abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 16:33 | Nová verze

David Heinemeier Hansson oznámil vydání nové major verze 6.0 frameworku pro vývoj webových aplikací Ruby on Rails (Wikipedie). Přehled novinek v příspěvku na blogu a v poznámkách k vydání. Přispělo 801 vývojářů.

Ladislav Hagara | Komentářů: 0
včera 18:11 | Nová verze

Byla vydána verze 2.23.0 distribuovaného systému správy verzí Git. Přispělo 77 vývojářů, z toho 26 nových. Přehled novinek v poznámkách k vydání nebo v příspěvku na blogu GitHubu.

Ladislav Hagara | Komentářů: 7
včera 13:33 | Komunita

Nadace Raspberry Pi na svém blogu informuje o vydání Scratch 3 Desktopu pro Raspbian na Raspberry Pi. Verze 3 výukového vizuálního programovacího jazyka Scratch byla vydána v lednu letošního roku. Offline Scratch Desktop byl ale dosud dostupný pouze pro Windows a macOS.

Ladislav Hagara | Komentářů: 0
15.8. 19:44 | Bezpečnostní upozornění

Byly zveřejněny informace o 8 bezpečnostních chybách v implementacích protokolu HTTP/2. Chyby CVE-2019-9511 až CVE-2019-9518 lze zneužít k odepření služeb (DoS). Přehled softwarových produktů a v nich obsažených chyb v tabulce na stránce CERT/CC.

Ladislav Hagara | Komentářů: 16
15.8. 17:55 | Nová verze

Byla vydána verze 1.37.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

Ladislav Hagara | Komentářů: 94
15.8. 15:11 | Nová verze

Byla vydána nová verze 19.08.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Videoukázka nových vlastností na YouTube nebo na PeerTube.

Ladislav Hagara | Komentářů: 5
15.8. 14:44 | Zajímavý projekt

CutiePi je open source tablet postavený na Raspberry Pi, konkrétně na Compute Module. K dispozici by měl být koncem roku. Cena zatím nebyla stanovena. Vývojový tým zjišťuje zájem [Hacker News].

Ladislav Hagara | Komentářů: 8
14.8. 21:33 | Zajímavý článek

Greg Kroah-Hartman v příspěvku na svém blogu popisuje svou práci na linuxovém jádře. Popis prokládá videoukázkami ve formátu asciinema. Dnes používá především poštovního klienta Mutt. V plánu má přejít na poštovního klienta aerc, pokud do něj budou přidány v popisu zmíněné vlastnosti.

Ladislav Hagara | Komentářů: 0
14.8. 21:11 | Nová verze

Bylo oznámeno, že EPEL (Extra Packages for Enterprise Linux) ve verzi 8.0 je připraven k vydání. Vedle x86_64, ppc64le a aarch64 je nově podporována také platforma s390x.

Ladislav Hagara | Komentářů: 0
14.8. 14:00 | Zajímavý projekt

Goldberg Emulator je reimplementace Steam API, aby bylo možné hrát hry ze Steamu bez Steamu. Ačkoliv autor projekt zveřejnil až letos v dubnu, pracovat na něm začal již před rokem a nyní v zápisku shrnuje zkušenost s vývojem, např. jak se musí vypořádávat s latencí her.

Fluttershy, yay! | Komentářů: 3
Používáte ještě 32bitový software na PC?
 (20%)
 (15%)
 (17%)
 (42%)
 (6%)
 (29%)
Celkem 426 hlasů
 Komentářů: 35, poslední včera 13:29
Rozcestník

Dotaz: VLAN - MK3011 + Switch TPLink + UBNT APs

13.8. 15:11 googler
VLAN - MK3011 + Switch TPLink + UBNT APs
Přečteno: 262×

Caute mam problem (zase :D )

Snazim sa nakonfigurovat VLAN na mikrotiku RB3011 + TPLink TL-SG1016PE + Ubiquiti APcka. Ide o normalnu situaciu kedy jednu VLAN potrebujem mat privatnu s plnym pristupom do LAN a na internet + bude na nej samozrejme aj wifi SSID. Druhu VLAN potrebujem pre hosti v ktorej budu len APcka (oddelene SSID) cez ktore bude mat host pristup na net bez pristupu do LAN. Casom mozno budem chciet dalsie VLANy podla potreby.

Momentalne je modem v MK zapojeny v ETH1 + v MK je vytvoreny PPPoE client (WAN). V MK je v ETH2 (LAN) zapojeny uz iba TPLink switch a vsetko ostatne je zapojene v tom TPLinku.

