Mr. D

Тобто Ви вважаєте налаштування за замовчуванням Ubuntu Linux "кривими"? [administrator@localhost ~]$ ping -c 1 172.160.14.186 PING 172.16.4.186 (172.160.14.186) 56(84) bytes of data. 64 bytes from 172.160.14.186: icmp_seq=1 ttl=64 time=0.482 ms --- 172.16.4.186 ping statistics --- 1 packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = 0.482/0.482/0.482/0.000 ms [administrator@localhost ~]$ sudo nmap -sU -v 172.160.14.186 -p 25003 Starting Nmap 7.92 ( nmap.org ) at 2024-01-05 14:04 EET Initiating ARP Ping Scan at 14:04 Scanning 172.160.14.186 [1 port] Completed ARP Ping Scan at 14:04, 0.03s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 14:04 Completed Parallel DNS resolution of 1 host. at 14:04, 0.02s elapsed Initiating UDP Scan at 14:04 Scanning 172.160.14.186 [1 port] Completed UDP Scan at 14:04, 0.00s elapsed (1 total ports) Nmap scan report for 172.16.4.186 Host is up (0.00042s latency). PORT STATE SERVICE 25003/udp closed icl-twobase4 MAC Address: 08:08:08:08:08:E8 (Oracle NIC) Read data files from: /usr/bin/../share/nmap Nmap done: 1 IP address (1 host up) scanned in 0.16 seconds Raw packets sent: 2 (56B) | Rcvd: 2 (84B)

Тобто nmap має можливість відрізнити OpenVPN від WireGuard або ні?

Все що мені цікаво, я побачив, а саме nmap ідентифікує UDP-порт WireGuard та UDP-порт OpenVPN однаково, як "open|filtered" та ні WireGuard, ні OpenVPN не надсилає ніяких відповідей. У той час як UDP-порт, який ніхто не використовує ідентифікується як "closed". Тому будь-яке маскування WireGuard працює також як й з OpenVPN. Й ось щоб отримати інтерпретацію "closed" треба отримати "ICMP port unreachable error (type 3, code 3)" й, можливо, такі налаштування існують для firewall'ів.

Загалом мова була ось про ці визначення "...Table 5.3. How Nmap interprets responses to a UDP probe Probe ResponseAssigned State Any UDP response from target port (unusual) - open No response received (even after retransmissions) - open|filtered ICMP port unreachable error (type 3, code 3) - closed Other ICMP unreachable errors (type 3, code 1, 2, 9, 10, or 13) - filtered..." nmap.org/book/scan-methods-udp-scan.html Й саме про ці інтерпретування "open" або "open|filtered" і йшла мова

Мені здається, Ви не до кінця розумієте що і як працює. Ви розказуєте про 4-й рівень, але в одному з моїх практичних прикладів присутній пакет протоколу 3-го рівня.

Це, схоже, на рекламу Ruckus. Звернув увагу, що є деяка кількість дописувачів, які ніколи не працювали з Ruckus, але вважають Ruckus гарними пристроями. Про те, що MikroTik не підтримує 802.11k\v\r (або підтримує дуже обмежено були повідомлення вище). На рахунок інших пристроїв, будь ласка, зазначте, про які моделі йде мова. Тобто сучасні телефони, планшети або ноутбуки не підтримують ці протоколи? Я хотів би отримати велику площу покриття та Wi-Fi roaming на такому рівні, щоб не було значних пауз під час Voice over IP. Яке альтернативне обладнання Ви могли б запропонувати? Будь ласка, вкажіть моделі.

Згадування рівня OSI у цьому випадку немає значення. Чому не "open"?

Цікаво, що буде у разі OpenVPN (UDP). Думаю, просто "open" або "open|filtered".

Навіщо Ви тоді питаєте? Тому що ваші міркування на рівні користувача, а не на рівні block-пристрою зберігання даних Яке відношення мають events до запису відеоданих? Яка швидкість запису на HDD потрібна NVR? Є LBA, є транслятор в HDD. Тільки HDD знає, де саме фізично знаходяться якісь сектори. Користувач не має можливості записати дані фізично в будь-яке місце на поверхні пластин. Тому й впевнений, що все набагато складніше, ніж собі уявляє звичайний користувач. Нагадаю, що HDD не оперує файлами або директоріями.

