Dotaz na IT specialisty a všechny, kteří vládnou PC

[eskimak]

Uz sem neser tie nezmyselne odkazy, fakt to nikoho nezaujima. Trepes sprostosti od A do Z, ty "normalny ajtak". V entrprise svete nikoho asus ani mikrotik nezaujima, v domacom su to porovnatelne zariadenia (pricom ten mikrotik je taky dorob-si-sam). Realita je taka ze zakaznik ma v kontrakte pravidelny patching systemov (2-4x rocne) + ad-hoc patching vsetkych high-risk security dier, cca 1x rocne upgrade systemu (prepdokladam ze chapes ze sa nebavim o nejakych low end wifi routeroch), denny report so vsetkymi security chybami, warningami aj odporucaniami, tyzdenne security meetingy atd. Ty tu vypisujes uplne nezmysly, ktore platia u teba v obyvacke.

Okrem ineho, nikto v serioznej IT firme nebude pouzivat personal WPA, okrem pripojenia na wifi sa este stale musis dostat do VPN, do druhej VPN, nasledne multi-factor auth + overovanie pomocov klucov, double tunel na systemy. Klient je vzdy zasifrovany, vsetok soft prechadza automatickym dennym auditom, vsetky porty okrem par nutnych uzatvorene atd. A ako router naozaj nesluzi krabicka ako si ju predstavujes ty .

Ale je to uplne zbytocne ti to vypisovat, zas sem hodis svoj odkaz z wikipedie alebo mikrotik pedie. Tymto som debatu s tebou skoncil, dufam ze ti uz nik nesadne na lep.

[RomanP]

Ale tu vobec nejde o silu AES! Tu ide prave o best practice, s ktorou tvoje rady nemaju nic spolocne, zadarom vsetky. Bohuzial som neskoro pochopil ze tu nejde o ziadne seriozne rady ale o trolling. V ziadnej serioznej IT firme by si s citlivymi datami nemohol takto nakladat, ale predpokladam ze si v ziadnej nikdy nepracoval a len doma onanujes nad mikrotikom.

Ako som zistil cez SZ, vela ludi to uz pochopilo. Jeden clovek ti na to uz bohuzial skocil a dufam a verim ze ich viac nebude.

 

Já nevím, jestli jsem na něco skočil. Je to o úhlu pohledu.

Můj je ten, že jsem se svéprávně rozhodl změnit produkt a jít trnitější cestou, byť to vlastně situace nevyžadovala a mohl jsem žít s novým zdrojem pro TP-link další spokojené roky. Je to pro mě hra, impulz a o nic jsem vlastně nepřišel, nepočítám li prodělek v případě prodeje routeru ASUS a to ustojím.

Nedal jsem tomu nic, než pár hodin času, po tom co jde kluk chrnět. Naopak se něco dozvím.

 

Přijde mi až s podivem, že tohle téma budí takové vášně :-) I tak má pro mě ale velkou informační hodnotu.

[Prochy68]

Tema vasne nebudi, vasne budi szt, je to takovej vasnivej prosazovac svych teorii, nazoru, vizi a pres to vlak nejede, protoze pravda je jen jedna, ta jeho 

[eskimak]

RomanP: ano, myslel som Teba ale nemyslel som to nijak zle. Vo vsetkom s Tebou suhlasim, rozsirit si obzory ma vzdy zmysel. A ako pises, tych par korun co stratis na Asuse nehra rolu (preco ho vlastne nevratis do Alzy?). Ide o to ze to asi vobec nebolo nutne a vobec nieje iste ze mas lepsi produkt. To je iste len pre clena szt, ktory je asi v nejakej mikrotik sekte a nic ine nepozna, neuznava atd.

Pohrat si sa mohol aj s Asusom a alternativnymi fw, je mozne ze by si dostal lepsi router ako to co si nakoniec kupil. A ze sa tam szt vybavuje v command line nic nehovori, koniec koncov ak ta to bavi tak to iste je mozne aj u asusu, vsetko su to len linux-based systemy. Nakoniec, v ozajstnom enterprise it svete sa to naozaj inak nerobi, neviem si predstavit ze by na servery (HP-UX, Linux) bolo nainstalovane GUI. Vacsinou len zakladny vnc server ktory je nutny pre spravu ci udrzbu niektorych aplikacii (SAP, DBs).

