Не ми се иска да отворя ssh за света. Първо VPN, тогава SSH. Вкъщи всичко ми е зад VPN, като се вържа в него, чак тогава останалото. Но някои ресурси са видими само за LAN.
Що, кво ще стане ако отвориш ssh за света?
Една крачка по- малко до сървъра, какво толкова? Плюс това, в рутера режa всичко, което не идва на VPN още в prerouting. Имах един такъв колега оптимист, вярно ползвал слаба парола, вместо сертификат или двуфакторен, но му бяха брутнали сървъра и беше заботил. Количеството изтекли пароли е огромно, вече съм виждал няколко мои от преди десетина години.
Иначе предпочитам SSH + VPN и защото мога да си рутирам целия трафик към вкъщи чрез VPN-а, а не само чорапите на SSH. Понеже ползвам и други неща, VPN-а ми върши работа. Всичките ми ресурси в ажура минават през VNet, част от който е и към вкъщи. Просто VPN-а ме връзва в мрежата и от там си действам каквото искам, а не някакъв сървис и от някаква си машиня някъде си да се довръзвам до останалото.
Всъщност не се изразих правилно, предпочитам удобствата на VPN.
Ма ти от некакви секюрити съображения ли тва? Бах. Голямо значение няма напротив на колко нелогично ти се струва на първо време. Първо, и openvpn сървъра и sshd-то ако случайно се окаже че има некаква грандиозна подмолна простотия водеща до remote execution у демона, водят до точно едно и също и това не е толкова неочакван. Малко подобно е на казуса "sudo chep; sudo zele..." vs "su - ...;chep; zele ^D". Рут акаунта вреден, ще го деактивираме и вече прайм всичко през sudo. Убу де, но както при повечето революции, нещата вземат да се израждат. Така имаме няколко на практика суперакаунта, но да все пак нали sudo позволява повече гранулярност и затова гледаш изпълнения. То само като се логнеш на такава машина с повече от няколко юзъра където властва убунтувщината, четеш sudoers и почваш да се хилиш. Имаше един пич навремето ръгнал suidperl там и се чудя що за олигофрения, мое ли да е толко прост, обаче после се замислих че може би все пак е някакъв тънък убунтувски хумор с не толкова тънък намек че тоя е от суперакаунтите. Както и да е, стане някаква такава тъпотия и оттам нататък няма значение.
От криптографска гледна точка също не си правиш особено голяма услуга. Да речем и VPN тунела и ssh-то ползват (за удобство) и двете aes256, детското наивно усещане би било че ефективната сигурност е като ключа да има ентропия 256+256=512 бита, нали така. Естествено не - хипотетичните свръхсили на злото първо биха атакували ключа на vpn-а (поради тва че има предвидими IP хедъри дето са криптирани само от тунела, crib да го кажем). След като го имат, ще атакуват вече ssh ключа, следователно максимум 2^256+2^256 = 2*2^256 = 2^257 "опита" при брутфорса. Ама как така нали шяха да са 512, защо 257 - еми така, изглежда като да не е толкова странно май. Значи файдата не кой знае каква и надали си заслужава похабената честотна лента от овърхеда на тунела.
А и рутирането на трафик през тунела (да, ясно че в някои случаи е удобство дето ssh тунелирането изобщо не може да ти го даде) в крайна сметка е като голямо дебело розово еврогейско дилдо от тея с два края. Т.е несъмнено може да е много удобно, но несъмнено може да се преебеш без да искаш да изкарваш трафик през където не трябва. Аз до работата VPN-а обикновено му набивам статични маршрути само за няколко мрежи (с доста орязан префикс) дето ми трябват, нищо останало никога не минава през тунела. Но да де, когато vpn концентратора е вкъщи, тогава точно това не стои като проблем, има други проблеми.
В крайна сметка обаче това със секюритито не би трябвало да е решаващ фактор така или иначе, дори е вредно човек да се замисля много за такива простотии защото най-много да сътвори некаква тъпотия, колкото и да е умен, даже май колкото е по-умен, толкова по-големи тъпотии натворява.
