (logical/physical): 512B/4096B
Partition Table: gpt
Disk Flags:
Number Start End Size File system Name Flags
 1 0,00TB 3,00TB 3,00TB primary raid
(parted) quit
Information: You may need to update /etc/fstab.
Přidání do raidu /dev/md3 nově zinicializovaného disku /dev/sda, konkrétně oddílu /dev/sda1:

mdadm /dev/md3 -a /dev/sda1
mdadm: added /dev/sda1

Vadné ECC ramky na serveru. Jak to detekovat na běžící mašině (Centos 7)

Problém vypadá takto:

Message from syslogd@server at Aug 15 14:50:19 ...
 kernel:[Hardware Error]: MC4 Error (node 0): DRAM ECC error detected on the NB.
Message from syslogd@server at Aug 15 14:50:19 ...
 kernel:[Hardware Error]: Error Status: Corrected error, no action required.
Message from syslogd@server at Aug 15 14:50:19 ...
 kernel:[Hardware Error]: CPU:0 (f:41:3) MC4_STATUS[Over|CE|MiscV|-|AddrV|CECC]: 0xdc7a4000e6080a13
Message from syslogd@server at Aug 15 14:50:19 ...
 kernel:[Hardware Error]: MC4_ADDR: 0x000000008f1f3500
Message from syslogd@server at Aug 15 14:50:19 ...
 kernel:[Hardware Error]: cache level: L3/GEN, mem/io: MEM, mem-tx: RD, part-proc: RES (no timeout)

řešení:

yum install edac-utils -y
root@server# edac-util -v 
mc0: 0 Uncorrected Errors with no DIMM info
mc0: 0 Corrected Errors with no DIMM info
mc0: csrow0: 0 Uncorrected Errors
mc0: csrow0: mc#0csrow#0channel#0: 0 Corrected Errors
mc0: csrow1: 0 Uncorrected Errors
mc0: csrow1: mc#0csrow#1channel#0: 0 Corrected Errors
mc0: csrow2: 0 Uncorrected Errors
mc0: csrow2: mc#0csrow#2channel#0: 0 Corrected Errors
mc0: csrow3: 0 Uncorrected Errors
mc0: csrow3: mc#0csrow#3channel#0: 0 Corrected Errors
mc0: csrow4: 0 Uncorrected Errors
mc0: csrow4: mc#0csrow#4channel#0: 0 Corrected Errors
mc0: csrow5: 0 Uncorrected Errors
mc0: csrow5: mc#0csrow#5channel#0: 0 Corrected Errors
mc0: csrow6: 0 Uncorrected Errors
mc0: csrow6: mc#0csrow#6channel#0: 0 Corrected Errors
mc0: csrow7: 0 Uncorrected Errors
mc0: csrow7: mc#0csrow#7channel#0: 42 Corrected Errors
mc1: 0 Uncorrected Errors with no DIMM info
mc1: 0 Corrected Errors with no DIMM info
mc1: csrow2: 0 Uncorrected Errors
mc1: csrow2: mc#1csrow#2channel#0: 0 Corrected Errors
mc1: csrow3: 0 Uncorrected Errors
mc1: csrow3: mc#1csrow#3channel#0: 0 Corrected Errors
mc1: csrow4: 0 Uncorrected Errors
mc1: csrow4: mc#1csrow#4channel#0: 0 Corrected Errors
mc1: csrow5: 0 Uncorrected Errors
mc1: csrow5: mc#1csrow#5channel#0: 0 Corrected Errors
mc1: csrow6: 0 Uncorrected Errors
mc1: csrow6: mc#1csrow#6channel#0: 0 Corrected Errors
mc1: csrow7: 0 Uncorrected Errors
mc1: csrow7: mc#1csrow#7channel#0: 0 Corrected Errors
Protože server dokáže nastartovat pouze se sudým počtem RAM, je nutné odebrat, či nahradit poslední PÁR modulů RAM a server bude zase šlapat v pořádku.

zdroj

Jak zjistit počet obsazených RAM DIMM modulů v linuxovém serveru či počítači?

Máte více serverů, ale někde se v dokumentaci ztratilo, kolik ramek má který server obsazený.

Jak to zjistit?

V mém případě stačilo zadat:

dmidecode -t memory|grep "Clock Speed: Unknown"|nl
Vypsáno bylo:
 1 Configured Clock Speed: Unknown
 2 Configured Clock Speed: Unknown
 3 Configured Clock Speed: Unknown
 4 Configured Clock Speed: Unknown
 5 Configured Clock Speed: Unknown
 6 Configured Clock Speed: Unknown
 7 Configured Clock Speed: Unknown
 8 Configured Clock Speed: Unknown
 9 Configured Clock Speed: Unknown
 10 Configured Clock Speed: Unknown
 11 Configured Clock Speed: Unknown

 

Tedy 11 neobsazených modulů. Na serveru se 24 DIMM sloty se tedy jedná o server, kam chci přidat chybějící RAM, kvůli lichému obsazení RAM ve slotech.

 

zdroj

Po upgradu z ubuntu-server 12.04 na 14.04 blbne phpmyadmin #2

Konkrétně tyto 2 moduly/tabulky:

http://docs.phpmyadmin.net/en/latest/config.html#cfg_Servers_recent

http://docs.phpmyadmin.net/en/latest/config.html#cfg_Servers_table_uiprefs

V configu v  /etc/phpmyadmin/config.inc.php je potřeba povolit následující řádky:

$cfg['Servers'][$i]['recent'] = ‘pma_recent’;

$cfg['Servers'][$i]['table_uiprefs'] = ‘pma_table_uiprefs’;

$cfg['Servers'][$i]['recent'] = ‘pma_recent’;

 

Potom lognout na phpmyadmina a v databázi phpmyadminu přejít do záložky sql a vložit tam tohle:

CREATE TABLE IF NOT EXISTS `pma_recent` (
  `username` varchar(64) NOT NULL,
  `tables` text NOT NULL,
  PRIMARY KEY (`username`)
)
  COMMENT='Recently accessed tables'
  DEFAULT CHARACTER SET utf8 COLLATE utf8_bin;

-- --------------------------------------------------------

--
-- Table structure for table `pma_table_uiprefs`
--

CREATE TABLE IF NOT EXISTS `pma_table_uiprefs` (
  `username` varchar(64) NOT NULL,
  `db_name` varchar(64) NOT NULL,
  `table_name` varchar(64) NOT NULL,
  `prefs` text NOT NULL,
  `last_update` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
  PRIMARY KEY (`username`,`db_name`,`table_name`)
)
  COMMENT='Tables'' UI preferences'
  DEFAULT CHARACTER SET utf8 COLLATE utf8_bin;

Pak se odhlásit a přihlásit z phpmyadmina a warning zmizí.

řešení zde

Blbnoucí balíčky po upgradu z ubuntu-server 12.04 na 14.04

Vypadá to nějak takto:

Následující balíky byly nainstalovány automaticky a již nejsou potřeba:
 db5.1-util g++-4.6 gfortran-4.6 html2text libboost-iostreams1.46.1
 libclass-isa-perl libgd2-xpm libgeos-3.2.2 libgeos-3.3.3 libicu48
 libkadm5clnt-mit8 libkadm5srv-mit8 libkdb5-6 libllvm3.0 libmpc2
 libstdc++6-4.6-dev libswitch-perl libt1-5 libtasn1-3-dev libyaml-syck-perl
 python-authres python-central python-dns python-spf update-inetd
Pro jejich odstranění použijte „apt-get autoremove“.
0 aktualizováno, 0 nově instalováno, 0 k odstranění a 1 neaktualizováno.
4 instalováno nebo odstraněno pouze částečně.
Po této operaci bude na disku použito dalších 0 B.
Nastavuji balík apache2 (2.4.7-1ubuntu4.10) …
Directory /etc/apache2/conf.d is not empty - leaving as is
Please note, that directory is considered obsolete and not read anymore by default
munin phpmyadmin.conf phppgadmin phppgadmin.dpkg-new
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
ERROR: Module filter not properly enabled: /etc/apache2/mods-enabled/filter.load is a real file, not touching it
ERROR: Could not enable dependency filter for deflate, aborting
dpkg: error processing package apache2 (--configure):
 podproces instalovaný post-installation skript vrátil chybový status 1
dpkg: nesplněné závislosti zamezily konfiguraci balíku libapache2-mod-php5:
 libapache2-mod-php5 závisí na apache2 (>= 2.4); avšak:
 Balík apache2 zatím není zkonfigurován.
dpkg: error processing package libapache2-mod-php5 (--configure):
 problém se závislostmi - nechávám nezkonfigurované
Žádné apport hlášení nebylo vytvořeno, protože chybová hláška naznačuje, že se jedná o chybu způsobenou předchozí chybou.
 dpkg: nesplněné závislosti zamezily konfiguraci balíku php5:
 php5 závisí na libapache2-mod-php5 (>= 5.5.9+dfsg-1ubuntu4.17) | libapache2-mod-php5filter (>= 5.5.9+dfsg-1ubuntu4.17) | php5-cgi (>= 5.5.9+dfsg-1ubuntu4.17) | php5-fpm (>= 5.5.9+dfsg-1ubuntu4.17); avšak:
 Balík libapache2-mod-php5 zatím není zkonfigurován.
 Balík libapache2-mod-php5filter není nainstalován.
 Balík php5-cgi není nainstalován.
 Balík php5-fpm není nainstalován.
dpkg: error processing package php5 (--configure):
 problém se závislostmi - nechávám nezkonfigurované
Žádné apport hlášení nebylo vytvořeno, protože chybová hláška naznačuje, že se jedná o chybu způsobenou předchozí chybou.
 dpkg: nesplněné závislosti zamezily konfiguraci balíku phpmyadmin:
 phpmyadmin závisí na libapache2-mod-php5 | libapache2-mod-php5filter | php5-cgi | php5-fpm | php5; avšak:
 Balík libapache2-mod-php5 zatím není zkonfigurován.
 Balík libapache2-mod-php5filter není nainstalován.
 Balík php5-cgi není nainstalován.
 Balík php5-fpm není nainstalován.
 Balík php5 zatím není zkonfigurován.
dpkg: error processing package phpmyadmin (--configure):
 problém se závislostmi - nechávám nezkonfigurované
Žádné apport hlášení nebylo vytvořeno, protože již byl dosažen MaxReports
 Při zpracování nastaly chyby:
 apache2
 libapache2-mod-php5
 php5
 phpmyadmin
E: Sub-process /usr/bin/dpkg returned an error code (1)

ŘEŠENÍ

Zajet do

/var/lib/dpkg/info

a přesunout někam do háje třeba do /root/info/

soubory balíčků uvedených v chybě, tedy:

cd /var/lib/dpkg/info
mkdir /root/info/
mv apache2* /root/info/
mv libapache2-mod-php5* /root/info
mv php5* /root/info
mv phpmyadmin* /root/info
zdroj

 

Jak připravit Debian Jessie pro provoz WoW serveru snadno a rychle jedním příkazem?

apt-get update -y && apt-get upgrade -y && apt-get install vim mc nano htop iotop fail2ban -y && apt-get install apache2 php5 libapache2-mod-php5 -y && service apache2 restart && apt-get install locate -y && updatedb && 
apt-get install build-essential autoconf libtool gcc g++ make cmake git-core wget p7zip-full libncurses5-dev zlib1g-dev libbz2-dev -y && apt-get install openssl libssl-dev mysql-client libmysqlclient-dev libmysql++-dev libreadline6-dev -y && 
apt-get install libboost-dev libboost-thread-dev libboost-system-dev libboost-filesystem-dev libboost-program-options-dev libboost-iostreams-dev -y && apt-get install screen -y && apt-get install munin munin-node -y && apt-get install iptables-persistent -y

Rychle, jednoduše, snadno. ;-)

Samozřejmě Apache je nutné přenastavit v konfiguračních souborech tak, aby to nezobrazovalo TOKENy serveru a další informace užitečné pro každého útočníka apod…

Nově na debianu Jessie je /etc/iptables/rules.V4 konfigurační soubory pro IPv4 a rules.V6 pro IPv6.

zdroj

Nefunguje rozbalení .tar.bz2 na Centos7?

