Hálózatok egyéb

Sziasztok,

Egy Zyxel tűzfalat masszírozok, és ezen belül is az SSL Inspection bekapcsolása okoz fejtörést.

Ugyebár ilyenkor minden eszközre telepíteni kell a tűzfal tanúsítványát, és ezzel a HTTPS kapcsolatokat feloldja és ellenőrizheti az AV/IDP, stb.

Nade van a QUIC, (ezt letiltottam), van a certificate pinning és az Android/IOS appok. Azt már tudom, hogy rengeteg site-ot jokerrel ellátva ki kell vonni az ellenőrzés alól (https://help.zscaler.com/zia/certificate-pinning-and-ssl-inspection), de van még két app, amit nem tudok megoldani egyelőre, a Messenger és a Pinterest.

Nem tudja valaki, mi a megoldás ezekre?

Szaisztok,

Szert tettem egy a fenti 3G modemre és a Digi-s SIM kártyával szeretném használni linux/raspberry alatt.
Elvileg a config működik, de állandóan ledobál. A ppp0 interface létrejön, de ping nem megy ki rajta.

Ez alapján csináltam: https://www.thefanclub.co.za/how-to/how-setup-usb-3g-modem-raspberry-pi…
Mit rontok el?

Config file:
https://pastebin.pl/view/c853a64a

Kimenet:
https://pastebin.pl/view/64488ebc

Üdv: redman

Másnál is elérhetetlen?
Vagy csak nálam, v. a DIGI-nél, v. csak Magyrisztánban szarakszik?

Szal:

Hmm. Probléma az oldal megkeresésekor.

Többnyire.

Lehet e tudni erről valamit, vagy el se induljak itthonról?
Bosszantó, de nem meglepő.

2020. 09. 30. 07:44

$ tracepath otpbank.hu
 1?: [LOCALHOST]                      pmtu 1500
 1:  openwrt.local.lan                                     0.493ms 
 1:  openwrt.local.lan                                     0.405ms 
 2:  digi.local.lan                                        0.745ms asymm  1 
 3:  digi.local.lan                                        0.815ms pmtu 1492
 3:  10.0.0.1                                              2.607ms asymm  2 
 4:  no reply
 5:  ae-13.cr01.budapest.digicable.hu                      3.307ms asymm  4 
 6:  be-2.xr01.budapest.digicable.hu                       3.513ms asymm  5 
 7:  ae1.ic1-vhugo.net.telekom.hu                          3.224ms asymm  6 
 8:  81.183.3.168                                          2.959ms asymm  7 
 9:  no reply
10:  tge0-0-0-0.er0-varosmajor.net.telekom.hu              3.847ms asymm  8 
11:  c-ge300-0-0-13-3032.er0-obuda.net.telekom.hu          3.435ms asymm  9 
12:  no reply
13:  no reply
14:  no reply
15:  no reply
16:  no reply
17:  no reply
18:  no reply
19:  no reply
20:  no reply
21:  no reply
22:  no reply
23:  no reply
24:  no reply
25:  no reply
26:  no reply
27:  no reply
28:  no reply
29:  no reply
30:  no reply
     Too many hops: pmtu 1492
     Resume: pmtu 1492 

Sziasztok!

Szüleimnél a múlt hét szombati vihar után elment az internet és a tv (optika). Modemen az látszik, hogy nincs optikai link. Mivel a vihar elég nagy kárt okozott a környéken, ezért valószínű a vezeték szakadás. Szépen be is jelentették vasárnap a hibát. Itt jön a csavar a történetben: az elmúlt 10 napban semmi érdemleges nem történt a hiba elhárításával kapcsolatban. Pénteken kijött egy szerelő, aki megállapította, hogy - váratlan fordulat - nem nálunk van a hiba, hanem központi gond van.

A kérdésem, hogy az ÜF napi hivogatásán kívül milyen lehetőségek vannak, hogy meggyorsítsuk a hibajavítást? Van ilyenkor lehetőség a szerződés felmondására? Természetesen hűségidőben vagyunk még...

Köszönöm előre is a válaszokat!  

Update: 16 nap kellett a probléma megoldásához. Azért az elég durva, tekintve, hogy több ügyfelet is érintett. Lehet segített a múlt hét pénteken elkdüldött panasz az NMHH felé cc-zve.

Adott egy Cisco Asa

Egyes interfészen outside átjáró az internet felé.

Kettes interfészen publikus tartomány átjáró, ide csatlakoznak egy switchen keresztül publikus címekkel szerverek (16db ip)

És van egy BVI inside 192.168.1.0/24 bridge.

