IgaX
-
Posts
950 -
Joined
-
Last visited
-
Days Won
3
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by IgaX
-
-
В 15.06.2017 в 19:40, Dhampir113 сказал:
В сети обычно 4 устройства, Sony M2 Dual (d2302), Samsung Galaxy J1 mini (2016) (SM-J 105h), принтер Epson Xp-320, ноут MSI GT60-0NC (Intel n-2230), вроде все поддерживают 802.11bgn.
пока ожидаете решения от разработчиков еще можно посмотреть нормальные репорты по своим устройствам и понять, что с ними все ок:
D2302
https://fcc.io/PY7/PM-0721
2189029 и 2188943
-> для 2.4ГГц (вроде все ок): PIFA gain 1.31 dBi vs -1.33 dBi для 5ГГц;
-> для 5ГГц: вроде лучше каналы 100-116 потом, видимо, ограничение по старым от TDWR .. и 132-140 <-> PIFA gain -0.55 dBi.SM-J105H
https://fcc.io/A3L/SMJ105H
2863732
-> для 2.4ГГц (вроде все ок): FPCB gain 0.4 dBi, без особенностей.Intel N-2230
https://fcc.io/PD9/2230BNH
1570953итд.
-
1
-
-
11 минуту назад, Dhampir113 сказал:
у меня прост другая область познаний, в которой я "админ", и к сожалению, сетевое оборудование с ней не соседствует даже в километре, поэтому и надеюсь на разработчиков и умных людей в этих краях, в которых я могу только сообщить об обнаруженном баге ("способный на минимальный анализ происходящего"), ну и минимально провести диагностику, остальное мне не по силам.
знакомо. я примерно так же тут начинал =)
-
Ну и поскольку мы тут так или иначе админим свои устройства, то как, наверное, смотрят Админы на беспроводной роутер:
https://www.cwnp.com/uploads/cwna_106_exam_objectives_v6-01_2014.pdf.. ну, это ведь домашний роутер, а значит "все что вы хотели знать, но боялись спросить", т.к. все должно быть вылизано за вас:
- азбука (одна из)
- CWTS (основы)
- CWNA-106 и CCNA Wireless (и вот уже почти Админ)
- CWSP-205 (и враг не пройдет)
- CWAP-PW0-270 + бонус (когда в принципе понимаешь уровень дров и что реально, а что нет, траблшутинг без гаданий итп.итд.)
- CWDP-PW0-250 (когда, наверное, можно предлагать людям интересные реализации).. и (смотрим на свой страх и риск) наступает просветление, чэйнджлог дарит радость улыбки =)
-
1
-
-
1 час назад, Dhampir113 сказал:
закончилось стандартами Wi-Fi
а там пласт выше крыши если с основ беспровода тащить багаж, поэтому разные реализации вполне могут между собой не до конца контачить если по-разному воспринимать смысл настроек .. это только с виду - что там нечего крутить, а если копнуть, то ацкий ппц.
-
17 минут назад, Dhampir113 сказал:
т.е мне лучше просто оставить стандарт 802.11 bg и все наверное?
Да, если пропускной 802.11g для задач хватает.
19 минут назад, Dhampir113 сказал:и ждать
ойй .. уж скоро год =) а так хотелось бы прочувствовать внимание к от корки до корки + + + + + + .. чтобы уже не волноваться =)
-
29 минут назад, Dhampir113 сказал:
при переходе из одного диапазона в другой
диапазон там остается, меняется стандарт:
Скрытый текст
и другие рядом.
29 минут назад, Dhampir113 сказал:как оно может проверить?
будет работать нормально или не будет. скорее всего, не будет. там вроде фарш из защитных механизмов для bg и пр. ненужной шелухи из-за которых у клиентов может крыша ехать - это все можно будет проверить только когда будет удобный доступ ко всем настройкам + зеркальной проверкой всех изменений из пассивного сбора всех пакетов на канале (и это "та" еще задача). а до этого момента можно благополучно забыть, что проблемы могут быть решены.