Error, který to vypisovalo:

tar (child): cannot run bzip2: Adresář nebo soubor neexistuje
tar (child): trying lbzip2
tar (child): lbzip2: Funkce exec selhala: Adresář nebo soubor neexistuje
tar (child): Error is not recoverable: exiting now
tar: Child returned status 2
tar: Error is not recoverable: exiting now

řešení v rychlosti:

yum -y install bzip2

rozbalení souboru pomocí:

tar jxf soubor.tar.bz2

Enjoy

zdroj






					

Nelze psát velké české znaky / kapitálky v GIMPu

Na to mám jednoduché řešení.
Napište si velké znaky typu Č, Š, Ž, Ď, Ň, Ť bokem v textovém editoru a potom si je vložte do textu, který píšete do nějakého obrázku v gimpu a pak už to půjde. V Gimpu ty velké znaky s interpunkcí nejde jen zadávat, ale bere je to alespoň při CTRL + C a CTRL + V.

Enjoy ;-)

Debian Jessie iptables rules after reboot

Debian Jessie to má téměř identicky stejné, jako v předchozích verzích debianu.

máme již vytvořená pravidla iptables.

Uložíme je příkazem:

iptables-save > /etc/iptables.conf

#to další je 1 "delší" příkaz na 2 řádky
echo "#!/bin/sh 
iptables-restore < /etc/iptables.conf" > /etc/network/if-up.d/iptables

chmod +x /etc/network/if-up.d/iptables

 

zdroj

neběžící druhý raid 1 mdadm: /dev/sdc1 has wrong uuid

mdadm --assemble --scan -v

vypíše:

mdadm: looking for devices for /dev/md/0
mdadm: no RAID superblock on /dev/md/0
mdadm: /dev/sdd1 has wrong uuid.
mdadm: no RAID superblock on /dev/sdd
mdadm: /dev/sdc1 has wrong uuid.
mdadm: no RAID superblock on /dev/sdc
mdadm: /dev/sdb1 is busy - skipping
mdadm: no RAID superblock on /dev/sdb
mdadm: /dev/sda1 is busy - skipping
mdadm: no RAID superblock on /dev/sda

bez úspěchu.

Řešení v mém případě:

mdadm --assemble --run --force /dev/md1 /dev/sdc1 /dev/sdd1
mdadm: /dev/md1 has been started with 2 drives.

Potom vidíme:

cat /proc/mdstat
Personalities : [raid1]
md1 : active (auto-read-only) raid1 sdc1[0] sdd1[1]
 1953382336 blocks super 1.2 [2/2] [UU]

K aktivaci pole pro zápis:

mdadm --readwrite /dev/md1

poté již vidíme:

cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 sdc1[0] sdd1[1]
 1953382336 blocks super 1.2 [2/2] [UU]
Vše běží ok.

zdroj

 

yum-cron centos6 centos7 updates updatujte denně

Když chcete aby se server updatoval sám, ale současně si nechcete rozházet balíčky a další věci na Vašem serveru, jak to udělat efektivně?

Pomůže následující video.

Odpovědí samozřejmě může být několik. Ubuntu-server má landscape, Centosy mají dokonce několik řešení, jak spravovat desítky serverů. Co když chcete, aby se server prostě updatoval sám a nechcete, aby Vám chodily desítky emailů od desítek serverů a současně aby se aktualizovaly jen bezpečnostní záplaty?

řešením je:

yum update -y && yum install yum-cron -y
vim /etc/yum/yum-cron.conf

v něm editnete tyto názvy proměnných tak aby platilo:
update_cmd = security
apply_updates = yes

Je to tak trošku dvojsečná zbraň, ale ve skutečnosti to bude ve většině případů velký pomocník, zejména na méně důležitých serverech, kde chcete minimalizovat dobu správy.

 

 

Změnit oznámení programů vpravo dole u hodin na windows 10

Horší NEintuitivnější nastavení microsoft udělat skutečně nemohl. Tam kde bývalo dříve přízpůsobit teď nic není a musíte si to přenastavovat kdesi totálně v háji.

řešení je tedy:

Start /nastavení / Systém/ Oznámení a akce /Zobrazovat oznámení z těchto akcí případně “vybrat které ikony se zobrazí na hlavním panelu” a tam už máte posuvníky na zapnutí jednotlivých ikon.

zdroj

Qcow2 pomalost imagů ve srovnání s .raw na KVM (debian wheezy)

Všimněte si toho rozdílu:

Qcow2, dd test propustnosti dat sekvenčního zápisu.

příkaz:

dd if=/dev/zero of=ddfile.big bs=1MB count=1k

time cp ddfile.big ddfile2.big

Virtuální stroj na KVM, image .qcow2, io mode: default, cache mode: default

1 024 000 000 bajtů (1,0 GB) zkopírováno, 1 134,61 s, 903kB/s

Virtuální stroj na KVM, image .raw, io mode: native, cache mode: none

1 024 000 000 bajtů (1,0 GB) zkopírováno, 14,7578 s, 69,4 MB/s

Další zajímavé a užitečné příkazy pro testování výkonnosti a zdraví pevných disků či diskových polí na linuxu:

dd if=/dev/zero dd=ddfile.big bs=1MB count=1k
 hdparm -I /dev/sda
 smartctl --attributes --log=selftest /dev/sdb
 dd if=ddfile.big if=/dev/null
 time dd if=/dev/zero of=/tmp/test oflag=direct bs=64k count=10000

 Stav zátěže disků při jejich práci:
iostat -xdk 1 25

konverzi image jsem provedl pomocí:

http://docs.openstack.org/image-guide/convert-images.html

Konkrétně příkazem:

qemu-img convert -f qcow2 -O raw puvodniqcow2.img novynazevraw.img

zdroj zdroj2 zdroj3 zdroj4 zdroj5 zdroj6 zdroj7 zdroj8

Centos 7 iptables + fail2ban not banning, not working, nebanuje, nepracuje, není v iptables

Dnes jsem se setkal s nefunkčností fail2ban při spolupráci s Iptables. ve fail2ban-client status to psalo Number of jail: 0, ikdyž jsem měl vše nakonfigurované ok.

 

Zde je tedy řešení

yum install -y epel-release
yum install -y fail2ban fail2ban-systemd
yum update -y selinux-policy*

yum -y install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

do /etc/fail2ban/jail.d/sshd.local vložíme:

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = %(sshd_log)s
maxretry = 5
bantime = 86400

dále pak už stačí jen:

systemctl enable fail2ban
systemctl restart fail2ban

 

Když potom dáte:

iptables -L -vn

už tam uvidíte:

Chain f2b-SSH (1 references)
 pkts bytes target prot opt in out source destination
 281 26010 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
nahoře uvidíte:
Chain INPUT (policy DROP 2461 packets, 193K bytes) pkts bytes target prot opt in out source destination
 247 22703 f2b-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

 

Pokud se potom pokusíte odněkud přihlásit více než je povolený limit počtu přihlášení a nebudete ve whitelistu:

Chain f2b-SSH (1 references)
 pkts bytes target prot opt in out source destination
 14 1784 REJECT all -- * * VašeIPAdresaStrojeOdkudJsteSeSnažiliNeúspěšněPřihlásit 0.0.0.0/0 reject-with icmp-port-unreachable

Ze stroje odkud se budete snažit přihlásit:

ssh: connect to host <VzdálenýServerSFunkčnímFail2ban> port 22: Connection refused

zdroj

 

 

 

Oprava UEFI/EFI boot partition na GPT disku Windows 7/8/8.1

Strašně mi pomohl tento návod

Jen v rychlosti shrnu. Migroval jsem jeden notebook z HDD na SSD. Oddíly jsem naklonoval, vše by mělo běžet. Jenže neběželo. Buď to házelo error 0xc0000000e nebo 0xc0000225 při snaze nabootovat systém. Podle toho, jestli jsem UEFI zapnul nebo vypnul. Takže jsem nechal přes externí mechaniku nabootovat Windows 8.1 instalačku, kliknul na repair/opravit, doklikal se s ke command line (příkazové řádce) a co dál?

 

diskpart

disk sel 0

list vol

Mrkneme který oddíl (partition) je FAT32 + nemá žádné přiřazené písmeno jednotky a má od 100 do 350 Mb velikost (víc obvykle nemá). V mém případě to bylo přeházeno, jednotka typu FAT32, oddíl s velikostí 260MB byla vol 4 a druhá jednotka (asi kvůli recovery oddílu) byla vol 6.

Takže:

select vol 4
assign letter v:
exit
cd /d v:\efi\microsoft\boot\
bootrec /fixboot
ren BCD BCD.bak
bcdboot C:\Windows /l en-us /s v: /f ALL

To stejné v případě vol 6

diskpart
sel disk 0
list vol   (jen pro kontrolu)
sel vol 6
assign letter u:
exit
cd /d u:\efi\microsoft\boot\
bootrec /fixboot
ren BCD BCD.bak
bcdboot C:\Windows /l en-us /s u: /f ALL

 

pozor na obrácené \ u C:\windows a ostatní lomítka normální /l en-us atd… Kvůli tomu obrácenému lomítku mi to ten příkaz nechtělo sežrat a řvalo to “could not open the bcd template store. Status fc000000f”. Potom co jsem dal správné lomítko už to přestalo řvát, z čehož vyvozuji, že to evidentně nemohlo najít c:\Windows.

Opět platí pravidlo, jako v každém jiném návodu – tohle je můj návod pro mě. Pokud si zlikvidujete počítač, nemáte nárok na náhradu, berte to jako článek který pomohl mě a možná pomůže v inspiraci i vám, ale neberu žádné záruky ani riziko na sebe, pokud si cokoliv s počítačem provedete.

Základy Mikrotiku #9 Module 7: QoS, Speed Limiting, Simple Queue, Torch, Guaranteed Bandwitdth, Burst, Per Connection Queuing, PCQ

Quality of Service

QoS je celková výkonnost sítě, zejména přesně ta výkonnost, která je viditelná uživateli na síti.
RouterOS implementuje několik QoS metod jako například traffic speed limiting (shaping) či traffic prioritisation atd..

Speed limiting

přímá kontrola nad vstupním provozem (inbound traffic) nelze zajistit, ale je možné zajišťovat omezování rychlosti prostřednictvím zahazování příchozích packetů.
TCP se přizpůsobí efektivní rychlosti spojení (effective connection speed).

Simple Queue u klienta

jednoduchá fronta, která může být použita k limitování rychlosti přenosu dat (data rate) následujícími způsoby:

  • Klientovu rychlost stahování (download speed)
  • Klientovu rychlost natahování dat směrem do sítě (upload speed)
  • Klientovu celkovou rychlost toku dat (download + upload)

Na simple Queue se dostaneme kliknutím na položku Queues v levém menu, nové pravidlo k limitaci přidáme pomocí tlačítka +:

cl9_queue

Do name můžeme vyplnit cokoliv, co nám pomůže idenfitikovat tuto frontu, Target už zadáváme konkrétní IP adresu, nebo dokonce celou síť, kterou chceme omezit. do MAX limit již zadávám 1Mbps pro Upload a Pro Download pro ukázku pouhých 768kbps. Potom na cílovém počítači zkuste něco stáhnout odněkud z webového serveru, odkud víte, že jste měli větší stahovací rychlosti, než udávané.

Torch

nástroj k monitorování provozu v reálném čase. Dostaneme se k němu buď skrze Queues/poklikáním na konkrétní vytvořený záznam a kliknutím na tlačítko Torch. Nebo skrze Tools/Torch:

cl9_torch

Torch funguje jednoduše. Do políčka Src. Address zadáme adresu ip adresy, jejíž spojení chceme sledovat v mém případě jsem tam zadal ip adresu počítače, se kterým tento mikrotik ovládám (mám k dispozici pravý mikrotik z předchozích modulů, který je připojen do internetu). Ve vysouvacím menu interface jsem si vybral interface, do kterého je zastrčený kabel, vedoucí z téhož počítače a pak stačí kliknout na tlačítko start a už vidíte co z této zdrojové adresy teče a co případně teče do ní.

 

 Simple Queue směrem k serveru

Představte si, že nechcete omezovat jednotlivé klienty, ale zkrátka dáte limitovat třeba celou síť k serveru. Třeba IT oddělení nebude mít limity žádné, zato účetní zaškrtíte třeba jen na 5Mbitech při přístupu na konkrétní IP adresu serveru. Jak to tedy udělat?

Představme si, že máme v internetu někde dál od WAN rozhraní našeho routeru třeba diskové pole s IP 192.168.123.165 a klientům ze sítě 192.168.20.0/24 chceme snížit rychlost Uploadu na 512kbps a rychlost Downloadu 768kbps. Zde je ukázka:
cl9_queue_serverV Targetu může být i IP 0.0.0.0/0 (to znamená, všichni klienti) přístupující na adresu Dst (destination – cílového serveru) s IP 192.168.123.165.