Якісь тести показують, що WireGuard швидший, ніж OpenVPN та IPSec, але є приклади, коли немає можливості запустити WireGuard на ще достатньо потужних пристроях, яким хоч й 7 - 8 років, але вони підтримують 802.11ac та MIMO. Є сенс змінювати такі пристрої на інші, де вже WireGuard працює - це питання.

Програма nmap має можливість знайти серед усіх можливих UDP портів, порт який відкрито WireGuard. Але визначити, що це саме WireGuard можливості немає. Тому якщо бути точним порт WireGuard класифікується, як "open|filtered", а не "closed". Приклади з "open|filtered" та "closed" є вище.

Можливо, десь є якийсь перелік, тому й спитав. Якщо Zyxel, то, мабуть, й D-link.

Ніяке додаткове сканування нічого не дасть, WireGuard просто нічого не відповідає. Таким же чином інші сервіси можуть нічого не відповідати за тим же принципом. Але що заважає хосту надіслати "ICMP - Destination unreachable (Port unreachable)", якщо ключ WireGuard невірний?

А хто ще в цьому списку? Pandora, StarLine? 1C?

Очікував, що коли працює WireGuard, то відбувається ось так "ICMP port unreachable error (type 3, code 3) - closed". Але ні - ось так "No response received (even after retransmissions) - open|filtered". Тому де саме працює WireGuard (на якому порті) визначити можливо.

На жаль, ні, UDP порт WireGuard видно. Ось мій експеримент (зазначена конфігурація сервера - всього два параметри, далі параметри nmap та network dump для порівняння). administrator@star:/etc/wireguard# cat /etc/wireguard/wg0.conf | grep Port ListenPort = 25002 [administrator@localhost ~]$ sudo nmap -sU -v 172.160.14.186 -p 25002 Starting Nmap 7.92 ( nmap.org ) at 2024-01-05 02:06 EET Initiating ARP Ping Scan at 02:06 Scanning 172.160.14.186 [1 port] Completed ARP Ping Scan at 02:06, 0.04s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 02:06 Completed Parallel DNS resolution of 1 host. at 02:06, 0.02s elapsed Initiating UDP Scan at 02:06 Scanning 172.160.14.186 [1 port] Completed UDP Scan at 02:06, 0.21s elapsed (1 total ports) Nmap scan report for 172.160.14.186 Host is up (0.00052s latency). PORT STATE SERVICE 25002/udp open|filtered icl-twobase3 MAC Address: 08:08:08:08:08:E8 (Oracle NIC) Read data files from: /usr/bin/../share/nmap Nmap done: 1 IP address (1 host up) scanned in 0.38 seconds Raw packets sent: 3 (84B) | Rcvd: 1 (28B) 22 2024-01-05 00:06:37.047339 172.160.14.174 172.160.14.186 UDP 42 54976 → 25002 Len=0 23 2024-01-05 00:06:37.148344 172.160.14.174 172.160.14.186 UDP 42 54978 → 25002 Len=0

Треба розібратися. Ось приклад як це виглядає, коли порт ніхто не обслуговує [administrator@localhost ~]$ sudo nmap -sU -v 172.160.14.131 -p 25001 Starting Nmap 7.92 ( nmap.org ) at 2024-01-05 01:34 EET Initiating ARP Ping Scan at 01:34 Scanning 172.160.14.131 [1 port] Completed ARP Ping Scan at 01:34, 0.03s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 01:34 Completed Parallel DNS resolution of 1 host. at 01:34, 0.02s elapsed Initiating UDP Scan at 01:34 Scanning 172.160.14.131 [1 port] Completed UDP Scan at 01:34, 0.00s elapsed (1 total ports) Nmap scan report for 172.160.14.131 Host is up (0.0018s latency). PORT STATE SERVICE 25001/udp closed icl-twobase2 MAC Address: E0:E0:E0:E0:E0:E0 (Cisco International) Read data files from: /usr/bin/../share/nmap Nmap done: 1 IP address (1 host up) scanned in 0.14 seconds Raw packets sent: 2 (56B) | Rcvd: 2 (84B) 1083 2024-01-04 23:34:12.803073 172.160.14.174 172.160.14.131 UDP 60 39949 → 25001 Len=0 1084 2024-01-04 23:34:12.804823 172.160.14.131 172.160.14.174 ICMP 70 Destination unreachable (Port unreachable)

