szt

Zálohu lze zautomatizovat. V nabídce system/scheduler si můžeš naplánovat naplánovanou úlohu, takže třeba každých 24 hodin vykonat zálohu. To se udělá třeba skriptem: /export file=config.rsc/tool e-mail send to="mail@mail.cz" from=$mailfrom subject=("{mtbackup} " . [/system identity get name] . " backup, " . [/system resource get version]) body="See attached file for configuration export." file=config.rsc Předpokladem samozřejmě je korektně vyplněný účet a SMTP server v tool/email. Za ten exportní příkaz lze zvážit parametr hide-sensitive, podle toho jak moc věříš mailu. Inspirace: https://ibb.co/g3H5X9Y V testovacích verzích je už možnost zálohovat i do Mikrotik cloudu (nabídka ip/cloud) - viz https://wiki.mikrotik.com/wiki/Manual:IP/Cloud#Backup, takže skript zálohující do mailu bude brzy obsolentní.

Bridge L2 funkcionalita, virtuální interface, nadmnožina nad definovanou množinou fyzických interfaců. Pokud jsi použil quickset tak v tomto bridgi budeš mít zařazeny interfacy ether2..ether5 a wlan1..wlan2, čímž byl vytvořen lokální "switch" pro vnitřní síť. Tedy je to OK. Podívej se do Bridge/Ports, tam by mělo být vidět co do toho bridge všechno patří. Potom cokoli co je L3 (např. IP adresa) se pak nenastavuje na fyzický interface, ale na bridge. Což uvidíš když se podíváš do IP/Addresses - IP providera budeš mít na ether1 (což je fyzický port), nikoli nad bridgem (je zbytečné dělat jednoprvkový bridge). Naopak vnitřní IP adresu budeš mít nad tím bridgem, protože chceš aby byla nad každým prvkem toho bridge a chceš aby se každý port vnitřní sítě jevil jako by byl v jednom switchi. Winbox ti zobrazí totéž co webfig, a na MACu spouštět lze, byť s jakousi emulací. Nicméně pokud jsi applista a máš iPad, můžeš použít i https://apps.apple.com/us/app/mikrotik/id1323064830 Backup konfigurace uděláš příkazem /export file=nazensouboru.txt pak se ti objeví ve files a jen si ho přetáhneš do počítače.

Pro WPA2-EAP potřebuješ RADIUS server, což předpokládám nemáš. Takže (zatím) ne. Když budeš šikovný, třeba se časem k RADIUS ověřování dostaneme :-) Změň prosím na indoor, zejména na wlan2, která je na 5GHz, minimálně ti to umožní širší výběr kanálů (protože některé 5GHz kanály jsou určeny právě pouze pro indoor užití, viz výstup příkazu /interface wireless info country-info cz ). --- /interface wireless info country-info cz ranges: 2402-2482/b,g,gn20,gn40(20dBm) 2417-2457/g-turbo(20dBm) 5170-5250/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(23dBm)/passive,indoor 5250-5330/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(20dBm)/dfs,passive,indoor 5490-5710/a,an20,an40,ac20,ac40,ac80,ac160,ac80+80(27dBm)/dfs,passive 5190-5310/a-turbo(20dBm)/dfs 5180-5300/a-turbo(20dBm)/dfs 5520-5680/a-turbo(27dBm)/dfs,passive 5510-5670/a-turbo(27dBm)/dfs,passive 902-927/b,g,g-turbo,gn20,gn40(30dBm)

Za 500EUR a s modrou LED by to mohl být například Cisco AIR-AP2800, modrá LED je tam ve chvíli kdy je připojen alespoň 1 klient. Výkon max 200mW, a pokud ten kdo to instaloval respektuje EU normy tak max. 100mW jak na 2, tak na 5GHz. Pokud ti v souvislosti s WiFi vypadají vlasy, bude to ze stresu, ale datasheet https://www.cisco.com/c/en/us/products/collateral/wireless/aironet-2800-series-access-points/datasheet-c78-736497.html by mohl tvůj stres snížit - je tam jasně uvedeno max. 200mW, což je navíc povoleno pouze v některých zemích.