Throttle connection

Zjistěte si pingem IP adresu serveru www.mikrotik.com. (v době psaní tohoto článku to byla adresa 159.148.147.196). Můžete si dát stáhnout MTCNA outline a pokud jste ve windows, tak můžete vyzkoušet pomocí CTRL + SHIFT + ESC proklikat se ke grafu vytížení sítě a ověřit si tak, že simple queue skutečně funguje a taky jak funguje omezování spojení v praxi:

cl9_omezeni_spojeni_na_server_mikrotik

Guaranteed Bandwidth

se používá k ujištění, že klient opravdu dostane minimální garantovanou rychlost, pod kterou mu rychlost připojení nespadne. Zbývající provoz bude rozdělen mezi klienty na bázi “kdo dřív příjde, ten dřív mele”. (fronta, FIFO = first in first out). Kromě packetového FIFA můžeme vybrat i bajtové FIFO.
Kontroluje se parametrem s názvem Limit-at.

cl9_limitat

Dostanem se tam přes Queues/Simple Queue/edit (ěx kliknutím na konkrétní vytvořenou frontu (queue)/záložka advanced.

Typický příklad Guaranteed Bandwidthu jsou 3 klienti na síti, celkový bandwidth 10Mbitů. 3 klienti mají garantovaný bandwidth 3 mbity a zbývající trafik se rozdělí mezi klienty.

SFQ – Stochastic Fair Queuing

dělá to, že každý packet pouští stejnou chvíli na router. Všechny služby tedy dostanou stejnou šanci procpat svůj packet.

cl9_sfq

Stochastic fair dělá to, že si časy propouštění packetů rozdělí po 100 milisekundách. A když klient A stahuje nějaký .iso soubor a někdo jiný chce jít na web, tak to 100 milisekund propouští packety pro .iso soubor a 100milisekund to propouští packety pro web. Zde už ukázka sfq aplikovaného pro wifi hot-spot. Typ fronty sfq, procpe to najednou 1514 bajtů, každých ve screenshotu se uvádí 5 s, tedy 5 sekund. (pokud se pletu, opravte mě v diskusi).

Burst

Používá se k povolení větších přenosových rychlostí na krátkou časovou dobu. Typický příklad – stahujete 5 megový PDF dokument, nebo 3 megovou .mp3 audio nahrávku. Používá se to zejména pro HTTP trafic (webový provoz). Díky tomu nabíhají webové stránky rychleji. Je zde však i přesto uplatněna politika Max Limit, který jsme si nastavovali v Simple Queue u klienta.
Ukázka burstu:

cl9_burst

  • Burst limit – max upload/download přenosová rychlost (data rate), které může být dosaženo během burst (dávkovacího) režimu.
  • Burst time – čas (v sekundách), po dobu kterého je počítána průměrná přenosová rychlost (data rate). Pozor! Nejedná se o dobu dávky (burst) jako takové!
  • Burst Threshold – Pokud průměrná rychlost přenosu data (data rate)překročí, nebo klesne pod určitou prahovou hodnotu (threshold), tak je burst (dávka) aktivována či deaktivována.

Per Connection Queuing (dále jen PCQ)

Typ fronty pro optimalizaci velkých QoS nasazení limitováním “sub-streamů” (datových “pod-proudů” <- to zní fakt česky strašně, proto to nepřekládám). Umožňuje nám to tedy nahradit více front (queues) jednou jedinou.
K tomu může být použito hned několik klasifikátorů:

  • source/destination IP address (zdrojová/cílová IP adresa)
  • source/destination port (zdrojový/cílový port)

Další pojmy v Per Connection Queuing:

  • Rate – maximální dostupná datová propustnost každého sub-streamu
  • Limit – velikost fronty jednoho sub-streamu (v KiB)
  • Total Limit – maximální velikost dat ve frontě ve všech sub-streamech (KiB)

K PCQ se dostaneme skrze Queues/záložka Queue Types / klikneme na ikonku s modrým + a vyplníme údaje jako na obrázku.

cl9_pcq1

 

Přejděme na záložku Interface Queues/ a pro místní LAN rozhraní (LAN interface) na ether2, ve kterém máte buď připojený druhý router, nebo Vaše klienty vnitřní sítě, a Queue type vyberte ten, který jsme si vytvořili – tedy klient-download. Potom klikněte na Váš WAN interface 2x a tomu zase nastavte klient-upload v Queue type kolonce. A dejte u obou OK.

cl9_klient_up_down

Odteď všichni klienti připojení do lan rozhraní budou mít limitován jak Upload tak Download na rychlost 1Mbitu za vteřinu.

Ověříme přes Torch.

 

 

 

Základy Mikrotiku #8 Module 6: Firewall, Firewall Rules, Filter, Actions, Chains, Ports, Log, NAT, Dst NAT, Src NAT, Conntrack

Firewall

Firewall je síťový bezpečnostní systém, který chrání vnitřní síť (internal network / inside ) z venku (outside), tedy z internetu. Zakládá se na pravidlech, která jsou sekvenčně analyzovány dokud není nalezena první shoda (first match) v pravidlech. RouterOS Firewallová pravidla jsou řízena ve Filter a NAT sekcích. Firewall pracuje na principu IF – THEN (pokud nějaká podmínka – tak proveď tohle). Pravidla jsou řazeny do takzvaných chainů (chains = řetězů pravidel, já chainy nepřekládám do češtiny). Existují předdefinované chainy. Uživatel může vytvářet nová pravidla.

Firewall Filter

Existují 3 defaultní chainy:

  • input (na router/do routeru)
  • output (z routeru ven do internetu)
  • forward (skrze router třeba do vnitřní sítě nebo skrze router VEN do internetu)

Filter Actions

Každé pravidlo má nějakou akci (action) – co dělat když se packet matchne (shoduje s nějakým pravidlem):

  • accept (přijmout/povolit)
  • drop (zahození packetu bez oznámení původci zprávy, že byl packet zahozen)
  • reject (zahození packetu ale s oznámením původci zprávy o nedoručitelnosti zprávy)
  • jump/return k/od uživatele definovaný chain
  • a spousta dalších.

Na Filter Actions se dostaneme skrze IP/ Firewall /New Firewall Rule (+ modrým pluskem) -> záložka action.

Filter Chains

Zde se dostaneme pomocí IP / Firewall. Je lepší a přehlednější firewall rozdělit na jednotlivé chainy.

Chain: Input

Chain input chrání služby běžící na routeru před vnějším internetem i z vnitřku. Např. www rozhraní, API, winbox, telnet, ssh a jakoukoliv další službu, která by mohla běžet na routeru a být dostupná z internetu nebo z místní sítě, na kterou se mohou připojit uživatelé.

Chain: Forward

Obsahuje pravidla, kontrolující packety procházející SKRZE router (jak z vnitřní sítě do internetu, tak z internetu do vnitřní sítě). Defaultně je veškerý provoz (traffic) mezi klienty připojenými do routeru povolen. Trafik mezi klienty a internetem není defaultně omezován.

Jak pochopit rozdíl mezi Inputem a Forwardem?

Pokud si na mikrotiku zakážete forwardovat port 80 (http), tak se nedostanete na žádnou webovou stránku v internetu. Ale protože tohle je v chainu Forward, tak se dostanete díky Input pravidlu na WebFig (webové rozhraní) vašeho mikrotiku. Provoz skrze router ven do internetu byl zablokován na portu 80, provoz DO routeru skrze chain Input nijak omezen nebyl a proto Vám to bude fungovat. Často používané porty 20 a 21/tcp FTP (File transfer protocol) 22/tcp SSH (secure shell – vzdálený terminál, šifrovaný) 23/tcp Telnet (nešifrovaná terminálová služba) 25/tcp SMTP (odchozí pošta) 103/tcp 110 (příchozí pošta) 143/tcp IMAP (Internet Message Access Protocol) 80/tcp HTTP (web) 443/tcp HTTPS (zabezpečený web) 3306/tcp MySQL (MySQL databáze) 3724/tcp World of Warcraft Authentizace uživatelů 8085/tcp/udp World of Warcraft herní server 8291/tcp Winbox 5678/udp MikroTik Neighbor Discovery 20561/udp MAC WinBox 27015/udp/tcp Half-life/Counter-strike herní server Další seznam portů zde.

Address List

Adresní listy umožňují vytvářet akce pro vícero IP adres, což je výhodné zejména pro větší sítě, vnitřní sítě se servery atd..atd… IP adresa může být přidaná do seznamu permanentně nebo na předdefinovaný časový interval. Adreslisty mohou obsahovat 1 IP, rozsah IP, nebo celé podsítě. K adreslistům se dostaneme přes IP/Firewall/záložku Address Lists/New Firewall Address List (+) Namísto psaní adres v záložce General se přepneme do advanced a zvolíme adresu (Source/Src/zdrojovou nebo destination/dest/cílovou – to je jedno) a můžeme si tak vybrat předdefinované adreslisty. Dokonce mikrotik je tak vychytaný, že můžeme vyvolat akci, při které si mikrotik automaticky přidá adresu do address listu (opět buď trvale/Permanently nebo dočasně temporarily). IP / Firewall /New Firewall Rule (+) / záložka akce a tam se vybere add src to address list.

Firewall Log

každé pravidlo firewallu může být zalogováno (zalogovat znamená zapsat záznam do deníku událostí firewallu, dále jen log či zalogovat), když se matchne (shodne s právě probíhajícím packetem). K pravidlům lze přidat specifický prefix aby se záznam snadněji dal později v záznamech najít.

NAT

Network address Translation (NAT) je metoda modifikace zdrojové a cílové IP adresy v záhlaví packetu. Existují 2 typy NATu:

  • Source NAT / srcNAT / Zdrojový překlad adres
  • Destination NAT / destNAT/ Cílový překlad adres

NAT běžně poskytuje přístup uživatelům vnitřní sítě s privátními adresami do Internetu. (src-nat/source NAT) NAT umožňuje přístup z externí (vnější) sítě ke zdrojům (webový server, databázový server) ve vnitřní síti (dst-nat/destination NAT) Na mikrotiku implementují pravidla srcnat a dstnat. Stejně jako běžná Filter rules (filtrovací pravidla) fungují na principu If-Then (jestli je podmínka splněna, tak něco udělej). Funkcionalita je opět uplatněna k prvnímu matchnutí nalezeného pravidla.

Jak funguje NAT

V podstatě to funguje tak, že letí packet od klienta směrem do internetu -> packet dorazí na router, router přepíše zdrojovou privátní adresu typu 192.168.xyz.xyz či 10.xyz.xyz.xyz nebo 172.16.xyz.xyz na veřejnou IP adresu např. 195.178.1.1 a tento packet teprve pustí do internetu. Ten kdo komunikuje s klientem ve vnitřní síti skrze router si tedy myslí, že komunikuje s routerem, protože tohle šachování s IP adresami v záhlaví packetu dělá právě router. Klienta zajímá cílová adresa cílového vzdáleného serveru, se kterým klient komunikuje a vzdálený server zase neřeší nějakou privátní adresu nějakého klienta za routerem, protože jeho zajímá jen veřejná IP routeru, se kterým komunikuje. V případě destination NATu letí např. požadavek na port 80 z vnějšku, z internetu z adresa 21.21.21.21 na veřejnou ip např. 195.178.1.1, packet přistane na WAN rozhraní routeru, router se podívá, kam má packet poslat, pokud se jedná o port 80, zjistí, že má packet poslat na port 80 ip adresy 192.168.20.10, změní destination (cílovou) adresu ze 195.178.1.1 na 192.168.20.10 a tu pošle na na cílový server ve vnitřní síti 192.168.20.10. Jakmile server odpoví/vyhodnotí požadavek, tak odpoví na nějakém portu např. 51234 vzdálenému klientovi s ip 21.21.21.21, zdrojová je tentokrát při odpovědi 192.168.20.10, packet dojde na router, ten zase přehodí zdrojovou adresu ze 192.168.20.10 na 195.178.1.1 a packet přepošle na cílovou adresu vzdálenému klientovi na 21.21.21.21. (pokud jsem tu něco nepopsal, tak dejte vědět v diskusi, rád to tu poupravím).

Redirect

jedná se o speciální typ DSTNATu. Tato akce přesměruje packety do routeru samotného. Toho lze využít k vytvoření transparentních proxy služeb (např. DNS, HTTP atd…) Klient odešle packet s destination adresou konfigurovaného DNS serveru na portu 53, dojde to na router, ten packet přesměruje na novou destination adresu routeru na portu 53. Mikrotikácké DNS servery jsou ve skutečnosti jen DNS cache.

