Debian Jessie iptables rules after reboot

Debian Jessie to má téměř identicky stejné, jako v předchozích verzích debianu.

máme již vytvořená pravidla iptables.

Uložíme je příkazem:

iptables-save > /etc/iptables.conf

#to další je 1 "delší" příkaz na 2 řádky
echo "#!/bin/sh 
iptables-restore < /etc/iptables.conf" > /etc/network/if-up.d/iptables

chmod +x /etc/network/if-up.d/iptables

 

zdroj

neběžící druhý raid 1 mdadm: /dev/sdc1 has wrong uuid

mdadm --assemble --scan -v

vypíše:

mdadm: looking for devices for /dev/md/0
mdadm: no RAID superblock on /dev/md/0
mdadm: /dev/sdd1 has wrong uuid.
mdadm: no RAID superblock on /dev/sdd
mdadm: /dev/sdc1 has wrong uuid.
mdadm: no RAID superblock on /dev/sdc
mdadm: /dev/sdb1 is busy - skipping
mdadm: no RAID superblock on /dev/sdb
mdadm: /dev/sda1 is busy - skipping
mdadm: no RAID superblock on /dev/sda

bez úspěchu.

Řešení v mém případě:

mdadm --assemble --run --force /dev/md1 /dev/sdc1 /dev/sdd1
mdadm: /dev/md1 has been started with 2 drives.

Potom vidíme:

cat /proc/mdstat
Personalities : [raid1]
md1 : active (auto-read-only) raid1 sdc1[0] sdd1[1]
 1953382336 blocks super 1.2 [2/2] [UU]

K aktivaci pole pro zápis:

mdadm --readwrite /dev/md1

poté již vidíme:

cat /proc/mdstat
Personalities : [raid1]
md1 : active raid1 sdc1[0] sdd1[1]
 1953382336 blocks super 1.2 [2/2] [UU]
Vše běží ok.

zdroj

 

yum-cron centos6 centos7 updates updatujte denně

Když chcete aby se server updatoval sám, ale současně si nechcete rozházet balíčky a další věci na Vašem serveru, jak to udělat efektivně?

Pomůže následující video.

Odpovědí samozřejmě může být několik. Ubuntu-server má landscape, Centosy mají dokonce několik řešení, jak spravovat desítky serverů. Co když chcete, aby se server prostě updatoval sám a nechcete, aby Vám chodily desítky emailů od desítek serverů a současně aby se aktualizovaly jen bezpečnostní záplaty?

řešením je:

yum update -y && yum install yum-cron -y
vim /etc/yum/yum-cron.conf

v něm editnete tyto názvy proměnných tak aby platilo:
update_cmd = security
apply_updates = yes

Je to tak trošku dvojsečná zbraň, ale ve skutečnosti to bude ve většině případů velký pomocník, zejména na méně důležitých serverech, kde chcete minimalizovat dobu správy.

 

 

Změnit oznámení programů vpravo dole u hodin na windows 10

Horší NEintuitivnější nastavení microsoft udělat skutečně nemohl. Tam kde bývalo dříve přízpůsobit teď nic není a musíte si to přenastavovat kdesi totálně v háji.

řešení je tedy:

Start /nastavení / Systém/ Oznámení a akce /Zobrazovat oznámení z těchto akcí případně “vybrat které ikony se zobrazí na hlavním panelu” a tam už máte posuvníky na zapnutí jednotlivých ikon.

zdroj

Qcow2 pomalost imagů ve srovnání s .raw na KVM (debian wheezy)

Všimněte si toho rozdílu:

Qcow2, dd test propustnosti dat sekvenčního zápisu.

příkaz:

dd if=/dev/zero of=ddfile.big bs=1MB count=1k

time cp ddfile.big ddfile2.big

Virtuální stroj na KVM, image .qcow2, io mode: default, cache mode: default

1 024 000 000 bajtů (1,0 GB) zkopírováno, 1 134,61 s, 903kB/s

Virtuální stroj na KVM, image .raw, io mode: native, cache mode: none

1 024 000 000 bajtů (1,0 GB) zkopírováno, 14,7578 s, 69,4 MB/s

Další zajímavé a užitečné příkazy pro testování výkonnosti a zdraví pevných disků či diskových polí na linuxu:

dd if=/dev/zero dd=ddfile.big bs=1MB count=1k
 hdparm -I /dev/sda
 smartctl --attributes --log=selftest /dev/sdb
 dd if=ddfile.big if=/dev/null
 time dd if=/dev/zero of=/tmp/test oflag=direct bs=64k count=10000

 Stav zátěže disků při jejich práci:
iostat -xdk 1 25

konverzi image jsem provedl pomocí:

http://docs.openstack.org/image-guide/convert-images.html

Konkrétně příkazem:

qemu-img convert -f qcow2 -O raw puvodniqcow2.img novynazevraw.img

zdroj zdroj2 zdroj3 zdroj4 zdroj5 zdroj6 zdroj7 zdroj8

Centos 7 iptables + fail2ban not banning, not working, nebanuje, nepracuje, není v iptables

Dnes jsem se setkal s nefunkčností fail2ban při spolupráci s Iptables. ve fail2ban-client status to psalo Number of jail: 0, ikdyž jsem měl vše nakonfigurované ok.

 

Zde je tedy řešení

yum install -y epel-release
yum install -y fail2ban fail2ban-systemd
yum update -y selinux-policy*

yum -y install iptables-services
systemctl mask firewalld.service
systemctl enable iptables.service
systemctl enable ip6tables.service
systemctl stop firewalld.service
systemctl start iptables.service
systemctl start ip6tables.service

do /etc/fail2ban/jail.d/sshd.local vložíme:

[ssh-iptables]
enabled = true
filter = sshd
action = iptables[name=SSH, port=ssh, protocol=tcp]
logpath = %(sshd_log)s
maxretry = 5
bantime = 86400

dále pak už stačí jen:

systemctl enable fail2ban
systemctl restart fail2ban

 

Když potom dáte:

iptables -L -vn

už tam uvidíte:

Chain f2b-SSH (1 references)
 pkts bytes target prot opt in out source destination
 281 26010 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0
nahoře uvidíte:
Chain INPUT (policy DROP 2461 packets, 193K bytes) pkts bytes target prot opt in out source destination
 247 22703 f2b-SSH tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22

 

Pokud se potom pokusíte odněkud přihlásit více než je povolený limit počtu přihlášení a nebudete ve whitelistu:

Chain f2b-SSH (1 references)
 pkts bytes target prot opt in out source destination
 14 1784 REJECT all -- * * VašeIPAdresaStrojeOdkudJsteSeSnažiliNeúspěšněPřihlásit 0.0.0.0/0 reject-with icmp-port-unreachable

Ze stroje odkud se budete snažit přihlásit:

ssh: connect to host <VzdálenýServerSFunkčnímFail2ban> port 22: Connection refused

zdroj

 

 

 

Oprava UEFI/EFI boot partition na GPT disku Windows 7/8/8.1

Strašně mi pomohl tento návod

Jen v rychlosti shrnu. Migroval jsem jeden notebook z HDD na SSD. Oddíly jsem naklonoval, vše by mělo běžet. Jenže neběželo. Buď to házelo error 0xc0000000e nebo 0xc0000225 při snaze nabootovat systém. Podle toho, jestli jsem UEFI zapnul nebo vypnul. Takže jsem nechal přes externí mechaniku nabootovat Windows 8.1 instalačku, kliknul na repair/opravit, doklikal se s ke command line (příkazové řádce) a co dál?

 

diskpart

disk sel 0

list vol

Mrkneme který oddíl (partition) je FAT32 + nemá žádné přiřazené písmeno jednotky a má od 100 do 350 Mb velikost (víc obvykle nemá). V mém případě to bylo přeházeno, jednotka typu FAT32, oddíl s velikostí 260MB byla vol 4 a druhá jednotka (asi kvůli recovery oddílu) byla vol 6.

Takže:

select vol 4
assign letter v:
exit
cd /d v:\efi\microsoft\boot\
bootrec /fixboot
ren BCD BCD.bak
bcdboot C:\Windows /l en-us /s v: /f ALL

To stejné v případě vol 6

diskpart
sel disk 0
list vol   (jen pro kontrolu)
sel vol 6
assign letter u:
exit
cd /d u:\efi\microsoft\boot\
bootrec /fixboot
ren BCD BCD.bak
bcdboot C:\Windows /l en-us /s u: /f ALL

 

pozor na obrácené \ u C:\windows a ostatní lomítka normální /l en-us atd… Kvůli tomu obrácenému lomítku mi to ten příkaz nechtělo sežrat a řvalo to “could not open the bcd template store. Status fc000000f”. Potom co jsem dal správné lomítko už to přestalo řvát, z čehož vyvozuji, že to evidentně nemohlo najít c:\Windows.

Opět platí pravidlo, jako v každém jiném návodu – tohle je můj návod pro mě. Pokud si zlikvidujete počítač, nemáte nárok na náhradu, berte to jako článek který pomohl mě a možná pomůže v inspiraci i vám, ale neberu žádné záruky ani riziko na sebe, pokud si cokoliv s počítačem provedete.

Základy Mikrotiku #9 Module 7: QoS, Speed Limiting, Simple Queue, Torch, Guaranteed Bandwitdth, Burst, Per Connection Queuing, PCQ

Quality of Service

QoS je celková výkonnost sítě, zejména přesně ta výkonnost, která je viditelná uživateli na síti.
RouterOS implementuje několik QoS metod jako například traffic speed limiting (shaping) či traffic prioritisation atd..

Speed limiting

přímá kontrola nad vstupním provozem (inbound traffic) nelze zajistit, ale je možné zajišťovat omezování rychlosti prostřednictvím zahazování příchozích packetů.
TCP se přizpůsobí efektivní rychlosti spojení (effective connection speed).

Simple Queue u klienta

jednoduchá fronta, která může být použita k limitování rychlosti přenosu dat (data rate) následujícími způsoby:

  • Klientovu rychlost stahování (download speed)
  • Klientovu rychlost natahování dat směrem do sítě (upload speed)
  • Klientovu celkovou rychlost toku dat (download + upload)

Na simple Queue se dostaneme kliknutím na položku Queues v levém menu, nové pravidlo k limitaci přidáme pomocí tlačítka +:

cl9_queue

Do name můžeme vyplnit cokoliv, co nám pomůže idenfitikovat tuto frontu, Target už zadáváme konkrétní IP adresu, nebo dokonce celou síť, kterou chceme omezit. do MAX limit již zadávám 1Mbps pro Upload a Pro Download pro ukázku pouhých 768kbps. Potom na cílovém počítači zkuste něco stáhnout odněkud z webového serveru, odkud víte, že jste měli větší stahovací rychlosti, než udávané.

Torch

nástroj k monitorování provozu v reálném čase. Dostaneme se k němu buď skrze Queues/poklikáním na konkrétní vytvořený záznam a kliknutím na tlačítko Torch. Nebo skrze Tools/Torch:

cl9_torch

Torch funguje jednoduše. Do políčka Src. Address zadáme adresu ip adresy, jejíž spojení chceme sledovat v mém případě jsem tam zadal ip adresu počítače, se kterým tento mikrotik ovládám (mám k dispozici pravý mikrotik z předchozích modulů, který je připojen do internetu). Ve vysouvacím menu interface jsem si vybral interface, do kterého je zastrčený kabel, vedoucí z téhož počítače a pak stačí kliknout na tlačítko start a už vidíte co z této zdrojové adresy teče a co případně teče do ní.

 

 Simple Queue směrem k serveru

Představte si, že nechcete omezovat jednotlivé klienty, ale zkrátka dáte limitovat třeba celou síť k serveru. Třeba IT oddělení nebude mít limity žádné, zato účetní zaškrtíte třeba jen na 5Mbitech při přístupu na konkrétní IP adresu serveru. Jak to tedy udělat?

Představme si, že máme v internetu někde dál od WAN rozhraní našeho routeru třeba diskové pole s IP 192.168.123.165 a klientům ze sítě 192.168.20.0/24 chceme snížit rychlost Uploadu na 512kbps a rychlost Downloadu 768kbps. Zde je ukázka:
cl9_queue_serverV Targetu může být i IP 0.0.0.0/0 (to znamená, všichni klienti) přístupující na adresu Dst (destination – cílového serveru) s IP 192.168.123.165.

Throttle connection

Zjistěte si pingem IP adresu serveru www.mikrotik.com. (v době psaní tohoto článku to byla adresa 159.148.147.196). Můžete si dát stáhnout MTCNA outline a pokud jste ve windows, tak můžete vyzkoušet pomocí CTRL + SHIFT + ESC proklikat se ke grafu vytížení sítě a ověřit si tak, že simple queue skutečně funguje a taky jak funguje omezování spojení v praxi:

cl9_omezeni_spojeni_na_server_mikrotik

Guaranteed Bandwidth

se používá k ujištění, že klient opravdu dostane minimální garantovanou rychlost, pod kterou mu rychlost připojení nespadne. Zbývající provoz bude rozdělen mezi klienty na bázi “kdo dřív příjde, ten dřív mele”. (fronta, FIFO = first in first out). Kromě packetového FIFA můžeme vybrat i bajtové FIFO.
Kontroluje se parametrem s názvem Limit-at.

cl9_limitat

Dostanem se tam přes Queues/Simple Queue/edit (ěx kliknutím na konkrétní vytvořenou frontu (queue)/záložka advanced.

Typický příklad Guaranteed Bandwidthu jsou 3 klienti na síti, celkový bandwidth 10Mbitů. 3 klienti mají garantovaný bandwidth 3 mbity a zbývající trafik se rozdělí mezi klienty.

SFQ – Stochastic Fair Queuing

dělá to, že každý packet pouští stejnou chvíli na router. Všechny služby tedy dostanou stejnou šanci procpat svůj packet.

cl9_sfq

Stochastic fair dělá to, že si časy propouštění packetů rozdělí po 100 milisekundách. A když klient A stahuje nějaký .iso soubor a někdo jiný chce jít na web, tak to 100 milisekund propouští packety pro .iso soubor a 100milisekund to propouští packety pro web. Zde už ukázka sfq aplikovaného pro wifi hot-spot. Typ fronty sfq, procpe to najednou 1514 bajtů, každých ve screenshotu se uvádí 5 s, tedy 5 sekund. (pokud se pletu, opravte mě v diskusi).

Burst

Používá se k povolení větších přenosových rychlostí na krátkou časovou dobu. Typický příklad – stahujete 5 megový PDF dokument, nebo 3 megovou .mp3 audio nahrávku. Používá se to zejména pro HTTP trafic (webový provoz). Díky tomu nabíhají webové stránky rychleji. Je zde však i přesto uplatněna politika Max Limit, který jsme si nastavovali v Simple Queue u klienta.
Ukázka burstu:

cl9_burst

  • Burst limit – max upload/download přenosová rychlost (data rate), které může být dosaženo během burst (dávkovacího) režimu.
  • Burst time – čas (v sekundách), po dobu kterého je počítána průměrná přenosová rychlost (data rate). Pozor! Nejedná se o dobu dávky (burst) jako takové!
  • Burst Threshold – Pokud průměrná rychlost přenosu data (data rate)překročí, nebo klesne pod určitou prahovou hodnotu (threshold), tak je burst (dávka) aktivována či deaktivována.