 

Skor je to tak ako pise Prochy, clen szt ma nejake vizie ktore povazuje za jedine spravne, to ze je to len mizive percento realneho sveta ho uz nezaujima. A ze neexistuje jedina pravda ohladom vyrobcu hw ci sw takisto (jeden je len SAP ).

 

Edit: a ak sa uz niekto naozaj chce hrat tak si router urobi podla seba na nejakom malom lacnom hw (stary RPi2 apod.). Nahodit si tam Linux a urobit si cely router podla seba, a nieje nutne tam mat nepotrebne balicky ani funkcie, vsetko pod kontrolov. Ale na to uz nestaci 50strankovy mikrotik wiki how-to.

Upraveno 10. září 2019 uživatelem eskimak

[RomanP]

https://www.smallnetbuilder.com/tools/rankers/router/view

top 10 zcela ovládá mikrotik. nebo ne?

 

btw dvě antény na routeru jsou super věc. já mám jednu vystrčenou za oknem za žaluzii a poskytuji díky tomu wifi hackerům i na naší zahradě. kdybych na routeru neměl anténu, byl bych celý nesvůj a nevěděl, jak a kam ho umístit aby byl signál poskytnut širokému okolí

 

Jenže taky, koukal jsi na ty ceny routerů z žebříčku? Jeden se tam částečně blíží s cenou na Amazonu vs. můj od předražené Alzy.

 

Jinak, je jasný, že každý uživatel má svoje konkrétní požadavky, jako je třeba dosah signálu na zahradu.

Já jsem právě na začátku popsal, že můj požadavek je wifi pro dvě patra s ideálním umístěním routeru uprostřed a na rozdíl od tebe zahradu signálem nepokrývám, naopak velký přesah nechci.

[RomanP]

RomanP: ano, myslel som Teba ale nemyslel som to nijak zle. Vo vsetkom s Tebou suhlasim, rozsirit si obzory ma vzdy zmysel. A ako pises, tych par korun co stratis na Asuse nehra rolu (preco ho vlastne nevratis do Alzy?). Ide o to ze to asi vobec nebolo nutne a vobec nieje iste ze mas lepsi produkt. To je iste len pre clena szt, ktory je asi v nejakej mikrotik sekte a nic ine nepozna, neuznava atd.

Pohrat si sa mohol aj s Asusom a alternativnymi fw, je mozne ze by si dostal lepsi router ako to co si nakoniec kupil. A ze sa tam szt vybavuje v command line nic nehovori, koniec koncov ak ta to bavi tak to iste je mozne aj u asusu, vsetko su to len linux-based systemy. Nakoniec, v ozajstnom enterprise it svete sa to naozaj inak nerobi, neviem si predstavit ze by na servery (HP-UX, Linux) bolo nainstalovane GUI. Vacsinou len zakladny vnc server ktory je nutny pre spravu ci udrzbu niektorych aplikacii (SAP, DBs).

 

Skor je to tak ako pise Prochy, clen szt ma nejake vizie ktore povazuje za jedine spravne, to ze je to len mizive percento realneho sveta ho uz nezaujima. A ze neexistuje jedina pravda ohladom vyrobcu hw ci sw takisto (jeden je len SAP ).

 

Edit: a ak sa uz niekto naozaj chce hrat tak si router urobi podla seba na nejakom malom lacnom hw (stary RPi2 apod.). Nahodit si tam Linux a urobit si cely router podla seba, a nieje nutne tam mat nepotrebne balicky ani funkcie, vsetko pod kontrolov. Ale na to uz nestaci 50strankovy mikrotik wiki how-to.

 

V pohodě, já to taky nechápu jako útok. O nic nejde.

Se svými znalostmi nemám ambice porovnat, co se odehrává v komunitě ohledně alt. FW pro Asus vs. standartní FW Mikrotiku, ale bližší je mi tedy mít pro začátek ten standartní FW.