Src NAT

Princip source NATu jsem tu již polopatě popsal. Masquerade je speciální typ srcnatu. Src-nat je tedy defakto akce určená k přepsání source IP adresy nebo portu v přicházejícím packetu na router.

Masquerade

cl8

Maškaráda je překlad vnitřních IP adres z vnítřních sítí na WAN rozhraní tak, aby z routeru z WAN rozhrání odcházely packety se source  (veřejnou) IP adresou WAN routeru.

NAT Helpers

některé protokoly vyžadují NAT helpery (NAT pomocníky) v natované síti. Typickým příkladem je FTP,H323,tftp, pptp, občas nějaké torrenty a další porty, kde se pracuje s RELATED packety.

Connections

  • New – nově příchozí packet otevírající spojení.
  • Established – packety, které souvisí s již známým ustanoveným funkčním spojením.
  • Related – jsou packety otevírající nové spojení, související s již známým spojením. Typicky protokol FTP. Připojíte se na port 21 tcp, related port je port 20 tcp, který je datový port.
  • Invalid – neznámý packet, který nepatří do žádného ze známých či navázaných spojení.

Connection Tracking

Jedna z nejdůležitějších funkcí stavového firewallu. Firewall si udržuje informaci o všech aktivních spojení. Musí být povolen pro NAT a Filter pravidla. Důležitá poznámka: Connection state =/= TCP state. Není to stejné. Pokud byste vypnuli Connection Tracking, tak byste získali bezstavový firewall, jako je např. ACL na ciscu.

FastTrack

Metoda zrychlující propustnost packetů skrze router. Established nebo related connection (spojení) je označeno jako fasttrack connection. Obchází firewall, connection tracking, simple queue (jednoduchou frontu) a další funkcionality. Podporuje však pouze TCP a UDP protokoly. S FastTrackem lze dosáhnout menšího vytížení CPU a vyšší propustnosti, než bez něj a menší zátěž CPU kvůli práci firewallu. Více info zde. Pokud se nepletu, tak FastTrack je povolen na mikrotiku defaultně. Opět v diskusi mě opravte, pokud tu melu nesmysly.

Stavíme firewall

Mějme vnitřní síť routeru 192.168.20.0/24, adresa bridge ve kterém je wlan1 i ether2 je 192.168.20.1. Počítač připojený kabelem či WiFinou do routeru bude 192.168.20.10. Defaultní politika iptables je “nepustím nic”, když nejsou žádná pravidla. Defaultní politika MIKROTIKU je “povolím vše”, když nejsou žádná pravidla. Další důležitá věc. Stanovme si jaké máme zóny na mikrotiku: mikrotik_clanek8 Mějme 3 zóny, které firewall bude řešit:

  • inside
  • outside
  • DMZ (Demilitarizovaná zóna – kde budou např. servery)

Zpřehlednění pravidel

Jsou 2 možnosti, jak zpřehlednit pravidla:

  • 2x kliknout na konkrétní pravidlo a vpravo je možnost comment.
  • Subchainy (podrětězy pravidel)

Pro příklad si můžeme přidat accept input pravidlo na bridge interface pro Src. Addressu (src = zdrojová adresa) 192.168.20.10.

 

Zbytek dopíšu, jak se k tomu dostanu. Zatím to zveřejňuji právě pro ty nešťastníky, kteří zítra píšou certifikační zkoušku. ;-)

Základy Mikrotiku #7 Module 5: Wireless, Wireless Standards, 2.4Ghz Channels, 5Ghz Channels, Country Regulations, Radio Name, Wireless Chains, Tx Power,

Wireless

Mikrotik RouterOS poskytuje kompletní podporu pro standardy IEEE 802.11a/n/ac (v 5Ghz pásmu) a 802.11b/g/n (ve 2.4Ghz pásmu).

Bezdrátové standardy

  • 802.11a  frekvence 5Ghz rychlost 54Mbps
  • 802.11b  frekvence 2.4Ghz rychlost 11Mbps
  • 802.11g  frekvence 2.4Ghz rychlost 54Mbps
  • 802.11n  frekvence 2.4 a 5Ghz rychlost až 450Mbps (u rychlosti záleží však na Routerboardu)
  • 802.11ac  frekvence 5Ghz rychlost až 1300Mbps (u rychlosti záleží však na Routerboardu)

2.4Ghz kanály

13x22Mhz kanálů (většina světa). 3 vzájemně se nepřekrývající kanály (1,6,11), 3 Access Pointy (dále jen AP) mohou pokrývat stejnou oblast bez vzájemného rušení.

USA má 11 kanálů, Japonsko má 14 kanálů. Šířka kanálu je 20Mhz, 2Mhz zbývá jako “guard band” (u standardu 802.11b).
802.11g má 20Mhz šířku, 802.11n 20/40Mhz šířku.

5Ghz kanály

RouterOS podporuje plný rozsah 5Ghz frekvencí.
5180-5320Mhz (kanály 36 – 64)
5500-5720Mhz (kanály 100-144)
5745-5825 (kanály 149-165)
Opět to není po celém světě stejné, rozdílnosti záleží na regulacích jednotlivých států a teritorií.

  • 802.11a šířka pásma = 20Mhz
  • 802.11n šířka pásma = 20Mhz i 40Mhz
  • 802.11ac šířka pásma = 20Mhz, 40Mhz. 80Mhz, 160Mhz (proto dokáže dosahovat tak velkých rychlostí ve srovnání s ostatními standardy)

Country Regulations

Jedna z nejdůležitějších vychytávek u mikrotiku. Tímto si pohlídáte, aby Váš mikrotik nezářil víc, než povoluje konkrétní regulace v daném státě. Tím se vyhnete případným pokutám či právním problémům. Dokonce i když nastavíte mikrotiku, aby zářil dvojnásobek, co povoluje daná země, kterou jste si nastavili ve:

wireless/2x kliknutím na wlan1/tlačítko advanced mode / country: Czech republic

tak i přesto Váš mikrotik nebude svítit více, než povoluje nastavení v country: Czech republic, což je 20 dBm.

cl7_country_regulations

 

Dynamic Freqency Selection (DFS)

je vychytávka, která umožňuje detekci radarů v 5Ghz pásmu a tedy možnost utéct z kanálu kde vysílá nějaký radar, na volný kanál. Některé kanály mohou být použity pouze tehdy, když je funkcionalita DFS zapnuta. (V EU: 52-140, US: 50-144 kanál).

cl7_dfs

Radio Name

defaultně je Radio Name mac adresa (V mém případě D4CA6DD72F4D). NEsplést s SSID! Je to viditelné pouze mezi RouterOS-RouterOS zařízeními, může být vidět ve Wireless Tables. (kam se dostanete když v levém menu kliknete na Wireless). Nastavíte ho ve stejném advanced menu, jako v předchozí případech a screenshotech.

Wireless Chains

802.11n uvádí koncept MIMO (ne mimo jako mimo ale Multiple In and Multiple Out – vícenásobný vstup a vícenásobný výstup, když to přeložím hodně tupě).
V princip jde o paralelní posílání a příjem dat skrze více “rádií”/antén. //pokud to tady uvádím nepřesně, prosím, opravte mě v komentáři pod článkem, rád to uvedu na pravou míru.
Bez MIMO by 802.11n dosahovala pouze rychlosti 72.2Mbps.

Tx Power

Jedna z nejdůležitějších praktik při nastavování wifiny do domácností. Kdekoliv mohu, nastavím si v Wireless/2x kliknutím na wlan1/tlačítko advanced mode/ záložka Tx power následující nastavení:

Tx power mode: All rates fixed

Tx Power: defaultně je tam tuším 17 (v případě mého mikrotiku, právě jsem na RB951Ui-2HnD), já nastavuji 0 a úplné minimum je -30  (v případě mého mikrotiku).

Počítání Dbm na Watty mrkněte na tento odkaz na online kalkulačku dbm to watts.

V případě hodnoty -30 dBm = 0.000001 W. Což bohatě stačí na pokrytí jedné místnosti v malém bytě a občas to dosáhne i do vedlejší místnosti. Když jsem se ale ptal na podrobnosti, tak jsem se dozvěděl, že v nějaké (snad to už opravili) verzi RouterOS či Winboxu je bug, který bez ohledu na to, jak nízkou hodnotu nastavíte, tak to stejně nastaví nejnižší hodnotu okolo 5dbm, ikdyž vám to spolkne -30. Co je na tom pravdy, nebo jak moc se mikrotik od roku 2015 v tomto změnil, to nejsem schopen říct a opět to nechme na diskusi pod článkem.

Když bude hodnota 0 dBm je výsledek stále “zdravých” 0.001 W.

U hodnoty 17 dBm (což je default) už je to 0.050118723363 W (nezapomeňme, že nějaký zisk udělá i anténa). V případě 20 dBm už pálíte 0.1W. Diskuse jsou vleklé, někdo říká, že to je nula nula nic. Někdo zase říká, že byste rozhodně v takové místnosti neměli spát. Fakta jsou taková, že koho znám, kdo někde pracoval na radarech, nebo montoval silnější wifiny někde na straně poskytovatele několik let, tak v případě mužů se mu rodí pouze dcery a pokud se někomu narodil syn, tak měl nějakou genetickou vadu či mentální postižení (statistická odchylka nebo výjimka se najít může, opět to nechme na diskusi pod článkem). V mém případě wifi zapínám pouze pro návštěvy a pálím na 0 dBm, na tu místnost to stačí a nepálím to navíc k sousedům, tudíž by to mělo být i “bezpečnější”, protože signál, který k Vám nedoletí nemůžete odposlouchávat, stejně tak se na takovou wifinu budete těžko připojovat, když k Vám nedoletí signál. Co mohu, to tahám po kabelech. Získávám tím větší stabilitu, bezpečnost, rychlost. Přece jen 1 gbps po kabelu je lepší než 150 nebo 300mbps po wifi.

cl7_txpower

 

802.11n kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11n kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 3 dBm
802.11n kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 5 dBm

802.11ac kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power -3dBm, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power -5dBm, celkový výkon se rovná nastavené hodnotě v Tx Power

Rx Sensitivity

Receiver sensitivity (citlivost příjemce) je nejnižší power level, na kterém interface (rozhraní) dokáže ještě rozpoznat/detekovat nějaký signál.
Při srovnání RouterBoardů tato hodnota by měla být brána na vědomí vzhledem k plánovanému použití.
Menší Rx sensitivita threshold (práh citlivosti příjemce) znamená lepší detekci signálu.

Wireless Station

Wireless station (bezdrátová stanice) je klient (notebook, telefon s wifi, router).
Na routerOS tomuto módu nastavení odpovídá Mode station.

cl7_station

Všimněte si na screenshotu:

Mode: station
SSID: Jakékoliv jméno si tam napíšete, takové uvidí klienti jakožto název wifi.
country: Czech republic (pakliže se nacházím v české republice, pokud jste slovák, dejte si tam Slovakia). Tady jsou limity v pdf pro celý svět pro každou zemi. Slováci mají jiné limity než my, pozor na to.

Security profile: Wireless/ otevře se Vám Wireless Tables kliknete na záložku Security Profiles a 2x kliknete na default, případně založíte nový profil tlačítkem +.

cl7_security_profile

Mode: Dynamic Keys

Authentication Types: Wpa PSK a WPA2 PSK a tam kde je WPA Pre-Shared Key a WPA2 Pre-Shared Key si nastavíte heslo pro přístup do wifi sítě. “to heslo na wifinu, které pak řeknete tomu, kdo se na wifi potřebuje připojit).
Mikrotik toho umí strašně moc, proto si tu probereme jen základy. Do WPA a WPA2 Pre-Shared Key si nastavíme třeba heslo mikrotik123mikrotik456 (na zkoušku).

Security

Pouze WPA (WiFi Protected Access) nebo WPA2 by měl být používán. Já tam zaškrtnu vždycky obě kvůli starším zařízením, která třeba WPA2 nemusí vůbec umět. V oficiálních materiálech se uvádí buď WPA nebo WPA2.
WPA-PSK nebo WPA2-PSK používají AES-CCM šifrování. Radu v podobě “používejte dlouhý a silný klíč” nemusím snad neustále opakovat.