A publikus címeken van internet elérés, viszont a BVI inside bridgen nincs.

Az inside hálózaton két cím között (pl: 192.168.1.110 és 192.168.1.120) van forgalom.

Próbáltam static route szabályt felállítani az inside interfészre 192.168.1.0/24 -től az outside interfészre, de azt a hibaüzenetet kapom, hogy már létezik.

Segítsetek mi lehet a megoldás.

Sziasztok!

Adott egy Hikvision DS-2DF5284-AE3 típusú PTZ IP kamera, amelyen jelenleg egy V5.1.8 build 140616 firmware fut.

A kamerával nincs különösebb probléma, de nyilván nem optimális, ha 2020-ban egy 2014-es firmware fut a kamerán.

Találtam is firmware-t, ami leírás alapján kompatibilis a kamerával, le is töltöttem, telepíteni viszont nem tudtam , pedig 3 leírás alapján próbáltam, de még mielőtt elkezdené a frissítést figyelmeztet, hogy a kamera újra fog indulni a frissítést követően, aztán kiírja, hogy sikertelen művelet.

A kamerához itt találtam firmwaret:

http://www.hikvisioneurope.com/portal/?dir=portal/Technical%20Materials/01%20%20PTZ%20Camera/00%20%20Product%20Firmware/R3%20series%28DS-2DFxxxx%29

illetve ez volt egy egyik video, ami alapján frissíteni próbáltam:

https://www.youtube.com/watch?v=TabAG6nSEpE

Ha esetleg van ötletetek, vagy tapasztalatotok akkor szívesen várom a segítséget, mert fogalmam sincs, mit csinálhattam rosszul, egy ilyen egyszerű folyamatnál.

Köszönöm előre is a segítséget!

Sziasztok. Elakadtam, segítséget kérnék, mert nem vagyok egy guru. Openvpn hálózat, nyomtatás. Adott egy céges belső hálózat, (t-com ipsound mögött) ahol van egy központi gép,  legyen mondjuk ERPSERVER a neve, amin Leap15.2 fut. Ezen van minden, ERP, CUPS, samba, stb, de NEM ez a router/gateway a hálózaton. Ugyanezen a hálózaton van egy szintén Leap15.2, ezen fut az openvpn kiszolgáló. A kliens csatlakozások működnek, nyomtatás megy, de csak erről a gépről. Ha az ERPSEVER gépen futó cups alá fel akarok telepíteni egy vpn kliens hálózaton található IP-s nyomtatót, akkor ez nem megy. Telnet alól "No route to host" üzenetet kapok, bár pingelni meg tudom a nyomtatót. Az ERPSERVER gépen be vannak állítva a vpn kliensek hálózati címei a router táblába, ez nem lehet gond. (ping megy!) VISZONT ha kikapcsolom az openvpn szerver gépen a tűzfalat, akkor elérhető az opnevpn kliens hálózaton található IP nyomtató. Mindkét gépen a firewalld fut, szükséges portok nyitva, de valami benézek.

openvpn server tüzfalbeállítások:

firewall-cmd --zone=trusted --add-interface tun0
firewall-cmd --zone=trusted --add-masquerade
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.1x.0/24  -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d 192.168.2x.0/24  -m conntrack --ctstate NEW -j ACCEPT
iptables -I FORWARD -i tun+ -o eth0 -s 172.16.1.0/24 -d ........
iptables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED  -j ACCEPT  

firewall-cmd --list-services
ssh mdns samba-client openvpn apache2 apache2-ssl ftp http https samba ipp ipp-client

 firewall-cmd --list-ports
9100/tcp 9100/udp

Milyen tűzfalszabály kell még szerintetek az openvpn kiszolgálóra? Köszönöm előre is a segítséget!

Sziasztok!

Egy suliban szerettem volna lecserélni, az elavult, szarrá bonyolított tűzfalat egy pfsense tűzfalra.

Egy frissen telepített pfsense tűzfalon beállítottam a NET-et a suli szubnetjére, az egyik WAN-t pedig DHCP-vel a helyi (nem a sulié!) net-re, hogy elérje az internetet. A web-es felület elérhető, beállítottam a másik WAN-t (két kijárata van a sulinek), frissítettem, feltettem pár csomagot. A kliens gép itt még közvetlenül volt a tűzfallal összekötve (egy szimpla kábellel).

A helyszínen  kicseréltük a tűzfalat, és sehogy sem lehetett elérni a tűzfalat, senkit nem lehetett pingelni a tűzfalról, miközben a tűzfalon indított tcpdump-al látható volt a NET-en a forgalom (a broadcast a switch miatt), de semmi más. Az is látszódott, hogy jó VLAN-on vagyok, nincs címkézés, összhangban a switch port beállításával. Csináltam egy reset-et, újra konfig, de továbbra sem lehetett pingelni senkit, és a tűzfalat se (a tűzfal saját magát igen, a tcpdump szerint látszik a NET).