VPN-на ми е до големия рутер, после правя SSH до сървъра. Между сървъра и големия рутер има още един малък рутер. Верно, микротици, не аси, но пак стават. Ако пробият VPN-а ще влезнат до ресурсите за VPN-a, който да речем е в мрежа 10.10, докато главната мрежа е 192.168.0, а сървърите са на 192.168.1, 192.168.2 и т.н. А мрежата за телевизорите въобще не минава през големия рутер, те са си директно от виваком. На теория мога да слагам допълнителни стени, включително и пауло алто някъде между тях. Нататък само това, което ми трябва е разрешено за 10.10. Един авер бивш главен мрежар в ХП ми дава акъл за мрежата, някои неща ги разбрах впоследствие. Ако някой ден мина на фриланс, лесно лога да си пусна и втори доставчик. Във всички стаи имам по 2 кабела етх, в хола имам 4, общо 10 кабела. Просто се разделят на различни мрежи, което е евтин начин и в бъдеще 3 НАТа ще ми правят проблеми, но все пак не съм офис с 10 ропчета.
gat3way
Създадено на 31.01.2021, видяно: 1178 пъти. #27745
А боже, ти си се престарал, закво са ти тия микротици, закво са тия чудесии.
Много просто, имам реален гигабит вътре, рутера си има повече опции, много опции, не е прост tplink и мога да направя описаното. Откъм цена/възможности съм много доволен от микротика. Браво на латвийците! RB4011iGS+ Имам и един по- домашен, 5 порта и 2 кап устройства. Ползвам вивакомския за guest network , 2.4Ghz, 5Ghz. Скоро ще си слагам и surveillance. Ако убедя кооперацията да набием пари и навън ще сложа surveillance, но тогава ще изкарап кооперативното сървърно другаде, ще го интегрираме даже чиповете за асансьорите, входа, ВходЪ и т.н. Най- много искам да ги навием за слънчеви панели на покрива и тесла батерии и да продаваме ток, обаче май скоро няма да стане. Но евентуално след време, да се навъдяд повече електрички, сами ще искат.
Убикуити са по- user friendly, по- скъпи, горе долу същите възможности. Сиското вече си гони цена, за вкъщи не става, но в офиса пипам асата.
Ако някой ден си построя къща около панчарево (банкя не ми харесва, живял съм там, имам рода там, не), ще си набия панели задължително. При баща ми имам агрегат, ако падне тока, но е на ръчно, трябва да се превключи от таблото
gat3way
Създадено на 01.02.2021, видяно: 1165 пъти. #27747
Това е дивотия според мен за домашни изпълнения, микротика е хубаво нещо от гледна точка на това че някой вече е помислил за доста неща (хардуер най-вече), но реално за почти всички възможни домашни цели е безумие, ако имаш акъл в главата ще се оправиш далеч по-добре и евтино с некоя лайнукска машина вместо това. Микротиците все пак си имат нишовата употреба примерно когато се правят long range 802.11 връзки, предимно заради тва че в тоя случаи има някакви по-специални изисквания и че се гледа да се минимизират сметките за ток. Не казвам че е лошо, дори обратното, хубаво е човек да си прави ескперименти с домашната мрежа, навремето отдавна вкъщи верно и каталисти са минавали за експерименти в употреба, и доста повече хостове съм имал (особено покрай копаенето на койни). Ма ся не ми се вижда особено смислено. Всъщност да, варианта с tplink-а и всичко зад него (при мен не е така, луникс машини са си и до ден днешен, но имам tplink-ски AP за домашен достъп верно) не е чак толко лош, все пак човек нема големи нужди, домочадието тоже.
tplinka ще сдаде багажа на много по- малко натоварване, отколкото микротика. А и имам много кабели, да ги връзвам с тплинк и да натя всичко без читав firewall, плюс имайки предвид, че са по- продупчени, а и как стоят нещата с тплинк и ипсек, не съм виждал тплинк с интерфейс затова. В момента мога да си дърпам имиджи от NAS с голяма скорост, докато някой си дърпа с 100 мегабита нещо от нета. Даже виваком не знам какво са пуснали, но на моменти имам скорости в бг от около 400 мегабита. с gpon до апартамента съм. Ако рутерите с оптика бяха по- евтини, щях да пусна оптика в самия апартамент. Отделно и мога да слагам и куота и т.н. Микротика ми е и вътрешен DNS, за да не помня IP-та, всичко вътрешно ми е на domain.lan.
gat3way
Създадено на 01.02.2021, видяно: 1143 пъти. #27754
Аз на въпросния tplink изобщо и не натвам, всичкото рутиране, натване, пакетни филтри и прочее ги правят линукски машини. Не знам и какво натоварване, сега реших да погледна, тоя интерфейс към който е вързан tplink-а е с усреднен откакто е вдигнат около 1.4mbps изходящ и 113kbps входящ трафик, което е нищо, верно пиковия load сигурно е различна история, но отдавна не се занимавам да събирам и чертая rrd графики за такива простотии, навремето беше някъде 30-40mbps, сега е възможно покрай тея локдауни да докарва и повече, знам ли, все пак обаче не изглежда като tplink-а да не смогва да се оправи.