Stejné ambice mám i s poměřováním znalostí ohledně enterprise IT, už jen proto, že tomu se moje domácí síťka se čtyřmi zásuvkami nepodobá.

To, že jsem nic nemusel měnit přiznávám bez problémů od začátku, prostě nálada, rozmar, jak už jsem psal.

Jako alternativu k routeru s "lepšími" možnostmi zabezpěčení tady nakonec nepadl jen ten Mikrotik, ale třebas i to Cisco. To, že se po mé koupi Mikrotiku debata ztočila více k němu je i moje vina. (A víte, co je prdel? Hledal jsem něco v komoře a v krabici od Canon Pixma Pro-10 jsem objevil nějaký router Cisco, co jsem k tiskárně dostal před douhou dobou zdrama. Jednou má člověk pocit, že nemá router a druhý den má čtyři, počítám li ten TP-link. Všechno je relativní :-) )

A abych bral starý RPi2 a lil do něj linux, tak tolik si zase hrát nechci :-) Nebo spíš tuhle hru bych neuměl. Zbytek rodiny musí i za mého laborování být funkční, to teď mám.

Já mám co dělat, abych dle instrukcí szt seřídil, co mám.

[eskimak]

Zbytek rodiny musí i za mého laborování být funkční, to teď mám.

Já mám co dělat, abych dle instrukcí szt seřídil, co mám.

Dobrou zvyklostou z IT je nikdy sa nehrat s produkcnym zariadenim . Tj mam router "sandbox" na skusanie, hranie, mam router QAS (quality assurance) na otestovanie ktory zaroven slusi ako DR (dissaster recovery) pre pripad zlyhania produkcneho routera a potom produkcny router, do ktoreho sa saha az po otestovani. Podobne plati pre moj linux server (VM beziace tiez na linuxe), jeden standby/qas, jeden v prevadzke. Holt, profesionalna deformacia. A ked sa na to vsetko pozeras len ako na Linux tak ta uz nezaujima ci je to RPi, nejaky so-ho router, virtualka alebo dual xenon blade. Funkcionalite ostava, limit je len cpu/ram/rychlost io.

[siwi]

siwi, vysvětlení záhady je takové že tvá konfigurace vznikla na verzi starší než 6.41. Tam neexistoval bridge, ale "master-port konstrukce". Při upgradu na 6.41 došlo ke konverzi na bridge, viz https://wiki.mikrotik.com/wiki/Manual:Master-port#Automatic_conversion a viz changelog k 6.41

 

konverze na bridge byla minimalistická, odkaz na ether2 zachovala a verze vyšší než 6.41 z důvodu zpětné kompatibility, pokud se objeví adresa nad member portem bridge, přehodí ji automaticky nad bridge jako takový (a zapíše to po startu do logu jako varování). Je to jen a pouze pro zachování kompatibility, pokud někdo upgraduje, aby mu konfigurace nepřestala fungovat. Proto je dobře že jsi odkaz na ether2 opravil na odkaz na bridge.

 

Stejnou úpravu by se slušelo udělat i minimálně na DHCP serveru, případně na firewallu, případně všude jinde kde se odkaz na ether2 vyskytuje. Ideálně udělat si export konfigurace a podívat se kde v něm všude je odkaz na ether2.

 

A dále bych zkontroloval zda máš pozapínaný HW offload tam kde jej chceš mít.

 

Díky za vysvětlení. Na DHCP to mám správně. Jen nechápu tvé poslední doporučení. Nevím, co je HW offload, nevím, k čemu to je a kde to chci mít.

[szt]

HW Offload je nastavení umožňující i v SW bridge konfiguraci využít HW výkon switch chipu, pokud na dané desce nějaký je.

 

Viz https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading

 

Tuším že konverze na 6.41 ne vždy HW offload zapnula, takže dodnes existují uživatelé kteří jej mají zbytečně vypnutý, čímž zbytečně ztrácejí trochu výkonu. Ale pokud se ti nechce se tím zabývat, nutné to není, je to jen věc na checklistu při kontrole konvertovaných konfigurací, která "se sluší".