ad "V tuto chvíli jsem hrál na jistotu a nastavil pouze WPS2, skryté SSID, smazání Admin účtu po vytvoření mého + poslední FW. Plyne z toho pro mě hodně otázek a nechci se ptát roztříštěně, takže až u toho bude sedět, nějak to zkonsoliduji." Co mne napadá: WPS2 je předpokládám nechtěný překlep, ale pro jistotu - předpokládám že jsi v wireless/security profiles/profilex nechal pouze WPA2/aes ccm, v témže okně jsi zakázal PMKID a dále že jsi v menu wireless/wlanx/wireless/wps mode) zakázal WPS. V témže okně pak korektně nastavený frequency-mode na regulatory-domain a tři řádky níže.poslední fw (packages) z řady long-term, následně v system/routerboard/upgrade i upgrade bootloaderu (analogicky jako na Ciscu odlišujeme bootloader a OS)pro budoucí updaty pak sledovat například https://twitter.com/mikrotik_buildskrývat SSID není funkcionalita bezpečnostní, ale organizační - například když nechci aby hosté v kongresovém centru viděli různá technologická SSID, která by je leda mátla a zbytečně by se chodili ptát které je vlastně určeno pro hosty. Sniffne-li si ovšem kdokoli rádiový provoz, v rámcích uvidí i "skryté" SSID, tedy pokud jsi SSID skrýval kvůli bezpečnosti, je to nadbytečné. Obecně bezpečnost se nikdy neřeší tím že něco skryji. (Srovnej https://cs.wikipedia.org/wiki/Security_through_obscurity )Pokud by se otázky týkaly konkrétní konfigurace, přilož prosím i její export bez citlivých údajů (na příkazovém řádku terminálu Mikrotiku příkaz "export hide-sensitive".) A gratuluji , protože ať je to jak chce, dokázal jsi jakožto laik něco s čím má spousta "profesionálů" nepřekonatelný problém, jak ostatně vidno i zde. :-)

ad dosah: Dosah musí být nutně podobný u čekoholi. Ačkoli se výrobci v rámci "reklamštiny" a boje o zákazníka předhánějí ve výkřicích "více antén, více Adidas", případně "nejsilnější WiFi ve vesmíru", již cca dvacet let existují limity dané homologací, a tyto limity jsou (nepřekvapivě) pro všechna zařízení stejná - 100mW, viz https://www.ctu.cz/upozorneni-pro-provozovatele-zarizeni-rlan-v-pasmu-24000-24835-mhz-podle-generalni-licence-c-gl V reálné praxi - více antén má to smysl tam kde se vysílá vícero (sub)kanály současně, ale to není o dosahu, ale o rychlosti, paradoxně na krátkých vzdálenostech (na dlouhou vzdálenost se beztak využije "pomalejší" modulační schema, více odolné vůči chybám viz např. http://mcsindex.com/). A jinak nejvíc by si lidé zvýšili dosah nikoli větší anténou, ale správným nastavením využití kanálů, ono jaksi ani dvacet antén moc nepomůže, když si nastavím stejný kanál jako soused. (Podobně cynické pravidlo jako "než si kupoval o 100g lehčí kolo je jednodušší dvě kila zhubnout".) Závěr: Krabička s osmi velkými anténami vypadá v regále velmi sugestivně, ale homologační limit je homologační limit. Ostatně stačí si přečíst články z doby kdy začínaly integrované antény u mobilů, jak majitelé Dancallů, Fizzů, Nokií 2110 a Motorol d460 prskali a "odborně radili" že výsuvná anténa je lepší a že integrovaná musí být špatná. A kdo dnes nosí mobil s výsuvnou anténou ? Kdo dnes při nákupu porovnává "kvalitu signálu" mobilu? Tak to lidi nedělejte ani u WiFi, ono těch 1800 a 2400MHz zase tak odlišné frekvence nejsou. Vliv antény na dosah se přeceňuje, pokud mám někde dosah znatelně horší než s jiným zařízením, je to buď extra nekvalitní chipset, interference, rušení, ale nikdy ne tvar nebo velikost antény. Proč lidé při výběru WiFI řeší velikost antény by možná ve skutečnosti nejlépe věděl zesnulý Sigmund Freud :-)

