Inlägg

En till som gick över till Inlead här, och Desec för DNS. So far, so good.

Se där, intressant, den bokmärkar jag i min Linkwarden instans. Den såg bra mycket modernare ut än PHProxy.

Jag skulle säga att det beror lite på ditt brandväggsupplägg. Om du kör EdgeRouter, pfSense, OPNsense eller liknande brandvägg med VLAN-kapabel switch och kör din instans av Girici Web Proxy i en docker host och kopplar ihop containerns nätverk med ett VLAN som terminerar in i brandväggen, så är det ju bara en fråga om att öppna upp för port 53/udp från det VLAN:et till ordinarie DNS-servrar på insidan hos dig om du nu vill att proxy-lösningen ska använda din DNS-lösning. På så vis kommer Girici Web Proxy kunna göra DNS-uppslag från din DNS-server, men kommer inte kunna surfa till interna resurser i övrigt såvida du inte öppnar upp i brandväggen för detta från proxy VLAN:en till respektive VLAN/subnät där resursen är.

Okej, så det är med andra ord något i stil med PHProxy som du kör, som gör att du kan surfa till valfria webbsidor via ett formulär där du skriver in önskad adress?
https://github.com/PHProxy/phproxy
https://www.rateavon.je/error.php

Säg att du har en sådan lösning igång på insidan av ditt nätverk körandes under Apache webbserver på en linux-burk. Utan applicering av någon form av restriktioner på vad apache http ska kunna komma åt så kan förstås din web proxy missbrukas av andra externa användare för att surfa till interna IP-adresser i ditt nätverk. I fallet med PHProxy körandes i Apache http på en linux-burk kan du exempelvis blockera apache-processen åtkomst till exempelvis 192.168.0.0/16 med "iptables -I OUTPUT -m owner --uid-owner apache -d 192.168.0.0/16 -j REJECT". En annan lösning är om du kör web proxy:n på en enhet som sitter i ett annat VLAN, då sker begränsning i stället i din brandvägg/router för inter-VLAN trafik där du väljer att blockera all trafik från det nätverk där servern/datorn som kör web proxy:n sitter och då endast tillåter trafik ut mot internet.

Ett annat tips är att använda snabbhjälp som finns att hämta hem från Microsoft Store på Windows 10/11 datorer, det enda som krävs där är ett Microsoft Live/Outlook/Personal-konto för den som ska erbjuda support.

Du startar bara snabbhjälp via startmenyn, klicka på "hjälp någon" (och logga in med ditt Microsoft-konto om du inte redan är inloggad). Be personerna i andra änden att starta snabbhjälp och därefter knappa in koden som står i din snabbhjälp och du ansluts in till deras dator. Föredelen med denna lösning över Teamviewer och Anydesk är att du inte riskerar att bli utslängd pga identifiering av "kommersiellt bruk" såsom tidigare nämnda lösningar emellanåt gör.

https://support.microsoft.com/sv-se/windows/l%C3%B6sa-datorpr...

Ja det är bara krypa till korset och erkänna att även jag läste ursprungliga meddelandet lite förhastat och drog den felaktiga slutsatsen att det var frågan om en omvänd proxy. Det är så pass ovanligt med diskussioner som gäller transparenta cache-lagrande proxys i dessa tider av höghastighetsinternet hos alles, tiden när man körde en Squid-proxy för att snabba på internet-upplevelsen är långt förbi.

Men som KAD skriver så finns det både tekniska utmaningar och etiska frågeställningar i att förverkliga denna typ av filtrering på hemmaplan. Det är en annan femma i en företagsmiljö där man som arbetsgivare exempelvis kan behöva skydda medarbetarna från att omedvetet (eller medvetet) sprida personuppgifter som kan resulterar i skadeståndskrav för organisationen. Samt att man kanske vill utöka lite klassiskt amerikanskt överförmyndarskap på arbetsplats genom att "skydda" medarbetarna från att bränna produktionstid på villfarelser såsom de eviga flödena.