То дебели тръби до вкъщи може и да има иначе, въпросът е че като няма с какво да ги запълниш кел файда. Все пак преди време попаднах на една доста странна гледка отивайки в мазето, която сериозно ме хвърли в размисъл дали да не сменя доставчика, сега аз не че не толерирам хаос и анархия, ама тяхната кутия ми дойде леко в повече и им теглих няколко майни на тъпотията, всъщност то толко ме потресе че чак го снимах тва, не изглежда прекрасно:
Падат кабели и суичове В избата при мен е същото. Мтел са същите мърди. НЕТ1 вече нямат съпорт като хората. Като се чудех на кой да се пусна, имах уникалния избор между Мтел и Виваком. Всичко друго не беше оптика до вкъщи. Първо ходех до офисите, не могат да ми обяснят как идва до нас. Звънях по телефоните им и те. Не предлагали услуга консултиране за частни лица. Занимавах се да разпитвам всичките мрежари, които познавам и да чета в нета. Защото някои от тях имат уникално тъпи решения.
На първо време, вече всичко е IPTV. Всичко ОК, но имам 3 телевизора, а те ми предлагат 1 рутер с 4 изхода, т.е., запълвам ги изцяло. Ако искам да пусна 4-ти, започва да става сложно. След това, IPTV-то им е тагнат график/тунел на IP протокол. Всъщност, открих в нета как някой си суичва точно виваком през микротик, но утре може да сменят нещо и почвам да гадая и се отказах от този вариант. Затова се спрях на вариант по 2 UTP кабела навсякъде. На всеки телевизор ходи кабел за телевизия и отделен за интернет. Отделно на бюрото имам кабел за машината и втори за друг рутер, зад който да са други рутери или машини (или суичове). На 2 от телевизорите имам и CAP, който пуска wireless и отделно интернет по кабел до телевизора. С микротика мога да си настройвам кое ми е вход и кое ми е изход и как да го бриджвам или не. Така утре пускам и мтел спокойно за резервен доставчик. Освен, че сегментирам лесно мрежата така, вътрешния ми трафик минава през якия микротик, а не през сдъфкания нокия рутер на виваком. Скоро ще си направя някакъв single board клъстър (или ще си купя готов такъв), искам да мога да си тегля големи имиджи от NAS-а с висока скорост. И в момента ми трябва да дърпам имиджи от NAS-а за virtualbox, например. В същото време този трафик, вътрешния, не минава през сдъфкания нокиа на виваком, който вече е ютилизиран от трафика за IPTV. В същото време, има достатъчно място по жицата (не на йовков), някой да си пусне торент към NAS-а и после да си го гледа на телевизора. Ако сложа куоти, освен, че някой ще може да дърпа, да речем с 50 мегабита, друг/двата да играят с още 50 мегабита. В същото време имам и 2 CAP-а и не ми се налага да превключвам между мрежите в апартамента като шашав и имам отделен guest network, в който няма достъп до вътрешните ресурси. Всичкото това ми струваше 500-600 лв за рутери, 100 и нещо за кабел (имам опънат 250 метра кабел ) и 10 le grand valena 2xRJ45 (те бяха по 20 и нещо лв на парче). Легранда е по- скъп (към 30 и нещо), но го взех през фирма и ми отстъпиха ДДС, така че ми дойде на 20 и малко лева на парче, защото взех общо над 70 конзоли (над 50 контакта, 10 2xrj45, девиаторни ключове, еднополюсни ключове, etc.). Що пуснах толкова контакти и аз не знам, слушах и изпълнявах В кухнята имам към 20 и малко контакти.
Сега, виваком, например, имат драма, ако до вас идва ethernet,а не gpon. Ако в този случай сложиш техния рутер и после суичваш за телевизия и интернет в друг рутер, няма да стане. Трябва да сложиш суич преди техния рутер и тогава техния рутер и нататък само кабел за телевизиите или техен рутер (или се опитваш да им претагваш телевизията). Но трябва да е суич, да не прави нещо специално на tcp/udp ниво. 2-ма колеги имаха този проблем. Вероятно мтел имат същия проблем.
Не си сложих FTP, защото нямам реална дефектнотокова защита и заземяването щеше да фиктивно, препоръчаха ми да не го правя. Токът върви на 2 метра от пода, докато етера върви на 20 см от пода. Не се пресичат никъде, така че стана и UTP
gat3way
Последно редактирано на 01.02.2021 от gat3way, видяно: 1140 пъти. #27756
Нямаш идея колко си прав с тва "мтел са същите мърди", абсолютно същите мърди са защото са си мтел.
