abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 09:00 | Komunita

    Nedávno byl vydán nový Raspberry Pi OS založený na Debianu 11 Bullseye. Řadě uživatelů ale novinky nevyhovují, viz například problém s kamerami. Vývojáři se proto rozhodli vedle Raspberry Pi OS podporovat také Raspberry Pi OS (Legacy) založený na Debianu 10 Buster. Uživatelé požadující knihovnu picamera mohou nově používat také Raspberry Pi OS a knihovnu si povolit v nastavení raspi-config (YouTube).

    Ladislav Hagara | Komentářů: 0
    dnes 08:00 | Nová verze

    Byla vydána verze 1.7.0 dynamického programovacího jazyka Julia (Wikipedie) určeného zejména pro vědecké výpočty. Přehled novinek v příspěvku na blogu a v poznámkách k vydání. Aktualizována byla také dokumentace. Současně bylo oznámeno, že větev 1.6 (aktuálně verze 1.6.4) je nově LTS.

    Ladislav Hagara | Komentářů: 0
    dnes 07:00 | Nová verze Ladislav Hagara | Komentářů: 0
    včera 21:22 | Nová verze

    Byla vydána nová verze 6 integrovaného vývojového prostředí (IDE) Qt Creator. Podrobný přehled novinek v cgitu. Zdůraznit lze podporu vícekurzorové editace (gif).

    Ladislav Hagara | Komentářů: 3
    včera 20:55 | Nová verze

    Byla vydána verze 1.57.0 programovacího jazyka Rust (Wikipedie). Podrobnosti v poznámkách k vydání. Vyzkoušet Rust lze například na stránce Rust by Example.

    Ladislav Hagara | Komentářů: 0
    včera 16:33 | Nová verze

    Byla vydána nová stabilní verze 5.0 (5.0.2497.24) webového prohlížeče Vivaldi (Wikipedie). Přehled novinek v příspěvku na blogu. Zdůraznit lze sdílené motivy vzhledu (YouTube) nebo překlady na postranní liště (YouTube). Nejnovější Vivaldi je postaven na Chromiu 96.0.4664.51.

    Ladislav Hagara | Komentářů: 0
    včera 14:00 | Zajímavý článek

    Příspěvek na blogu Project Zero podrobně rozebírá bezpečnostní chybu CVE-2021-43527 (heap overflow) v sadě multiplatformních kryptografických knihoven Network Security Services (NSS). Chyba je opravena v upstream verzích NSS 3.68.1 a 3.73. Chyba se netýká Firefoxu.

    Ladislav Hagara | Komentářů: 3
    včera 12:00 | IT novinky

    Společnost Valve aktualizovala přehled o hardwarovém a softwarovém vybavení uživatelů služby Steam. Podíl uživatelů Linuxu aktuálně činí 1,16 %. Nejčastěji používanou linuxovou distribucí je Ubuntu 20.04.3 LTS 64 bit. Přehled her oficiálně podporujících SteamOS a Linux na stránkách Steamu. Přehled her pro Windows běžících na Linuxu díky Protonu na stránkách ProtonDB.

    Ladislav Hagara | Komentářů: 0
    1.12. 13:22 | Zajímavý článek

    Knižní edice sdružení CZ.NIC rozšiřuje svou řadu o populárně naučnou novinku s názvem ON-LINE ZOO – básničky (pdf). Sbírka hravých básniček vznikla na základě stejnojmenné knihy, která vyšla v rámci Edice CZ.NIC před třemi lety a seznamuje děti předškolního a mladšího školního věku s nejčastějšími riziky spojenými s používáním Internetu.