Det mest vanligt förekomna i olika self-hosting forum skulle jag säga är NPM (Nginx Proxy Manager), Caddy och Traefik.

Personligen så har jag kört Traefik i många år nu och i olika miljöer vilket har fungerat mycket stabilt. Men främsta anledningen till att jag fastnade för Traefik där i början var just att det var så enkelt att publicera mina docker-avbildningar genom att bara lägga till ett par labels i docker-compose filerna och de blir nåbar från hela internet, eller endast interna nätverket om jag väljer en åtkomstpunkt som har sådan begränsning.

https://nginxproxymanager.com/
https://caddyserver.com/
https://traefik.io/traefik/

Allra enklaste proxy:n du kan tänka dig är ju att använda en ren nginx, som i sig ursprungligen designades som en proxy men långsamt gled in i webbserver-territoriet och nu används lika mycket för båda syftena.

Nej det stämmer alldeles korrekt. Du kan inte uppdatera bort BIOS-lösenordet på själva enheten, åtminstone inte utan att begära ut en speciell SMC.bin fil från HP-supporten som via en HP bakdörr kan ta bort lösenordet. Annars är det löda loss BIOS-chippet och programmera med en BIOS-programmerare såsom en TL866II och skriva in en fullständig dump av en bios där lösenord inte är satt vilket då skriver över den del av BIOS:en som man normalt sett inte tillåts skriva till. Det man absolut inte ska göra på en 840 G3 med bios-lösenord är att ta bort CMOS-batteriet, då tappar datorn alla inställningar inklusive tiden på hårdvaruklockan och du är fortfarande lika utelåst från BIOS. x-D

https://www.youtube.com/watch?v=83HYpiY691U

Man kan väl säga att det inte är alltför oväntat, speciellt i områden där många har valt att gå den mobila vägen. I förbindelser som baserar sig på tidsslotstilldelad trafik så som med radiovågor så kommer det förstås att bli köbildning för eller senare.

Jag skulle säga att enklaste lösningen är att installera upp en Project FOG-server enligt guide för detta som då förser dig med allt du behöver för att kunna PXE-boota klienter i ditt nätverk, samt för att göra en avspegling av en existerande dator. Därefter behöver du bara ta en annan dator som du installerar upp en ren Windows på, varpå du bootar upp denna med FOG och skapar upp en avspegling av disken. Sen bootar du upp din HP Elite 840 G3 mot FOG och väljer att återställa avspeglingen du gjorde tidigare till denna.

Installation
https://docs.fogproject.org/en/latest/installation/server/ins...

Guide som visar hur du skapar en Windows 11 avspegling för deployment via FOG
https://www.youtube.com/watch?v=D86nqF_8I9g

Du kan givetvis köra detta virtuellt i VirtualBox eller Hyper-V på din PC, där du har en VM för själva FOG och en annan där du installerar Windows 11 och sedan kör capture på och skapar själva avbildningen i FOG. Sen bootar du upp din laptop med FOG och registrerar den där, när registreringen är gjord så kan du via FOG webbgränssnittet välja att du vill trycka på Windows 11 avbildningen på denna vilket sedan sker nästa gång du nätverks-bootar FOG på laptop:en.

Vad jag förstår på WDS/MDT och deployment, så är det att det är just TFTP-delen som segar ner hela processen eftersom detta gamla protokoll inte är optimalt rent överföringsmässigt att föra över stora mängder data. Så det du vill åstadkomma är att överföra så lite som möjligt över TFTP och sköta resten över iPXE/HTTPS som klarar högre överföringshastigheter.