Per Connection Queuing (dále jen PCQ)

Typ fronty pro optimalizaci velkých QoS nasazení limitováním “sub-streamů” (datových “pod-proudů” <- to zní fakt česky strašně, proto to nepřekládám). Umožňuje nám to tedy nahradit více front (queues) jednou jedinou.
K tomu může být použito hned několik klasifikátorů:

  • source/destination IP address (zdrojová/cílová IP adresa)
  • source/destination port (zdrojový/cílový port)

Další pojmy v Per Connection Queuing:

  • Rate – maximální dostupná datová propustnost každého sub-streamu
  • Limit – velikost fronty jednoho sub-streamu (v KiB)
  • Total Limit – maximální velikost dat ve frontě ve všech sub-streamech (KiB)

K PCQ se dostaneme skrze Queues/záložka Queue Types / klikneme na ikonku s modrým + a vyplníme údaje jako na obrázku.

cl9_pcq1

 

Přejděme na záložku Interface Queues/ a pro místní LAN rozhraní (LAN interface) na ether2, ve kterém máte buď připojený druhý router, nebo Vaše klienty vnitřní sítě, a Queue type vyberte ten, který jsme si vytvořili – tedy klient-download. Potom klikněte na Váš WAN interface 2x a tomu zase nastavte klient-upload v Queue type kolonce. A dejte u obou OK.

cl9_klient_up_down

Odteď všichni klienti připojení do lan rozhraní budou mít limitován jak Upload tak Download na rychlost 1Mbitu za vteřinu.

Ověříme přes Torch.

 

 

 

Základy Mikrotiku #8 Module 6: Firewall, Firewall Rules, Filter, Actions, Chains, Ports, Log, NAT, Dst NAT, Src NAT, Conntrack

Firewall

Firewall je síťový bezpečnostní systém, který chrání vnitřní síť (internal network / inside ) z venku (outside), tedy z internetu. Zakládá se na pravidlech, která jsou sekvenčně analyzovány dokud není nalezena první shoda (first match) v pravidlech. RouterOS Firewallová pravidla jsou řízena ve Filter a NAT sekcích. Firewall pracuje na principu IF – THEN (pokud nějaká podmínka – tak proveď tohle). Pravidla jsou řazeny do takzvaných chainů (chains = řetězů pravidel, já chainy nepřekládám do češtiny). Existují předdefinované chainy. Uživatel může vytvářet nová pravidla.

Firewall Filter

Existují 3 defaultní chainy:

  • input (na router/do routeru)
  • output (z routeru ven do internetu)
  • forward (skrze router třeba do vnitřní sítě nebo skrze router VEN do internetu)

Filter Actions

Každé pravidlo má nějakou akci (action) – co dělat když se packet matchne (shoduje s nějakým pravidlem):

  • accept (přijmout/povolit)
  • drop (zahození packetu bez oznámení původci zprávy, že byl packet zahozen)
  • reject (zahození packetu ale s oznámením původci zprávy o nedoručitelnosti zprávy)
  • jump/return k/od uživatele definovaný chain
  • a spousta dalších.

Na Filter Actions se dostaneme skrze IP/ Firewall /New Firewall Rule (+ modrým pluskem) -> záložka action.

Filter Chains

Zde se dostaneme pomocí IP / Firewall. Je lepší a přehlednější firewall rozdělit na jednotlivé chainy.

Chain: Input

Chain input chrání služby běžící na routeru před vnějším internetem i z vnitřku. Např. www rozhraní, API, winbox, telnet, ssh a jakoukoliv další službu, která by mohla běžet na routeru a být dostupná z internetu nebo z místní sítě, na kterou se mohou připojit uživatelé.

Chain: Forward

Obsahuje pravidla, kontrolující packety procházející SKRZE router (jak z vnitřní sítě do internetu, tak z internetu do vnitřní sítě). Defaultně je veškerý provoz (traffic) mezi klienty připojenými do routeru povolen. Trafik mezi klienty a internetem není defaultně omezován.

Jak pochopit rozdíl mezi Inputem a Forwardem?

Pokud si na mikrotiku zakážete forwardovat port 80 (http), tak se nedostanete na žádnou webovou stránku v internetu. Ale protože tohle je v chainu Forward, tak se dostanete díky Input pravidlu na WebFig (webové rozhraní) vašeho mikrotiku. Provoz skrze router ven do internetu byl zablokován na portu 80, provoz DO routeru skrze chain Input nijak omezen nebyl a proto Vám to bude fungovat. Často používané porty 20 a 21/tcp FTP (File transfer protocol) 22/tcp SSH (secure shell – vzdálený terminál, šifrovaný) 23/tcp Telnet (nešifrovaná terminálová služba) 25/tcp SMTP (odchozí pošta) 103/tcp 110 (příchozí pošta) 143/tcp IMAP (Internet Message Access Protocol) 80/tcp HTTP (web) 443/tcp HTTPS (zabezpečený web) 3306/tcp MySQL (MySQL databáze) 3724/tcp World of Warcraft Authentizace uživatelů 8085/tcp/udp World of Warcraft herní server 8291/tcp Winbox 5678/udp MikroTik Neighbor Discovery 20561/udp MAC WinBox 27015/udp/tcp Half-life/Counter-strike herní server Další seznam portů zde.

Address List

Adresní listy umožňují vytvářet akce pro vícero IP adres, což je výhodné zejména pro větší sítě, vnitřní sítě se servery atd..atd… IP adresa může být přidaná do seznamu permanentně nebo na předdefinovaný časový interval. Adreslisty mohou obsahovat 1 IP, rozsah IP, nebo celé podsítě. K adreslistům se dostaneme přes IP/Firewall/záložku Address Lists/New Firewall Address List (+) Namísto psaní adres v záložce General se přepneme do advanced a zvolíme adresu (Source/Src/zdrojovou nebo destination/dest/cílovou – to je jedno) a můžeme si tak vybrat předdefinované adreslisty. Dokonce mikrotik je tak vychytaný, že můžeme vyvolat akci, při které si mikrotik automaticky přidá adresu do address listu (opět buď trvale/Permanently nebo dočasně temporarily). IP / Firewall /New Firewall Rule (+) / záložka akce a tam se vybere add src to address list.

Firewall Log

každé pravidlo firewallu může být zalogováno (zalogovat znamená zapsat záznam do deníku událostí firewallu, dále jen log či zalogovat), když se matchne (shodne s právě probíhajícím packetem). K pravidlům lze přidat specifický prefix aby se záznam snadněji dal později v záznamech najít.

NAT

Network address Translation (NAT) je metoda modifikace zdrojové a cílové IP adresy v záhlaví packetu. Existují 2 typy NATu:

  • Source NAT / srcNAT / Zdrojový překlad adres
  • Destination NAT / destNAT/ Cílový překlad adres

NAT běžně poskytuje přístup uživatelům vnitřní sítě s privátními adresami do Internetu. (src-nat/source NAT) NAT umožňuje přístup z externí (vnější) sítě ke zdrojům (webový server, databázový server) ve vnitřní síti (dst-nat/destination NAT) Na mikrotiku implementují pravidla srcnat a dstnat. Stejně jako běžná Filter rules (filtrovací pravidla) fungují na principu If-Then (jestli je podmínka splněna, tak něco udělej). Funkcionalita je opět uplatněna k prvnímu matchnutí nalezeného pravidla.

Jak funguje NAT

V podstatě to funguje tak, že letí packet od klienta směrem do internetu -> packet dorazí na router, router přepíše zdrojovou privátní adresu typu 192.168.xyz.xyz či 10.xyz.xyz.xyz nebo 172.16.xyz.xyz na veřejnou IP adresu např. 195.178.1.1 a tento packet teprve pustí do internetu. Ten kdo komunikuje s klientem ve vnitřní síti skrze router si tedy myslí, že komunikuje s routerem, protože tohle šachování s IP adresami v záhlaví packetu dělá právě router. Klienta zajímá cílová adresa cílového vzdáleného serveru, se kterým klient komunikuje a vzdálený server zase neřeší nějakou privátní adresu nějakého klienta za routerem, protože jeho zajímá jen veřejná IP routeru, se kterým komunikuje. V případě destination NATu letí např. požadavek na port 80 z vnějšku, z internetu z adresa 21.21.21.21 na veřejnou ip např. 195.178.1.1, packet přistane na WAN rozhraní routeru, router se podívá, kam má packet poslat, pokud se jedná o port 80, zjistí, že má packet poslat na port 80 ip adresy 192.168.20.10, změní destination (cílovou) adresu ze 195.178.1.1 na 192.168.20.10 a tu pošle na na cílový server ve vnitřní síti 192.168.20.10. Jakmile server odpoví/vyhodnotí požadavek, tak odpoví na nějakém portu např. 51234 vzdálenému klientovi s ip 21.21.21.21, zdrojová je tentokrát při odpovědi 192.168.20.10, packet dojde na router, ten zase přehodí zdrojovou adresu ze 192.168.20.10 na 195.178.1.1 a packet přepošle na cílovou adresu vzdálenému klientovi na 21.21.21.21. (pokud jsem tu něco nepopsal, tak dejte vědět v diskusi, rád to tu poupravím).

Redirect

jedná se o speciální typ DSTNATu. Tato akce přesměruje packety do routeru samotného. Toho lze využít k vytvoření transparentních proxy služeb (např. DNS, HTTP atd…) Klient odešle packet s destination adresou konfigurovaného DNS serveru na portu 53, dojde to na router, ten packet přesměruje na novou destination adresu routeru na portu 53. Mikrotikácké DNS servery jsou ve skutečnosti jen DNS cache.

Src NAT

Princip source NATu jsem tu již polopatě popsal. Masquerade je speciální typ srcnatu. Src-nat je tedy defakto akce určená k přepsání source IP adresy nebo portu v přicházejícím packetu na router.

Masquerade

cl8

Maškaráda je překlad vnitřních IP adres z vnítřních sítí na WAN rozhraní tak, aby z routeru z WAN rozhrání odcházely packety se source  (veřejnou) IP adresou WAN routeru.

NAT Helpers

některé protokoly vyžadují NAT helpery (NAT pomocníky) v natované síti. Typickým příkladem je FTP,H323,tftp, pptp, občas nějaké torrenty a další porty, kde se pracuje s RELATED packety.

Connections

  • New – nově příchozí packet otevírající spojení.
  • Established – packety, které souvisí s již známým ustanoveným funkčním spojením.
  • Related – jsou packety otevírající nové spojení, související s již známým spojením. Typicky protokol FTP. Připojíte se na port 21 tcp, related port je port 20 tcp, který je datový port.
  • Invalid – neznámý packet, který nepatří do žádného ze známých či navázaných spojení.

Connection Tracking

Jedna z nejdůležitějších funkcí stavového firewallu. Firewall si udržuje informaci o všech aktivních spojení. Musí být povolen pro NAT a Filter pravidla. Důležitá poznámka: Connection state =/= TCP state. Není to stejné. Pokud byste vypnuli Connection Tracking, tak byste získali bezstavový firewall, jako je např. ACL na ciscu.

FastTrack

Metoda zrychlující propustnost packetů skrze router. Established nebo related connection (spojení) je označeno jako fasttrack connection. Obchází firewall, connection tracking, simple queue (jednoduchou frontu) a další funkcionality. Podporuje však pouze TCP a UDP protokoly. S FastTrackem lze dosáhnout menšího vytížení CPU a vyšší propustnosti, než bez něj a menší zátěž CPU kvůli práci firewallu. Více info zde. Pokud se nepletu, tak FastTrack je povolen na mikrotiku defaultně. Opět v diskusi mě opravte, pokud tu melu nesmysly.

Stavíme firewall

Mějme vnitřní síť routeru 192.168.20.0/24, adresa bridge ve kterém je wlan1 i ether2 je 192.168.20.1. Počítač připojený kabelem či WiFinou do routeru bude 192.168.20.10. Defaultní politika iptables je “nepustím nic”, když nejsou žádná pravidla. Defaultní politika MIKROTIKU je “povolím vše”, když nejsou žádná pravidla. Další důležitá věc. Stanovme si jaké máme zóny na mikrotiku: mikrotik_clanek8 Mějme 3 zóny, které firewall bude řešit:

  • inside
  • outside
  • DMZ (Demilitarizovaná zóna – kde budou např. servery)

Zpřehlednění pravidel

Jsou 2 možnosti, jak zpřehlednit pravidla:

  • 2x kliknout na konkrétní pravidlo a vpravo je možnost comment.
  • Subchainy (podrětězy pravidel)

Pro příklad si můžeme přidat accept input pravidlo na bridge interface pro Src. Addressu (src = zdrojová adresa) 192.168.20.10.

 

Zbytek dopíšu, jak se k tomu dostanu. Zatím to zveřejňuji právě pro ty nešťastníky, kteří zítra píšou certifikační zkoušku. ;-)

Základy Mikrotiku #7 Module 5: Wireless, Wireless Standards, 2.4Ghz Channels, 5Ghz Channels, Country Regulations, Radio Name, Wireless Chains, Tx Power,

Wireless

Mikrotik RouterOS poskytuje kompletní podporu pro standardy IEEE 802.11a/n/ac (v 5Ghz pásmu) a 802.11b/g/n (ve 2.4Ghz pásmu).

Bezdrátové standardy

  • 802.11a  frekvence 5Ghz rychlost 54Mbps
  • 802.11b  frekvence 2.4Ghz rychlost 11Mbps
  • 802.11g  frekvence 2.4Ghz rychlost 54Mbps
  • 802.11n  frekvence 2.4 a 5Ghz rychlost až 450Mbps (u rychlosti záleží však na Routerboardu)
  • 802.11ac  frekvence 5Ghz rychlost až 1300Mbps (u rychlosti záleží však na Routerboardu)

2.4Ghz kanály

13x22Mhz kanálů (většina světa). 3 vzájemně se nepřekrývající kanály (1,6,11), 3 Access Pointy (dále jen AP) mohou pokrývat stejnou oblast bez vzájemného rušení.

USA má 11 kanálů, Japonsko má 14 kanálů. Šířka kanálu je 20Mhz, 2Mhz zbývá jako “guard band” (u standardu 802.11b).
802.11g má 20Mhz šířku, 802.11n 20/40Mhz šířku.

5Ghz kanály

RouterOS podporuje plný rozsah 5Ghz frekvencí.
5180-5320Mhz (kanály 36 – 64)
5500-5720Mhz (kanály 100-144)
5745-5825 (kanály 149-165)
Opět to není po celém světě stejné, rozdílnosti záleží na regulacích jednotlivých států a teritorií.

  • 802.11a šířka pásma = 20Mhz
  • 802.11n šířka pásma = 20Mhz i 40Mhz
  • 802.11ac šířka pásma = 20Mhz, 40Mhz. 80Mhz, 160Mhz (proto dokáže dosahovat tak velkých rychlostí ve srovnání s ostatními standardy)

Country Regulations

Jedna z nejdůležitějších vychytávek u mikrotiku. Tímto si pohlídáte, aby Váš mikrotik nezářil víc, než povoluje konkrétní regulace v daném státě. Tím se vyhnete případným pokutám či právním problémům. Dokonce i když nastavíte mikrotiku, aby zářil dvojnásobek, co povoluje daná země, kterou jste si nastavili ve:

wireless/2x kliknutím na wlan1/tlačítko advanced mode / country: Czech republic

tak i přesto Váš mikrotik nebude svítit více, než povoluje nastavení v country: Czech republic, což je 20 dBm.

cl7_country_regulations

 

Dynamic Freqency Selection (DFS)

je vychytávka, která umožňuje detekci radarů v 5Ghz pásmu a tedy možnost utéct z kanálu kde vysílá nějaký radar, na volný kanál. Některé kanály mohou být použity pouze tehdy, když je funkcionalita DFS zapnuta. (V EU: 52-140, US: 50-144 kanál).

cl7_dfs

Radio Name

defaultně je Radio Name mac adresa (V mém případě D4CA6DD72F4D). NEsplést s SSID! Je to viditelné pouze mezi RouterOS-RouterOS zařízeními, může být vidět ve Wireless Tables. (kam se dostanete když v levém menu kliknete na Wireless). Nastavíte ho ve stejném advanced menu, jako v předchozí případech a screenshotech.