ad "lehce seznámený smrtelník, jako jsem já je nemá šanci rozchodit" To jsou kecy, které slyším často, zejména od kolegů ajťáků. Ve skutečnosti má smrtelník naopak větší šanci než část "expertů", protože je narozdíl od "experta" pokorný a nechá si poradit. Největší problém s tím mají experti kterým se nechce přemýšlet, nebo kteří nedovedou abstraktně přemýšlet. Ukradnu myšlenky profesora Kulhánka z matfyzu: https://www.aldebaran.cz/studium/f1/pdfs/f1-1_veliciny.pdf Profesor Kulhánek tvrdí: V průběhu svého vývoje prošlo lidstvo třemi stupni abstrakce: 1. oddělení čísla od předmětů. Malé dítě počítá různé předměty: tři hrušky, dva domy, pět lidí. Číslo je vždy spojeno s nějakým předmětem a čtyři domy jsou něco jiného než čtyři limonády. V určitém věku začne ale dítě chápat číslo 4 samostatně. Ukáže ho na prstech a ví, že jde o čtyři výskyty jakéhokoli předmětu a netrvá již na tom, aby byl dotyčný předmět jmenován. V tuto chvíli si každý z nás prodělal první stupeň abstrakce ? oddělení čísla od pojmu. Číslo nahradilo předměty. 2. zavedení zástupných symbolů. Tento stupeň abstrakce jste pravděpodobně zažili na základní škole při počítání obsahu obdélníka. Nejprve paní učitelka kreslila různě veliké obdélníky na čtvercové síti a počítali jste jejich obsah podle počtu čtverečků. Po určité době jste se dopracovali ke vztahu S = ab. Čísla zmizela. Zůstaly zástupné symboly a, b pro velikost stran obdélníka a písmenko S označující jeho plochu. Čísla byla nahrazena proměnnými. 3. oddělení vlastností od matematických objektů. Před malou chvílí jsme se zabývali vektory. Představili jsme si je jako tyče, které jsme se naučili natahovat a skládat. Ve skutečnosti jde ale o jednoduché operace s trojicemi čísel. Tyto operace mají zajímavé vlastnosti, které jste si mohli vyzkoušet v příkladu 1.6. Například složit dvě tyče a poté je natáhnout je totéž jako natáhnout každou z nich zvlášť a poté je složit. Ve třetím stupni abstrakce se přestaneme zabývat konkrétními matematickými objekty, jako byly naše pokusné tyče. Zajímat nás budou jen vlastnosti těchto objektů. Bude nám jedno, zda jde o tyče, jablka, matice, funkce či cokoli jiného. Ať je objektem cokoli, naučíme se ho natahovat a skládat s jiným podobným objektem tak, aby tyto operace měly stejné vlastnosti jako u tyčí, na kterých jsme si to vyzkoušeli. Při třetím stupni abstrakce mizí matematické objekty a zůstávají jen vlastnosti. Hovoříme o zavedení tzv. lineárního vektorového prostoru. Takovým prostorem rozumíme jakékoli matematické objekty (vektory, matice, funkce, řešení diferenciálních rovnic), které umíme natahovat a skládat tak, jako jsme to dělali s původními tyčemi. Projít si tímto stupněm abstrakce bude jedním z nejdůležitějších úkolů na počátku vašeho studia a bude to proces velmi bolestný, co se přemýšlení týče. Některým se to podaří, jiným nikoli. Těm prvním se otevře zcela nový svět, ve kterém budou schopni do hloubky porozumět Fourierově frekvenční analýze, pochopí jak hledat řešení soustav diferenciálních rovnic, jak zjednodušovat složité úlohy za pomoci linearizace a naučí se mnoho dalších dovedností. Ti druzí budou pasivně počítat různé úlohy, aniž by někdy porozuměli jejich podstatě. Pevně věřím, že u většiny z vás zvítězí touha po poznání nad pasivitou a probojujete se do první skupiny. Já analogicky tvrdím že síťařina není těžká, jen se na to nesmí člověk dívat na levelu "1-malé dítě", level1) ikonky v "omalovánkách"-grafické rozhraní routeru (pak zvládnu jen to kde jsou obrázky - ASUS, TP-Link a pod) level2) textové řádky někde v příkazovém řádku (pak zvládnu Cisco CLI i Mikrotik) level3) oddělení zamýšlené konfiguarce od konkrétního výrobku a schopnost abstraktně popsat zamýšlenou konfiguraci tužkou, papírem a OSI modelem (pak zvládnu jakékoli zařízení, i to které jsem v životě neviděl) Onehdy tu kdosi prohlašoval že OSI model je zbytečný, že ho nikdo nezná a tak. V tom že ho spousta "expertů" nezná měl pravdu, to jsou ovšem experti na levelu 1. Pokud začne někdo přemýšlet na levelu 3, otevře se mu (analogicky jako v matematice) zcela nový svět. Jenomže myšlení na levelu 3 chce opravdu hodně přemýšlet, bolí to, ne každému se to podaří a navíc a lidsky chápu že když někoho uživí level 1, proč by se snažil o něco víc. Když má někdo dost zákazníků kteří se nikdy nezeptají co je to KRACK nebo PMKID, proč by se o to měl zajímat. Když má někdo dost zákazníků kteří jsou ochotni si kvůli chybnému ovladači tiskárny nechat reinstalovat PC, proč se učit architekturu print spooleru. No a s těmi Mikrotiky je to podobné. Když "asistentovi prodeje" u mimozemšťana stačí říct "pane tenhle router je super" a zákazník se s tím spokojí, proč by to neměl tvrdit ? Já si takhle jednou nechal od prodavače poradit horské kolo, až za tři roky mne kamarád upozornil že ten rám je na postavu o 40cm nižší ... stálo mne to tehdy 30k a shrbený záda, před dvaceti lety to pro mne bylo dost peněz. Nějaký nešťastný výběr routeru je proti tomu nic :-)