Access Point (Ap bridge)

přepneme si WiFi v sekci wireless/2x kliknutí v záložce interfaces na wlan1/záložka Wireless na Mode: ap bridge.
cl7_clientA už se můžeme připojit na naši vlastní wifi.  Potom co se připojíme s nějakým koncovým zařízení na náš mikrotik, tak ve Wireless/ v záložce Registration již uvidíme klienta, na kterého když klikneme pravým tlačítkem myši a vybereme možnost Copy to Connect List, dostane se nám klient do connect listu.

Connect List

cl7_connect_list

Kde už s ním můžeme provádět cokoliv se nám zlíbí. Můžeme ho zakázat, povolit, přidat si k němu komentář (třeba že to je tchýně), pravidlo můžeme zakázat či povolit (pokud jsme tedy někde na někoho aplikovali nějaké pravidlo, můžeme provedené změny anulovat a udělat z uživatele běžného uživatele s běžným heslem, jako mají ostatní) Nebo si můžeme pro jednotlivé klienty přiřadit jejich vlastní tajná hesla pro přístup do naší wifiny, pakliže na řádek se záznamem poklikáme 2x, objeví se nám následující okno:

cl7_station_Connect_rule

Pokud si tedy vytvoříme vlastní Security profile, můžeme mít klidně co klient, to vlastní heslo, či jiný způsob autentizace.

 

WPS

WiFi Protected Setup (Dále jen WPS) je funkcionalita pro běžný přístup na WiFi bez nutnosti zadávat heslo. RouterOS podporuje obojí možnosti využití WPS, jak pro AP, tak jako WPS client pro station módy. (módy, kdy se chová náš mikrotik jako koncová stanice). Moje rada do praxe – nepoužívat, není to bezpečné a často se na to útočí.

WPS Accept

K povolení přístupu uživatele můžete využití WPS accept button (WPS tlačítko přímo na routeru).
Když tlačítko zmáčknete, umožní připojení na AP zhruba na 2 minuty, nebo dokud se stanice nepřipojí. WPS tlačítko musíte zmáčknout pokaždé, kdykoliv se připojuje nějaké nové zařízení do WiFi sítě. Pro každé zařízení se WPS tlačítko zmáčkne pouze jednou. Všechny RouterOS zařízení s WiFi rozhraním (WiFi interface) má i virtuální WPS push button (virtuální WPS tlačítko). Některé (zejména ty naše domácí mají wps tlačítko přímo na svém těle. Obvykle blízko portu k napájení, nebo mezi portem napájení a prvním ether1 portem.

Virtual WPS Button (virtuální WPS tlačítko) je k dispozici v levém menu v QuickSet /WPS Accept, ale musíte mít povolen příslušný balíček. Na mém mikrotiku to nikde nevidím, takže to bdu mít nejspíš zakázané tím, že nemám naloadovaný balíček, který to umožňuje. RouterOS nepodporuje insecure PIN mode (Nezabezpečený PIN mód). WPS client je podporován většinou operačních systémů.

V LABu si nakonfigurujte routerboard, pak si nakonfigurujte Wifi a na tu se připojte potom, co odpojíte kabel. Když se dostanete na wifi, tak si pohrajte s možností Connect List, Registration atd…

Registration

Do registration se dostaneme přes Wireless/ objeví se Wireless Tables a tam klikneme na záložku Registration/ V registration 2x poklikáme na konkrétního připojeného klienta a na záložce signal vidíme jeho sílu signálu, kvalitu, útlum a další užitečné věci. V registration vidíme všechny aktuálně připojené klienty na wifi. Můžeme ho pingnout, zkopírovat do Access Listu, Connect Listu atd… NA záložce statistics už vidíme kolik packetů (Packets) , rámců (Frames) si APčko s klientem poslalo a jaké jsou Tx a Rx rychlosti aktuální a maximální.

 

cl7_registration

Access List

Pokud si klienta zkopírujeme pravým tlačítkem v Registration do access list (Copy to Access list), tak v Access Listu si můžeme vykopírovat jeho MACovku pro další účely, můžeme ho v případě potřeby přesunout na jiný interface (pakliže je to možné, já mám jen wlan1 takže tam si moc nevyberu), zakšrtnu jestli chci aby se mohla autentizovat vůči APčku, nebo dokonce omezit čas, odkdy dokdy se klient může připojit, který den v týdnu. Mohu mu nastavit osobní Pre-Shared Key a mohu nastavit, jestli může forwardit data s ostatními uživateli na síti, nebo jestli se bude bavit pouze s APčkem a s nikým jiným. Stejně tak mohu klientovi na tvrdo nastavit Tx limit na straně AP nebo na straně klienta, jakou rychlostí bude komunikovat. V možnostech nastavení je zkrátka mikrotik fantastický.

cl7_access_list

 

Default Authenticate

Vraťme se k prvnímu screenshotu pod nadpisem Acess Point (AP bridge), tam vidíme na spod kolonku k zaškrtnutí “Default Authenticate”. Defaultně je povolená a uživatelům je umožněn vstup do Wifi a autentizace skrze heslo. Pokud je nějaký klient (dříve autentizovaný a vpuštěný do sítě a zaznamenaný v Access či Connect Listu) tak pro něj platí pravidla v Connect či Access listu, pokud v těchto listech uveden není, platí pro něj defaultní Security profile (bezpečnostní profil). Pokud default authentication je zakázán (tedy NEzaškrtnutý, prázdný), tak se připojí pouze klienti, kteří mají záznam povolený v Access či Connect listu a nikdo jiný se tam nedostane, i kdyby měl správné heslo.

Default Forward

Kolonka hned pod Default Authenticate na stejném místě ve Wireless/interfaces/wlan1 2x kliknout / Advanced Mode.

Když je to zaškrtnuté, mohou se spolu bavit a komunikovat autentizovaní klienti uvnitř vaši WiFi sítě. Když to zaškrtnete, tak bude umožněna komunikace pouze klient vs. AP ale už nikoliv Klient – AP – Klient (tedy myšleno klient vs. klient). Když kolonka Default Forward zůstane NEzaškrtnutá, prázdná, tak si klienti na Vaši síti mezi sebou counter-strike rozhodně nezahrají, protože se budou moci bavit pouze s APčkem a z vnějším světem, ale nikoliv mezi sebou. Vychytaná věc. ;-)

 

 

Základy Mikrotiku #6 Module 4: Routing, static route, default gateway, dynamic routes, route flags

Routing probíhá na 3. vrstvě OSI modelu (network layer = síťová vrstva).

klikneme na ip /routes  a zobrazí se nám Route List.

clanek6_static_route

Dst. Address znamená cílová adresa, gateway je destination next router (cílový router, kam to bude posílat, když se matchne pravidlo v Dst. address).

cl6_check_gateway

Všimněte si možnosti check gateway, kde to každých 10 vteřin kontroluje pomocí ICMP echo request (pingem) nebo ARP requestem opačnou stranu.

“Přesnější” routování

Pokud existuje 2 a více route (cest/tras) mířících na stejnou adresu, použije se ta více přesná. Pro příklad:

pokud budou 2 routy:

dst: 192.168.10.0/24, gateway (brána): 10.0.0.1
dst: 192.168.10.128/25, gateway (brána): 10.0.2.1

a přijde na router packet, který míří na 192.168.10.140, tak bude použita brána 10.0.2.1 k odeslání packetu dál.

Default Gateway

Default gateway, neboli defaultní brána (já defaultní nepřekládám, promiňte), je taková brána, kam se posílá všechen provoz (trafic), který se nematchne (neshoduje) s žádnou konkrétní trasou (routou). A když se s žádnou trasou (routou) neshodne (nematchne), tak to pošle směrem default gateway.

cl6_default_gateway

Default gateway pro router se nastaví automaticky skrze DHCP-clienta, nemusíme ji tedy v případě, že si router získá na WAN interface adresu sám, vůbec defaultní routu nastavovat. Lze to však změnit skrze IP / DHCP client / 2x poklikáme na ether1 gateway který je tam z defaultu a v kolonce Add Default Router: kde je standardně yes, můžeme nastavit no a routeru pak budeme muset dodat statickou routu ručně.

cl6_dhcp_client_default_route

Dynamic routes

Jak jsme si mohli všimnout v Route Listu nalevo od Dst. Address je S, DAC nebo jiné tagy.  DAC se v routovací tabulce objeví automaticky bez přičinění uživatele. DAC routy pocházejí z konfigurace, které jsme si naházeli do IP /Addresses. Dynamické routování skrze protokoly OSPF a RIP čekejte v aktualizaci tohoto článku dole.

DAC a další zkratky znamenají:

Route Flags

A – active
C – connected
D – dynamic
S – static
a jejich kombinace.
Default gateway je statická routa.

cl6_dynamic_routing

Static Routing

Pokud máte 2 routery se sousedem. Tak řešení tzv. “na prasáka” je, že si každý nastavíte na adresu WAN rozhraní kolegy default routu 0.0.0.0/0 a bude to fungovat. (ikdyž tam může vzniknout routing storm, kde si routery přeposílají mezi sebou tentýž packet jako horký brambor tak dlouho, dokud nevyprší TTL).
řešení je tedy v tomto případě následující:

sousedova ip adresa vnitřní LAN sítě: 192.168.20.0/24
moje IP adresa vnitřní LAN sítě: 192.168.10.0/24
adresa sítě mezi routery a mezi jejich WAN rozhraními: 192.168.1.0/24.
můj router adresy rozhraní:

ether1: 192.168.1.100 na WAN
bridge-local: 192.168.10.1
soused:
ether1: 192.168.1.102 na WAN
bridge-local: 192.168.20.1

default routa ode mě k sousedovi:

192.168.20.0/24 přes 192.168.1.102

defaultní routa od souseda ke mě:

192.168.10.0/24 přes 192.168.1.100

cl6_muj_router_static_routing

 

Static routing

Jednoduchý k nakonfigurování v malých sítích
Je to tupé řešení, které se těžce škáluje
ruční konfigurace je potřeba kdykoliv se objeví nová síť, kterou je potřeba “uroutovat”.

 

Dynamic Routing – OSPF

Máme 2 routery. Levý a pravý, pravý je připojen k internetu. Mezi nimi postavíme OSPF dynamic routing:
Levá síť: 192.168.10.0/24,počítač v síti 192.168.10.10, ether3 routeru 192.168.10.1
Pravá síť: 192.168.20.0/24, počítač v síti 192.168.20.10, ether2 routeru 192.168.20.1
Prostřední síť, po které pojede OSPF protokol: 192.168.0.0/24, levý router ether1 192.168.0.2, pravý router ether2 192.168.0.1
Síť do internetu z pravého routeru ven: ether1 192.168.1.101, síť 192.168.1.0/24, brána 192.168.1.1.

Viz obrázek:

Diagram1_mikrotik_ospf

 

Teď jak to nastavit. Začněme levým routerem.
Zakažme všechna pravidla ve firewallu skrze IP/firewall/
cl6_zakazani_firewallu_ospfV záložce NAT musíte mít funkční a povolený src-nat!!!
(V mém případě, když jsem měl vše nastavené správně a měl jsem povolený Firewall, tak mi nechodily mezi routery OSPF packety). Pokud nebudete mít povolený src-nat na routeru, který není připojen do internetu, tak to katastrofa nebude, ale pokud nebudete mít funkční src-nat na routeru, který je připojen do internetu, tak nepingnete dál, než na WAN ether1 rozhraní pravého routeru, který je připojen do internetu.

U adresujeme rozhraní levého routeru a předkládám ještě ve screenshotu i to, jak vypadá můj bridge-local:
cl6_ospfDáme routing/OSPF/ záložka networks a začnem tam sypat přímo připojené sítě (tedy v případě levého routeru 192.168.0.0/24 a 192.168.10.0/24):
cl6_ospf_levy_router_ospf_networks

Záložka routing/OSPF / Interfaces by měla vypadat takto:
cl6_ospf_interfaces

Jdeme na Pravý router, jehož konfiguraci dopíšu.