Wireless Chains

802.11n uvádí koncept MIMO (ne mimo jako mimo ale Multiple In and Multiple Out – vícenásobný vstup a vícenásobný výstup, když to přeložím hodně tupě).
V princip jde o paralelní posílání a příjem dat skrze více “rádií”/antén. //pokud to tady uvádím nepřesně, prosím, opravte mě v komentáři pod článkem, rád to uvedu na pravou míru.
Bez MIMO by 802.11n dosahovala pouze rychlosti 72.2Mbps.

Tx Power

Jedna z nejdůležitějších praktik při nastavování wifiny do domácností. Kdekoliv mohu, nastavím si v Wireless/2x kliknutím na wlan1/tlačítko advanced mode/ záložka Tx power následující nastavení:

Tx power mode: All rates fixed

Tx Power: defaultně je tam tuším 17 (v případě mého mikrotiku, právě jsem na RB951Ui-2HnD), já nastavuji 0 a úplné minimum je -30  (v případě mého mikrotiku).

Počítání Dbm na Watty mrkněte na tento odkaz na online kalkulačku dbm to watts.

V případě hodnoty -30 dBm = 0.000001 W. Což bohatě stačí na pokrytí jedné místnosti v malém bytě a občas to dosáhne i do vedlejší místnosti. Když jsem se ale ptal na podrobnosti, tak jsem se dozvěděl, že v nějaké (snad to už opravili) verzi RouterOS či Winboxu je bug, který bez ohledu na to, jak nízkou hodnotu nastavíte, tak to stejně nastaví nejnižší hodnotu okolo 5dbm, ikdyž vám to spolkne -30. Co je na tom pravdy, nebo jak moc se mikrotik od roku 2015 v tomto změnil, to nejsem schopen říct a opět to nechme na diskusi pod článkem.

Když bude hodnota 0 dBm je výsledek stále “zdravých” 0.001 W.

U hodnoty 17 dBm (což je default) už je to 0.050118723363 W (nezapomeňme, že nějaký zisk udělá i anténa). V případě 20 dBm už pálíte 0.1W. Diskuse jsou vleklé, někdo říká, že to je nula nula nic. Někdo zase říká, že byste rozhodně v takové místnosti neměli spát. Fakta jsou taková, že koho znám, kdo někde pracoval na radarech, nebo montoval silnější wifiny někde na straně poskytovatele několik let, tak v případě mužů se mu rodí pouze dcery a pokud se někomu narodil syn, tak měl nějakou genetickou vadu či mentální postižení (statistická odchylka nebo výjimka se najít může, opět to nechme na diskusi pod článkem). V mém případě wifi zapínám pouze pro návštěvy a pálím na 0 dBm, na tu místnost to stačí a nepálím to navíc k sousedům, tudíž by to mělo být i “bezpečnější”, protože signál, který k Vám nedoletí nemůžete odposlouchávat, stejně tak se na takovou wifinu budete těžko připojovat, když k Vám nedoletí signál. Co mohu, to tahám po kabelech. Získávám tím větší stabilitu, bezpečnost, rychlost. Přece jen 1 gbps po kabelu je lepší než 150 nebo 300mbps po wifi.

cl7_txpower

 

802.11n kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11n kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 3 dBm
802.11n kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power + 5 dBm

802.11ac kanál 1: power per chain odpovídá nastavené hodnotě v Tx Power, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 2: power per chain odpovídá nastavené hodnotě v Tx Power -3dBm, celkový výkon se rovná nastavené hodnotě v Tx Power
802.11ac kanál 3: power per chain odpovídá nastavené hodnotě v Tx Power -5dBm, celkový výkon se rovná nastavené hodnotě v Tx Power

Rx Sensitivity

Receiver sensitivity (citlivost příjemce) je nejnižší power level, na kterém interface (rozhraní) dokáže ještě rozpoznat/detekovat nějaký signál.
Při srovnání RouterBoardů tato hodnota by měla být brána na vědomí vzhledem k plánovanému použití.
Menší Rx sensitivita threshold (práh citlivosti příjemce) znamená lepší detekci signálu.

Wireless Station

Wireless station (bezdrátová stanice) je klient (notebook, telefon s wifi, router).
Na routerOS tomuto módu nastavení odpovídá Mode station.

cl7_station

Všimněte si na screenshotu:

Mode: station
SSID: Jakékoliv jméno si tam napíšete, takové uvidí klienti jakožto název wifi.
country: Czech republic (pakliže se nacházím v české republice, pokud jste slovák, dejte si tam Slovakia). Tady jsou limity v pdf pro celý svět pro každou zemi. Slováci mají jiné limity než my, pozor na to.

Security profile: Wireless/ otevře se Vám Wireless Tables kliknete na záložku Security Profiles a 2x kliknete na default, případně založíte nový profil tlačítkem +.

cl7_security_profile

Mode: Dynamic Keys

Authentication Types: Wpa PSK a WPA2 PSK a tam kde je WPA Pre-Shared Key a WPA2 Pre-Shared Key si nastavíte heslo pro přístup do wifi sítě. “to heslo na wifinu, které pak řeknete tomu, kdo se na wifi potřebuje připojit).
Mikrotik toho umí strašně moc, proto si tu probereme jen základy. Do WPA a WPA2 Pre-Shared Key si nastavíme třeba heslo mikrotik123mikrotik456 (na zkoušku).

Security

Pouze WPA (WiFi Protected Access) nebo WPA2 by měl být používán. Já tam zaškrtnu vždycky obě kvůli starším zařízením, která třeba WPA2 nemusí vůbec umět. V oficiálních materiálech se uvádí buď WPA nebo WPA2.
WPA-PSK nebo WPA2-PSK používají AES-CCM šifrování. Radu v podobě “používejte dlouhý a silný klíč” nemusím snad neustále opakovat.

Access Point (Ap bridge)

přepneme si WiFi v sekci wireless/2x kliknutí v záložce interfaces na wlan1/záložka Wireless na Mode: ap bridge.
cl7_clientA už se můžeme připojit na naši vlastní wifi.  Potom co se připojíme s nějakým koncovým zařízení na náš mikrotik, tak ve Wireless/ v záložce Registration již uvidíme klienta, na kterého když klikneme pravým tlačítkem myši a vybereme možnost Copy to Connect List, dostane se nám klient do connect listu.

Connect List

cl7_connect_list

Kde už s ním můžeme provádět cokoliv se nám zlíbí. Můžeme ho zakázat, povolit, přidat si k němu komentář (třeba že to je tchýně), pravidlo můžeme zakázat či povolit (pokud jsme tedy někde na někoho aplikovali nějaké pravidlo, můžeme provedené změny anulovat a udělat z uživatele běžného uživatele s běžným heslem, jako mají ostatní) Nebo si můžeme pro jednotlivé klienty přiřadit jejich vlastní tajná hesla pro přístup do naší wifiny, pakliže na řádek se záznamem poklikáme 2x, objeví se nám následující okno:

cl7_station_Connect_rule

Pokud si tedy vytvoříme vlastní Security profile, můžeme mít klidně co klient, to vlastní heslo, či jiný způsob autentizace.

 

WPS

WiFi Protected Setup (Dále jen WPS) je funkcionalita pro běžný přístup na WiFi bez nutnosti zadávat heslo. RouterOS podporuje obojí možnosti využití WPS, jak pro AP, tak jako WPS client pro station módy. (módy, kdy se chová náš mikrotik jako koncová stanice). Moje rada do praxe – nepoužívat, není to bezpečné a často se na to útočí.

WPS Accept

K povolení přístupu uživatele můžete využití WPS accept button (WPS tlačítko přímo na routeru).
Když tlačítko zmáčknete, umožní připojení na AP zhruba na 2 minuty, nebo dokud se stanice nepřipojí. WPS tlačítko musíte zmáčknout pokaždé, kdykoliv se připojuje nějaké nové zařízení do WiFi sítě. Pro každé zařízení se WPS tlačítko zmáčkne pouze jednou. Všechny RouterOS zařízení s WiFi rozhraním (WiFi interface) má i virtuální WPS push button (virtuální WPS tlačítko). Některé (zejména ty naše domácí mají wps tlačítko přímo na svém těle. Obvykle blízko portu k napájení, nebo mezi portem napájení a prvním ether1 portem.

Virtual WPS Button (virtuální WPS tlačítko) je k dispozici v levém menu v QuickSet /WPS Accept, ale musíte mít povolen příslušný balíček. Na mém mikrotiku to nikde nevidím, takže to bdu mít nejspíš zakázané tím, že nemám naloadovaný balíček, který to umožňuje. RouterOS nepodporuje insecure PIN mode (Nezabezpečený PIN mód). WPS client je podporován většinou operačních systémů.

V LABu si nakonfigurujte routerboard, pak si nakonfigurujte Wifi a na tu se připojte potom, co odpojíte kabel. Když se dostanete na wifi, tak si pohrajte s možností Connect List, Registration atd…

Registration

Do registration se dostaneme přes Wireless/ objeví se Wireless Tables a tam klikneme na záložku Registration/ V registration 2x poklikáme na konkrétního připojeného klienta a na záložce signal vidíme jeho sílu signálu, kvalitu, útlum a další užitečné věci. V registration vidíme všechny aktuálně připojené klienty na wifi. Můžeme ho pingnout, zkopírovat do Access Listu, Connect Listu atd… NA záložce statistics už vidíme kolik packetů (Packets) , rámců (Frames) si APčko s klientem poslalo a jaké jsou Tx a Rx rychlosti aktuální a maximální.

 

cl7_registration

Access List

Pokud si klienta zkopírujeme pravým tlačítkem v Registration do access list (Copy to Access list), tak v Access Listu si můžeme vykopírovat jeho MACovku pro další účely, můžeme ho v případě potřeby přesunout na jiný interface (pakliže je to možné, já mám jen wlan1 takže tam si moc nevyberu), zakšrtnu jestli chci aby se mohla autentizovat vůči APčku, nebo dokonce omezit čas, odkdy dokdy se klient může připojit, který den v týdnu. Mohu mu nastavit osobní Pre-Shared Key a mohu nastavit, jestli může forwardit data s ostatními uživateli na síti, nebo jestli se bude bavit pouze s APčkem a s nikým jiným. Stejně tak mohu klientovi na tvrdo nastavit Tx limit na straně AP nebo na straně klienta, jakou rychlostí bude komunikovat. V možnostech nastavení je zkrátka mikrotik fantastický.

cl7_access_list

 

Default Authenticate

Vraťme se k prvnímu screenshotu pod nadpisem Acess Point (AP bridge), tam vidíme na spod kolonku k zaškrtnutí “Default Authenticate”. Defaultně je povolená a uživatelům je umožněn vstup do Wifi a autentizace skrze heslo. Pokud je nějaký klient (dříve autentizovaný a vpuštěný do sítě a zaznamenaný v Access či Connect Listu) tak pro něj platí pravidla v Connect či Access listu, pokud v těchto listech uveden není, platí pro něj defaultní Security profile (bezpečnostní profil). Pokud default authentication je zakázán (tedy NEzaškrtnutý, prázdný), tak se připojí pouze klienti, kteří mají záznam povolený v Access či Connect listu a nikdo jiný se tam nedostane, i kdyby měl správné heslo.

Default Forward

Kolonka hned pod Default Authenticate na stejném místě ve Wireless/interfaces/wlan1 2x kliknout / Advanced Mode.

Když je to zaškrtnuté, mohou se spolu bavit a komunikovat autentizovaní klienti uvnitř vaši WiFi sítě. Když to zaškrtnete, tak bude umožněna komunikace pouze klient vs. AP ale už nikoliv Klient – AP – Klient (tedy myšleno klient vs. klient). Když kolonka Default Forward zůstane NEzaškrtnutá, prázdná, tak si klienti na Vaši síti mezi sebou counter-strike rozhodně nezahrají, protože se budou moci bavit pouze s APčkem a z vnějším světem, ale nikoliv mezi sebou. Vychytaná věc. ;-)

 

 

Základy Mikrotiku #6 Module 4: Routing, static route, default gateway, dynamic routes, route flags

Routing probíhá na 3. vrstvě OSI modelu (network layer = síťová vrstva).

klikneme na ip /routes  a zobrazí se nám Route List.

clanek6_static_route

Dst. Address znamená cílová adresa, gateway je destination next router (cílový router, kam to bude posílat, když se matchne pravidlo v Dst. address).

cl6_check_gateway

Všimněte si možnosti check gateway, kde to každých 10 vteřin kontroluje pomocí ICMP echo request (pingem) nebo ARP requestem opačnou stranu.

“Přesnější” routování

Pokud existuje 2 a více route (cest/tras) mířících na stejnou adresu, použije se ta více přesná. Pro příklad:

pokud budou 2 routy:

dst: 192.168.10.0/24, gateway (brána): 10.0.0.1
dst: 192.168.10.128/25, gateway (brána): 10.0.2.1

a přijde na router packet, který míří na 192.168.10.140, tak bude použita brána 10.0.2.1 k odeslání packetu dál.

Default Gateway

Default gateway, neboli defaultní brána (já defaultní nepřekládám, promiňte), je taková brána, kam se posílá všechen provoz (trafic), který se nematchne (neshoduje) s žádnou konkrétní trasou (routou). A když se s žádnou trasou (routou) neshodne (nematchne), tak to pošle směrem default gateway.

cl6_default_gateway

Default gateway pro router se nastaví automaticky skrze DHCP-clienta, nemusíme ji tedy v případě, že si router získá na WAN interface adresu sám, vůbec defaultní routu nastavovat. Lze to však změnit skrze IP / DHCP client / 2x poklikáme na ether1 gateway který je tam z defaultu a v kolonce Add Default Router: kde je standardně yes, můžeme nastavit no a routeru pak budeme muset dodat statickou routu ručně.

cl6_dhcp_client_default_route

Dynamic routes

Jak jsme si mohli všimnout v Route Listu nalevo od Dst. Address je S, DAC nebo jiné tagy.  DAC se v routovací tabulce objeví automaticky bez přičinění uživatele. DAC routy pocházejí z konfigurace, které jsme si naházeli do IP /Addresses. Dynamické routování skrze protokoly OSPF a RIP čekejte v aktualizaci tohoto článku dole.

DAC a další zkratky znamenají:

Route Flags

A – active
C – connected
D – dynamic
S – static
a jejich kombinace.
Default gateway je statická routa.

cl6_dynamic_routing

Static Routing

Pokud máte 2 routery se sousedem. Tak řešení tzv. “na prasáka” je, že si každý nastavíte na adresu WAN rozhraní kolegy default routu 0.0.0.0/0 a bude to fungovat. (ikdyž tam může vzniknout routing storm, kde si routery přeposílají mezi sebou tentýž packet jako horký brambor tak dlouho, dokud nevyprší TTL).
řešení je tedy v tomto případě následující:

sousedova ip adresa vnitřní LAN sítě: 192.168.20.0/24
moje IP adresa vnitřní LAN sítě: 192.168.10.0/24
adresa sítě mezi routery a mezi jejich WAN rozhraními: 192.168.1.0/24.
můj router adresy rozhraní:

ether1: 192.168.1.100 na WAN
bridge-local: 192.168.10.1
soused:
ether1: 192.168.1.102 na WAN
bridge-local: 192.168.20.1

default routa ode mě k sousedovi:

192.168.20.0/24 přes 192.168.1.102

defaultní routa od souseda ke mě:

192.168.10.0/24 přes 192.168.1.100

cl6_muj_router_static_routing

 

Static routing

Jednoduchý k nakonfigurování v malých sítích
Je to tupé řešení, které se těžce škáluje
ruční konfigurace je potřeba kdykoliv se objeví nová síť, kterou je potřeba “uroutovat”.