-
1
-
-
1 час назад, Сергей Молоков сказал:
может все-таки мне не хватает какой-нибудь компоненты
м.б. видит --dh для серверной стороны only.
-
2 часа назад, Dhampir113 сказал:
может сваливается в N или застревает между в выборе
может, на E5832S отключить wifi, он нужен?
2 часа назад, Dhampir113 сказал:Если поможете это проверить
можно попробовать проверить через:
interface WifiMaster0 compatibility N
.. но для меня этот режим губителен, настройки не нра, поменять никак итп.итд. так что не особо рекомендую, сам жду
-
В 14.06.2017 в 18:16, Dhampir113 сказал:
А как бы проверить по протоколу QUIC?
можно попробовать принудительно отключить на клиенте из серии: browser://flags/#enable-quic
можно попробовать убрать все "лишнее", м.б. не миксует:
interface WifiMaster0/AccessPoint0 no wps interface Bridge0 no igmp downstream no ip hotspot no ppe software no ppe hardware no service igmp-proxy
и если выйдет, то добавлять в поиске виновного
-
и с QUIC, похоже, надо быть повнимательнее из-за DROWN .. в т.ч. полезно будет при проверке TLS/SSL .. когда плюшки по сертификатам подвезут.
**
и немного про масштабы пофигизма:
https://drownattack.com/top-sites.html -
44 минуты назад, Dhampir113 сказал:
у меня включено вроде
глянул на ближайшем хроме и хромиуме: QUIC Enabled: false .. в browser://flags / chrome://flags - стоят по-умолчанию (т.е. выключено), а так да, при включении и рестарте браузера видны сессии QUIC на гугловских сервисах.
-
17 часов назад, vasek00 сказал:
c youtube например валит поток QUIC (Quick UDP Internet Connections)
вроде же еще только экспериментально .. да и в browser://net-internals / chrome://net-internals по-умолчанию вырублено.
так-то DASH в основном по HTTP/2 на современных, а UDP пока смысл если ток стримит в лайве.
там в конфиге еще вроде downstream был на мосту, хотя вряд ли там где-то мультикаст образуется и воздух убивает, но для профилактики м.б. .. м.б. питания для шины не хватает под нагрузкой - м.б. БП другой попробовать.
-
4 минуты назад, Dhampir113 сказал:
вот так теперь
и для некоторых яблок еще помогает:
interface WifiMaster0 country-code US
(мало ли)
-
18 минут назад, Dhampir113 сказал:
а вот эта сработала
interface WifiMaster0 channel width 20да ну, зачем себя ограничивать в 20МГц если никто и никому не мешает.
20 минут назад, Dhampir113 сказал:если сделать
interface WifiMaster0 no channel widthто сбрасывается по умолчанию вообще
- вот, то что надо - чтобы никаких channel width в конфиге.
.. и до кучи, "чтобы было", например:
interface WifiMaster0 rekey-interval 3600
хуже не будет.
-
interface WifiMaster0 country-code RU compatibility BGN channel width 40-below up !->
channel width 40-belowэта настройка идет по-умолчанию вроде бы, поэтому можно и удалить из конфига (на всякий).
возможно(!) потому что в нормальном мире при расширении полосы "вниз" не дадут установить "основной" канал меньше 5 .. т.е. 40МГц идут как 5+1 .. и то это не оптимально - желательно не менее 7+3 при расширении "вниз" - если не нужно место из-за соседей выбирать.
show interface WifiMaster0 channels
-> тут как бы все возможно (не, м.б. если оно автоматом грамотно на 20МГц сбавляет, то ок).
в общем, попробуйте для начала поставить принудительно 7-й канал и принудительно вырубить автосканирование (которое вроде по-умолчанию д.б. отключено):
interface WifiMaster0 no channel width 40-below interface WifiMaster0 no channel auto-rescan interface WifiMaster0 channel 7
если получится, то надо принудительно что-то принудить =)
-
22 часа назад, PASPARTU сказал:
аааа как windows машины сихронизировать?