Pravý router OSPF

Jako v případě levého routeru, uadresujeme všechna rozhraní ip adresami přes IP / addresses

ether1 192.168.1.101/24
ether2 192.168.0.1/24
ether3 192.168.20.1/24
Potom přes Interfaces/2x klikneme na ether2-master-local a ověříme, že v kolonce Master Port je  none.
Stejně tak 2x klikneme na ether3-slave -local rozhraní a nastavíme Master Port na: none
Dále klikneme na ip/routes/ přidáme statickou defaultní routu (trasu) 0.0.0.0/0, gateway 192.168.1.1 a dáme OK.

cl6_ospf_pravy_router_2

 

 

Zakážeme všechna Firewall pravidla:

cl6_ospf_pravy_router_3_firwall

Ověříme, že je povolený src-nat (jinak by klienti ve vnitřních sítích kromě hlavního routeru nepingli směrem do internetu – konkrétně by pingnuli 192.168.1.101 ale už by nepingnuli 192.168.1.1):
cl6_ospf_pravy_router_3_nat

Klikneme na routing/OSPF/záložka Networks:

cl6_ospf_nastaveni1

A přidáme tam přímo připojené sítě k pravému routeru (můžeme vést diskusi pod článkem, jestli má smysl tam cpát tu síť 192.168.1.0) tedy konkrétně:

192.168.0.0/24
192.168.1.0/24
192.168.20.0/24

Pár vteřin počkáme a routery by si měly vyměnit mezi sebou LSA informaci:

cl6_ospf_nastaveni2

 

V routing/OSPF/ záložka Instances si ještě pohlídáme, aby se nám přeposílala z hlavního pravého routeru i defaultní routa:

cl6_ospf_nastaveni3

 

Dříve či později již musíte pingnout. Pohlídejte si zakázané firewally (pro účely testování) na obou mikroticích (ospf posílá zprávy balené do portu tcp 89), pohlídejte si povolené src-naty, kvůli jejich případné absenci byste pingali jen v místní síti, ale už nikoliv do internetu, pokud Vám něco nebude fungovat, ověřte si správnou adresaci na rozhraních, správné porty, jestli vaše interfacy nejsou slave nějakého jiného portu či jestli nejsou v bridgi.

Dynamic Routing – RIP

Přejděme na PRAVÝ hlavní router. Kliknutím na routing/ospf/záložka instances a kliknutím na červený křízek zakážeme OSPF (při jeho opětovném povolení by začal OSPF fungovat, takže nepřijdete o žádnou konfiguraci).
Klikněte na routing/rip/v záložce interfaces klikneme na modré tlačítko PLUS.

cl6_rip1

 

Interface nastavíme na rozhraní, které spojuje pravý router s tím levým, protože z bezpečnostních důvodů nechceme posílat routovací informace jinam.

Klikneme na tlačítko RIP settings v routing/RIP/Interfaces/ a zde vybereme možnost Distribute Default: if installed, Redistribute Static Routes, Redistribute Connected routes. Stejně tak můžeme dát klidně redistribute OSPF routes, ale to možná někdy jindy.
cl6pravy_router_ripsettings(bez tohohle nastavení by se viděli jen klienti ve vnitřní síti mezi sebou, ale nikdo by se nedostal do internetu)

Na záložce Networks znovu přidáme všechny přímo připojené sítě k pravému routeru, tedy:

192.168.0.0/24
192.168.20.0/24
můžeme klidně i 192.168.1.0/24 (odebrat ji můžeme vždycky a navíc když jsem ji v OSPF zakázal, všude jsem se stejně dostal).

cl6_rip2

 

Nesmíme ještě zapomenout přidat souseda v Routing/RIP/záložka Neighbor/ a jeho ip adresu sousedního rozhraní, tedy 192.168.0.2.

cl6_pravy_rip_neighbor

 

Přejděme k levému routeru

Levý router RIP

Na levém routeru klikneme na routing/rip/ v záložce interfaces klikneme na plus (+) kde přidáme ether1-gateway

cl6_rip_levy_router

 

Přidáme přímo připojené sítě k levému routeru, konkrétně:

192.168.0.0/24
192.168.10.0/24

cl6_rip_levy_router_3

 

Klikneme na routing/rip/záložka neighbor (soused) a na levém routeru přidáme IP adresu pravého souseda, tedy 192.168.0.1.

cl6_rip_levy_router_4_neighbor

Potom už jen pingáme a zkoušíme.

cl6_rip_levy_router_5

 

A voila! Máme hotovo! K debugu prozradím následující věci. Pokud už vidíte, jak si routery vyměňují zprávy mezi sebou (v ip /routes vidíte DAr), tak už to začíná fungovat. Když pingáte jen na svůj router ale ne na sousedův, zkontrolujte ip souseda (neighbor), Vámi přidané sítě a pokud máte hlavní router, který rozposílá defaultní routu, jeslti jste si zaškrtli povolení tam kde je tlačítko RIP settings i možnost posílat defaultní routu sousedům. Když nepingnete do internetu ale pingnete jen všude kde Vám běží routovací protokol, tak bude chyba právě v redistribuci (přeposílání) defaultní routy.

 

 

Základy Mikrotiku #5 Module 3: Bridging, Wireless Bridge, Bridge Firewall,

Bridge

Co je to Bridge? Bridge, nebo též síťový most je zařízení 2. vrstvy OSI modelu. Jedná se tedy o zařízení 2. tedy data-linkové vrstvy. Více o OSI modelu zde. Obvykle se používá ke spojení 2 síťových segmentů. Bridge rozdělují kolisní doménu (collision domain) na 2 části.
Běžný switch je multi-portový síťový most (bridge). Každý port je kolizní doménou (collision domain) s jedním zařízením.

Při připojení všech hostů do ethernetového hubu:

  • Všichni hosti (koncoví klienti) mohou komunikovat se všemi ostatními
  • všichni sdílí stejnou kolizní doménu. (celá síť je v podstatě kolizní doména)

Viz obrázek:

broadcastová doména bez použití bridge

Při aplikování Bridge:

  • Všichni hosti (koncoví klienti) mohou stále komunikovat se všemi ostatními
  • Jsou tu však 2 kolizní (a tím pádem i menší) domény, které právě rozdělil Bridge.

Diagram2

RouterOS

  • implementuje síťové mosty (bridge) v jejich softwarové podobě
  • do bridge mohou být přidány Ethernet porty, WLAN, SFP či tunnelové rozhraní (interfacy)
  • defaultní konfigurace na SOHO routerech (i mém domácím RB941 routerboardu) je bridge obsahující WLAN + ether2 port
  • Ether 2 až ether5 jsou kombinovány spolu ve switchi. Ether2 je master, ether3 až ether5 jsou slave. Rychlost přenosu řeší chip switche.

Při použití Bridge na mikrotik routeru:

  • Lze odstranit master/slave konfiguraci a místo toho používat bridge
  • chip switche nebude používán, místo toho ale počítejte s vyšším vytížením CPU routerboardu
  • Díky tomu budete mít větší kontrolu nad provozem. IP Firewall v tu chvíli můžete používat pro bridgované porty.

Bohužel kvůli limitaci standardu 802.11, bezdrátoví klienti (mode: station) nepodporuje bridgování (bridging).
RouterOS však implementuje několik módů k vyřešení tohoto omezení.

Wireless Bridge

módy fungování bezdrátového síťového mostu (Wireless bridge):

  • station bridge – routerOS to RouterOS
  • station pseudobridtge – RouterOS s ostatními
  • station wds (WDS = Wireless Distribution System) – RouterOS to RouterOS

Protože teď u sebe nemám druhý mikrotik, abych otestoval a popsal všechny věci ohledně bezdrátových spojů a zkrátka všeho, kde potřebujete alespoň 2 mikrotiky, dopíšu zbytek buď v neděli, nebo příští týden.

 

clanek5

ještě bych tam měl uvést v poli country: Czech republic, ale v podstatě podle třetího modulu je tohle všechno. A správně jste si všimli, že jsem přesedlal na vyšší model, což ale nic nemění na našich návodech.

 

Základy Mikrotiku #4 Module 2: RouterOS Licence, DHCP, DNS, ARP

Router OS licenci Vašeho Mikrotiku zjistíte skrze System / License

cl4_routeroslicence

(klikněte pro zvětšení)

Klíč si můžete importnout, exportnout, licenci povýšit, snížit.

Licence se dělí na následující levely:

Level 0 – trial verze na 24 hodin
Level 1 – Free demo verze zdarma
Level 3 – CPE – Bezdrátový klient (stanice)
Level 4 – AP – Bezdrátová APčka, WISP, pro domácnosti a menší kanceláře
Level 5 – ISP – podporuje více tunelů než Level 4, už se jedná o balík pro poskytovatele.
Level 6 – Controller – Neomezené možnosti RouterOS, vše omezené na maximum, bez omezení uživatelů, zkrátka to máte v plné palbě.

Více o licencích zde.

Toť k modulu 1, přejděme na module 2.

 

Module 2

DHCP

Znamená Dynamic Host Configuration protocol. Většina z vás asi ví, že se jedná o automatickou distribuci IP adres po lokální síti. DHCP se používá v tzv. trusted (tedy důvěryhodných) sítí. Funguje skrze broadcastovou doménu (broadcast domain). RouterOS podporuje jak DHCP klienta tak server.

DHCP Client

Slouží k získání IP adresy, masky podsítě, defaultní brány, DNS serveru a případných dalších nastavení, pokud je to poskytnuto v rámci DHCP zprávy.

Mikrotik SOHO routery standardně mají DHCP klienta konfigurované na ether1(wan) rozhraní (interface).

Ten interface (rozhraní), který má k sobě nastaveného DHCP klienta si automaticky získá adresu ze sítě ke svému vlastnímu uadresrování. Standardně je i na domácích HAP routerboardech, jako mám já, tedy na RB941. Pokud tedy máte RJ45 lan kabel odněkud z modemu, zapojíte ho do routeru od mikrotiku a ten si automaticky získá adresu ze sítě na ether1 (WAN rozhraní).

cl4_dhcp_client

(klikněte pro zvětšení)

V našem případě zde není nic moc co k řešení. V mém případě mám odpojený kabel z WAN rozhraní.

DNS nastavení

Standardně si DHCP klient získá DNS automaticky skrze DHCP protokol. Zde je možnost si nastavit vlastní DNS staticky.
Skrze IP / DNS zakliknu si servers a vyplním si googlovské DNSky. Primární server 8.8.8.8 a sekundární 8.8.4.4.

cl4_dns

(klikněte pro zvětšení)

DHCP Server

Automaticky přiřazuje adresu vyžadujícím hostům. Příkaz k povolení je DHCP Setup.

Prvně se přepojíme na router skrze MAC adresy. IP / DHCP SERVER

cl4_dhcp_server

(klikněte pro zvětšení)

 

Zakážeme DHCP server.

cl4_remove_dhcp1

(klikněte pro zvětšení)

Vymažeme síť.

cl4_dhcp_ip_pool

(klikněte pro zvětšení)

Vymažeme DHCP Pool adres, který to bude rozdávat.

cl4_remove_dhcp2

(klikněte pro zvětšení)

Nový DHCP server

Nastavíme nový DHCP Pool adres, ze kterého budeme rozdávat adresy klientům:

cl4_dhcp_ip_pool_novy

(klikněte pro zvětšení)

Nastavíme nový DHCP server:

cl4_dhcp_new_server

(klikněte pro zvětšení)

Nastavíme Networks pro DHCP server:

cl4_dhcp_new_server_networks

(klikněte pro zvětšení)

přiřadíme nové IP adresy pro bránu:

cl4_dhcp_new_server_IP_addresses

 (klikněte pro zvětšení)

po přepojení:

cl4_dhcp_new_server_reconnect

 (klikněte pro zvětšení)

Ukázka funkční zapůjčené (leasenuté) adresy:

cl4_ip_dhcp_nastaveni_funkcni_nove

(klikněte pro zvětšení)

DHCP Static leases

v IP / DHCP Server / záložka leases / pravým tlačítkem na aktivní zápůjčku (lease) a klikneme na Make static:

cl4_make_static

(klikněte pro zvětšení)

ARP

ARP tabulka v sobě nese informace o tom, která IP adresa je přiřazena k MAC adrese na kterém rozhraní. ARP znamená Address resolution protocol. Zobrazíme ji skrze IP / ARP.

CL4_arp

(klikněte pro zvětšení)

Static ARP

kliknutím pravým tlačítkem myši na konkrétní záznam v ARP tabulce a vybráním možnosti Make Static tento záznam z bezpečnostních důvodů uděláme statický.

cl4_arp_static

(klikněte pro zvětšení)

Nastavení bridge-local tak, aby odpovídal pouze staticky naučeným záznamům v síti. Jde o režim reply-only. Nastavíme ho pomocí Interfaces / 2x kliknem na bridge-local, v záložce General, mód ARP: reply-only.

cl4_arp_reply_only

(klikněte pro zvětšení)

 Kombinace DHCP serveru a Static ARP lze dosáhnout větší bezpečnosti na síti. DHCP server totiž přidá ARP záznamy automaticky a administrátor může záznamy udělat statické pomocí Make Static. Je proto potřeba přejít na IP / DHCP Server/ na záložce DHCP 2x kliknout na záznam se serverem, zaškrtnout možnost Add ARP For leases (na obrázku modře) Viz následující obrázek:

cl4_arp_dhcp_static

(klikněte pro zvětšení)

 Co byste měli udělat v labu? Odstraňte si statický záznam z ARP tabulky vašeho počítače. Připojení by nemělo být funkční. Ve windows si dejte ipconfig/renew získáním nové IP adresy a už by to mělo jet. Připojte se na router a zkontrolujte ARP tabulku. Schválně sem nebudu dávat řešení ani další postup, potřebujete si tím projít sami.