 

Dynamic Routing – OSPF

Máme 2 routery. Levý a pravý, pravý je připojen k internetu. Mezi nimi postavíme OSPF dynamic routing:
Levá síť: 192.168.10.0/24,počítač v síti 192.168.10.10, ether3 routeru 192.168.10.1
Pravá síť: 192.168.20.0/24, počítač v síti 192.168.20.10, ether2 routeru 192.168.20.1
Prostřední síť, po které pojede OSPF protokol: 192.168.0.0/24, levý router ether1 192.168.0.2, pravý router ether2 192.168.0.1
Síť do internetu z pravého routeru ven: ether1 192.168.1.101, síť 192.168.1.0/24, brána 192.168.1.1.

Viz obrázek:

Diagram1_mikrotik_ospf

 

Teď jak to nastavit. Začněme levým routerem.
Zakažme všechna pravidla ve firewallu skrze IP/firewall/
cl6_zakazani_firewallu_ospfV záložce NAT musíte mít funkční a povolený src-nat!!!
(V mém případě, když jsem měl vše nastavené správně a měl jsem povolený Firewall, tak mi nechodily mezi routery OSPF packety). Pokud nebudete mít povolený src-nat na routeru, který není připojen do internetu, tak to katastrofa nebude, ale pokud nebudete mít funkční src-nat na routeru, který je připojen do internetu, tak nepingnete dál, než na WAN ether1 rozhraní pravého routeru, který je připojen do internetu.

U adresujeme rozhraní levého routeru a předkládám ještě ve screenshotu i to, jak vypadá můj bridge-local:
cl6_ospfDáme routing/OSPF/ záložka networks a začnem tam sypat přímo připojené sítě (tedy v případě levého routeru 192.168.0.0/24 a 192.168.10.0/24):
cl6_ospf_levy_router_ospf_networks

Záložka routing/OSPF / Interfaces by měla vypadat takto:
cl6_ospf_interfaces

Jdeme na Pravý router, jehož konfiguraci dopíšu.

Pravý router OSPF

Jako v případě levého routeru, uadresujeme všechna rozhraní ip adresami přes IP / addresses

ether1 192.168.1.101/24
ether2 192.168.0.1/24
ether3 192.168.20.1/24
Potom přes Interfaces/2x klikneme na ether2-master-local a ověříme, že v kolonce Master Port je  none.
Stejně tak 2x klikneme na ether3-slave -local rozhraní a nastavíme Master Port na: none
Dále klikneme na ip/routes/ přidáme statickou defaultní routu (trasu) 0.0.0.0/0, gateway 192.168.1.1 a dáme OK.

cl6_ospf_pravy_router_2

 

 

Zakážeme všechna Firewall pravidla:

cl6_ospf_pravy_router_3_firwall

Ověříme, že je povolený src-nat (jinak by klienti ve vnitřních sítích kromě hlavního routeru nepingli směrem do internetu – konkrétně by pingnuli 192.168.1.101 ale už by nepingnuli 192.168.1.1):
cl6_ospf_pravy_router_3_nat

Klikneme na routing/OSPF/záložka Networks:

cl6_ospf_nastaveni1

A přidáme tam přímo připojené sítě k pravému routeru (můžeme vést diskusi pod článkem, jestli má smysl tam cpát tu síť 192.168.1.0) tedy konkrétně:

192.168.0.0/24
192.168.1.0/24
192.168.20.0/24

Pár vteřin počkáme a routery by si měly vyměnit mezi sebou LSA informaci:

cl6_ospf_nastaveni2

 

V routing/OSPF/ záložka Instances si ještě pohlídáme, aby se nám přeposílala z hlavního pravého routeru i defaultní routa:

cl6_ospf_nastaveni3

 

Dříve či později již musíte pingnout. Pohlídejte si zakázané firewally (pro účely testování) na obou mikroticích (ospf posílá zprávy balené do portu tcp 89), pohlídejte si povolené src-naty, kvůli jejich případné absenci byste pingali jen v místní síti, ale už nikoliv do internetu, pokud Vám něco nebude fungovat, ověřte si správnou adresaci na rozhraních, správné porty, jestli vaše interfacy nejsou slave nějakého jiného portu či jestli nejsou v bridgi.

Dynamic Routing – RIP

Přejděme na PRAVÝ hlavní router. Kliknutím na routing/ospf/záložka instances a kliknutím na červený křízek zakážeme OSPF (při jeho opětovném povolení by začal OSPF fungovat, takže nepřijdete o žádnou konfiguraci).
Klikněte na routing/rip/v záložce interfaces klikneme na modré tlačítko PLUS.

cl6_rip1

 

Interface nastavíme na rozhraní, které spojuje pravý router s tím levým, protože z bezpečnostních důvodů nechceme posílat routovací informace jinam.

Klikneme na tlačítko RIP settings v routing/RIP/Interfaces/ a zde vybereme možnost Distribute Default: if installed, Redistribute Static Routes, Redistribute Connected routes. Stejně tak můžeme dát klidně redistribute OSPF routes, ale to možná někdy jindy.
cl6pravy_router_ripsettings(bez tohohle nastavení by se viděli jen klienti ve vnitřní síti mezi sebou, ale nikdo by se nedostal do internetu)

Na záložce Networks znovu přidáme všechny přímo připojené sítě k pravému routeru, tedy:

192.168.0.0/24
192.168.20.0/24
můžeme klidně i 192.168.1.0/24 (odebrat ji můžeme vždycky a navíc když jsem ji v OSPF zakázal, všude jsem se stejně dostal).

cl6_rip2

 

Nesmíme ještě zapomenout přidat souseda v Routing/RIP/záložka Neighbor/ a jeho ip adresu sousedního rozhraní, tedy 192.168.0.2.

cl6_pravy_rip_neighbor

 

Přejděme k levému routeru

Levý router RIP

Na levém routeru klikneme na routing/rip/ v záložce interfaces klikneme na plus (+) kde přidáme ether1-gateway

cl6_rip_levy_router

 

Přidáme přímo připojené sítě k levému routeru, konkrétně:

192.168.0.0/24
192.168.10.0/24

cl6_rip_levy_router_3

 

Klikneme na routing/rip/záložka neighbor (soused) a na levém routeru přidáme IP adresu pravého souseda, tedy 192.168.0.1.

cl6_rip_levy_router_4_neighbor

Potom už jen pingáme a zkoušíme.

cl6_rip_levy_router_5

 

A voila! Máme hotovo! K debugu prozradím následující věci. Pokud už vidíte, jak si routery vyměňují zprávy mezi sebou (v ip /routes vidíte DAr), tak už to začíná fungovat. Když pingáte jen na svůj router ale ne na sousedův, zkontrolujte ip souseda (neighbor), Vámi přidané sítě a pokud máte hlavní router, který rozposílá defaultní routu, jeslti jste si zaškrtli povolení tam kde je tlačítko RIP settings i možnost posílat defaultní routu sousedům. Když nepingnete do internetu ale pingnete jen všude kde Vám běží routovací protokol, tak bude chyba právě v redistribuci (přeposílání) defaultní routy.

 

 

Základy Mikrotiku #5 Module 3: Bridging, Wireless Bridge, Bridge Firewall,

Bridge

Co je to Bridge? Bridge, nebo též síťový most je zařízení 2. vrstvy OSI modelu. Jedná se tedy o zařízení 2. tedy data-linkové vrstvy. Více o OSI modelu zde. Obvykle se používá ke spojení 2 síťových segmentů. Bridge rozdělují kolisní doménu (collision domain) na 2 části.
Běžný switch je multi-portový síťový most (bridge). Každý port je kolizní doménou (collision domain) s jedním zařízením.

Při připojení všech hostů do ethernetového hubu:

  • Všichni hosti (koncoví klienti) mohou komunikovat se všemi ostatními
  • všichni sdílí stejnou kolizní doménu. (celá síť je v podstatě kolizní doména)

Viz obrázek:

broadcastová doména bez použití bridge

Při aplikování Bridge:

  • Všichni hosti (koncoví klienti) mohou stále komunikovat se všemi ostatními
  • Jsou tu však 2 kolizní (a tím pádem i menší) domény, které právě rozdělil Bridge.

Diagram2

RouterOS

  • implementuje síťové mosty (bridge) v jejich softwarové podobě
  • do bridge mohou být přidány Ethernet porty, WLAN, SFP či tunnelové rozhraní (interfacy)
  • defaultní konfigurace na SOHO routerech (i mém domácím RB941 routerboardu) je bridge obsahující WLAN + ether2 port
  • Ether 2 až ether5 jsou kombinovány spolu ve switchi. Ether2 je master, ether3 až ether5 jsou slave. Rychlost přenosu řeší chip switche.

Při použití Bridge na mikrotik routeru:

  • Lze odstranit master/slave konfiguraci a místo toho používat bridge
  • chip switche nebude používán, místo toho ale počítejte s vyšším vytížením CPU routerboardu
  • Díky tomu budete mít větší kontrolu nad provozem. IP Firewall v tu chvíli můžete používat pro bridgované porty.

Bohužel kvůli limitaci standardu 802.11, bezdrátoví klienti (mode: station) nepodporuje bridgování (bridging).
RouterOS však implementuje několik módů k vyřešení tohoto omezení.

Wireless Bridge

módy fungování bezdrátového síťového mostu (Wireless bridge):

  • station bridge – routerOS to RouterOS
  • station pseudobridtge – RouterOS s ostatními
  • station wds (WDS = Wireless Distribution System) – RouterOS to RouterOS

Protože teď u sebe nemám druhý mikrotik, abych otestoval a popsal všechny věci ohledně bezdrátových spojů a zkrátka všeho, kde potřebujete alespoň 2 mikrotiky, dopíšu zbytek buď v neděli, nebo příští týden.

 

clanek5

ještě bych tam měl uvést v poli country: Czech republic, ale v podstatě podle třetího modulu je tohle všechno. A správně jste si všimli, že jsem přesedlal na vyšší model, což ale nic nemění na našich návodech.

 

Základy Mikrotiku #4 Module 2: RouterOS Licence, DHCP, DNS, ARP

Router OS licenci Vašeho Mikrotiku zjistíte skrze System / License

cl4_routeroslicence

(klikněte pro zvětšení)

Klíč si můžete importnout, exportnout, licenci povýšit, snížit.

Licence se dělí na následující levely:

Level 0 – trial verze na 24 hodin
Level 1 – Free demo verze zdarma
Level 3 – CPE – Bezdrátový klient (stanice)
Level 4 – AP – Bezdrátová APčka, WISP, pro domácnosti a menší kanceláře
Level 5 – ISP – podporuje více tunelů než Level 4, už se jedná o balík pro poskytovatele.
Level 6 – Controller – Neomezené možnosti RouterOS, vše omezené na maximum, bez omezení uživatelů, zkrátka to máte v plné palbě.

Více o licencích zde.

Toť k modulu 1, přejděme na module 2.

 

Module 2

DHCP

Znamená Dynamic Host Configuration protocol. Většina z vás asi ví, že se jedná o automatickou distribuci IP adres po lokální síti. DHCP se používá v tzv. trusted (tedy důvěryhodných) sítí. Funguje skrze broadcastovou doménu (broadcast domain). RouterOS podporuje jak DHCP klienta tak server.

DHCP Client

Slouží k získání IP adresy, masky podsítě, defaultní brány, DNS serveru a případných dalších nastavení, pokud je to poskytnuto v rámci DHCP zprávy.

Mikrotik SOHO routery standardně mají DHCP klienta konfigurované na ether1(wan) rozhraní (interface).

Ten interface (rozhraní), který má k sobě nastaveného DHCP klienta si automaticky získá adresu ze sítě ke svému vlastnímu uadresrování. Standardně je i na domácích HAP routerboardech, jako mám já, tedy na RB941. Pokud tedy máte RJ45 lan kabel odněkud z modemu, zapojíte ho do routeru od mikrotiku a ten si automaticky získá adresu ze sítě na ether1 (WAN rozhraní).

cl4_dhcp_client

(klikněte pro zvětšení)

V našem případě zde není nic moc co k řešení. V mém případě mám odpojený kabel z WAN rozhraní.

DNS nastavení

Standardně si DHCP klient získá DNS automaticky skrze DHCP protokol. Zde je možnost si nastavit vlastní DNS staticky.
Skrze IP / DNS zakliknu si servers a vyplním si googlovské DNSky. Primární server 8.8.8.8 a sekundární 8.8.4.4.

cl4_dns

(klikněte pro zvětšení)

DHCP Server

Automaticky přiřazuje adresu vyžadujícím hostům. Příkaz k povolení je DHCP Setup.

Prvně se přepojíme na router skrze MAC adresy. IP / DHCP SERVER

cl4_dhcp_server

(klikněte pro zvětšení)

 

Zakážeme DHCP server.

cl4_remove_dhcp1

(klikněte pro zvětšení)

Vymažeme síť.

cl4_dhcp_ip_pool

(klikněte pro zvětšení)

Vymažeme DHCP Pool adres, který to bude rozdávat.

cl4_remove_dhcp2

(klikněte pro zvětšení)

Nový DHCP server

Nastavíme nový DHCP Pool adres, ze kterého budeme rozdávat adresy klientům:

cl4_dhcp_ip_pool_novy

(klikněte pro zvětšení)

Nastavíme nový DHCP server:

cl4_dhcp_new_server

(klikněte pro zvětšení)

Nastavíme Networks pro DHCP server:

cl4_dhcp_new_server_networks

(klikněte pro zvětšení)

přiřadíme nové IP adresy pro bránu:

cl4_dhcp_new_server_IP_addresses

 (klikněte pro zvětšení)

po přepojení:

cl4_dhcp_new_server_reconnect

 (klikněte pro zvětšení)

Ukázka funkční zapůjčené (leasenuté) adresy:

cl4_ip_dhcp_nastaveni_funkcni_nove

(klikněte pro zvětšení)

DHCP Static leases

v IP / DHCP Server / záložka leases / pravým tlačítkem na aktivní zápůjčku (lease) a klikneme na Make static:

cl4_make_static

(klikněte pro zvětšení)

ARP

ARP tabulka v sobě nese informace o tom, která IP adresa je přiřazena k MAC adrese na kterém rozhraní. ARP znamená Address resolution protocol. Zobrazíme ji skrze IP / ARP.

CL4_arp

(klikněte pro zvětšení)

Static ARP

kliknutím pravým tlačítkem myši na konkrétní záznam v ARP tabulce a vybráním možnosti Make Static tento záznam z bezpečnostních důvodů uděláme statický.

cl4_arp_static

(klikněte pro zvětšení)

Nastavení bridge-local tak, aby odpovídal pouze staticky naučeným záznamům v síti. Jde o režim reply-only. Nastavíme ho pomocí Interfaces / 2x kliknem na bridge-local, v záložce General, mód ARP: reply-only.

cl4_arp_reply_only

(klikněte pro zvětšení)

 Kombinace DHCP serveru a Static ARP lze dosáhnout větší bezpečnosti na síti. DHCP server totiž přidá ARP záznamy automaticky a administrátor může záznamy udělat statické pomocí Make Static. Je proto potřeba přejít na IP / DHCP Server/ na záložce DHCP 2x kliknout na záznam se serverem, zaškrtnout možnost Add ARP For leases (na obrázku modře) Viz následující obrázek:

cl4_arp_dhcp_static

(klikněte pro zvětšení)

 Co byste měli udělat v labu? Odstraňte si statický záznam z ARP tabulky vašeho počítače. Připojení by nemělo být funkční. Ve windows si dejte ipconfig/renew získáním nové IP adresy a už by to mělo jet. Připojte se na router a zkontrolujte ARP tabulku. Schválně sem nebudu dávat řešení ani další postup, potřebujete si tím projít sami.