да как угодно.
https://support.microsoft.com/en-us/help/816042/how-to-configure-an-authoritative-time-server-in-windows-server
e.g. "When you run the easy fix solution to configure an external time source you will need to specify the name of your NTP server"или присмотреться к окопу:
https://support.microsoft.com/ru-ru/help/223184/registry-entries-for-the-w32time-serviceили просто сразу все расскажут:
http://windowsnotes.ru/windows-server-2008/nastrojka-ntp-servera-v-windows/или когда этого уже мало:
http://www.timetoolsglobal.com/2013/06/21/how-to-synchronize-microsoft-windows-to-a-ntp-server-1/
https://technet.microsoft.com/ru-ru/library/Cc773263(v=WS.10).aspx#w2k3tr_times_tools_uhlp
https://social.technet.microsoft.com/Forums/windowsserver/en-US/c6b3754d-d3e6-41bd-ac8e-3372a1afef04/ntpserver-registry-key?forum=winserverDS -
1 час назад, Руслан сказал:
как правильно
есть пара моментов после которых все понятно:
1) каждый раз при проходе "шлюза" (хоста) на L3 (т.е. когда на уровне IP происходит т.н. "routing decision") - обычно TTL уменьшается на 1 .. это сделано для того, чтобы пакеты, "которые никто не хочет", не бегали вечно в потенциальной петле, а помирали - если не могли бы добраться до места назначения за N "прыжков"/"хопов" (TTL в данном случае) .. это важно понимать, принимая во внимание: является ли Ваш модем одновременно и роутером или просто пашет как клиент;
2) какой TTL хочет видеть Ваш провайдер .. вот к этому значению прибавляем кол-во L3(!)-роутеров по пути где на каждом потенциально TTL уменьшается на 1 (обычно при этом происходит изменение подсети - чтобы на глаз примерно сразу .. т.е. много "роутеров" в одной плоской подсети еще ничего не говорит), чтобы на выходе в трубу провайдера был TTL, который он хочет видеть .. и ищем нужную настройку .. если сеть не видно, то можно просто попинговать путь - уменьшение TTL будет видно (или не будет - когда не уменьшается) .. ну там .. попинговали свой роутер, попинговали модем особенно если он ~ 192.168.8.1, попинговали шлюз провайдера (если пинги не режутся) .. все где уменьшается TTL станет понятно .. оборудование провайдера в режиме "моста"/"роутера" - все в т.ч. из этой оперы.
3) есть определенные вида трафика, где TTL=1, т.е. предполагается, что этот трафик не должен покидать пределы роутера, а дискардиться, но по факту это для L3 - а на L2 такой трафик можно толкать сколько хочешь (поэтому чаще всего и заморачиваются с L2) .. ну и есть редкие кейсы, когда тебя в мост не пускают, а сразу на форвард .. и вот там TTL=1 может и сгореть, если попасть на "routing decision".
4) в т.ч. есть хитропопые, которые манипулируют TTL, чтобы маскировать узлы и их функцию. итд.итп.
-
9 часов назад, KorDen сказал:
Речь не об OpenVPN на 443 порту
Не, речь как раз о том, что было бы в кассу:
port-share
И если честно, то после WoSign и StartCom читать не стал.
-
2 часа назад, KorDen сказал:
шобы враг не догадался, что впн
они все-равно палятся, когда не по форме отвечают:
https://www.sslchecker.com/sslchecker -
4 часа назад, KorDen сказал:
Вот и сброс
Это смена пользователя. Если бы digest кэшировался, то по кнопке Назад можно было бы вернуться.
Тот же запрос к /ci не кэшируется, поэтому такой подход и работает.
-
1 час назад, vasek00 сказал:
Опять же фишка в том, что данное устройство в маршруте пакета стоит в разрыве между клиентом и сервером, т.е. Сервер ----- устройство ---- Клиент. Он клиент будет думать что работает с сервером хотя на самом деле он работает с устройством.
Нет тут никакой фишки. На устройство завернули, предъявили фейковый сертификат, клиент слопал, после чего устройство прямо совершает невозможное и открывает туннель в сторону настоящей цели и пропускает через себя все. В том же браузере виден сертификат конца туннеля - не надо думать, что устройство никто не заметит, если имитировать этот конец.