    Ladislav Hagara | Komentářů: 27
    1.12. 10:00 | Nová verze

    Byla vydána nová stabilní verze 21.11 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Porcupine. Přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

    Ladislav Hagara | Komentářů: 0
    Pracujete z domu?
     (35%)
     (32%)
     (15%)
     (0%)
     (18%)
     (0%)
    Celkem 60 hlasů
     Komentářů: 8, poslední dnes 07:16
    Rozcestník



    Dotaz: VLAN - MK3011 + Switch TPLink + UBNT APs

    13.8.2019 15:11 googler | skóre: 4
    VLAN - MK3011 + Switch TPLink + UBNT APs
    Přečteno: 450×

    Caute mam problem (zase :D )

    Snazim sa nakonfigurovat VLAN na mikrotiku RB3011 + TPLink TL-SG1016PE + Ubiquiti APcka. Ide o normalnu situaciu kedy jednu VLAN potrebujem mat privatnu s plnym pristupom do LAN a na internet + bude na nej samozrejme aj wifi SSID. Druhu VLAN potrebujem pre hosti v ktorej budu len APcka (oddelene SSID) cez ktore bude mat host pristup na net bez pristupu do LAN. Casom mozno budem chciet dalsie VLANy podla potreby.

    Momentalne je modem v MK zapojeny v ETH1 + v MK je vytvoreny PPPoE client (WAN). V MK je v ETH2 (LAN) zapojeny uz iba TPLink switch a vsetko ostatne je zapojene v tom TPLinku.

     

    Vlany na tplinku a MK som nastavil a zatial je vysledok taky ze na kabloch mi net ide (aj DHCP funguje ako ma) ale na UBNT APckach nie. Neviem preco - pripojim sa aj na guest aj na privat ale net nejde + na wifi klientoch mi neprideli ip podla dhcp poolu v MK ale nejaku "nahodnu" ip. Navyse wifi klienti maju inu masku (mali by mat 255.255.255.0 ale maju 255.255.0.0) takze ani nemam ako otestovat ci vlany splnia ucel oddelenej siete. Na MK som postupoval podla tohto videa:

    https://www.youtube.com/watch?v=T0y1F3JmSZc

    s tym rozdielom ze ako adresy pre vlany som pouzil 192.x.x.x namiesto 10.x.x.x a WAN ip som nevytvaral lebo uz bola vytvorena automaticky (v MK sa zobrazuje okrem adries vlan aj verejna ip od isp) + som vytvoril pre obidve vlany dhcp server a pool cez dhcp setup v MK + do FW som doplnil forward pravidla na zakaz pristupu z guest do privatu

    V pripade tplinku som postupoval podla tohto videa

    https://www.youtube.com/watch?v=T0y1F3JmSZc

    V privatnej vlan su takovane len porty routera a APciek ostatne porty su untag. V guest Vlan su pridelene len tagovane porty routera a APciek (ziadne ine porty v gueste nie su)Co sa tyka PVID tak v PVID 1 su porty routera a APciek. Spravil som to tak pretoze som iekde cital ze v TPlinku je PVID 1 nieco ako alternativa pre trunk Ostatne porty maju potom pridelene PVID privatu V UBNT CTR som potom uz len v casti network vytvoril dve corporate siete s identickymi adresami vlan a pridelil som im vlan id a vypol DHCP. Nasledne som v casti Wireless network vytvoril dve SSID znova s prislunymi vlan id.Stale mi ide net iba "po kabloch" ale cez AP nie. Skusal som aj moznost namiesto profilu corporate network pouzit profil vlan only ale ani to nepomohlo.

    Odpovědi

    vencour avatar 13.8.2019 17:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Zkoušel jste na Mikrotiku udělat hotspot podle různých SSID?
    Hodilo byste napsat, co jste chtěl udělat a co to dělá. Ne co někde je a co si myslíte, že to má dělat.
    Když víte, co čekáte a máte nastaveno, víte, co byste měl hledat a kde.
    Co jsem sám zažil, je nutno dobře nastavit NAT pro IPv4, hodí se mít zapnuto logování/počítání pro přehled, kudy se mi ty firewall policy aplikují a tečou data.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    13.8.2019 19:09 googler | skóre: 4
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Potrebujem hostovsku siet uplne odizolovat od sukromnej siete tak ze hostom pojde internet cez wifi ale nebudu mat pristup do LAN. Hotspot som neskusal lebo vzdy ked som googlil tak som sa dostal k tomu ze na tento ucel sa pouziva VLAN. nieco si o tom hotspote pozriem a skusim to.
    vencour avatar 13.8.2019 19:25 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Budete mít několik instancí hotspotu s různými rozsahy IP adres. Základní je, že jedno SSID a jedna instance se bude hlásit a dostane se jen na internet, další se hlásit (jménem a heslem) do sítě nemusí a do LAN se může dostat. Navíc každá instance hotspotu musí běžet na různém interfejsu Mikrotiku, kde ji zakončíte, takže i tak to můžete oddělit i namapovat skrze další prvky Vaší sítě.
    Nastavíte více hotspotů, pak nastavíte potřebná pravidla v rámci firewallu a překladu (NAT) a taky musíte zajistit případné routování použitých sítí.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    15.8.2019 13:10 Vantomas | skóre: 31 | Praha
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Co dělá Unifi Controller pro ta Unifi AP? Jdou Unifi přímo do TPLinku nebo je tam ještě nějaka nepopsaná UBNT krabička?