ad " Je to z dovodu chybajuceho certifikatu. Tu mas navod ako to vyriesit: https://superuser.co...e/632060#632060 " No to je super rada. Když si někdo nasadí do "Trusted Root CA" certifikát jakéhosi obskurního triviálně hacknutelného zařízení, co se stane až toto zařízení někdo hackne a rozjede na něm MITM transparentní proxy, která bude modifikovat všechen http i https provoz, přičemž modifikovaný https obsah bude podepisovat tato CA ? Root CA musí splnit hoooodně tvrdých požadavků aby se do toho seznamu v defaultu dostaly, a rozhodně se nepočítá s tím že si tam lidé budou dávat vlastní obskurní autority.

ad "resp IP adresou s číslem portu, což je totéž." HTTPS má smysl jen a pouze pakliže je pro daný webserver, resp. pro dané URL vystaven validní https certifikát. Ten z principu žádná soudná autorita nevystaví na IP adresu, a dost silně pochybuji o tom že sis před přechodem na https nechal vystavit certifikát pro dané URL, byť v DNS tvaru. Za situace ve které jsi klidně do routeru přistupuj (z vnitřní sítě, ideálně pouze po kabelu) přes http, https tam nemá (nutno dodat že s ohledem na ostatní okolnosti konkrétní situace) smysl. Pozor, píši "s ohledem na ostatní okolnosti konkrétní situace", ne že si někdo z mého příspěvku vezme že https nemá smysl obecně. Pod slovem "váhavější" myslíš co? Že tě zařízení upozorní na to že nemáš validní certifikát? To je upozornění zcela na místě, protože bez validního certifikátu beztak nemá klient možnost ověřit zda se baví s tvým routerem nebo s webserverem útočníka. Jinak pokud jsi se o přechod na https snažil ve snaze "zabezpepečit router", je to v dané situaci zbytečné, zranitelnosti jsou jinde a jsou mimoběžné vůči (ne)zapnutí https. Buď to nech jak to je (a akceptuj rizika, tak jako tví sousedé), prostě proto že ambici na maximální možnou bezpečnost nemáš, nebo ho vrať tam kde jsi ho koupil a začni znovu s jiným výrobcem. Tunit Asus nemá smysl, snaha se cení, ale Asus má své limity. Pokud to děláš protože tě téma zajímá, i tak je to špatně, na Asusu leda získáš nesprávné návyky které tě pak bude muset někdo odnaučovat s vynaložením většího množství energie, než kdyby tě to učil celé z nuly. Pokud dobře počítám, už jsi na tom strávil dva večery, za tu dobu bys měl nastaveného Mikrotika i s vysvětlením proč který řádek, čímž by jsi získal lepší znalosti než mnozí "specialisté" zde. :-)