Фишка будет, когда пров скажет, что для доступа к интернету установите наш удостоверяющий центр в целях борьбы .. не знаю .. чего там жить мешает .. с лестницами, риск падения с которых почти в 3 раза превышает риск нападения с применением огнестрельного оружия.
1 час назад, vasek00 сказал:Интересен DPI в качестве приорит.трафика и фильтрация
Угу, уже давно
.. а там м.б. и заодно удобный L7-роутинг .. и все остальное за что голосовали =)
-
10 часов назад, vasek00 сказал:
tls для шифрования только начала соединения (handshake, тут не зашифрованная инфа), далее соединение установлено и вся инфа шифруется с помощью SSL
openvpn это тоннель зашифрованный вне зависимости от tls.
Вроде при --key-method 2 используется TLS PRF function, так что формально туннель используется.
10 часов назад, vasek00 сказал:В полном комплекте что было на 2012год http://nag.ru/articles/article/22432/dpi.html
2016год "Защита от кибератак расшифровка SSL" http://www.jetinfo.ru/stati/zaschita-ot-kiberatak-rasshifrovka-ssl
Так же наверное уже читали 2016год лето "Как легко расшифровать SSL-трафик ...." https://roem.ru/26-08-2016/231745/novosibirsk-privacy/
Имхо, что важно:
1) Сбивают, видимо, в основном на ClientHello, где plain text и SNI, да и вообще надо смотреть все оптимизации и extensions;
2) Если очень захотеть, то можно заодно подвязать к ALPN extension (если его используют);
3) В теории, можно дополнительно верифицировать по сертификату в ServerHello, а то, вдруг, не та бездна;
4) Если dpi с mitm, то совсем незаметно выйдет только если "втюхать" в "trusted"-хранилище клиента левый сертификат или CA его удостоверивший .. просто для корпоративного пространства это норма, но частный доступ - святая корова;
5) Если при этом "борзеть" притворством с trusted chain, то специально обученный проект это выяснит и вся планета скажет "фи";
6) Чтобы дешифровать сессию без очень значительных вычислительных мощностей нужно либо снимать сессионные ключи с того же клиента, либо иметь доступ к приватным ключам (а некоторым службам, по идее, не отказывают), но и там палки в колеса может ставить dhe/ecdhe;
7) Часто сервисы/службы имеют определенный footprint, зная его и имея доступ к определенным исходникам, в теории, можно стоять незаметно под фонарем открытых портов даже для продвинутых зондеркоманд.Так что .. на мой взгляд, - не те джунгли, где dpi может быть комфортно.
-
16 минут назад, KorDen сказал:
штатное openvpn'овское port-share
проксирование самим openvpn.
я ж говорю, tls1.2, дерзайте с dpi, остальные уже некошерные вроде .. как разгрызут как раз неубиваемый 1.3 подойдет .. как этот разгрызут, надеюсь, уже Марс или Луну начнем колонизировать и на эту хрень кому чего запрещать времени уже не будет =)
ну вот где там в tls-хендшейке есть возможность привязаться к разграничению на уровне application? .. к тому моменту cipher suite уже взлетает и усеее .. хава нагила =)
-
1 час назад, Le ecureuil сказал:
про статистический анализ
=)
как серфинг и voip .. но педалируя до tcp congestion с паттерном уже будет проблематично
.. а там м.б. и заодно удобный L7-роутинг .. и все остальное за что голосовали =)
Снять лимит ограничения пользователей.
in Развитие
Posted
если в cli ограничения на ip traffic-shape host, то я бы поставил пачку на тараканов в сторону установки vlan id тогда уже непосредственно на клиентах через диспетчер устройств на сетевых или тэгированием виртуальными а-ля hyper-v с разборкой по бриджам (сколько их макс.?), шейпированием на них же, м.б. еще ip hotspot policy, а там по вкусу .. исходя из возможностей каждого клиента уже бы подумал как лучше все сегментировать/сгруппировать.