IP телевизия изобщо не ползвам (ползвах за месец-два преди време и много набързо се отказах). Малоумници са и компресират видеото с некакъв противен за гледане (на голям телевизор особено) битрейт и всичко живо къде гледа телевизия (чаветата най-вече) се оплаква че е по-зле от кабеларката. Но иначе като цяло почти навсякъде изпълненията са с мултикасти, те се рутират проблемно верно, а тея консюмърските рутерчета може и да не може въобще да го правят, но вместо да си троша времето и нервите да ги флашвам с некакви малоумни хакерски фърмуери ми е далеч по-лесно да го правя на лайнукса, там поне е ясно как се прави.
Е RouterOS е една идея по- близко до обикновения линукс. Има още колко разновидности.
Не гледам много телевизия, но с тази конфигурация виваком са ок. Но този конфигурация я ползвам отскоро, трябва да мине време да видя реално.
gat3way
Създадено на 01.02.2021, видяно: 1132 пъти. #27759
Е не знам, може. А, всъщност сетих се, допълнителния проблем покрай това е че им блъскаха някакво доста нисък TTL, та ако искаш да рутираш iptv трафика всъщност бяха два проблема - мултикаст рутирането там с igmp простотиите да се абонира както трябва за мултикаст групите и да размотава пакетите и втория да набиваш на входящия трафик по-висок TTL, за щастие последното става лесно, но е още една драма ако не може да се прави с домашното рутерче.
Rabin
Създадено на 01.02.2021, видяно: 1119 пъти. #27764
Ненене, изобщо не гледате телевизия и аутистични реклами през 10 мин.
У всяка стая теле-визор, чак портовете не им стигат!
И кви са тия рабиноизми с линуксите? Я марш у вай-корнера, те изгнилите имат готово решение за всяко чифтокопитно, а каката с кредитите чака на вратата. Преди няколко месеца търсих монитор за едни роднини, то кредитните хиени са повече и от продавачите, а надценката е 30% минимум!
gat3way
Създадено на 01.02.2021, видяно: 1114 пъти. #27765
Уплашиха ли те каките с кредитите? Това гана, крънка кинти, звучи страшно.
Rabin
Създадено на 01.02.2021, видяно: 1111 пъти. #27767
Уплашиха ли те каките с кредитите? Това гана, крънка кинти, звучи страшно.
Всъщност да. Като комари ме следват в тия техно-магазини, направо ми е обидно да ми предлагат кредит за кирлив телевизор.
Няма кого да питам по техническо естество, ама кредитните мърди ми ходят по гъза, като насиктиря единия после иде следващия.
gat3way
Създадено на 01.02.2021, видяно: 1108 пъти. #27768
Ем кво да кажа...или изглеждаш като некой наивен прошляк дето става за издояване, или не можеш да ги гледаш достатъчно страшно така че да те оставят на мира още от входа. Аз що го нямам тоя проблем, а?
Rabin
Последно редактирано на 01.02.2021 от Rabin, видяно: 1106 пъти. #27769
Ем кво да кажа...или изглеждаш като некой наивен прошляк дето става за издояване, или не можеш да ги гледаш достатъчно страшно така че да те оставят на мира още от входа. Аз що го нямам тоя проблем, а?
Особено по тия локдауни като влезеш в техно-магазин и има 2 групички. Една малка група продавачи и една голяма с кредитни врънкачи.
Клиенти все по-рядко виждам, абе рабинизира се народа. Надценката е брутална, и овчетията почна да се сафирясва. Монитор за 320 кинта взех с 10% надценка щото от фирма посредник, по волята на мойте хора. Същото нещо със 100 кинта нагоре в техно-магазина, и поне трима ми ходиха по гъза да връункат за кредит, щото други клиенти в магазина нямаше.
Айде чак не съм ги псувал, ама все по-нелюбезно ги разкарвам. Да е автомобил, да е къща - нормално е да нямаш кинтите кеш, ако толкоз те влече логично е да затънеш у заем. Ама за 300 кинта да ми предлагат кредит е като путка-философ също, там големите американци, те серяли ние сме ядяли.
Виж темата за линковете, ората почнаха да си псуват как си требе. Тоя Васко е ТИР-аджия у ФАЩ (село чекии), ако лумпенотията с рекламите извира от ФАЩ, то бедноторът и овчедушието с безплатните овъртайми си е чисто български патент.