Marouše si pročtu. Máš v mnohém pravdu, ale fórum se jmenuje "Dotaz na IT specialisty a všechny, kteří vládnou PC", snažím se tedy odpovídat jako specialista. Současně jsem realista, neočekávám že se někde zvedne a odnese ASUS do popelnice, ale pokud se stane to že si dva lidi nastaví delší PSK a zkontrolují zda mají v rámci možností instalovány updaty, nesnažil jsem se zbytečně. Pokud bychom se bavili zda nějaká situace je či není reálná, co třeba https://www.novinky.cz/krimi/clanek/zridil-internet-pro-sousedy-nyni-jej-maji-za-pedofila-40242334 ? V článku zmiňovaný nešťastník nasdílel internet sousedům vědomě, vyvíjel by se však příběh jinak pokud by nasdílel internet nevědomě, tedy jen tím že provozoval mizerně zabezpečenou WiFi? A pokud jde o kradené věci a jinou trestnou činnost (podvody) na bazos.cz a podobně, odpověď na otázku zda toto Policie v praxi řeší či neřeší lze nalézt například v rozsudku https://iudictum.cz/267093/iii-us-2444-17 Tady byl pachatel hloupý a používal IP adresu otce, ovšem nic mi nebránilo hacknout mizerně zabezpečenou WiFi souseda a zajistit tím kvalitní zábavu sousedovi.

Jinak experti jsou od toho aby strašili. Dermatologové straší melanomem, UV zářením, plynaři straší nutností čistit kotle, každý něčím straší. Mizerně zabezpečená domácí WiFi někoho kdo si o sobě myslí jak je jako cíl "nezajímavý" je super například pro někoho kdo páchá trestnou činnost (např. prodej kradených věcí nebo drog přes internet, dětská pornografie) a potřebuje mít IP adresu která s ním není nijak svázaná. Že k nějakému nešťastníkovi (který se provinil jen tím že si v dobré víře koupil ASUS v pěkné barevné krabičce a s více anténami než je na Adidas výrobku proužků) následně přijde Policie na domovku ho nezajímá ;-) Je na vkusu každého soudruha zda chce toto riziko nést.

MAC filtr se dá obejít ne za tři minuty, ale okamžitě, krom toho neřeší šifrování provozu. Ale hlavně, MAC filtr není funkcionalitou bezpečnostní. Je to funkcionalita režimová, například pro případy kdy má někdo ve skladu dvě AP se stejným SSID a chce aby se mu nějaké zařízení připojilo vždy na konkrétní AP, třeba proto že dané AP má daný skladník blíže. (takový AP/band steering pro chudé, blbý příklad, ale lepší a současně pochopitelný mne zrovna nenapadl). ad "Na nejaku domacu wifi ti kazdy zvysoka." - pokud přemýšlíš takhle, pak si klidně doma provozuj otevřenou WiFi. Tazatel "investoval" 2000 do nového zařízení a měl by mít legitimní očekávání že za ty prachy dostane bezpečný produkt, ne produkt kde jsou zazáplatované jen "velke bugy". Za ty prachy mohl mít Cisco/UBNT/Mikrotik kde by byly zazáplatované bugy všechny.

ad "WPA2-Personal a AES" - správná odpověď je WPA2-Enterprise, ale k té potřebuješ RADIUS server, který nejspíš doma nemáš. Potom WPA2-Personal a vypnout podporu WPS a PMKID. Zejména s PMKID to bude u ASUSu oříšek, takže pokud nenajdeš věrohodný zdroj řešící jak se s PMKID zranitelností ASUS (ne)vypořádal, zde rovnou návod pro sousedy jak ti to můžou hacknout: https://hashcat.net/forum/thread-7717.html https://securedyou.com/how-to-hack-wifi-password-pmkid-attack-method/#How_to_Protect_against_PMKID_Wifi_Hack_and_Secure_your_router Vybral sis ASUS, tak se ho zeptej zda a jak se vypořádal s dírou v PMKID WPAx mechanismu. Někteří vendoři se k tomu staví stylem "nastav si brutálně dlouhý PSK", pak si ho ale skutečně nastav. Ne 8, ale 60+ znaků a hezky náhodné, žádný slovníkový slova. A třeba ten krám neumí roaming a pak ani není zranitelný - nestudoval jsem specifikaci. Ale prověř si to.