Další díl.

Základy Mikrotiku #3 Zálohy, netinstall, služby na mikrotiku, identity

Jestli jsem se nezmínil o nejdůležitější části webu mikrotiku, tak je to dle mého názoru sekce download zde:

http://www.mikrotik.com/download

Stáhnete tam vše. Od nejnovějších firmwarů, přes nejnovější balíčky, winbox, netinstal na oživení “mrtvého” routeru se špatně naflashovaným firmwarem apod.

Sledujte hlavně changelog a jděte po tom, co se opravilo, nebo vylepšilo!

Pokud se nám rozsype nebo nepodaří upgrade balíčků či firmwaru, použijeme utilitu netinstal:

Tu stáhneme zde:  http://www.mikrotik.com/download konkrétně si najděte řádek: “RouterOS Installation tool”, kde je link na netinstall a stáhnete ho.

Dále potřebujete zjistit, jaký typ architektury potřebujete. To zjistíme několika způsoby:

Pokud Vám předtím mikrotik běžel a udělali jste si třeba nějaký screenshot, zjistíte to ze záhlaví:

mikrotik_clanek3_zahlavi

Já tam mám (smips), takže potřebuji routerOS, který je skompilovaný pro architekturu Smips, na které můj routerboard RB941 běží.

mikrotik_clanek3_vyber_verzi

 (kliknutím rozklikněte)

Mám proto na výběr několik verzí. Všimněte si, odladěné starší verze 6.32.4 (bugfix only) v době psaní článku. Dále mou aktuální 6.35 (current = aktuální), 5.26 (legacy = starší stabilní verze) a verze, která ještě není aktuální, ale ještě se testuje (na vlastní nebezpečí) 6.35rc49 (Release candidate, téměř verze před schválením, kterou testují uživatelé z celého světa). Já vyberu verzi 6.35 (current a tu si pomocí netinstallu do mikrotiku nahraju, bez ohledu na to, jestli je mrtvý či nikoliv.)

Vše jsem stáhnul a rozbalil do jednoho adresáře i spolu s utilitou netinstall.

mikrotik_clanek3_rozbalene_balicky

 

 (kliknutím zvětšíte)

Spustíme netinstall a klikneme na browse, kde vybereme adresář, kde jsme nahráli balíčky. Klikneme na netbooting, začktneme Boot server enabled a vyplníme adresu třeba 192.168.1.2.

mikrotik_clanek3_netinstall

 

 (kliknutím zvětšíte)

Následně vypneme router. Podržíme restart/či tužkou tlačíme na restart, pak teprve připojíme napájecí konektor a držíme restart tak dlouho, dokud nám diody nezačnou blikat (cca po 15 až 20 vteřinách držení restartu).  Zdroj

V netinstallu by se vám router měl objevit v horním levém čtverci s výběrem disků a zařízení, kam routerOS či balíčky nahrnout. Mě se to nepodařilo. Upozorňuji, že v případě tohoto modelu musí být kabel zapojen do ether1, tedy do WAN portu, aby to šlo. Mě se router v nabídce nezobrazil, takže se bohužel budete muset obejít bez další části návodu flashování mikrotiku RB941. Více Vám snad pomůže zdroj, na kterým jsem v předchozím odstavci dal link.

RouterOS services

Klikněte na ip/services, otevře se tabulka se službami, které na síti poskytuje routerboard. V případě běžného použití pro domácího uživatele můžete zakázat všechny služby, kromě www a winbox. Bezpečnostní pravidlo #1 říká, co nepoužíváte, zakažte. Vše co je povolené, na to Vám může kdokoliv zaútočit. Já si tradičně nechávám povolený pouze winbox a www. Kdokoliv chce větší bezpečnost, může si samozřejmě zakázat www úplně, nebo si povolit www ssl verzi na portu 443.

mikrotik_clanek3_services1

 

 (kliknutím zvětšíte)

mikrotik_clanek3_services2

 

 (kliknutím zvětšíte)

Router Identity

Identita routeru je defakto pojmenování routeru jakožto zařízení. Nastavíme to skrze system/identity a do identity můžeme napsat cokoliv. Třeba název lokality Brno-cerna-pole-router-server, nebo mikrotik_kancelar_prvni_patro, či jakékoliv jméno, které nám pomůže s jeho identifikací.

mikrotik_clanek3_identity1

Configuration backup

Záloha konfigurace je jedna z nejužitečnějších a nejdůležitějších praktických funkcionalit, které při provozu mikrotik nabízí. Umožňuje dva typy zálohování konfigurace. Binární a textovou. Binární používejte pouze k záloze nastavení, které necháte nahranou uvnitř zařízení, protože při přenosu zálohy na jiné zařízení byste totálně zblbnuli kompletní nastavení, přepsali i všechny mac adresy a z mých zkušeností přenášení binární zálohy mezi routery nikdy nedopadlo dobře. Proto to mám pouze jako rychlou zálohu, když něco dělám. Textová je podle mě nejlepší záloha nastavení, jakou si můžete udělat. Protože jste ji schopni přenášet i mezi zařízeními mikrotiku jiného typu. (pokud cílové zařízení při snaze obnovit textovou zálohu najde nějakou blbost, tak vám to samozřejmě odmítne, otevřete textovou zálohu v poznámkovém bloku, editnete, případně odmažete “chybnou část”, kterou vám cílové zařízení neakceptuje a zálohu se poté podaří nahodit.)
V praxi však dělám oba typy záloh a obě si zálohuji někam k sobě pro případ nějakého vymazání obsahu zařízení, které je jinak funkční. Pokud vám mikrotik, na kterém jste udělali binární zálohu shoří, či jinak přestane totálně fungovat, už můžete binární zálohu smazat, na jiném, než stejném typu a stejném konkrétním kusu zařízení stejně nebude běžet dobře. V tu chvíli přichází na scénu textová záloha, kterou nahodíte například na novějším nebo stejném zařízení od mikrotiku a pokud se jedná o stejný typ, tak by to mělo bez remcání přijmout a vaše záloha tedy bude v textové podobě .rsc souboru nasazena na novém mikrotiku. Pojďme si to tedy zkusit.

Binární záloha

Na následujícím obrázku již vidíme ukázku binární zálohy. auto-before-reset.backup je záloha z továrny. V Type pokud je napsáno backup, tak se jedná o binární zálohovací soubor. Pokud je tam napsáno script, tak se jedná buď o script, který má něco nastavit, nebo o textovou zálohu zařízení. Do této nabídky jsme se dostali kliknutím vlevo na Files. Kliknutím na backup vytvoříme binární zálohu, jak můžete vidět v okně níže. Vyplníte name (jakýkoliv název bude mít vaše binární záloha), můžete si ji klidně zaheslovat, pokud tam máte nějaké důležité údaje či hesla. A kliknete znovu na backup a objeví se Vám tam nová binární záloha.

mikrotik_clanek3_files

Po vytvoření zálohy můžeme za pomocí drag & drop ( klikneme myší a levé tlačítko myši držíme) přetažením např. na plochu nebo do nějakého adresáře a pomocí winboxu si takto jednoduše zálohu stáhneme (viz obrázek pod odstavcem). Jsou samozřejmě další způsoby, jak si zálohu stáhnout, např. pomocí protokolu FTP (pokud máme povolenou příslušnou službu).

mikrotik_clanek3_files_binarni_zaloha

 

Zálohu jak v případě binární tak v případě textové obnovíme kliknutím na restore v nabídce Files.

Textová záloha

klikneme na new terminal v levé menu, napíšeme / export file=jakykolivnazevchceme a tento příkaz nám vygeneruje kompletní textový export nastavení celého mikrotiku do .rsc souboru, který je oteviratelný v jakémkoliv textovém editoru. Stáhneme rovněž přetažením drag & drop třeba někam na plochu.

mikrotik_clanek3_textova_zaloha

 

Zálohu jak v případě binární tak v případě textové obnovíme kliknutím na restore v nabídce Files.

Další díl.

 

Základy Mikrotiku #2 Aktualizace balíčků, restart, reset konfigurace, upgrade firmwaru

Dneska si už něco nakonfigurujeme. Zatím máme mikrotik v defaultní konfiguraci.

Připomínky k minulé lekci

Pro ty z Vás, kteří mají např. v počítači 2 síťové karty, jednou síťovou kartou jste připojeni do internetu a druhou připojíte k mikrotiku, je dost možné, že ztratíte kvůli tomu připojení k internetu (pokud mikrotik není zapojen sám do internetu). V takovém případě mi pomůže ručně si na síťové kartě, kterou konfiguruji mikrotik, nastavit statickou adresaci a to konkrétně v mém případě 192.168.88.3 masku 255.255.255.0. Bránu ani DNS nevyplňovat a připojení se Vám zase vrátí do normálu a současně budete schopni konfigurovat mikrotik.

Kompletní wikipedie s nastavením a všemi návody na mikrotiku jsou k dispozici ZDE.
Zde už hlavní stránka mikrotik Wikipedie.
Na mikrotik certifikaci potřebujete mít správně alespoň 60% otázek.

Co znamenají čísla v názvu našeho Mikrotik Routerboardu

Pracuji s modelem RB941 – tedy 9. řada, 4 ethernetové porty, 1 bezdrátový interface.
Dnes projdeme Aktualizaci a zálohu a reset konfigurace.

Rozdíl mezi resetem a restartem

Reset do továrního zařízení znamená vymazání konfigurace, jakou jsme nastavili a obnovení nastavení z továrny. Restart zařízení zjednodušeně řečeno udělá stejnou funkci, jako když zařízení vypnete a zapnete. Během restartu zařízení se projeví předchozí nastavené změny např. v povolených balíčcích, které přejdou ze stavu “balíček zakázán” do stavu “balíček povolen”.

Reset konfigurace

Reset konfigurace se provádí skrze system / reset configuration

mikrotik_clanek2_reset_configurace

(rozklikněte pro zvětšení)

Když to necháme tak, jak to máme a klikneme na Reset Configuration, tak nám routerboard po restartu nastartuje s tovární konfigurací. Tohle je Home Access Point série, takže router bude možné zapojit do WAN. Do LAN a na wifi připojíte klienty a bude to fungovat. (běží tam dhcp, routing, firewall atd…) Pokud zaškrnete No Default Configuration, tak se veškerá i tovární konfigurace routeru smaže a vy dostáváte čistý kus, na kterém můžete provádět čistou konfiguraci.

To stejné, ale na terminálu:

mikrotik_clanek2_reset_configurace_terminal

(rozklikněte pro zvětšení)

 System / Packages, aktualizace a povolování /zákaz balíčků

mikrotik_clanek2_system_packages

 

(rozklikněte pro zvětšení)

Povolíme IPv6 (ikdyž IPv6 nemáte, je to skvělá věc v případě, že si rozházíte IPv4 konfiguraci a přístup na MAC přes Winbox vám padá, dostanete se na routerboard pomocí Link-local). Kliknutím na kterýkoliv balíček a kliknutím na tlačítko disable/enable balíček zakážete/povolíte, změny se projeví až po restartu zařízení.

mikrotik_clanek2_ipv6_povoleni

(rozklikněte pro zvětšení)

Klikneme na reboot, spadne nám winbox a po startu již uvidíme po rozkliknutí system/packages, že balík IPv6 je povolen.

Update balíčků

Balíčky jsou ve formátu .mpk. Máte 2 možnosti jak balíček updatovat. Buď přes mikrotik, který je připojený k internetu, což si ukážeme. Nebo že přejdete na web mikrotiku, ručně si je stáhnete a pomocí DRAG and DROP si je přetáhnete v sekci files a updatenete je ručně. Dnes si však ukážeme automatický update balíčků. Přejděme na system / packages

mikrotik_clanek2_packges_update1

 

(rozklikněte pro zvětšení)

Klikněme na check for updates / pokud nám to nic neukáže, tak klikněme na boční tlačítko s check update. Pokud je router pomocí WAN portu připojen kamkoliv do internetu, mělo by to něco najít. Pokud ne, vypíše Vám to, že se nepodařilo přeložit DNS adresu, ze které router updaty tahá.

mikrotik_clanek2_packages_update2

(rozklikněte pro zvětšení)

Klikneme na download and upgrade.

mikrotik_clanek2_update_balicku_progress

(rozklikněte pro zvětšení)

Po upgradu se routerboard automaticky restartuje, take nepanikařte.

 V případě úspěšného updatu po opětovném kliknutí ve winboxu na reconnect uvidíte něco takového:

mikrotik_clanek2_uspesny_update

(rozklikněte pro zvětšení)

 Firmware Upgrade

Přejděme do system/routerboard

mikrotik_clanek2_routerboard_firmware_Upgrade

(rozklikněte pro zvětšení)

Kliknu na upgrade, router se mě zeptá následující hláškou, jestli to myslím vážně:

mikrotik_clanek2_routerboard_upgrade

(rozklikněte pro zvětšení)

A nyní dám system /reboot a po připojení už vidím tento obrázek s nejnovějším firmwarem:

mikrotik_clanek2_uspesny_firmware_upgrade

(rozklikněte pro zvětšení)

 Takto by měl většinou vypadat běžný postup na zařízení, které koupíme v obchodě, čímž dostaneme zařízení na nejnovější verzi a zbavíme ho předchozích bugů a bezpečnostních chyb. Byl jsem však během kurzu varován, že nejnovější verze mohou způsobovat problémy, které např. předchozí verze nezpůsobovaly. Proto někteří administrátoři, kteří potřebují nějaké funkce, které na nejnovějším firmwaru/balíčcích nefungují správně, použijí předposlední verzi.

Tento článek píšu dobrovolně kvůli mě a mým přátelům, kteří se na mikrotik certifikaci připravují se mnou. Pokud si zlikvidujete jakkoliv vaše zařízení nebo virtuálku ve které Vám běží virtuální mikrotik, neberu za to odpovědnost. Proto prosím berte v potaz, že tento návod jste jeli či pojedete na vlastní odpovědnost.

Toť vše, těším se na Vás v dalším díle.

Základy Mikrotiku #1 Úvod

Budu zde vycházet z přípravného Mikrotik kurzu a ze svých poznámek na certifikát MTCNA (Mikrotik Certified Network Associate).
Budu se snažit házet sem konkrétní postupy, čímž si vše sám nejen zopakuji, ale souačasně se budu snažit uvést co nejvíce cest, jak dosáhnout nějakého řešení v zájmu nějakého problému.
Od ledna 2016 se obsah Mikrotik Certifikace trošku změnil, respektive toho, co je k úspěšnému složení zkoušky potřeba.
Pokud jste přiřazení do Mikrotik Akademie, tady máte možnost si vyzkoušet traning test: https://www.mikrotik.com/client/training

Potom, co završíte MTCNA, můžete pokračovat dále zkouškami: MTCRE, MTCWE, MTCTCE, MTCUME. MTCRE dále pokračuje na MTCINE. (google máte, tak šup na google).