 

Vlany na tplinku a MK som nastavil a zatial je vysledok taky ze na kabloch mi net ide (aj DHCP funguje ako ma) ale na UBNT APckach nie. Neviem preco - pripojim sa aj na guest aj na privat ale net nejde + na wifi klientoch mi neprideli ip podla dhcp poolu v MK ale nejaku "nahodnu" ip. Navyse wifi klienti maju inu masku (mali by mat 255.255.255.0 ale maju 255.255.0.0) takze ani nemam ako otestovat ci vlany splnia ucel oddelenej siete. Na MK som postupoval podla tohto videa:

https://www.youtube.com/watch?v=T0y1F3JmSZc

s tym rozdielom ze ako adresy pre vlany som pouzil 192.x.x.x namiesto 10.x.x.x a WAN ip som nevytvaral lebo uz bola vytvorena automaticky (v MK sa zobrazuje okrem adries vlan aj verejna ip od isp) + som vytvoril pre obidve vlany dhcp server a pool cez dhcp setup v MK + do FW som doplnil forward pravidla na zakaz pristupu z guest do privatu

V pripade tplinku som postupoval podla tohto videa

https://www.youtube.com/watch?v=T0y1F3JmSZc

V privatnej vlan su takovane len porty routera a APciek ostatne porty su untag. V guest Vlan su pridelene len tagovane porty routera a APciek (ziadne ine porty v gueste nie su)Co sa tyka PVID tak v PVID 1 su porty routera a APciek. Spravil som to tak pretoze som iekde cital ze v TPlinku je PVID 1 nieco ako alternativa pre trunk Ostatne porty maju potom pridelene PVID privatu V UBNT CTR som potom uz len v casti network vytvoril dve corporate siete s identickymi adresami vlan a pridelil som im vlan id a vypol DHCP. Nasledne som v casti Wireless network vytvoril dve SSID znova s prislunymi vlan id.Stale mi ide net iba "po kabloch" ale cez AP nie. Skusal som aj moznost namiesto profilu corporate network pouzit profil vlan only ale ani to nepomohlo.

Odpovědi

vencour avatar 13.8. 17:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
Zkoušel jste na Mikrotiku udělat hotspot podle různých SSID?
Hodilo byste napsat, co jste chtěl udělat a co to dělá. Ne co někde je a co si myslíte, že to má dělat.
Když víte, co čekáte a máte nastaveno, víte, co byste měl hledat a kde.
Co jsem sám zažil, je nutno dobře nastavit NAT pro IPv4, hodí se mít zapnuto logování/počítání pro přehled, kudy se mi ty firewall policy aplikují a tečou data.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
13.8. 19:09 googler
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
Potrebujem hostovsku siet uplne odizolovat od sukromnej siete tak ze hostom pojde internet cez wifi ale nebudu mat pristup do LAN. Hotspot som neskusal lebo vzdy ked som googlil tak som sa dostal k tomu ze na tento ucel sa pouziva VLAN. nieco si o tom hotspote pozriem a skusim to.
vencour avatar 13.8. 19:25 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
Budete mít několik instancí hotspotu s různými rozsahy IP adres. Základní je, že jedno SSID a jedna instance se bude hlásit a dostane se jen na internet, další se hlásit (jménem a heslem) do sítě nemusí a do LAN se může dostat. Navíc každá instance hotspotu musí běžet na různém interfejsu Mikrotiku, kde ji zakončíte, takže i tak to můžete oddělit i namapovat skrze další prvky Vaší sítě.
Nastavíte více hotspotů, pak nastavíte potřebná pravidla v rámci firewallu a překladu (NAT) a taky musíte zajistit případné routování použitých sítí.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
15.8. 13:10 Vantomas | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
Co dělá Unifi Controller pro ta Unifi AP? Jdou Unifi přímo do TPLinku nebo je tam ještě nějaka nepopsaná UBNT krabička?

Každopádně konfiguraci pro případ, že jsou Unifi zapojené přímo do TPLinku doporučuji takovouto, porty a vlany si uprav podle sebe:
vlan 1 - nepoužívat, u takhle hloupých switchů se mi osvědčilo se 1 vyhýbat,
vlan 10 - unifi mgmt,
vlan 11 - private lan,
vlan 12 - guest wifi
TPlink switch:
Port 1 - RB - trunk, tag 10,11,12
Port 2 - Unifi 1 - trunk, untag 10, tag 11, 12
Port 3 - Kabel na private LAN - access, untag 11
Mikrotik:
Port 1 - vytvořit vlan interface 10, 11 a 12 a na jednotlivé vlan interfacy dát IP + DHCP.
Unifi když bootuje, tak líže adresu z netagovaný vlany, takže aby se to chytlo na unifi controller, tak tam musí něco žít se správně nastaveným DHCP. Jednotlivá SSID se pak zabalí do tagovaných vlan a vše bude hrát tak jak má.
15.8. 19:59 googler
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs

Diky za odpoved. Este sa budem pytat na tie VLANy ale ked som nevedel ako dalej tak som sa vratil ku mojej povodnej konfiguracii bez VLAN a zistil som ze na stranke mojeip.cz ked dam detekovat lokalnu ip mojho pc tak sa na tom webe zobrazi ale pokial je dobre nastavena siet tak lokalnu IP zariadenia by nemalo byt mozne detekovat z WANu ale v mojom pripade to mozne je takze co mam nastavit?

 

Myslel som si ze prave maskarada v MT sluzi na maskovanie LAN vo WANe ale pravidlo maskarada mam nastavene a aj tak mi lokalnu ip detekuje tu: http://www.mojeip.cz/lokalniip

/ip firewall nat print

0 chain=srcnat action=masquerade src-address=lan.ip.routera.0/24 out-interface=WAN log=no log-prefix=""

co mam este nastavit/prenastavit aby mi LAN siet neprenikala "za" router?

BTW: to nastavenie hotspotu sa mi zda (pre mna) este tazsie ako pokusat sa o spravnu konfiguraciu VLANs

15.8. 21:36 Vantomas | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs

Pokud nebudou vlany směrem k Unifi, tak se ty bezdrátové sítě nedají nijak oddělit. Resp, možná to nějak jde skrze nějakou duchařinu, kterou umí Unifi, ale popravdě nevím, jestli to něco takového umí a jak to dělá, protože jsem to vždy řešil přes vlany, kde mám jistotu, že je to opravdu oddělené a navíc to stejně vždycky kombinuji s dalšími počítači na drátě.

Neznám podrobnosti, ale hádám, že mojeip.cz zjišťuje tu vnitřní adresu skrze nějaké API v browseru a nikoliv tak, že by opravdu odněkud někam dotekl nějaký packet. Hodně vzdáleně bych tipoval, že to používá WebRTC, které slouží k P2P spojení mezi samotnými browsery na síti - to se v praxi používá třeba při streamingu sportovního kanálu, kdy na kanál 11 měsíců nikdo nekouká a během 1 měsíce, kdy se koná nějaký mistrovství světa na to kouká několik milionu lidí. Aby se ulehčilo serverům poskytovatele, tak se zneužijí diváci, jak v BitTorrentu.

Pokud je jediným požadavkem, že se má oddělit guest LAN od private LAN a není žádný další požadavek na autorizaci jednotlivých zařízení, tak bych se na hotspot v Mikrotiku vykašlal. Hotspot se používá třeba pokud:
-chci mít seznam povolených MAC adres, které se můžou do sítě připojit,
-chci aby se mi uživatelé hlásili pomocí jména+hesla,
-chci uživateli při prvním připojení na wifi zobrazit nějaký captive portal, kde musí zmáčknout knoflík a pustit mu internet jen na hodinu, pak musí zmáčknout knoflík znovu (toto umí udělat i přímo Unifi),
-atd.

15.8. 22:38 googler
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
ten problem s mojeip resp. detekciou lan ip koncoveho zariadenia cez wan bude urcite sposobene nejakym debilnym nastavenim v MK pretoze toto sa mi na MK uz raz stalo a vtedy som to vyriesil tak ze som v quickset wizardovi zaklikol "NAT" a potom mojeip.cz nebol schopny detekovat lan ip PC ale teraz mi z nejakeho dovodu nepomohlo ani zakliknutie NAT

BTW mojeip.cz standardne nie je schopne detekovat lan ip ani v pripade predkonfigurovaneho SOHO routera s orig firmware (tplink, asus,,,)

BTW2 na ten hotspot som reagoval pretoze mi to poradil uzivatel vencour namiesto vlan
15.8. 23:34 googler
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
V tomto navode je tiez napisane ze na to sluzi NAT v quickset:

https://www.techrevue.cz/zaklady-mikrotiku-konfigurace-domaciho-routeru/

"NAT: V případě hlavního domácího routeru tuto možnost zvolte. NAT se stará o překlad IP adres, umožňuje připojení více zařízení k vašemu routeru, přestože od vašeho poskytovatele máte k dispozici pouze jednu IP adresu. Všechna vaše zařízení doma se tak v internetu jeví jako jeden počítač."