    Každopádně konfiguraci pro případ, že jsou Unifi zapojené přímo do TPLinku doporučuji takovouto, porty a vlany si uprav podle sebe:
    vlan 1 - nepoužívat, u takhle hloupých switchů se mi osvědčilo se 1 vyhýbat,
    vlan 10 - unifi mgmt,
    vlan 11 - private lan,
    vlan 12 - guest wifi
    TPlink switch:
    Port 1 - RB - trunk, tag 10,11,12
    Port 2 - Unifi 1 - trunk, untag 10, tag 11, 12
    Port 3 - Kabel na private LAN - access, untag 11
    Mikrotik:
    Port 1 - vytvořit vlan interface 10, 11 a 12 a na jednotlivé vlan interfacy dát IP + DHCP.
    Unifi když bootuje, tak líže adresu z netagovaný vlany, takže aby se to chytlo na unifi controller, tak tam musí něco žít se správně nastaveným DHCP. Jednotlivá SSID se pak zabalí do tagovaných vlan a vše bude hrát tak jak má.
    15.8.2019 19:59 googler | skóre: 4
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs

    Diky za odpoved. Este sa budem pytat na tie VLANy ale ked som nevedel ako dalej tak som sa vratil ku mojej povodnej konfiguracii bez VLAN a zistil som ze na stranke mojeip.cz ked dam detekovat lokalnu ip mojho pc tak sa na tom webe zobrazi ale pokial je dobre nastavena siet tak lokalnu IP zariadenia by nemalo byt mozne detekovat z WANu ale v mojom pripade to mozne je takze co mam nastavit?

     

    Myslel som si ze prave maskarada v MT sluzi na maskovanie LAN vo WANe ale pravidlo maskarada mam nastavene a aj tak mi lokalnu ip detekuje tu: http://www.mojeip.cz/lokalniip

    /ip firewall nat print

    0 chain=srcnat action=masquerade src-address=lan.ip.routera.0/24 out-interface=WAN log=no log-prefix=""

    co mam este nastavit/prenastavit aby mi LAN siet neprenikala "za" router?

    BTW: to nastavenie hotspotu sa mi zda (pre mna) este tazsie ako pokusat sa o spravnu konfiguraciu VLANs

    15.8.2019 21:36 Vantomas | skóre: 31 | Praha
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs

    Pokud nebudou vlany směrem k Unifi, tak se ty bezdrátové sítě nedají nijak oddělit. Resp, možná to nějak jde skrze nějakou duchařinu, kterou umí Unifi, ale popravdě nevím, jestli to něco takového umí a jak to dělá, protože jsem to vždy řešil přes vlany, kde mám jistotu, že je to opravdu oddělené a navíc to stejně vždycky kombinuji s dalšími počítači na drátě.

    Neznám podrobnosti, ale hádám, že mojeip.cz zjišťuje tu vnitřní adresu skrze nějaké API v browseru a nikoliv tak, že by opravdu odněkud někam dotekl nějaký packet. Hodně vzdáleně bych tipoval, že to používá WebRTC, které slouží k P2P spojení mezi samotnými browsery na síti - to se v praxi používá třeba při streamingu sportovního kanálu, kdy na kanál 11 měsíců nikdo nekouká a během 1 měsíce, kdy se koná nějaký mistrovství světa na to kouká několik milionu lidí. Aby se ulehčilo serverům poskytovatele, tak se zneužijí diváci, jak v BitTorrentu.