Виграш

До речі, цікаво, що в іншому відео Ruckus окрім терміну passive gain ще використовується словосполучення passive amplifier. Та загалом 3 сторінки цієї теми про те що gain антени не впливає на загальну кількість енергії, яку надсилає передавач на антену (тобто антена не змінює кількість), а умовне підсилення відбувається шляхом формування якоїсь діаграми направленості, коштом існування якої й можливо встановити зв'язок на більшій або меншій відстані. )

Цікаво, що американці роблять з китайськими електроавтомобілями або такі автомобілі на ринок США не пускають. ) Мені здається, електроавтомобілі можуть просити оновити програми керування або просто бути постійно на зв'язку.

До речі, мені здається правильно було б писати в характеристиках антени dBi або dBd, а не dB (або під dB мають на увазі dBi за замовчуванням)

Скористався вашою рекомендацією. ) Замовив кілька Ruckus ZoneFlex 7982 та один ZoneDirector 1100. Поки що не розумію, потрібна мені буде якась ліцензія або ні, якщо я все об'єднаю в одну систему. Але вже пізніше зрозумів, що можливо було б взяти й R500 (яка підтримує 802.11ac), але R500 мають менший gain антени, тому теоретично у разі однакової потужності з ZF7982 зможуть працювати на меншій відстані. Мені, звісно, було б зручніше налагодити Wi-Fi roaming без фізичного контролера. Здається, одна R500 може обслуговувати кілька AP без додаткової ліцензії як контролер. Але буду експериментувати з 7982 + 1100.

Не знаю, але припускаю, що WireGuard робить ось так "ICMP port unreachable error (type 3, code 3) - closed" й тоді nmap вирішує, що порт закритий. Думаю, це можливо перевірити, лише скажіть за якою адресою на якому порті знаходиться WireGuard. )

Колись логоперіодичну антену налаштовував на станцію Київстар, де розміщенні антени української ТМ T2. Мабуть, в цьому контексті - це те ж саме про що йде мова. Логоперіодична антена, до речі, має дефлектори позаду конструкції антени. Але з іншого боку також налаштовував ФАР антену (деякий, схоже, секторний варіант) під 3G\4G та зрозумів, що в деяких різних позиціях антени зв'язок непогано працює з відображенням від інших предметів\конструкцій. Уявляю BeamFlex як деяку кількість направлених або секторних антен, які вмикаються або вимикаються, якщо це необхідно. Загалом планую спробувати AP в тому числі для покриття зв'язку на вулиці на деякій площі. Й ось наскільки розумію, контролер навіть підлаштовує окремі AP, щоб ті не впливали одна на одну. Та, наприклад, може запропонувати клієнту перейти на іншу AP, якщо інша AP менш навантажена. Таких сценаріїв, наскільки я зрозумів, існує деяка кількість. Ось тому й стало цікаво подивитися як це буде працювати. Та й ті AP, про які йде мова, підтримують MIMO 3x3:3. Якщо є можливість вимкнути саме BeamFlex, то спробую порівняти якість зв'язку з BeamFlex та без (але, можливо, BeamFlex не вимикається). Стосовно, Cisco було б цікаво приблизно почути про які моделі йде мова. Припускаю, у Cisco сотні варіантів.

Так, звісно. На мою думку, вся система разом має багато функціонала. Мабуть, Ви вже чули, що вже або почалося, або вже скоро почнеться використання варіанту з мобільними терміналами (щось подібне телефону). Я про те що один й той же супутник, можливо, має багато різних функцій. Все (Starlink) виглядає як довгостроковий проєкт, SpaceX, наскільки я розумію, теж балансує десь в межах прибутковості. На полюсах Starlink, наприклад, підвищив швидкості зв'язку. Розумію так, що зв'язок на полюсі - це достатньо дорога річ. Але ця тема про деякі побутові речі. У випадку Ruckus, думаю, ціни такі низькі тому, що це обладнання, яке працює зазвичай з сервісними контрактами, а обладнання вже EOL, тому якісь великі компанії його змінили на інше. Чому б не погратися з enterprise рішеннями, якщо є функціональна перевага за якісь кошти. Наприклад, колись вважалось, що SAS HDD набагато надійніші, ніж звичайні побутові HDD.