ad "Ale pokud to není na veřejné IP (spousta providerů používá NAT a izolaci klientů)" A ve spoustě bytových domů se zamykají domovní dveře, takže už není potřeba mít kvalitní zámek na bytových dveřích... Téma že spoléhání se na firewall na perimetru je obsolentní jsme tu už tuším řešili. Nounejm nese rizik vícero - namátkou třeba chybný UPnP, mizerné zabezpečení zevnitř (pak tam tazateli někdo zavleče infikovaný PC a nakazí mu to nějakým ala coinhive injektorem a voila, máme to v celé domácnosti), nebo je tam děravá implementace WPA2 (KRACK, nevypnutelný WPS), pak se kdykoli připojím na jeho wifi, sosnu giga dětského porna nebo napíšu na letiště mail že je tam bomba a počkám až si pro něj přijedou ... ;-) Firewall na perimetru je jen jedním z rizik. BTW anketka pro TPLinkáře - kdo máte zazáplatováno třeba proti rok starému KRACKu ? ( https://www.tp-link.com/us/support/faq/1970/ ) A jinak 5giga portů, dualband a aktualizace nadosmrti má třeba https://www.zbozi.cz/hledani/?q=RBD52G-5HacD2HnD-TC za 1500 Kč. Je tam i https://wiki.mikrotik.com/wiki/Manual:Quickset, tedy i prostor pro "trochu laborovat s nastavením" pro někoho kdo potřebuje wizarda aby po přechodu z TPLink neutrpěl šok.

(nejen) 11let starý TPLink bych vyhodil už dávno už jen kvůli bezpečnosti, ale pokud ti to doposud nevadilo, poslechni geometra a kup si za 150 Kč zdroj. https://www.gme.cz/napajeci-adaptery-sitove, když sem dáš typové označení TPLinku, jistě ti poradíme zdroj - ten se nemusí nijak "shánět", obchody jsou jich plné, stačí dát do košíku a zaplatit. Napětí, max proud nebo výkon, rozměry konektoru. Pokud chceš mít doma něco kvalitního, pak Mikrotik nebo Ubiquiti a dobře nastavit. Kupovat nový nounejm typu TPLInk je nesmysl, dosáhneš leda toho že místo 11 let starého nounejmu budeš mít aktuální nounejm, a to za 10x více peněz než by tě stál nový adaptér k tom starému. Nicméně když už budeš chtít mocí mermo nový nounejm, tak ať má 5GHz pásmo, to ten 11let starý určitě nemá a získáš aspoň nové kanály.

Jinak ambici měnit nastavení klienta nemám - představ si například hotelovou wifi, každý den přijede sto jiných hostů, měl bych je všechny nutit přenastavovat si notebooky ? Na tomto příkladu je vidět že ladit na klientovi má smysl jen pokud je klient vysloveně defektní, a jen toto chci vyloučit. Obecně nastavené AP musí být tak aby se připojilo pokud možno nejvyšší procento klientů na rozumné rychlosti. V hotelu žádný host nebude ochoten přenastavovat si klienta, i kdyby přijel se sebestarší šunkou. Což bývá občas problém, vzhledem k rozpětí (ne)modernosti toho co lidé s sebou vozí.

Chápeš mne naprosto dobře, ale i tak by mi ty výpisy udělaly radost, čistě pro mou zvědavost cože to není s tím Asusím ax kompatibilní. Abych byl za chytrého, až to někde uvidím příště :-) Příkazy jsou nedestruktivní a nesbírají osobní údaje (možná snad vyjma MAC adresy), kdyby sis to proklikal v devicemanageru, vyšlo by to nastejno, ale textově se to líp čte.