Další díl.

Základy Mikrotiku #3 Zálohy, netinstall, služby na mikrotiku, identity

Jestli jsem se nezmínil o nejdůležitější části webu mikrotiku, tak je to dle mého názoru sekce download zde:

http://www.mikrotik.com/download

Stáhnete tam vše. Od nejnovějších firmwarů, přes nejnovější balíčky, winbox, netinstal na oživení “mrtvého” routeru se špatně naflashovaným firmwarem apod.

Sledujte hlavně changelog a jděte po tom, co se opravilo, nebo vylepšilo!

Pokud se nám rozsype nebo nepodaří upgrade balíčků či firmwaru, použijeme utilitu netinstal:

Tu stáhneme zde:  http://www.mikrotik.com/download konkrétně si najděte řádek: “RouterOS Installation tool”, kde je link na netinstall a stáhnete ho.

Dále potřebujete zjistit, jaký typ architektury potřebujete. To zjistíme několika způsoby:

Pokud Vám předtím mikrotik běžel a udělali jste si třeba nějaký screenshot, zjistíte to ze záhlaví:

mikrotik_clanek3_zahlavi

Já tam mám (smips), takže potřebuji routerOS, který je skompilovaný pro architekturu Smips, na které můj routerboard RB941 běží.

mikrotik_clanek3_vyber_verzi

 (kliknutím rozklikněte)

Mám proto na výběr několik verzí. Všimněte si, odladěné starší verze 6.32.4 (bugfix only) v době psaní článku. Dále mou aktuální 6.35 (current = aktuální), 5.26 (legacy = starší stabilní verze) a verze, která ještě není aktuální, ale ještě se testuje (na vlastní nebezpečí) 6.35rc49 (Release candidate, téměř verze před schválením, kterou testují uživatelé z celého světa). Já vyberu verzi 6.35 (current a tu si pomocí netinstallu do mikrotiku nahraju, bez ohledu na to, jestli je mrtvý či nikoliv.)

Vše jsem stáhnul a rozbalil do jednoho adresáře i spolu s utilitou netinstall.

mikrotik_clanek3_rozbalene_balicky

 

 (kliknutím zvětšíte)

Spustíme netinstall a klikneme na browse, kde vybereme adresář, kde jsme nahráli balíčky. Klikneme na netbooting, začktneme Boot server enabled a vyplníme adresu třeba 192.168.1.2.

mikrotik_clanek3_netinstall

 

 (kliknutím zvětšíte)

Následně vypneme router. Podržíme restart/či tužkou tlačíme na restart, pak teprve připojíme napájecí konektor a držíme restart tak dlouho, dokud nám diody nezačnou blikat (cca po 15 až 20 vteřinách držení restartu).  Zdroj

V netinstallu by se vám router měl objevit v horním levém čtverci s výběrem disků a zařízení, kam routerOS či balíčky nahrnout. Mě se to nepodařilo. Upozorňuji, že v případě tohoto modelu musí být kabel zapojen do ether1, tedy do WAN portu, aby to šlo. Mě se router v nabídce nezobrazil, takže se bohužel budete muset obejít bez další části návodu flashování mikrotiku RB941. Více Vám snad pomůže zdroj, na kterým jsem v předchozím odstavci dal link.

RouterOS services

Klikněte na ip/services, otevře se tabulka se službami, které na síti poskytuje routerboard. V případě běžného použití pro domácího uživatele můžete zakázat všechny služby, kromě www a winbox. Bezpečnostní pravidlo #1 říká, co nepoužíváte, zakažte. Vše co je povolené, na to Vám může kdokoliv zaútočit. Já si tradičně nechávám povolený pouze winbox a www. Kdokoliv chce větší bezpečnost, může si samozřejmě zakázat www úplně, nebo si povolit www ssl verzi na portu 443.

mikrotik_clanek3_services1

 

 (kliknutím zvětšíte)

mikrotik_clanek3_services2

 

 (kliknutím zvětšíte)

Router Identity

Identita routeru je defakto pojmenování routeru jakožto zařízení. Nastavíme to skrze system/identity a do identity můžeme napsat cokoliv. Třeba název lokality Brno-cerna-pole-router-server, nebo mikrotik_kancelar_prvni_patro, či jakékoliv jméno, které nám pomůže s jeho identifikací.

mikrotik_clanek3_identity1

Configuration backup

Záloha konfigurace je jedna z nejužitečnějších a nejdůležitějších praktických funkcionalit, které při provozu mikrotik nabízí. Umožňuje dva typy zálohování konfigurace. Binární a textovou. Binární používejte pouze k záloze nastavení, které necháte nahranou uvnitř zařízení, protože při přenosu zálohy na jiné zařízení byste totálně zblbnuli kompletní nastavení, přepsali i všechny mac adresy a z mých zkušeností přenášení binární zálohy mezi routery nikdy nedopadlo dobře. Proto to mám pouze jako rychlou zálohu, když něco dělám. Textová je podle mě nejlepší záloha nastavení, jakou si můžete udělat. Protože jste ji schopni přenášet i mezi zařízeními mikrotiku jiného typu. (pokud cílové zařízení při snaze obnovit textovou zálohu najde nějakou blbost, tak vám to samozřejmě odmítne, otevřete textovou zálohu v poznámkovém bloku, editnete, případně odmažete “chybnou část”, kterou vám cílové zařízení neakceptuje a zálohu se poté podaří nahodit.)
V praxi však dělám oba typy záloh a obě si zálohuji někam k sobě pro případ nějakého vymazání obsahu zařízení, které je jinak funkční. Pokud vám mikrotik, na kterém jste udělali binární zálohu shoří, či jinak přestane totálně fungovat, už můžete binární zálohu smazat, na jiném, než stejném typu a stejném konkrétním kusu zařízení stejně nebude běžet dobře. V tu chvíli přichází na scénu textová záloha, kterou nahodíte například na novějším nebo stejném zařízení od mikrotiku a pokud se jedná o stejný typ, tak by to mělo bez remcání přijmout a vaše záloha tedy bude v textové podobě .rsc souboru nasazena na novém mikrotiku. Pojďme si to tedy zkusit.

Binární záloha

Na následujícím obrázku již vidíme ukázku binární zálohy. auto-before-reset.backup je záloha z továrny. V Type pokud je napsáno backup, tak se jedná o binární zálohovací soubor. Pokud je tam napsáno script, tak se jedná buď o script, který má něco nastavit, nebo o textovou zálohu zařízení. Do této nabídky jsme se dostali kliknutím vlevo na Files. Kliknutím na backup vytvoříme binární zálohu, jak můžete vidět v okně níže. Vyplníte name (jakýkoliv název bude mít vaše binární záloha), můžete si ji klidně zaheslovat, pokud tam máte nějaké důležité údaje či hesla. A kliknete znovu na backup a objeví se Vám tam nová binární záloha.

mikrotik_clanek3_files

Po vytvoření zálohy můžeme za pomocí drag & drop ( klikneme myší a levé tlačítko myši držíme) přetažením např. na plochu nebo do nějakého adresáře a pomocí winboxu si takto jednoduše zálohu stáhneme (viz obrázek pod odstavcem). Jsou samozřejmě další způsoby, jak si zálohu stáhnout, např. pomocí protokolu FTP (pokud máme povolenou příslušnou službu).

mikrotik_clanek3_files_binarni_zaloha

 

Zálohu jak v případě binární tak v případě textové obnovíme kliknutím na restore v nabídce Files.

Textová záloha

klikneme na new terminal v levé menu, napíšeme / export file=jakykolivnazevchceme a tento příkaz nám vygeneruje kompletní textový export nastavení celého mikrotiku do .rsc souboru, který je oteviratelný v jakémkoliv textovém editoru. Stáhneme rovněž přetažením drag & drop třeba někam na plochu.

mikrotik_clanek3_textova_zaloha

 

Zálohu jak v případě binární tak v případě textové obnovíme kliknutím na restore v nabídce Files.

Další díl.

 

Základy Mikrotiku #2 Aktualizace balíčků, restart, reset konfigurace, upgrade firmwaru

Dneska si už něco nakonfigurujeme. Zatím máme mikrotik v defaultní konfiguraci.

Připomínky k minulé lekci

Pro ty z Vás, kteří mají např. v počítači 2 síťové karty, jednou síťovou kartou jste připojeni do internetu a druhou připojíte k mikrotiku, je dost možné, že ztratíte kvůli tomu připojení k internetu (pokud mikrotik není zapojen sám do internetu). V takovém případě mi pomůže ručně si na síťové kartě, kterou konfiguruji mikrotik, nastavit statickou adresaci a to konkrétně v mém případě 192.168.88.3 masku 255.255.255.0. Bránu ani DNS nevyplňovat a připojení se Vám zase vrátí do normálu a současně budete schopni konfigurovat mikrotik.

Kompletní wikipedie s nastavením a všemi návody na mikrotiku jsou k dispozici ZDE.
Zde už hlavní stránka mikrotik Wikipedie.
Na mikrotik certifikaci potřebujete mít správně alespoň 60% otázek.

Co znamenají čísla v názvu našeho Mikrotik Routerboardu

Pracuji s modelem RB941 – tedy 9. řada, 4 ethernetové porty, 1 bezdrátový interface.
Dnes projdeme Aktualizaci a zálohu a reset konfigurace.

Rozdíl mezi resetem a restartem

Reset do továrního zařízení znamená vymazání konfigurace, jakou jsme nastavili a obnovení nastavení z továrny. Restart zařízení zjednodušeně řečeno udělá stejnou funkci, jako když zařízení vypnete a zapnete. Během restartu zařízení se projeví předchozí nastavené změny např. v povolených balíčcích, které přejdou ze stavu “balíček zakázán” do stavu “balíček povolen”.

Reset konfigurace

Reset konfigurace se provádí skrze system / reset configuration

mikrotik_clanek2_reset_configurace

(rozklikněte pro zvětšení)

Když to necháme tak, jak to máme a klikneme na Reset Configuration, tak nám routerboard po restartu nastartuje s tovární konfigurací. Tohle je Home Access Point série, takže router bude možné zapojit do WAN. Do LAN a na wifi připojíte klienty a bude to fungovat. (běží tam dhcp, routing, firewall atd…) Pokud zaškrnete No Default Configuration, tak se veškerá i tovární konfigurace routeru smaže a vy dostáváte čistý kus, na kterém můžete provádět čistou konfiguraci.

To stejné, ale na terminálu:

mikrotik_clanek2_reset_configurace_terminal

(rozklikněte pro zvětšení)

 System / Packages, aktualizace a povolování /zákaz balíčků

mikrotik_clanek2_system_packages

 

(rozklikněte pro zvětšení)

Povolíme IPv6 (ikdyž IPv6 nemáte, je to skvělá věc v případě, že si rozházíte IPv4 konfiguraci a přístup na MAC přes Winbox vám padá, dostanete se na routerboard pomocí Link-local). Kliknutím na kterýkoliv balíček a kliknutím na tlačítko disable/enable balíček zakážete/povolíte, změny se projeví až po restartu zařízení.

mikrotik_clanek2_ipv6_povoleni

(rozklikněte pro zvětšení)

Klikneme na reboot, spadne nám winbox a po startu již uvidíme po rozkliknutí system/packages, že balík IPv6 je povolen.

Update balíčků

Balíčky jsou ve formátu .mpk. Máte 2 možnosti jak balíček updatovat. Buď přes mikrotik, který je připojený k internetu, což si ukážeme. Nebo že přejdete na web mikrotiku, ručně si je stáhnete a pomocí DRAG and DROP si je přetáhnete v sekci files a updatenete je ručně. Dnes si však ukážeme automatický update balíčků. Přejděme na system / packages

mikrotik_clanek2_packges_update1

 

(rozklikněte pro zvětšení)

Klikněme na check for updates / pokud nám to nic neukáže, tak klikněme na boční tlačítko s check update. Pokud je router pomocí WAN portu připojen kamkoliv do internetu, mělo by to něco najít. Pokud ne, vypíše Vám to, že se nepodařilo přeložit DNS adresu, ze které router updaty tahá.

mikrotik_clanek2_packages_update2

(rozklikněte pro zvětšení)

Klikneme na download and upgrade.

mikrotik_clanek2_update_balicku_progress

(rozklikněte pro zvětšení)

Po upgradu se routerboard automaticky restartuje, take nepanikařte.