Mikrotiky jsou fantastické krabičky, kde za cenu zařízení získáváte zařízení, které softwarově není nijak očesáno, jako se s tím setkáváme u Cisca. Jinými slovy, za to, kde si např. u Cisca musíte připlatit (za podporu ssh, OSPF protokol, podporu VPN, různé další protokoly), tak tady je získáváte v plné palbě a přikupujete si jen licenci na počet uživatelů, které taková krabička bude táhnout. Případně, pokud to poběží někde ve virtuálce, tak ještě lépe. Mikrotikácký RouterOS vám poběží jak v nakoupeném routerboardu, tak jako virtuálka v PC. Nejedná se o nic jiného, než o linuxácký kernel ze kterého vznikl stand-alone RouterOS.

Co mikrotik všechno umí? Tady je stručný seznam funkcionalit. Jediné co to třeba neumí a narazil jsem na to, je GEOip database, zkrátka filtrování provozu na základě geologické lokace případného útočníka, ale to využijete spíš na linuxových serverech, než tady.

Mikrotik RouterBoard

Pamatujte, že to jsou ty krabičky které si koupíte v obchodě a k dostání jsou jako:

Integrovaná řešení (Integrated solutions) – koupíte třeba něco takového. Koupíte, zapojíte, fungujete.
Pouze deska (Boards only) – je to základ k sestavení vlastního systému. Vypadá např. takhle. Koupíte desku a opláštění si řešíte vy, antény si dokoupíte zase vy, uděláte si z toho vlastní síťové zařízení, které pohání Mikrotik RouterOS, ale přizpůsobili jste si to přesně ke svým potřebám.

Enclosures (nepřekládám – zadeklování ?) – jedná se buď o hotová zařízení, kde koupíte obří buben na wifi a v něm už je hotový mikrotik. Nebo se jedná jen o zadeklování desky od mikrotiku, ze které si už vyvedete vlastní rozhraní (interfacy), vlastní antény atd… Např. zde

Rozhraní (interfaces) – Přikoupíte si další rozhraní do Vašeho mikrotiku (pakliže to váš routerboard podporuje). Pro vylepšení stávajících mikrotiků, co máte. Typicky SPP/SFP moduly. Ukázka nějakého třeba zde. Ve srovnání s ostatní konkurencí, co znám v dnešní době jsou velmi levné, za to jakou kvalitu a výkon nabízí. Zde je seznam všeho co mikrotik nabízí v kategorii interfaces. Jsou to jak SFP/SPP moduly, tka přídavné karty. Některé jsou dokonce do pci-express rozhraní, jako např. tento.
Příslušenství (accessories)Všechno příslušenství, od různých montážních šroubků a montážních kitů, až po napájecí adaptéry, pigtaily, antény, montážní kity na zeď apod…

 Zde je kompletní nabídka mikrotikáckých věcí přímo od oficiálního výrobce.

Toť k úvodu i nabídkovému úvodu a jde se na samotný obsah Mikrotik Akademie.

První přístup a Váš routerboard

Máte doma krabičku. Já budu popisovat základy s nejlevnějšími krabičkami (protože to Vám přesně pro výuku stačí) V hodnotě 600 až 1200 korun. Buď tento model RB941-2nD nebo tento model RB941-2nD-TC, což je v podstatě to stejné na stojato. (pokud se pletu, v komentech mě opravte, čímž pomůžete tento rychlokurz mikrotiku zlepšit. děkuji).

Na mikrotik se připojuje buď pomocí ethernetového kabelu (v našem případě do portu ether2 na obou routerboardech, nesmí to být WAN port, ale LAN).
Nebo pomocí tzv. Null modem Cable (což není nic jiného, než po seriovém portu, seriovém kabelu, možná znáte jako RS232). Ukázka sériového třeba zde (musí být na obou koncích FEmale, samice ukázka často dohledáte jako 9F/9F kabel). A pokud nemáte seriový port, tak potřebujete USB to RS232 převodník. Dobrý link na návod zde.
Uvádí se i Wifi, ale pro první konfiguraci to nedoporučuji.

Čím budeme konfigurovat – Winbox

Ke stažení zde.

dále WebFig, SSH, Telnet, terminal emulator (pokud máte připojení přes seriový port).

 Připojení přes Winbox

kliknutím na obrázek zvětšíte.

mikrotiK_navod1

Spustíme winbox, klikneme na záložku neighbors, klikneme na refresh a už vidíme, jak nám tam naběhl řádek s naším mikrotikem, který to na síti nalezlo. Máme 2 možnosti. 2x poklikat na Mac address a mikrotik budeme ovládat po druhé vrstvě (často to ale padá, je to ale dobrá nouzovka, pokud si odstřihnete mikrotik na IP či IPv6 vrstvě). A připojíme se.

První co uděláme, když konfigurujeme mikrotik, v jehož blízkosti se nacházíme je, že VYPNEME WIFI!  Wifi zapínejte až jako poslední věc při konfiguraci a nikdy se nenacházejte v bezprostřední blízkosti jakékoliv wifiny. Minimálně od ni buďte vždy dál než na metr. Já kdykoliv mohu, tak jsem od mikrotiku alespoň 2 metry daleko.

To uděláme kliknutím na Wireless, kliknem na řádek wlan1 a klikneme na červený křížek, jako na následujícím obrázku. (logo a text wifi zešedne z původní modré barvy). (kliknutím na obrázek zvětšíte)
mikrotik_navod2

 Přístup na mikrotik přes Webfig  (http://192.168.88.1 )

mikrotik_webfig_navod3

Když admin nemá heslo, chvíli počkejte, přihlásí Vás to do webfigu samo, nebo klikněte na tlačítko login a jste v administraci.

mikrotik_webfig2_navod4

Webfig používám spíš jako takovou nouzovku, winbox mi připadne responsivnější, rychlejší, svižnější, příjemnější. (ale je to jen věc zvyku). Winbox mi umožňuje dělat více věcí naráz a mít otevřených více oken naráz a sledovat změny v reálném čase.

Stejná věc se zakázáním wifi ale přes WebFig:

mikrotik_webfig3_navod4

(rozklikněte pro zvětšení)

To máme úvod a základy, příště už se bude něco konfigurovat.

Další díl zde

Vytvoření RAID 1

Jedním příkazem:

Máme disky /dev/sda a /dev/sdb

Těm vytvoříme linux raid partitionu díky příkazům z tohoto článku.

No a následně stačí už jen nahodit tento příkaz:

mdadm --create /dev/md1 --metadata 1.2 --level=1 --raid-devices=2 /dev/sda1 /dev/sdb1
Pokud jde o boot partitionu, přečtěte si tento článek.

Když se Vám po vytvoření raid1 v cat /proc/mdstat ukazuje resync=PENDING, následujte tento článek.

 

Naformátujeme vytvořený raid souborovým systémem ext4:

mkfs.ext4 /dev/md<číslo raidu) v mém případě:

mkfs.ext4 /dev/md1

Benchmarked #1 3d Mark 11

Radeon R9 290x 4GB Sapphire
intel core i7 860 @3.70Ghz
MSI H55-GD65 (MS-7637)
4GB DDR3 1333Mhz

12158 bodů  Win 8.1 x64

http://www.3dmark.com/3dm11/10847414

Radeon HD 7850 2GB Sapphire
intel Xeon x3440 2.53Ghz@3.35Ghz
Asus P7H55-M/USB3
4GB DDR3 1333Mhz

6239 bodů  Win 8.1 x64

http://www.3dmark.com/3dm11/10930452

Radeon 7850 1Gb
AMD FX 8120 3.1Ghz@4Ghz
ASUS M5A99X EVO
6GB DDR3 1333 Mhz
6124 bodů  Win 8.1 x64

http://www.3dmark.com/3dm11/9613501

Radeon HD 7850 2GB Sapphire
intel Xeon x3440 2.53Ghz@3.35Ghz
Asus P7H55-M/USB3
4GB DDR3 1333Mhz
6083 bodů  Win 10 x64

http://www.3dmark.com/3dm11/11115287

Radeon HD 7850 2GB Sapphire

Phenom II x4 920 @3.43Ghz
Gigabyte  GA-MA790X-UD4P
6GB DDR3 1066 Mhz

5501 bodů Win 10 x64

http://www.3dmark.com/3dm11/10929499

Radeon HD5870  1GB Sapphire
Phenom II x4 920 @3.43Ghz
GA-MA790X-UD4P
4GB DDR3 1333Mhz
4105 bodů  Win 10 x64

http://www.3dmark.com/3dm11/10929123

Benchmarked #1 3d Mark Firestrike

Intel core i7 860 2.83@3.71 Ghz
Radeon R9 290x @ 1083Mhz
2x2GB DDR3@1412 Mhz

9897 Bodů Win 8.1 x64

http://www.3dmark.com/3dm/10435639

AMD FX 8120@4Ghz
Radeon HD 7850 2GB 2x v Crossfiru
6799 bodů 3d mark Firestrike

GTX 560TI 2x ve SLI @1008Mz
Athlon II x4 600E
4894 bodů 3d mark Firestrike

Radeon HD 7850 2GB Sapphire
intel Xeon x3440 2.53Ghz@3.35Ghz
Asus P7H55-M/USB3
4GB DDR3 1333Mhz

4607 bodů Win 10 x64

http://www.3dmark.com/fs/8022317 

 

Radeon HD 5870 1GB Asus
Phenom II X4 @ 3.43Ghz
Gigabyte GA-MA790X-UD4P
6GB DDR2 1066 Mhz
1440 bodů Win 8.1 x64

http://www.3dmark.com/3dm/10746505

 

Blokované CZ IP adresy i přes povolení ČR pomocí GeoIP database v apachi?

Řešení se zdá být snadnější, než se Vám může zdát. Pokud totiž instalujete geoip modul pro apache, dohodí se Vám tam GeoIP.dat soubor z verze balíčku, která nemusí být nejnovější.

řešením může být tento článek:

http://dev.maxmind.com/geoip/legacy/install/country/

Zkrátka původní GeoIP.dat nahradíte za jeho novější verzi. Ta moje se s instalací apache nacházela v /usr/share/GeoIP/

(pozor na velká a malá písmena tzv. case sensitive)

Základy apache #1 debian / ubuntu

Zakazujeme a povolujeme moduly:

a2enmod <název_modulu_do_apache>

povolí modul v apachi a vytvoří symlinky do /etc/apache2/mods-enabled z /etc/apache2/mods-available/ k příslušnému modulu.

a2dismod <název_modulu_do_apache>

deaktivuje modul v apachi a zruší symlinky do /etc/apache2/mods-enabled z /etc/apache2/mods-available/ k příslušnému modulu.

Je to trošku inteligentnější metoda, než dělat symlinky a pak se třeba divit, že jste se někde spletli a něco zapomněli prolinkovat.

 

Pro výpis aktivovaných modulů napište:

apache2ctl -M

Případně ls /etc/apache2/mods-enabled/

ale při výpisu ls se může stát, že Vám tam něco bude chybět a “apache to neuvidí”. Ten příkaz

apache2ctl -M

je proto lepší v tom, že Vám skutečně ukáže, co už je v apachi opravdu naloadované a pomůže Vám to odhalit, proč některý modul naloadovaný opravdu není, ikdyž je třeba prolinkovaný v /etc/apache2/mods-enabled/.

 

Rada na závěr: když pracujete s moduly a provedete změny, potřebujete reloadnout configuráky apache či restartnout apache, aby se změny projevily.

zdroj

 

Dokonale zvládnutá reklama na porsche 911 R ve 30 vteřinách: kategorie “To chceš”

Vítám Vás v nové rubrice Dreambuilding, kam budu vkládat dokonalá videa či fotografie, která Vás opravdu budou motivovat zvednout zadek a udělat něco proto, abyste takových snů mohli dosáhnout. ;-)

Pokud bych točil reklamu na porsche 911 R, nemohl bych reklamu zvládnout lépe. Doknalý střih, vhodně zvolená hudba, líbí se mi práce s titulky.  Jen na konci bych možná použil černý obraz, zvuk motoru porsche, vytáčející se do vysokých otáček a potom by se teprve objevilo logo porsche. Ty 2 poslední prostřihy projíždějících porsche, které se odehrály těsně po sobě bych asi taky zvolil jinak, aby to lépe vyniklo. Ale myslím si, že by to nebylo tak intenzivně využitých 30 vteřin, jako v této verzi, za což dávám hodnocení 95% na dreambuilding metru. ;-)

 

A zde už její prodloužená verze, která je dle mého názoru určena pro zájemce, které opravdu zaujala ta verze zkrácená:

 zdroj

Resize image of KVM virtual machine / Zvetšení image KVM virtuálního stroje

Je to úplně easy:

qemu-img resize název_image_s_vaší_virtualkou.img +40G

qemu-img následně zvětší image Vaší virtuálky o dalších 40 GB s tím, že pokud jste si vytvářeli postupně zvětšující se image virtuálky, nezvětší se o 40 GB, ale uvnitř virtuálky uvidíte možnost uvedený image virtuálky zvětšit.

 

zdroj1 zdroj2 zdroj3

Zapomněli jste heslo od Vašeho Zip souboru? To já také! :-)

K vyřešení doporučím freeware účinnou utilitku:

http://www.perfectgeeks.com/list/zip-password-pro-review/82

Zip password pro, která je kompletně freeware, antivirák mi neřve, že by to byl nějaký šunt a funguje to.

Je to ale fakt nepříjemné, když jste si něco zabalili a zapomněli heslo.

Ovládání je intuitivní, nepotřebujete další žádné informace.

 

 

WordPress: Redirect loop při přístupu na wp-admin, ERR_TOO_MANY_REDIRECTS error 310

ERR: 310 ERR_TOO_MANY_REDIRECTS

 

Co s tím?

Tak přinejmenším jsem se s tím trápil asi celej víkend, googlením a řešením, jestli moje .htaccess soubory po updatu jsou OK. Byly, problém byl v pluginech. Konkrétně v custom login pluginu, který Vám umožní změnit logo při přihlašování na wordpress. Takže jsem se s tím nepáral. Přesunul jsem všechny pluginy do jiného adresáře a najednou wp-admin naskočil. Plugin po pluginu jsem začal problém řešit. Nakonec jsem skončil jen asi na polovině aktivovaných pluginů a vše běží jak má.
Enjoy! :-)

 zdroj1  zdroj2

Normálně bylo md0 je najednou md127, co teď?

Pokud máte problém zhruba takový:

cat /proc/mdstat

 Personalities : [linear] [multipath] [raid0] [raid1] [raid6] [raid5] [raid4] [raid10]
md127 : active (auto-read-only) raid5 sdc[2] sdd[3] sde[5] sdb[1] sda[0]
5860544512 blocks super 1.2 level 5, 512k chunk, algorithm 2 [5/5] [UUUUU]
     unused devices: <none>


A nevíte co s tím, tak pomůže mrknout do

ls -lah /dev/disks/by-id/

najděte si jaké má md127 právě UUID.

často však pomáhá příkaz

mdadm -S /dev/md127
mdadm --assemble --scan

v mém případě pak pomohlo:

mdadm: /dev/md/6 has been started with 6 drives.

když ale došlo ke změně UUID mého md6 pole tak mrkněte na příkaz:

mdadm --detail --scan

 

Tam uvidíte aktuální UUID pole a jestli není něco v nepořádku.

 

Když ano, musíte to UUID u konkrétního md<číslo> pole opravit v /etc/mdadm/mdadm.conf

po opravě dáte:

update-initramfs -k all -u

(v mém případě však pomohl ten předchozí případ a to stopnutí pole a jeho znovu oskenování).