Itthon csináltam egy VLAN-t a tűzfal NET-jének, és a web-es felület elérhető, rá sem kellet rakni monitort a tűzfalra.

Végignéztem a switch (Zixel GS1900-24) beállításait, nincs benne semmilyen olyan beállítás (szerintem) ami ezt a jelenséget okozhatja.

Ezek után nincs olyan érzésem, hogy újra kicserélve a tűzfalat a suliban, akkor menni fog a dolog.

Mi a frászkarika történik itt? Számomra értelmezhetetlen a jelenség.

Halihó!

Írtam már korábban, hogy van egy NAS-om, és szenvedek vele. Ez egy dLink eszköz, van benne egy darab 6T WD Red, és NFS-en keresztül mountolom a fájlrendszert fel Linux alól. Az asszony is használja Mac OS alól időnként (nem tudom, hogy Mac NFS-t vagy Sambát használ-e). A gond az, hogy néha valami (valószínűleg írás) történik, és ilyenkor lelassul _valami_, ami hatására a Linux eszméletlenül lelassul.

Próbáltam mindenfélét, a NAS nem mutat semmi hibát, NAS-on kívül a hdd hiba nélkül működik, lementettem róla mindent majd visszamásoltam (mert valaki töredezettségre gyanakodott). Nem javult meg.

Nincs több ötletem, a dLink NAS helyett építek magamnak valami alacsony fogyasztású hardverből egy saját NAS-t. Viszont az NFS helyett szeretnék valami robosztusabb fájlrendszert. Ha tudtok ilyen rendszert, ajánljatok, légyszi!

Kb ezeket szeretném:

• lehessen felmountolni Linux, Mac, Windows alól (nem baj, ha Linux számára van valami és Win (és Mac) számára valami más).
• támogassa a Linux fájlrendszerek alatt megszokott dolgokat. Jogosultságok, soft és hardlink, megkülönböztetett kis- és nagybetű, stb.
• ha fel van mountolva Linux alatt és a NAS eltűnik, lehessen umountolni különösebb nehézség nélkül (ez NFS alatt nem szokott működni).
• ha fel van mountolva Linux alatt, a NAS eltűnik (hálózati hiba, áramszünet), aztán egy idő után újra megjelenik, menjen minden tovább (ez NFS alatt jellemzően működik)
• ha fel van mountolva Linux alatt, és a NAS nem válaszol, vagy nagyon lassan válaszol, akkor vagy legyen valami timeout, ami után mondja azt, hogy automatikusan read-only remount lett, vagy umount lett, vagy ilyesmi, vagy ha nem automatikusan mondja ezt, hanem csak próbálkozik, akkor engedje nekem azt, hogy azt mondjam, hogy akkor most umount, és zárjon le mindent. (ez NFS alatt katasztrofális)
• Nem árt, ha van valami authentikáció mountoláskor, hogy ne tudja akárki felmountolni az itthoni hálózatról, de nem esek kétségbe, ha nincs.
• Nem kell feltétlenül megoldani, hogy Windows-ból felmásolt fájlok és Linuxból felmásolt fájlok azonos owner/group id-val legyenek létrehozva. De ha van erre valami megoldás, az jó.
• root felhasználóval lehessen a távoli fájlrendszeren ownert és groupot változtatni
• Nem árt, ha különböző felhasználóval és jelszóval különböző exportokhoz fér hozzá a mount
• Ha jelszót használunk, az közlekedjék titkosítva a hálózaton
• Nem árt, ha a hálózati forgalom titkosított bár alapvetően megbízom a hálózatra kapcsolódó gépekben, és nem szeretnék emiatt mondjuk lassabb hálózati sebességet, nagyobb gépigényt, extrán dolgozó processzort, magasabb fogyasztást, NAS-ban pörgő ventilátort. Esetleg valami hw támogatott titkosítást vagy valami egyszerű és kis gépigényű scramble-t el tudok képzelni. Nem az a lényeg, hogy a CIA ne tudja visszafejteni

Sziasztok!

Új helyre költözünk, egyenlőre úgy néz ki, hogy csak Telekomos mobilnet lesz. Eddig volt digis fix ip-m, bármikor haza tudtam VPN-ezni ha kellett. 

Hogyan tudnám megoldani, hogy haza tudjak VPN-ezni, a mobilneten lógó hálózatomra?