 V případě úspěšného updatu po opětovném kliknutí ve winboxu na reconnect uvidíte něco takového:

mikrotik_clanek2_uspesny_update

(rozklikněte pro zvětšení)

 Firmware Upgrade

Přejděme do system/routerboard

mikrotik_clanek2_routerboard_firmware_Upgrade

(rozklikněte pro zvětšení)

Kliknu na upgrade, router se mě zeptá následující hláškou, jestli to myslím vážně:

mikrotik_clanek2_routerboard_upgrade

(rozklikněte pro zvětšení)

A nyní dám system /reboot a po připojení už vidím tento obrázek s nejnovějším firmwarem:

mikrotik_clanek2_uspesny_firmware_upgrade

(rozklikněte pro zvětšení)

 Takto by měl většinou vypadat běžný postup na zařízení, které koupíme v obchodě, čímž dostaneme zařízení na nejnovější verzi a zbavíme ho předchozích bugů a bezpečnostních chyb. Byl jsem však během kurzu varován, že nejnovější verze mohou způsobovat problémy, které např. předchozí verze nezpůsobovaly. Proto někteří administrátoři, kteří potřebují nějaké funkce, které na nejnovějším firmwaru/balíčcích nefungují správně, použijí předposlední verzi.

Tento článek píšu dobrovolně kvůli mě a mým přátelům, kteří se na mikrotik certifikaci připravují se mnou. Pokud si zlikvidujete jakkoliv vaše zařízení nebo virtuálku ve které Vám běží virtuální mikrotik, neberu za to odpovědnost. Proto prosím berte v potaz, že tento návod jste jeli či pojedete na vlastní odpovědnost.

Toť vše, těším se na Vás v dalším díle.

Základy Mikrotiku #1 Úvod

Budu zde vycházet z přípravného Mikrotik kurzu a ze svých poznámek na certifikát MTCNA (Mikrotik Certified Network Associate).
Budu se snažit házet sem konkrétní postupy, čímž si vše sám nejen zopakuji, ale souačasně se budu snažit uvést co nejvíce cest, jak dosáhnout nějakého řešení v zájmu nějakého problému.
Od ledna 2016 se obsah Mikrotik Certifikace trošku změnil, respektive toho, co je k úspěšnému složení zkoušky potřeba.
Pokud jste přiřazení do Mikrotik Akademie, tady máte možnost si vyzkoušet traning test: https://www.mikrotik.com/client/training

Potom, co završíte MTCNA, můžete pokračovat dále zkouškami: MTCRE, MTCWE, MTCTCE, MTCUME. MTCRE dále pokračuje na MTCINE. (google máte, tak šup na google).

Mikrotiky jsou fantastické krabičky, kde za cenu zařízení získáváte zařízení, které softwarově není nijak očesáno, jako se s tím setkáváme u Cisca. Jinými slovy, za to, kde si např. u Cisca musíte připlatit (za podporu ssh, OSPF protokol, podporu VPN, různé další protokoly), tak tady je získáváte v plné palbě a přikupujete si jen licenci na počet uživatelů, které taková krabička bude táhnout. Případně, pokud to poběží někde ve virtuálce, tak ještě lépe. Mikrotikácký RouterOS vám poběží jak v nakoupeném routerboardu, tak jako virtuálka v PC. Nejedná se o nic jiného, než o linuxácký kernel ze kterého vznikl stand-alone RouterOS.

Co mikrotik všechno umí? Tady je stručný seznam funkcionalit. Jediné co to třeba neumí a narazil jsem na to, je GEOip database, zkrátka filtrování provozu na základě geologické lokace případného útočníka, ale to využijete spíš na linuxových serverech, než tady.

Mikrotik RouterBoard

Pamatujte, že to jsou ty krabičky které si koupíte v obchodě a k dostání jsou jako:

Integrovaná řešení (Integrated solutions) – koupíte třeba něco takového. Koupíte, zapojíte, fungujete.
Pouze deska (Boards only) – je to základ k sestavení vlastního systému. Vypadá např. takhle. Koupíte desku a opláštění si řešíte vy, antény si dokoupíte zase vy, uděláte si z toho vlastní síťové zařízení, které pohání Mikrotik RouterOS, ale přizpůsobili jste si to přesně ke svým potřebám.

Enclosures (nepřekládám – zadeklování ?) – jedná se buď o hotová zařízení, kde koupíte obří buben na wifi a v něm už je hotový mikrotik. Nebo se jedná jen o zadeklování desky od mikrotiku, ze které si už vyvedete vlastní rozhraní (interfacy), vlastní antény atd… Např. zde

Rozhraní (interfaces) – Přikoupíte si další rozhraní do Vašeho mikrotiku (pakliže to váš routerboard podporuje). Pro vylepšení stávajících mikrotiků, co máte. Typicky SPP/SFP moduly. Ukázka nějakého třeba zde. Ve srovnání s ostatní konkurencí, co znám v dnešní době jsou velmi levné, za to jakou kvalitu a výkon nabízí. Zde je seznam všeho co mikrotik nabízí v kategorii interfaces. Jsou to jak SFP/SPP moduly, tka přídavné karty. Některé jsou dokonce do pci-express rozhraní, jako např. tento.
Příslušenství (accessories)Všechno příslušenství, od různých montážních šroubků a montážních kitů, až po napájecí adaptéry, pigtaily, antény, montážní kity na zeď apod…

 Zde je kompletní nabídka mikrotikáckých věcí přímo od oficiálního výrobce.

Toť k úvodu i nabídkovému úvodu a jde se na samotný obsah Mikrotik Akademie.

První přístup a Váš routerboard

Máte doma krabičku. Já budu popisovat základy s nejlevnějšími krabičkami (protože to Vám přesně pro výuku stačí) V hodnotě 600 až 1200 korun. Buď tento model RB941-2nD nebo tento model RB941-2nD-TC, což je v podstatě to stejné na stojato. (pokud se pletu, v komentech mě opravte, čímž pomůžete tento rychlokurz mikrotiku zlepšit. děkuji).

Na mikrotik se připojuje buď pomocí ethernetového kabelu (v našem případě do portu ether2 na obou routerboardech, nesmí to být WAN port, ale LAN).
Nebo pomocí tzv. Null modem Cable (což není nic jiného, než po seriovém portu, seriovém kabelu, možná znáte jako RS232). Ukázka sériového třeba zde (musí být na obou koncích FEmale, samice ukázka často dohledáte jako 9F/9F kabel). A pokud nemáte seriový port, tak potřebujete USB to RS232 převodník. Dobrý link na návod zde.
Uvádí se i Wifi, ale pro první konfiguraci to nedoporučuji.

Čím budeme konfigurovat – Winbox

Ke stažení zde.

dále WebFig, SSH, Telnet, terminal emulator (pokud máte připojení přes seriový port).

 Připojení přes Winbox

kliknutím na obrázek zvětšíte.

mikrotiK_navod1

Spustíme winbox, klikneme na záložku neighbors, klikneme na refresh a už vidíme, jak nám tam naběhl řádek s naším mikrotikem, který to na síti nalezlo. Máme 2 možnosti. 2x poklikat na Mac address a mikrotik budeme ovládat po druhé vrstvě (často to ale padá, je to ale dobrá nouzovka, pokud si odstřihnete mikrotik na IP či IPv6 vrstvě). A připojíme se.

První co uděláme, když konfigurujeme mikrotik, v jehož blízkosti se nacházíme je, že VYPNEME WIFI!  Wifi zapínejte až jako poslední věc při konfiguraci a nikdy se nenacházejte v bezprostřední blízkosti jakékoliv wifiny. Minimálně od ni buďte vždy dál než na metr. Já kdykoliv mohu, tak jsem od mikrotiku alespoň 2 metry daleko.

To uděláme kliknutím na Wireless, kliknem na řádek wlan1 a klikneme na červený křížek, jako na následujícím obrázku. (logo a text wifi zešedne z původní modré barvy). (kliknutím na obrázek zvětšíte)
mikrotik_navod2

 Přístup na mikrotik přes Webfig  (http://192.168.88.1 )

mikrotik_webfig_navod3

Když admin nemá heslo, chvíli počkejte, přihlásí Vás to do webfigu samo, nebo klikněte na tlačítko login a jste v administraci.

mikrotik_webfig2_navod4

Webfig používám spíš jako takovou nouzovku, winbox mi připadne responsivnější, rychlejší, svižnější, příjemnější. (ale je to jen věc zvyku). Winbox mi umožňuje dělat více věcí naráz a mít otevřených více oken naráz a sledovat změny v reálném čase.

Stejná věc se zakázáním wifi ale přes WebFig:

mikrotik_webfig3_navod4

(rozklikněte pro zvětšení)

To máme úvod a základy, příště už se bude něco konfigurovat.

Další díl zde

Vytvoření RAID 1

Jedním příkazem:

Máme disky /dev/sda a /dev/sdb

Těm vytvoříme linux raid partitionu díky příkazům z tohoto článku.

No a následně stačí už jen nahodit tento příkaz:

mdadm --create /dev/md1 --metadata 1.2 --level=1 --raid-devices=2 /dev/sda1 /dev/sdb1
Pokud jde o boot partitionu, přečtěte si tento článek.

Když se Vám po vytvoření raid1 v cat /proc/mdstat ukazuje resync=PENDING, následujte tento článek.

 

Naformátujeme vytvořený raid souborovým systémem ext4:

mkfs.ext4 /dev/md<číslo raidu) v mém případě:

mkfs.ext4 /dev/md1

Benchmarked #1 3d Mark 11

Radeon R9 290x 4GB Sapphire
intel core i7 860 @3.70Ghz
MSI H55-GD65 (MS-7637)
4GB DDR3 1333Mhz

12158 bodů  Win 8.1 x64

http://www.3dmark.com/3dm11/10847414

Radeon HD 7850 2GB Sapphire
intel Xeon x3440 2.53Ghz@3.35Ghz
Asus P7H55-M/USB3
4GB DDR3 1333Mhz

6239 bodů  Win 8.1 x64

http://www.3dmark.com/3dm11/10930452

Radeon 7850 1Gb
AMD FX 8120 3.1Ghz@4Ghz
ASUS M5A99X EVO
6GB DDR3 1333 Mhz
6124 bodů  Win 8.1 x64

http://www.3dmark.com/3dm11/9613501

Radeon HD 7850 2GB Sapphire
intel Xeon x3440 2.53Ghz@3.35Ghz
Asus P7H55-M/USB3
4GB DDR3 1333Mhz
6083 bodů  Win 10 x64

http://www.3dmark.com/3dm11/11115287

Radeon HD 7850 2GB Sapphire

Phenom II x4 920 @3.43Ghz
Gigabyte  GA-MA790X-UD4P
6GB DDR3 1066 Mhz

5501 bodů Win 10 x64

http://www.3dmark.com/3dm11/10929499

Radeon HD5870  1GB Sapphire
Phenom II x4 920 @3.43Ghz
GA-MA790X-UD4P
4GB DDR3 1333Mhz
4105 bodů  Win 10 x64

http://www.3dmark.com/3dm11/10929123

Benchmarked #1 3d Mark Firestrike

Intel core i7 860 2.83@3.71 Ghz
Radeon R9 290x @ 1083Mhz
2x2GB DDR3@1412 Mhz

9897 Bodů Win 8.1 x64

http://www.3dmark.com/3dm/10435639

AMD FX 8120@4Ghz
Radeon HD 7850 2GB 2x v Crossfiru
6799 bodů 3d mark Firestrike

GTX 560TI 2x ve SLI @1008Mz
Athlon II x4 600E
4894 bodů 3d mark Firestrike

Radeon HD 7850 2GB Sapphire
intel Xeon x3440 2.53Ghz@3.35Ghz
Asus P7H55-M/USB3
4GB DDR3 1333Mhz

4607 bodů Win 10 x64

http://www.3dmark.com/fs/8022317 

 

Radeon HD 5870 1GB Asus
Phenom II X4 @ 3.43Ghz
Gigabyte GA-MA790X-UD4P
6GB DDR2 1066 Mhz
1440 bodů Win 8.1 x64

http://www.3dmark.com/3dm/10746505