 

pokud potom uvidítě něco jako:

cat /proc/mdstat
Personalities : [raid1] [raid6] [raid5] [raid4]
md6 : active (auto-read-only) raid6 sda1[0] sdj1[5] sdf1[4] sde1[3] sdd1[2] sdb1[1]
 11720536064 blocks super 1.2 level 6, 512k chunk, algorithm 2 [6/6] [UUUUUU]
 bitmap: 0/22 pages [0KB], 65536KB chunk

a vadí Vám to tam to auto-read-only, tak to vyřešíte příkazem:

mdadm --readwrite /dev/md6

Potom preventivně ověřte, že sedí i UUID v /etc/fstab, když to mountujete a mělo by to být ok.

zdroj

 

2 nejlevnější routerboardy MikroTik RB941-2nD-tc a MikroTik RB941-2nD

Za cenu pod 600 korun se dají sehnat oba dva uvedené routerboardy a oba dva jsou v podstatě jeden totožný kus s tím, že model RB941-2nD-tc má jiné plastové šasi “na stojato”, kdežto RB941-2nD je dělaný jako krabička naležato. Dle mého názoru se jedná o nejinteligentnější wifi routery na trhu v kategorii pod 600 korun, které umí opravdu neskutečné množství funkcí, jaké neumí ani routery za několik tisíc korun od konkurence.

Vnitřek by měl být naprosto totožný. Pojďme si popsat plastová tělíčka uvedených 2 mikrotiků.

RB941-2nD-tc a RB941-2nD

Mikrotik má v tc verzi “děravé” šasi z boku. Uklidním Vás, je to designovka, vidíte však díky těmto “průduchům”, které jsem nazval “děravým šasi” i na desku. Na desce je vyleptaná anténa, mám několik mikrotiků zatím již asi 4 měsíce a zatím se žádné negativní jevy neprojevily. V krabici najdete samotný mikrotik, adaptér, připomínající nabíječku na Váš mobil s androidem, ano, mikrotiky si vystačí s pouhým 3.5 Wattovým adaptérem zakončeným micro-usb konektorem, což je na nich naprosto geniální. Má to však i nevýhodu, protože micro-usb lze snadno zalomit, není to tedy úplně blbuvzdorné řešení. Na druhou stranu, kolikrát za týden připojujete Váš mobil s androidem na nabíječku a kolikrát budete zapojovat do napájecího adaptéru tento mikrotik?

Pojďme k popisu samotných portů. Standardně tu najdeme 1x Wan port a bohužel jen 3 LAN porty, není to však na škodu, to vysvětlím později. Dále uvidíme vepředu WPS tlačítko, které slouží současně i jako resetovací tlačítko, pokud ho držíme 5 vteřin po zapojení mikrotiku do napájení. Zespod mikrotiku už vidíme 2 mac adresy. Jedna pro Wifi, druhá pro WAN rozhraní. Pokud bychom chtěli krabičku rozebrat, zespodu jsou 2 plastové zuby, na kterých to celé drží. Já se neopovažoval vstupovat dovnitř, kvůli záruce, ale hodím Vám sem fotku, jak to vypadá zevnitř.

maikrotik-hap-routerboard-1024x681

Mikrotik hap routerboard RB941-2nD vnitřek

obrázek převzat z http://proline.biz.ua/images/maikrotik-hap-routerboard-1024×681.jpg

Tím bych odbyl popis vnitřku, koho to zajímá, ten si pogooglí nebo mrkne na oficiální materiály.

Výkon routeru na malou domácí síť rozhodně chybět nebude, 650mhz je podle mě dostatečná rychlost CPU. Horší to bude s RAM, po nabootování to totiž hlásí, že je volných pouze 8MB ram z uvedených 32MB. Ovšem na běžné fungování, i na nějaký ten VPN tunel by to stačit mělo. Odebráním různých nepotřebných balíčků však můžete získat spoustu ramek navíc.

V čem jsou mikrotiky tak super?

Pojďme se tedy zaměřit na to, v čem opravdu spočívá skutečná síla MikroTiků, je to právě jejich RouterOS, který je vyvíjen již několik let a díky tomu je mnohem dál a vždy bude mnohem dál, než domácí routery se psaným firmwarem vždy na jeden konkrétní model, kdežto zde máte více či méně routerOS, který běží napříč platformami na všech mikroticích. Dokonce si můžete rozběhat Mikrotik ve virtuálce, pokud chcete mít opravdu velmi výkonné řešení někde ve firmě a připojit s tím někde ve Vmwaru či Ovirtu nějakou fabriku nebo celou velkou pobočku nějaké firmy do internetu.

Nastavení pro začátečníky

Standardně v defaultu, jak jsem uváděl, Vám router přijde již předkonfigurovaný tak, abyste router vzali, připojili do WAN, do LAN si připojíte notebook, či počítače a můžete fungovat. DHCP server na mikrotiku Vám přidělí adresu od konce poolu, tedy pravděpodobně ip 192.168.88.254. Pokud nejste náročný uživatel, pravděpodobně už budete potřebovat nastavit jen heslo od wifi, zabezpečit administrátorský účet pro přístup na router a tím by to pro Vás teoreticky mohlo hasnout. Půjdete na http://192.168.88.1, obvykle v továrním režimu nezadáváte žádné heslo a vrhnete se rovnou do tzv. webfigu, tedy do webové konfigurace routeru, která by údajně měla umět to stejné, co Windows GUI utilita s názvem Winbox, která je opravdu mocná.  Pro příznivce příkazů mám rovněž dobrou zprávu, routerboardy, respektive jejich RouterOS podporuje jak Telnet, tak SSH, ftp a dokonce si můžete psát vlastní aplikace, které využívají MikroTikáčské API a API zabezpečené pomoci SSL.

Možností, jak mikrotik tedy konfigurovat je opravdu hodně.

Zpět k webu, hned na hlavní stránce vidíte mad adresy, můžete si nastavit heslo admina a při kliknutí nalevo na tlačítko Wireless začíná skutečná konfigurační nirvána. Kliknete na WLAN1, které se Vám tam zobrazí ve výběru, kliknete nahoře na advanced mode, díky čemuž se Vám odemknou plné možnosti wifi na mikrotiku a to co dělám já, pokud mám wifinu pouze pro použití ve své místnosti je to, že sjedu úplně dolů k TX power mode, vyberu možnost All rates fixed a do pole TX Power podtím napíšu -30, čímž snížim vysílací výkon na nejnižší možnou mez tak, aby to dosáhlo po místnosti, kde se nacházím, ale aby to nikam moc nepřesahovalo, nehledě na to, že čím nižší vysílací výkon, tím předpokládám, že by wifina měla vydržet v provozu více let. (to je ale jen moje osobní spekulace).

Téměř nahoře máme položku Country, vyberte tam Czech republic, aby se nestalo, že byste pálili signálem více, než umožňují zákony ČR. Nechcete přece platit pokutu. ;-)

V poli SSID si změníte název Vaší wifiny, na kterou se připojujete, dejte nahoře OK nebo Apply.

 

Vraťte se do hlavního menu Wireless, klikněte na Security profiles záložku,  klikněte na první Default řádek, což je bezpečnostní profil, kde si nastavíte heslo pro Vaší wifinu.

Name můžete nechat default, Mode nastavte na Dynamic keys, zaškrtněte SPA2 PSK, do pole WPA2 Pre-Shared Key pak nastavte heslo, jaké budete zadávat, kdykoliv se budete snažit dostat na Vaší wifinu. To by pro začátek stačilo, dejte OK a pokud nemáte wifinu povolenou, klikněte nalevo na tlačítko v menu Interfaces a klikněte na tlačítko E u wlan1.

Tím jste zvládli základní konfiguraci wifiny pro malou domácnost. Nefungují Vám pravděpodobně grafy, nefunguje Vám SNTP a spousta dalších věcí, ale pokud jste uživatel začátečník, tohle Vám bohate bude stačit.

Tím se s vámi loučím v příštím díle.

 

 

 

 

Virtualbox nechce naskočit WinverifyTrust failed on stub executable: WinVerifyTrust failed

Na hlášku ve windows 8.1 po aktualizacích neběží virtualbox, hlásí to následující chybu:

WinVerifyTrust failed on stub executable: WinVerifyTrust failed with hrc=Unknown Status 0x8009200D on '\Device\HarddiskVolumeX\Program Files\Oracle\VirtualBox\VirtualBox.exe' (rc=-22919) Please try reinstalling VirtualBox.

řešení:

cmd

wusa /uninstall /kb:3081320

Ve skutečnosti však trvalým řešením na win8.1 byla aktualizace virtualboxu na nejnovější verzi 5.0.10

zdroj

zdroj2

 

Seznam nejžravějších grafických karet, nároků na zdroje a požadavek na proud

https://forum-en.msi.com/faq/article/printer/power-requirements-for-graphics-cards

 

Jmenovitě jsem to vložil sem, zdroj uveden nad textem:

nVidia
GeForce GTX Titan X ­ 38A and a 600W PSU minimum
GeForce GTX 980ti ­ 38A and a 600W PSU minimum
GeForce GTX 980 ­ 30A and a 500W PSU minimum
GeForce GTX 970 ­ 28A and a 500W PSU minimum
GeForce GTX 960 ­ 20A and a 400W PSU minimum
GeForce GTX TITAN Z ­ 42A and a 700W PSU minimum
GeForce GTX TITAN Black ­ 42A and a 600W PSU minimum
GeForce GTX TITAN ­ 38A and a 600W PSU minimum
GeForce GTX 780ti ­ 42A and a 600W PSU minimum
GeForce GTX 780 ­ 42A and a 600W PSU minimum
GeForce GTX 770 ­ 42A and a 600W PSU minimum
GeForce GTX 760 ­ 30A and a 500W PSU minimum
GeForce GTX 750ti ­ 20A and a 400W PSU minimum
GeForce GTX 750 ­ 20A and a 400W PSU minimum
GeForce GTX 740 ­ 20A and a 400W PSU minimum
GeForce GTX 730 ­ 20A and a 300W PSU minimum
GeForce GTX 690 ­ 46A and a 650W PSU minimum
GeForce GTX 680 ­ 38A and a 550W PSU minimum
GeForce GTX 670 ­ 30A and a 500W PSU minimum
Geforce GTX 660ti ­ 24A and a 450W PSU minimum
Geforce GTX 660 ­ 24A and a 450W PSU minimum
Geforce GTX 650ti Boost ­ 24A and a 450W PSU minimum
Geforce GTX 650ti ­ 20A and a 400W PSU minimum
Geforce GTX 650 ­ 20A and a 400W PSU minimum
GeForce GT 640 ­ 20A and a 350W PSU minimum
GeForce GT 630 ­ 20A and a 350W PSU minimum
GeForce GT 620 ­ 18A and a 350W PSU minimum
GeForce GT 610 ­ 16A and a 300W PSU minimum
GeForce GTX 590 in SLi ­ 78A and a 1000W PSU minimum
GeForce GTX 590 ­ 46A and a 700W PSU minimum
GeForce GTX 580 ­ 40A and a 600W PSU minimum
GeForce GTX 570 ­ 35A and a 550W PSU minimum
GeForce GTX 560 Ti in SLi ­ 42A and a 700W PSU minimum
GeForce GTX 560 Ti ­ 31A and a 500W PSU minimum
GeForce GTX 560 ­ 24A and a 4500W PSU minimum
GeForce GTX 550 Ti ­ 24A and a 400W PSU minimum
GeForce GT 520 ­ 18A and a 300W PSU minimum
GeForce GTX 470 and 480 in SLi ­ 55­60A and a 850W PSU minimum
GeForce GTX 480 ­ 42A and a 600W PSU minimum
GeForce GTX 470 ­ 38A and a 550W PSU minimum
GeForce GTX 465 in SLi ­ 46A and a 700W PSU minimum
GeForce GTX 465 ­ 30A and a 500W PSU minimum
GeForce GTX 460 in SLi ­ 42A and a 650W PSU minimum
GeForce GTX 460 ­ 26A and a 450W PSU minimum
2. 11. 2015 Power requirements for graphics cards
https://forum­en.msi.com/faq/article/printer/power­requirements­for­graphics­cards 2/7
GeForce GTS 450 in SLi ­ 35A and a 600W PSU minimum
GeForce GTS 450 ­ 24A and a 450W PSU minimum
GeForce GT 430 ­ 22A and a 350W PSU minimum
GeForce GTX 295 in Quad SLi ­ 70A and a 1000W PSU minimum
GeForce GTX 295 ­ 50A and a 700W PSU minimum
GeForce GTX 285 ­ 46A and a 550W PSU minimum
GeForce GTX 280 in SLi ­ 55A and a 800W PSU minimum
GeForce GTX 280 ­ 40A and a 550W PSU minimum
GeForce GTX 275 in SLi ­ 50A and a 800W PSU minimum
GeForce GTX 275 ­ 40A and a 550­600W PSU minimum
GeForce GTX 260 OC in SLi ­ 50A and a 700W PSU minimum
GeForce GTX 260 OC ­ 40A and a 550W PSU minimum
GeForce GTX 260 in SLi ­ 50A and a 700W PSU minimum
GeForce GTX 260 ­ 38A and a 500W PSU minimum
GeForce GTS 250 ­ 24A and a 450W PSU minimum
GeForce GT 240 ­ 18A and a 300W PSU minimum
GeForce GT 220 ­ 18A and a 300W PSU minimum
GeForce 9800 GX2 ­ 35A and a 550W PSU minimum
GeForce 9800 GTX+ ­ 32A and a 500W PSU minimum
GeForce 9800 GTX ­ 25­30A and a 450W PSU minimum
GeForce 9600 GT ­ 26A and a 450W PSU minimum
GeForce 9600 GSO ­ 26A and a 450W PSU minimum
GeForce 8800 Ultra ­ 35A and a 500W PSU minimum
GeForce 8800 GTX – 30A and a 450W PSU minimum
GeForce 8800 GTS 512MB ­ 28A and a 500W PSU minimum
GeForce 8800 GTS 320/640MB – 26A and a 400W PSU minimum
GeForce 8800 GT in SLi ­ 36A and a 500W PSU minimum
GeForce 8800 GT ­ 26A and a 450W PSU minimum
GeForce 8600 GT/GTS ­ 24A and a 350W PSU minimum
GeForce 8500 GT ­ 22A and a 350W PSU minimum
GeForce 8400 GS ­ 18A and a 350W PSU minimum
GeForce 7950 GX2 – 27A and a 400W PSU minimum
GeForce 7950 GT – 22A and a 350W PSU minimum
GeForce 7900 GTX – 22­26A and a 350­400W PSU minimum
GeForce 7900 GTO – 22­26A and a 350­400W PSU minimum
GeForce 7900 GT – 22­26A and a 350­400W PSU minimum
GeForce 7900 GS – 22­23A and a 350W PSU minimum
GeForce 7800 All ­ 26A and a 400W PSU minimum
GeForce 7800 GS AGP ­ 20A and a 400W PSU minimum
GeForce 7600 GT – 22­26A and a 350W PSU minimum
GeForce 7600 GS – 15­17A and a 350W PSU minimum
GeForce 7300 GT – 15A and a 300W PSU minimum
GeForce 7300 GS – 15A and a 300W PSU minimum
ATI/AMD
Radeon R9 Fury X ­ 32A and a 600W psu minimum
Radeon R9­390X ­ 30A and a 550­600W psu minimum
Radeon R9­390 ­ 30A and a 550­600W psu minimum
Radeon R9­380 ­ 28A and a 500W psu minimum
Radeon R9­370 ­ 17A and a 450W psu minimum
Radeon R9­295X2 ­ 52A and a 800W psu minimum
Radeon R9­290X ­ 33A and a 600W psu minimum
Radeon R9­290 ­ 31A and a 550W psu minimum
Radeon R9­285 ­ 25A and a 500W psu minimum
Radeon R9­280X ­ 30A and a 550W psu minimum
Radeon R9­280 ­ 25A and a 500W psu minimum
Radeon R9­270X ­ 24A and a 500W psu minimum
Radeon R9­260X ­ 19A and a 450W psu minimum
Radeon HD 7990 ­ 48A and a 750W psu minimum
Radeon HD 7970 Ghz Edition ­ 31A and a 550W psu minimum
Radeon HD 7970 ­ 30A and a 500W psu minimum
Radeon HD 7950 ­ 25A and a 500W psu minimum
2. 11. 2015 Power requirements for graphics cards
https://forum­en.msi.com/faq/article/printer/power­requirements­for­graphics­cards 3/7
Radeon HD 7870 ­ 23A and a 500W psu minimum
Radeon HD 7850 ­ 21A and a 500W psu minimum
Radeon HD 7790 ­ 21A and a 500W psu minimum
Radeon HD 7770 ­ 19A and a 500W psu minimum
Radeon HD 7750 ­ 16A and a 400W psu minimum
Radeon HD 6990 ­ 45A and a 750W PSU minimum
Radeon HD 6970 ­ 34A and a 550W PSU minimum
Radeon HD 6950 ­ 30A and a 500W PSU minimum
Radeon HD 6870 X2 ­ 40A and a 600W PSU minimum
Radeon HD 6870 CrossfireX ­ 38A and a 650W PSU minimum
Radeon HD 6870 ­ 28A and a 500W PSU minimum
Radeon HD 6850 CrossfireX ­ 35A and a 600W PSU minimum
Radeon HD 6850 ­ 25A and a 450W PSU minimum
Radeon HD 6770 CrossfireX ­ 33A and a 600W PSU minimum
Radeon HD 6770 ­ 25A and a 450W PSU minimum
Radeon HD 6790 ­ 25A and a 450W PSU minimum
Radeon HD 6670 ­ 17A and a 400W PSU minimum
Radeon HD 5970 CrossfireX ­ 70A and a 900W PSU minimum
Radeon HD 5970 ­ 50A and a 600W PSU minimum
Radeon HD 5870 CrossfireX ­ 55­60A and a 700W PSU minimum
Radeon HD 5870 ­ 40A and a 500W PSU minimum
Radeon HD 5850 CrossfireX ­ 55­60A and a 650W PSU minimum
Radeon HD 5850 ­ 35­40A and a 500W PSU minimum
Radeon HD 5830 ­ 35­40A and a 500W PSU minimum
Radeon HD 5770 ­ 34A and a 500W PSU minimum
Radeon HD 5750 ­ 30A and a 450W PSU minimum
Radeon HD 5670 ­ 26A and a 400W PSU minimum
Radeon HD 5570 ­ 24A and a 350W PSU minimum
Radeon HD 5450 ­ 22A and a 300W PSU minimum
Radeon 4890 ­ 32A and a 550W PSU minimum
Radeon 4870 X2 CrossfireX ­ 67A and a 1000W PSU minimum
Radeon 4870 X2 ­ 43A and a 600W PSU minimum
Radeon 4870 ­ 32A and a 500W PSU minimum
Radeon 4850 ­ 30A and a 450W PSU minimum
Radeon 4830 ­ 26A and a 400W PSU minimum
Radeon 4770 Crossfire ­ 34A and a 750W PSU minimum
Radeon 4770 ­ 26A and a 400­500W PSU minimum
Radeon 4670 ­ 26A and a 400W PSU minimum
Radeon 4650 ­ 24A and a 350­400W PSU minimum
Radeon 4550 ­ 20A and a 300W PSU minimum
Radeon X3870 X2 ­ 30A and a 550W PSU minimum
Radeon X38xx series ­ 28A and a 450W PSU minimum
Radeon X2900 XT Crossfire ­ 45A and a 800W PSU is recommended for high­end rigs
Radeon X2900 XT ­ 35A and a 500W PSU is recommended for high­end rigs
Radeon X2900 Pro ­ 35A and a 500W PSU minimum
Radeon X2600 XT ­ 25A and a 400W PSU minimum
Radeon X2400 XT ­ 20A and a 350­400W PSU minimum
Radeon X1950 XTX – 20A and a 420W PSU minimum
Radeon X1950 Pro – 20A and a 420W PSU minimum
Radeon X1900 XTX – 25A and a 520W PSU minimum
Radeon X1900 XT – 22­25A and a 520W PSU minimum
Radeon X1900 GT – 22A and a 400W PSU minimum
Radeon X1650 Pro – 18A and a 350W PSU minimum
UPDATE:
AMD’s new Radeon HD 6850 and 6870 have been added to the list. These two new cards are basically the
next generation up from the 5750 and 5770, and offer performance close to the existing 5850 and 5870.
For a system under load the following power consumption figures are given:
1X 6850 = 278W /12 = 23.2A
2X 6850 = 393W /12 = 32.8A
1X 6870 = 295W /12 = 24.6A
2. 11. 2015 Power requirements for graphics cards
https://forum­en.msi.com/faq/article/printer/power­requirements­for­graphics­cards 4/7
2X 6870 = 421W /12 = 35.1A
That is based on a system with an X58 based motherboard, Core i7 965 @ 3750 MHz and 6144 MB (3x 2048
MB) Corsair DDR3 RAM @ 1500 MHz.