Upraveno 10. září 2019 uživatelem szt

[siwi]

OK, díky.

[RomanP]

Díky za vysvětlení. Na DHCP to mám správně. Jen nechápu tvé poslední doporučení. Nevím, co je HW offload, nevím, k čemu to je a kde to chci mít.

 

Já asi začal na novějším FW a tak když kouknu do logu, HW offload se aktivoval na portech 2-5 hned po prvním zapnutí routeru. Kde bych to zapnul nevím, ale přestal jsem hledat, když jsem to viděl v logu.

 

Jinak router je nonstop malinko vlažný. Asi je to normální, ten starý jsem neosahával a ASUS byl taky.

[szt]

HW offload na bridgi je záležitost roku 2017, takže pokud jsi Mikrotika kupoval teď, musel bys mít hoodně starý kus ležící někde ve skladu, aby v něm byt pre 6.41 firmware. Tedy je v pořádku že tam byl už z quicksetu.

 

Hledal bys to ve vlastnostech portu v bridge, tedy bridge/ports/etherx/hw offload.

 

"Malinko vlažný" být může, má maximální příkon 17W, zkus někdy položit ruku na dvacítku žárovku :-)

Upraveno 11. září 2019 uživatelem szt

[siwi]

Taky právě nevím, kde bych to zapínal. Z routerů, co jsem kdy měl, MikroTik topí zdaleka nejvíc. Je tedy víc než vlažný, ale zas ne horký. Z mých zkušeností na tom po stránce chlazení jsou nejlépe routery značky Netgear. Montují se do poměrně rozměrných skříněk s bohatým žebrováním a na omak nehřejou skoro vůbec. 

[siwi]

Aha... Tak szt to už popsal. Taky to mám zapnuté.

[szt]

K tématu chlazení obecně:

 

S tím chlazením čehokoli je to (nejen) v IT malinko nezdravě rozšířená obsese.

 

Můj středoškolský učitel fyziky vždy žertovně zdůrazňoval že teplota tání křemíku je 1500 stupňů.
Faktem je že Intel v katalozích uvádí maximální provozní teploty kolem 90stupňů.

 

Učitelka biologie zase vysvětlovala že tepelné ztráty živočichů jsou úměrné povrchu těla, tedy má-li Mikrotik plochu poloviční nebo čtvrtinovou než jiný výrobek, bude pocitově teplejší (ad "rozměrná skříňka"). Kdyby sis však přepočítal tepelný výkon na plochu, zjistil bys že všechno topí plus minus stejně.

 

Obsedantní měřiči teploty a měniči různých chladicích past by si měli na stránce https://www.intel.com/content/www/us/en/support/articles/000005597/processors.html přečíst:

 

Could my processor gets damaged from overheating?

It's unlikely that a processor would get damaged from overheating, due to the operational safeguards in place. Processors have two modes of thermal protection, throttling and automatic shutdown. When a core exceeds the set throttle temperature, it will reduce power to maintain a safe temperature level. The throttle temperature can vary by processor and BIOS settings. If the processor is unable to maintain a safe operating temperature through throttling actions, it will automatically shut down to prevent permanent damage. 

 

A pak přijde Čech s injekční stříkačkou a chladicí pastou a snaží se být chytřejší než tým inženýrů který v Intelu nadesignoval ThermalManagement. Spolužák z gymplu má v nejmenovaném krajském městě kamenný PC bazar a PC servis, za peníze zákazníků kteří mu tam nosí počítače na výměnu chladicí pasty "protože se to přehřívá" si každé tři roky koupí nové Báwo. Narozdíl ode mne nikomu neříká že přehřívání je nesmysl, Báwo je Báwo a když se někdo může živit jako televizní věštkyně, proč on by se nemohl živit jako tuner chlazení. ;-)

 

Poslední technologie kde jsem řešil reálné přehřívání byla dědova Škodovka v roce 1985.