    Pokud je jediným požadavkem, že se má oddělit guest LAN od private LAN a není žádný další požadavek na autorizaci jednotlivých zařízení, tak bych se na hotspot v Mikrotiku vykašlal. Hotspot se používá třeba pokud:
    -chci mít seznam povolených MAC adres, které se můžou do sítě připojit,
    -chci aby se mi uživatelé hlásili pomocí jména+hesla,
    -chci uživateli při prvním připojení na wifi zobrazit nějaký captive portal, kde musí zmáčknout knoflík a pustit mu internet jen na hodinu, pak musí zmáčknout knoflík znovu (toto umí udělat i přímo Unifi),
    -atd.

    15.8.2019 22:38 googler | skóre: 4
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    ten problem s mojeip resp. detekciou lan ip koncoveho zariadenia cez wan bude urcite sposobene nejakym debilnym nastavenim v MK pretoze toto sa mi na MK uz raz stalo a vtedy som to vyriesil tak ze som v quickset wizardovi zaklikol "NAT" a potom mojeip.cz nebol schopny detekovat lan ip PC ale teraz mi z nejakeho dovodu nepomohlo ani zakliknutie NAT

    BTW mojeip.cz standardne nie je schopne detekovat lan ip ani v pripade predkonfigurovaneho SOHO routera s orig firmware (tplink, asus,,,)

    BTW2 na ten hotspot som reagoval pretoze mi to poradil uzivatel vencour namiesto vlan
    15.8.2019 23:34 googler | skóre: 4
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    V tomto navode je tiez napisane ze na to sluzi NAT v quickset:

    https://www.techrevue.cz/zaklady-mikrotiku-konfigurace-domaciho-routeru/

    "NAT: V případě hlavního domácího routeru tuto možnost zvolte. NAT se stará o překlad IP adres, umožňuje připojení více zařízení k vašemu routeru, přestože od vašeho poskytovatele máte k dispozici pouze jednu IP adresu. Všechna vaše zařízení doma se tak v internetu jeví jako jeden počítač."

    Akurat v mojom pripade to nejako prestalo fungovat - asi spravim reset a vsetko znovu aj VLANy

    16.8.2019 07:08 Vantomas | skóre: 31 | Praha
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Žádný NAT ani SOHO router nikdy nevyřeší to, že by mojeip.cz nevidělo vnitřní adresu, kterou zjišťuje skrz API v browseru. Uvidí ji vždycky, protože se to zjišťuje bez spolupráce routeru. Bez NAT by internet na těch počítacích ve vnitřní síti ani nefungoval.

    Dal jsem si tu práci a kouknul jak mojeip.cz tu vnitřní adresu zjišťuje a je to tak, že to dělá skrz WebRTC. Celý ten skript na zjištění vnitřní adresy je http://www.mojeip.cz/inc/sysinfo/javascript_cookies2.js
    16.8.2019 06:58 Vantomas | skóre: 31 | Praha
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Hotspot sám od sebe nic nerozděluje. Hotspot jen řídí přístup k síti. Oddělení sítí na L2 se dělá přes vlany.
    vencour avatar 18.8.2019 21:44 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Vlany beru jako samozřejmost. Buď dokážu pořešit funkčnost na IP vrstvě nebo se utopim ve všem.
    Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
    16.8.2019 10:13 Peter Golis | skóre: 62 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    BTW mojeip.cz standardne nie je schopne detekovat lan ip ani v pripade predkonfigurovaneho SOHO routera s orig firmware (tplink, asus,,,)
    MojeIP detekuje lokálnu IP adresu v browseri na desktope pomocou java skriptu. K iným údajom sa nemá ako dostať, pokiaľ nie je po ceste Proxy Server ktorý by injektoval X-Forwarded-For.
    16.8.2019 17:18 googler | skóre: 4
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs

    Sorry moja chyba. Problem bol v tom ze ked som to testoval pred tym ako som zapol NAT tak som to testoval vo FF a tam mi zobrazilo ip a potom som zapol nat a otestoval som to cez windows v IE a tam mi IP nezobrazilo ale NAT na to vplyv asi memal ale skor to ze mojeip nepodporuje detekciu local ip cez IE.


    to Vantomas - VLANy: Ano UBNT APs su zapojene priamo vo switchi TPlink. Nechapem tvoju otazku co robi pre tie AP UBNT controller. Cez controller robim vsetky nastavenia tykajuce sa AP. Skusim tie VLANy nastavit teda este raz asi cez vikend ked mi nebudu vadit vypadky wifi. Vsimol som si ze do svojho prveho prispevku som nalinkoval dvakrat to iste video takze este raz:


    TPlink som nastavoval podla tohto: https://www.youtube.com/watch?v=zENmrj7vhTw
    MK podla tohto: https://www.youtube.com/watch?v=T0y1F3JmSZc

    Myslim si ze som spravil chybu niekde v nastaveni TPlink switchu. Nerozumiem presne ktore porty maju byt tag/untag a co presne znamena PVID a ako to pouzit v mojom pripade. Aj ked som hladal nejake laicke vysvetlenie tak nic nebolo dostatocne primitivne na to aby som to pochopil aj ja :D

    ale z toho co som pochopil (mozno zle) sa tag porty pouzivaju pre zariadenia ktore potrebuju vediet ze v sieti existuju vlany aby mohli medzi nimi komunikovat. Ak je to tak potom by mali byt tagovane aj APs ale ked ich otagujem tak sa mi ani neadoptuju do siete. Ked su untag tak v controllery su pripojene ale ked sa pripojim na wifi tak dhcp server nastaveny v MK neprideli ip. Na APS mam cez controller nastavenu static ip.

    V poslednej konfiguracii som mal na TPlinku vytvorene vlany:

    5 - Private - Do tejto som zaradil vsetky porty ako untag s vynimkou MK ten bol tag

    6 - Public - Sem som zaradil porty len port pre MK (tag) a porty pre APs (untag)

    1 - Default - tam boli tiez zaradene rovnake porty ako v public pretoze v TPlink sekcii PVID nie je mozne zaradit jeden port do viacero PVID a ja logicky (asi) potrebujem aby boli APs porty a MK port clenmi vsetkych VLAN. No a niekde som cital (mozno som to pochopil zle ze VLAN/PVID 1 je automaticky clennom vsetkych VLAN.

     

    Na MK som nenastavoval tag/untag vobec pretoze som tam tu moznost ani nevidel. Robil som to cez interfaces/vlan/new - obidve vlany som v MK dal na port eth2 lebo tam je zapojeny switch a vo switchi je MK zapojeny v porte 1

    Vysledok tejto konfiguracie bol taky ze na koncovych zariadeniach pripojenych cez kabel do switchu internet fungoval ale cez wifi nie.

    16.8.2019 20:28 Peter Golis | skóre: 62 | blog: Bežné záležitosti | Bratislava
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Pokiaľ ti tá stránka nezobrazila v IE vnútornú IPku, tak použi novší IE. Odporučil by som niečo novšie, niečo čo má v sebe JavaScript. Teda niečo novšie ako IE 2 z Win95.
    19.8.2019 13:24 googler | skóre: 4
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    Vo svojom poslednom prispevku nizsie som reagoval na tie VLANy. Mozes sa na to pozriet? Zatial sa mi zda ze oproti tej tvojej konfiguracii je hlavny rozdiel akurat v tom ze som nepouzil samostatnu VLANu pre UBNT. Myslis ze preto to nefungovalo alebo su aj nejake ine dovody (ked sa pozries na moj posledny prispevok.

    Diky.
    19.8.2019 13:26 googler | skóre: 4
    Rozbalit Rozbalit vše Re: VLAN - MK3011 + Switch TPLink + UBNT APs
    sorry reakcia vyssie mala byt pre Vantomasa

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.