IPv6 může mít každý, ikdyž to jeho poskytovatel neumožňuje!

Doporučuji přečíst tento článek:

https://podpora.nic.cz/page/661/ipv6-tunelovaci-mechanismy–instalace-a-nastaveni/

Ve zkratce. Existují veřejní poskytovatelé IPv6 tunelů. Takže Vám stačí jen IPv4 poskytovatel, nemusíte mít ani veřejnou ipV4 adresu. Jen se připojíte na veřejného IPv6 skrze IPv4 tunelového providera a ten Vám zabalí IPv6 adresu do IPv4 tunelu a vy si můžete vychutnávat svou veřejnou IPv6 adresu.

Zde je návod na rootu:

http://www.root.cz/clanky/jak-zprovoznit-ipv6-tunel-pres-cesky-bod-sixxs/

Enjoy ;-)

 

LDAP klient na linuxu (centos 7)

Perfektní návůdek zde.

Ve zkratce:

yum install nss-pam-ldapd -y

další příkaz, který spustí průvodce i v terminálu:

authconfig-tui

Hezky si tam označíte co chcete, ono se to krásně vygeneruje za vás. Prostě špica, já se s tím vždycky otravoval v configurácích, teď co distribuce, tak to úplně jinej klient, jiný nastavování, takhle si to spustíte hezky v průvodci a za 30 vteřin fungujete.

Nastavení v tom TUI:
use ldap
Use MD5 passwords
Use Shadow Passwords
Ude LDAP authentication

na další obrazovečce:
Use TLS nebude zaškrtnuté, pokud TLS nevyužíváte (zatím jsem nikde TLS na LDAPu neviděl rozběhané, ale možná ho právě u Vás používáte)
ldap://adresa_vaseho_serveru.cz
dc=nazev,dc=cz

zdroj

Cifs / Samba mountování v /etc/fstab

Potřebuji mountout v /etc/fstab nějaké diskové pole / sdílený adresář z windows nebo z nějakého qnapu, jak na to?

řádek v /etc/fstab pro mount diskového pole typu CIFS:

//ipadresastroje.cz/mountovanýAdresář /místníAdresářKamToMountujete cifs username=jménouživatele,pass=nejakeVamiZvoleneHeslo,uid=1000,gid=1000,iocharset=utf8 0 0

 

uid= a gid= tam cpát nemusíte. To že to máte přimountované poznáte pomocí příkazu:

cat /proc/mounts

 

zdroj

Jak převést oskenovaný PDF dokument do .doc wordovského dokumentu part 2

V minulém krátkém díle jsme už měli oskenovaný PDF černobílý dokument a získali jsme nakrájené PDF soubory stránku po stránce. Nyní se podívejme, jak to jednoduše zkonvertovat za co nejkratší čas.
Internet je plný různých služeb zdarma a zde je jedna z nich, která na základě PDF dokumentu (klidně to může být text s obrázkem ve kterém je text) prostě zvládne překonvertovat do podoby wordu nebo excelu včetně českých národních znaků, háčků, čárek atd…

http://www.onlineocr.net/

Kliknete na select file, vyberete czech, vyberete výstupní formát a kliknete na convert.

Jediná limitace je 15 dokumentů a 5 MB max velikost dokumentu. Až vyčerpáte kvótu, pustíte jiný prohlížeč, nebo přejdete do anonymního režimu prohlížeče a konvertujete vesele dál.

Voila, máte hotovo. :-) To stejné teď budete opakovat s dalšími stránkami, protože 25 stránkový 11megový oskenovaný dokument mi to nechtělo sežrat, musel jsem to tedy nechat nakrájet po stránkách a už to běží OK.

 

 

Jak převést oskenovaný PDF dokument do .doc wordovského dokumentu part 1

Znáte to, nechce se Vám s něčím opisovat, ikdyž to nutně potřebujete. Jak tedy na to?

Máte oskenovaný dokument (ideálně černobíle, pokud ne, převeďte si to ideálně do monochromatického dokumentu) a ten potřebujete v první řadě rozdělit po stránkách, protože většina různých online převaděčů Vám prostě nevezme nějaký 100megový soubor.

 

Začněte tedy zde:

http://www.splitpdf.com/

Tento web Vám zdarma bez NUTNOSTI cokoliv instalovat rozdělí uploadnuté PDFko po stránkách a dokonce po stránkách, které si uložíte. Stránky, které tam zkrátka nechcete, tam psát nemusíte.

Nyní máte připravený Váš sken na další zpracování hezky jednu stránečku po druhé, čímž si šetříte čas a spoustu námahy.

Flashování biosu AMD RADEON grafických karet

viz zde.

 

V podstatě musíte mít nabooování v minimálním režimu, tam to řve, že zafungovala bezpečnostní essentials opatření systému, takže vcelku dobře pomohl active boot disk.

Flashoval jsem AMD radeon 7770 správným biosem. Paradox byl, že v PC jsem měl 2 karty. Radeon x1650, který systém viděl ok, ale nešel flashnout a druhou grafiku AMD Radeon 7770 a ta už šla flashnout, byl problém však odhalit pořadí. Takže jsem postupoval

atiwinflash -f -p 2 bios.rom   k p 1 až k p0 a až u -p 0 to šlo.

atiwinflash -ai  případně atiflash -ai pomůže zobrazit všechny flashovatelné grafické karty v počítači.

V biosu si musíte nastavit bootování z PCI-express slotu, ve kterém je zdravá grafická karta. Obvykle čím výš od země se port pci-express nachází, tím menší pořadové číslo má. Neberte to jako vždy pravdivou skutečnost, ale v mém případě to fungovalo, jak tu zde uvádím.

 

Po flashnutí restartujete počítač, necháte to naběhnout. Ještě to řve, že se zařízení nepodařilo spustit a potom počítač vypnete, vytáhnete původní zdravou grafickou kartu, necháte tam tu “opravenou” a necháte to nastartovat. Když to POSTne a bootne ok, tak byste už měli mít vyhráno.
Pak stačí spustit furmark a gpu caps viewer s různými testy, sledovat teploty a mělo by to být ok.

Další věc, kterou je si třeba hlídat je např. pomocí MSI afterburner programu či případně přímo v ovladačích rychlosti otáčení ventilátorů a teploty grafické karty.

 

Co je to virtualizace a jak si to mám představit?

Přátelé, dnes jsem shlédl video, kvůli kterému píšu tento článek.

 

Na tomto videu Vám vysvětlím pojem VIRTUALIZACE a virtualizační technologie. Ten 1 hudební nástroj je fyzické železo – fyzický server, běžící v serverovně. Všichni muzikanti, hrající na tento “hardware” jsou virtuální stroje/virtualní servery, které se velmi inteligentně dělí o systémové zdroje (operační paměť, diskové úložiště i procesorový čas a přístup na síť), které jim fyzické železo (tedy fyzický server) nabízí. Dohromady šetří náklady majitele za nákup dalších hudebních nástrojů, protože dokáží efektivně využít právě 1 hudební nástroj. Jinými slovy, za rozumné peníze díky virtualizaci získáváte mnohem více muziky, protože dokážete provozovat více tónů (síťových služeb) na 1 fyzickém stroji a nepotřebujete kvůli tomu více strojů, protože to všechno zvládá ten jeden. Kdyby však chtěli všichni 4 využívat ten 1 hudební nástroj úplně na plný výkon, nemohlo by to fungovat. Zde se právě vychází z toho, že každý virtuální stroj (hudebník) nikdy nevyužije nástroj na plno a brnká si jen to svoje, čímž si bere pro svůj provoz jen zlomek výkonu.

Abych Vám vysvětlil, jak funguje Fault-tolerance, tak si představte stejnou sestavu, ale vše 2x. Už vám nehrají 4 muzikanti na 1 nástroj, ale 8 muzikantů na 2 stejné nástroje a když kterákoliv z těchto sestav muzikantů vypadne, zachrání to ta druhá sestava a uživatel si ničeho nevšimne, protože hrají to stejné. (nejhorší co se může stát je, že někde během výpadku uslyšíme nějak falešně zahraný tón, nebo na chvíli horší odezvu zvuku). (při výpadku hudebního nástroje nepřichází o rozehranou hru, ani o žádná data, jen to prostě na chvíli zahapruje)

A jak funguje High-availability? Vedle je nachystán stejný hudební nástroj. V případě, když se jim porouchá hudební nástroj, tak se zkrátka přemístí všichni 4 k druhému nástroji a nejpozději za minutu začnou to stejné hrát celé znovu. (virtuální stroje se rebootnou od znovu na druhém hudebním nástroji / fyzickém serveru). Přichází však o rozehranou hru (o to co bylo v operační paměti).

 

 

 

Instalace Munin a Munin-node na Centos6

Na Centos 6 je prvně nutné:

 

yum install epel-release

Kdybychom chtěli teď nainstalovat yum install munin munin-node, neproběhne to, vypsalo by to totiž uvedenou chybu:
file /usr/share/man/man3/XML::SAX::Base.3pm.gz conflicts between attempted installs of perl-XML-SAX-0.96-7.el6.noarch and perl-XML-SAX-Base-1.04-1.el6.rf.noarch   file /usr/share/man/man3/XML::SAX::Exception.3pm.gz conflicts between attempted installs of perl-XML-SAX-0.96-7.el6.noarch and perl-XML-SAX-Base-1.04-1.el6.rf.noarch

Po googlení jsem dospěl k následujícímu řešení:

yum install munin --exclude=perl-XML-SAX-Base --skip-broken

A pak už to frčí.

zdroj

Network monitoring utility na Centos 6 i 7 hezky pohromadě :-)

  • nettop shows packet types, sorts by either size or number of packets.
  • ettercap is a network sniffer/interceptor/logger for ethernet
  • darkstat breaks down traffic by host, protocol, etc. Geared towards analysing traffic gathered over a longer period, rather than `live’ viewing.
  • iftop shows network traffic by service and host
  • ifstat shows network traffic by interface in a vmstat/iostat-like manner
  • BusyTasks KDE Plasmoid script using nethogs as a backend

zdroj http://nethogs.sourceforge.net/