Super, sazka-sportka vyšla, takže soudruzi z Asusu nejspíš posílají nějaký deformovaný beacon na ax sítích. Holt se rozhodli být první kdo má 802.11ax router, i za cenu že na něm evidentně neumí korektně poslat ani 802.11n beacon. Aktivní B/G protection ti z toho sice efektivně udělá oldschool zařízení a na 2GHz nedosáhneš rychlosti kterou se výrobce chlubí jako maximální, ale pokud ti to nevadí a nějakých 54Mbit je pro tebe OK, nechal bych to spát. Kdybys měl dojem že je to na 2GHz pomalejší než bys chtěl, dej vědět. Ovšem dívám se do ceníků Alzy a ta věc stojí 10k, docela dost za to že teď jsme z toho udělali legacy oldschool 802.11n router, který by se dal koupit za 1-2k, takže tímhle nastavením jsme z něj (pokud jde o 2GHz pásmo) ořezali 8k CZK. Tedy, pokud jsi spokojen se stavem "funguje to nějak", nechal bych to spát, pokud by sis chtěl svých 8k užít, je tam ještě prostor pro bádání. Stejně tak ten kanál 3 tam není ideální, ale je na tobě zda se v tom dále patlat. Třeba máš doma všechna ostatní zařízení 5G a 2G tě tedy netrápí. A díky za ten odkaz, řeší tam jen updaty driveru, což by mělo smysl řešit případně až po výpisu aktuálního modelu a verze těmi příkazy Get-NetAdapter * | fl Dri* a Get-NetAdapterAdvancedProperty * Ale i tady platí že je na tobě zda se v tom dále patlat.

Hm, takže ten problematický notebook skutečně nevidí beacon, a to ani na kanále 3, takže špatným regionem to nebude. V každém případě poprosím ještě příkazy v powershellu Get-NetAdapter * | fl Dri* a Get-NetAdapterAdvancedProperty * na problematickém notebooku. No a trochu sazka-sportka, na routeru "režim bezdrátového připojení" změnit z auto na 802.11b a vypnout "801.11ax HE frame support", čímž se z toho na chvíli udělá legacy 802.11b AP. I když nic z toho není nic co by měl ovlivnit podobu beaconu, zkusme to. Uvidí potom problematický NB síť nebo ne? A dále prosím zkopírovat sem ten link na který odkazuje odkaz "if compatibility issue occurs", jsem zvědav co tam výrobce popisuje.

Zmenšit šířku pásma rozhodně, používat 40MHz pásmo a ještě na kanálech 3 a 4 prasárna vůči sousedům srovnatelná se zabráním tří sedaček v tramvaji plné stojících důchodkyň. 2GHz pásmo má efektivně využitelné pouze 3 kanály a když použiješ kanály 3+4 tak toho pro sousedy volného moc nezbyde. Klíčové slovo k samostudiu "2.4 ghz non overlapping channels", a domácí úkol "Kolik toho pro sousedy zbyde, když zahluším kanál 3 a 4" ? Bonusovou otázkou pak je "Budu takhle rušit jen já sousedy, nebo to bude vzájemné a i sousedé budou rušit mou WiFI?". A následně příkaz netsh wlan show networks mode=bssid na počítači na kterém to funguje i na kterém to nefunguje a výstup sem. A pak se podívat co je ve výkladu toho nounejmu myšleno pod slovem "chytré připojení", to bude asi něco čemu Cisco říká "band steering", ale bůhví jak je to na nounejmu implementované. To bych vypnul jako druhé, chytrý klient si 5GHz upřednostní sám a hloupému beztak nepomůže ani svěcená.

Kéž bych to uměl, ale jsou věci které prostě vyžadují zkušenosti. Počkáme co napíše Drooz3R, pokud při prověřování jeho linie už poleze do nastavení, udělá ti rovnou i to vypnutí podpory virtualizace jedním tahem. Není to složité, ale je třeba znát rizika.

Vyhodnocení disku ponechám kolegovi Drooz3R, přiznám se že já v ruce neměl legacy SATA disk už tak dlouho že kolega určitě poradí lépe, ani to teď nemám kde zkusit. Evidentně je tam SATA disk https://www.mironet.cz/toshiba-mq01abd050-500gb-25quot-5400-rpm-8mb-cache-sata-ii-interni+dp275161/, možná bude třeba ještě jeden WMI dotaz na běžící rychlost SATA sběrnice, nebudu teď ale radit když nemám na čem to testnout. Analogicky ještě doporučuji zkontrolovat nastavení WB/BT cache. A rozhodně bych se zabýval otázkou proč to v položce InterfaceType zobrazuje IDE a ne SCSI (což bych pro SATA v AHCI módu čekal spíše, ale jak jsem psal, starší stoje mne nějak míjejí). A jinak systémově samozřejmě pustit https://en.wikipedia.org/wiki/Resource_Monitor a v okamžiku běžicího testu se podívat který zdroj je nejvíce vytížen, třeba je to disk a třeba to také disk není. Ale tím nijak nerozmlouvám prověření disku, jen chci říct že resource monitor řekne kde je úzké hrdlo. Za mne ale jiný problém - podle sekce "HyperV requirements" na výpise ze systeminfa tam máš povolenou HW virtualizaci, což ti na desktopu jednak mírně (ale opravdu mírně) žere výkon, to vem čert. Ale co hůř, v takto nastaveném stroji nelze vyloučit že celý tvůj stroj běží jako virtuál pod nějakým rootkitem, a pak testovat takový stroj zevnitř antivirem postrádá smysl - skutečná hrozba může být tam kam ani Windows, ani sebelepší antivir nedosáhnou. Tedy pokud neexistuje extra důvod proč tam mít virtualizaci povolenou, doporučuji vypnout a až pak testovat antivirem. Při hrabání se v BIOSu pozor na Bitlocker klíč, pokud tam je, to platí i pro případ kdybyste měnili SATA režim.