 

2siwi: Dej si do Google "qca9531 temperature", dostaneš info že i 70stupňů je zcela OK, nakonec servisáci od loukostových ISP tvrdí že existují Mikrotiky které 10let běží na půdě pod střechou kde je v zimě minus pět a v létě plus padesát a no problem, jen se občas po bouřce vymění napájecí adaptér za 150Kč.

Upraveno 11. září 2019 uživatelem szt

[shaggy]

No ty vole. To je zase blabol.

Jasne ze vysoke teploty skodia! Velmi vysoke teploty aj kratkodobo a vysoke z dlhodobeho hladiska. Proste to znizuje zivotnost.

Chladit je zaklad. Alebo chod vysvetlit google, amazonu ci MS ze nemusia svoje servre chladit a minat na to miliony, sak ono sa to vypne samo keby daco....

 

Sent via IPoAC

[szt]

Ano, průměrný Čech ví lépe než inženýři u výrobce co výrobek snese. Průměrný Čech se nikdy nepodívá ani do katalogu, ani do datasheetu, protože výrobci tomu přece nerozumí a líp tomu rozumí Franta z PC bazaru (autům pak rozumí Pepa z garáže na konci vesnice).

 

Kde podle tebe začíná "vysoká teplota"? A kde začíná "vysoká teplota" dle datasheetů výrobců?

 

Ekonomická realita:

 

Takový Dell mi dá pět let záruku na server o kterém říká (viz https://www.dell.com/support/manuals/cz/cs/czbsd1/poweredge-r730/r730_ompublication/expanded-operating-temperature?guid=guid-e8cdc6ea-0355-4e26-8c90-8fd8741ec068&lang=en-us):

 

Continuous operation

5°C to 40°C at 5% to 85% RH with 29°C dew point.

 

 

? 1% of annual operating hours

?5°C to 45°C at 5% to 90% RH with 29°C dew point.

 

 

Po pěti letech je to starý krám jehož další životnost mne nezajímá a server jde tak jako tak pryč.

 

Takže jednoduchá slovní úloha: Jaký ekonomický smysl má v serverovně s tímto serverem chladit na méně než 35 stupňů?

 

Také není žádoucí srovnávat 17W Mikrotiku v místnosti 10m3 s rackem v Amazon datacentru na který připadají 4m3 vzduchu a má příkon řádově v jednotkách kilowattů, ten poměr výkon/objem je někde zcela jinde.

Upraveno 12. září 2019 uživatelem szt

[Prochy68]

No ty vole. To je zase blabol.

Jasne ze vysoke teploty skodia! Velmi vysoke teploty aj kratkodobo a vysoke z dlhodobeho hladiska. Proste to znizuje zivotnost.

Chladit je zaklad. Alebo chod vysvetlit google, amazonu ci MS ze nemusia svoje servre chladit a minat na to miliony, sak ono sa to vypne samo keby daco....

 

Sent via IPoAC

 

Shaggy, ze ty mas PC servis a tahas z nas prachy za vymenu pasty, zatimco sam si jezdis v Bugatti? 

[Radek124]

Nedivím se, když mu sem do řemesla imrvére kecá garážovej samouk, jehož kvalifikace spočívá v tom že zrovna "dělá do mikrotiků" 

 

PS: Na těch půdách svého času vydržely 10 let tikat i staré Ovislinky... 

[szt]

Prochy, se chechtáš, ale já nejméně jednou ročně někde vyhazuju IT firmu, která historicky k zákazníkovi jednou za tři měsíce posílá sedmnáctiletého  brigádníka, aby tam za 700Kč "vyčistil počítač od prachu". Tedy 4x ročně 700Kč, za pět let 14.000Kč :-)

 

Obvykle jde o počítače s pořizovací cenou 10.000Kč...

 

Když tohle vidím, kam se hrabou šmejdi a jejich prodeje hrnců a dek důchodcům.

 

Zde jeden webísek náhodně vygooglený jednoho z "odborných čističů", už ten design se k tomuhle businessplánu skvěle hodí :-)
http://www.hd.cz/sluzby/nemocny_pocitac.php