Akurat v mojom pripade to nejako prestalo fungovat - asi spravim reset a vsetko znovu aj VLANy

16.8. 07:08 Vantomas | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
Žádný NAT ani SOHO router nikdy nevyřeší to, že by mojeip.cz nevidělo vnitřní adresu, kterou zjišťuje skrz API v browseru. Uvidí ji vždycky, protože se to zjišťuje bez spolupráce routeru. Bez NAT by internet na těch počítacích ve vnitřní síti ani nefungoval.

Dal jsem si tu práci a kouknul jak mojeip.cz tu vnitřní adresu zjišťuje a je to tak, že to dělá skrz WebRTC. Celý ten skript na zjištění vnitřní adresy je http://www.mojeip.cz/inc/sysinfo/javascript_cookies2.js
16.8. 06:58 Vantomas | skóre: 28 | Praha
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
Hotspot sám od sebe nic nerozděluje. Hotspot jen řídí přístup k síti. Oddělení sítí na L2 se dělá přes vlany.
16.8. 10:13 Peter Golis | skóre: 58 | Bratislava
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
BTW mojeip.cz standardne nie je schopne detekovat lan ip ani v pripade predkonfigurovaneho SOHO routera s orig firmware (tplink, asus,,,)
MojeIP detekuje lokálnu IP adresu v browseri na desktope pomocou java skriptu. K iným údajom sa nemá ako dostať, pokiaľ nie je po ceste Proxy Server ktorý by injektoval X-Forwarded-For.
16.8. 17:18 googler
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs

Sorry moja chyba. Problem bol v tom ze ked som to testoval pred tym ako som zapol NAT tak som to testoval vo FF a tam mi zobrazilo ip a potom som zapol nat a otestoval som to cez windows v IE a tam mi IP nezobrazilo ale NAT na to vplyv asi memal ale skor to ze mojeip nepodporuje detekciu local ip cez IE.


to Vantomas - VLANy: Ano UBNT APs su zapojene priamo vo switchi TPlink. Nechapem tvoju otazku co robi pre tie AP UBNT controller. Cez controller robim vsetky nastavenia tykajuce sa AP. Skusim tie VLANy nastavit teda este raz asi cez vikend ked mi nebudu vadit vypadky wifi. Vsimol som si ze do svojho prveho prispevku som nalinkoval dvakrat to iste video takze este raz:


TPlink som nastavoval podla tohto: https://www.youtube.com/watch?v=zENmrj7vhTw
MK podla tohto: https://www.youtube.com/watch?v=T0y1F3JmSZc

Myslim si ze som spravil chybu niekde v nastaveni TPlink switchu. Nerozumiem presne ktore porty maju byt tag/untag a co presne znamena PVID a ako to pouzit v mojom pripade. Aj ked som hladal nejake laicke vysvetlenie tak nic nebolo dostatocne primitivne na to aby som to pochopil aj ja :D

ale z toho co som pochopil (mozno zle) sa tag porty pouzivaju pre zariadenia ktore potrebuju vediet ze v sieti existuju vlany aby mohli medzi nimi komunikovat. Ak je to tak potom by mali byt tagovane aj APs ale ked ich otagujem tak sa mi ani neadoptuju do siete. Ked su untag tak v controllery su pripojene ale ked sa pripojim na wifi tak dhcp server nastaveny v MK neprideli ip. Na APS mam cez controller nastavenu static ip.

V poslednej konfiguracii som mal na TPlinku vytvorene vlany:

5 - Private - Do tejto som zaradil vsetky porty ako untag s vynimkou MK ten bol tag

6 - Public - Sem som zaradil porty len port pre MK (tag) a porty pre APs (untag)

1 - Default - tam boli tiez zaradene rovnake porty ako v public pretoze v TPlink sekcii PVID nie je mozne zaradit jeden port do viacero PVID a ja logicky (asi) potrebujem aby boli APs porty a MK port clenmi vsetkych VLAN. No a niekde som cital (mozno som to pochopil zle ze VLAN/PVID 1 je automaticky clennom vsetkych VLAN.

 

Na MK som nenastavoval tag/untag vobec pretoze som tam tu moznost ani nevidel. Robil som to cez interfaces/vlan/new - obidve vlany som v MK dal na port eth2 lebo tam je zapojeny switch a vo switchi je MK zapojeny v porte 1

Vysledok tejto konfiguracie bol taky ze na koncovych zariadeniach pripojenych cez kabel do switchu internet fungoval ale cez wifi nie.

16.8. 20:28 Peter Golis | skóre: 58 | Bratislava
Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
Pokiaľ ti tá stránka nezobrazila v IE vnútornú IPku, tak použi novší IE. Odporučil by som niečo novšie, niečo čo má v sebe JavaScript. Teda niečo novšie ako IE 2 z Win95.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.