Ať to nemusíš hledat v oknech (kde navíc spoustu info ani nenajdeš), pusť si powershell a zadej příkaz: get-ciminstance Win32_DiskDrive | fl * Textový výstup nám sem zkopíruj. Ta Drooz3R-ova hypotéza je exotická, ale není nereálná, tak proč to neprověřit. Nakonec lidí co mají zbytečně nastaven legacy IDE režim místo SATA/AHCI je spousta, ani jim nemusí někde něco odcházet. Inspirace: https://ibb.co/fQxrSdS A když se ti to povede, tak analogicky v poweshellu příkaz systeminfo

Prochy, ty jsi ten kdo tu nedávno tvrdil že "model osi nezna pulka ajtaku". Začíná mi docházet že i ty mezi ně budeš patřit, pak je nereálné vysvětlit ti cokoli co vyžaduje trochu schopnost abstrakce, nadhledu, zkušenosti a tak. Ono se to totiž jeví jakože OSI model je na tebe složitý, deployment RD Gateway je na tebe složitý, Mikrotik je na tebe složitý, pochopit že v zero-trust přístupu neexistuje žádná "vnější" nebo "vnitřní" síť a tedy logicky ani nemůže existovat VPN je na tebe složité, navíc cokoli je na tebe složité a priori odmítáš a přepínáš se do defenzivy. A svým způsobem jsi možná dokonce na neznalost OSI modelu pyšný. Za této situace ti nedovedu vysvětlit proč je VPN zlo. Faktem je že dokud nepřijde pořádná krize, i ajťák který v životě neviděl RD Gateway se uživí, to zase ne že ne, takže zůstaňme u toho že některé věci ti prostě vysvětlit nedovedu.

ad "No tvl a co maji vsechny ty popisovany prusery primo spolecnyho s VPN resenim? Odpovim si sam, naprosto nic." To si odpovídáš špatně. Společnou mají absenci vpnless přístupu / absenci zero trust přístupu / absenci mikrosegmentace. Kdyby tam seděl ajťák který by spoléhal na jiné prostředky než VPN, útočník by to měl o dost těžší. Řešení kde oldschool ajťák udělá VPN a pak vnitřní síť, v lepším případě DMZ a několik málo VLAN (tedy reálně ne více než 2-5 segmentů) jsou dnes prostě out. Při dobře udělané mikrosegmentaci ztrácí VPN smysl. Jasně, samotná VPN neškodí, ale její existence nutně vede k nesprávnému náhledu na bezpečnost. Jakmile se správce začne dívat na síť moderně, zjistí že VPN nepotřebuje, no a když v infrastruktuře něco nepotřebuju, tak to zruším, protože proč živit zbytečnou službu a otravovat jí uživatele, že. Na ajtáka který raději deployuje na sto notebooků obskurního VPN klienta a nutí uživatele vytáčet den co den VPN jen proto že není schopen korektně vypublikovat RDP patří železná tyč, stejně jako na toho který v modemech zákazníků zapíná WEP nebo WPA bez AESu. Evidentně si doteď nepřečetl nebo nechtěl pochopit googlí verzi konceptu, tak nabídnu jednodušší českou verzi téhož: http://www.arrowecs.cz/web/infobaze.nsf/0/42F0666EDB7039A6C1257F64004793BF