Du ska kunna lägga till en iPXE boot image och få till HTTPS-nedladdning av installations-wim:en den vägen. Guiden jag hittade gällde dock för fullvärdig SCCM-miljö eftersom du behöver uppsatt PKI för att det ska fungera.
https://quisitive.com/os-deployment-with-pki-https/

Annars kan du ju kolla på Project FOG som är en open source-lösning av distribution av OS-avspeglingar, och som då stödjer iPXE och nedladdning över http/https eller från NFS-utdelning som då ger dig mycket högre överföringshastigheter. Jag kör själv en FOG-instans hos mig, men efter att jag började göra Synology Active Backup-avspeglingar på mina datorer så har jag aldrig behövt använda mig utav FOG för att återställa en dator vid krasch så jag har den mest igång för att kunna labba med lösningen, eller så var tanken i alla fall, sen blev jag farsa till två knoddar och FOG har fallit lite i glömska.
https://docs.fogproject.org/en/latest/introduction/

Dessa kan också vara av intresse att kolla på.
https://ipxe.org/wimboot
https://hannan.au/posts/wimboot-sccm/

Jag körde tidigare med Loopia för både domänregistrar och DNS. De har ett bra api för detta, samt ett färdigt skript att schemalägga via cron på din linuxburk.
https://support.loopia.se/wiki/uppdatera-dynamisk-ip-adress-m...

Numera har jag flyttat domänerna till Inleed och använder Desec för DNS, som i sin tur har vettigt inbyggt dyndns-stöd för att uppdatera IP för exempelvis en av dig uppsatt dynamic.mindomän.se som du därefter hänvisar till med CNAME för övriga domäner och tjänster.
https://desec.readthedocs.io/en/latest/dyndns/update-api.html...

För trafiken initierad från internal med riktning mot external bör du troligtvis tillåta allt, eftersom spel nu för tiden inte handlar så mycket om LAN som det gör att spela ut mot WAN, men i en gemensam grupp.

För trafik som däremot har external som ursprung bör du inte tillåta någoting, såvida du inte förstås tänker dig att ni ska ha någon form av resurs på insidan, säg en lokal server för spelet x, som även spelare utifrån ska kunna komma åt.

Om jag tänker mig tillbaks till mina ungdoms dagar när vi satt 10-20 pers i en källare och LAN:ade så hade vi helt andra förutsättningar. För det första så var det inte givet att vi hade tillgång till internet, och för det andra så var spelen avsedd för LAN där en hostade spelet på sin dator och resten anslöt mot IP-adressen på dennes dator. Sätter man upp ett LAN för den mängden människor i dagsläget så behövs inte mycket mer än en enklare hemmarouter och en 24-portars switch och man är igång, skulle säga att du klarar dig fint på en valfri SoHo router för upp till kanske 50-100 deltagare såvida det inte är något riktigt skräp till router såsom de där billigare Kines-varianterna på Asus routrarna som säljs för 695:- på Jula.

Så länge du inte sätter en 2.5" SAS-hårddisk i andra änden så bör denna hemma-moddade adapter fungera prima.

SAS-gränssnittet är bakåtkompatibelt med SATA, där de bortkapade ledarna är just de som är specifika för SAS dual porting-funktionen som gör att två hårddisk-kontrollers kan kommunicera med en och samma hårddisk för redundans-scenarion, såsom i Enterprise SAN-lösningar.

Detta är hundra procent sant, Visma Administration 2000 i dess nyare utgåvor med MS-SQL som backend premierar helt klart lokala nätverk med låg latens. Lägger du på en GRE/IPSec som adderar >20ms i latens så kommer upplevelsen för användaren snabbt att bli väldigt otrevlig.

Tro mig när jag säger att jag har satt upp många speciallösningar tidigare i min karriär som kollegor har ondgjort sig över.
När det kommer till Windows 10/11 så finns det förstås lösningar såsom rdwrap som gör det möjligt att aktivera flersessionsstöd även i Desktop OS. Microsofts officella svar på detta är deras "Windows 10/11 Enterprise for Multi-Session" som i princip är vanliga desktop-utgåvan men där de tillåter multipla sessioner precis som vanligt server OS med RD-session host-roll, men den lösningen är endast avsedd för Azure VDI.

Jag har sett lösningar genom åren där kunder har löst det genom att ha 5-10 fullstorleks-datorer ståendes på elfa-hyllor inne i "data-skrubben" och där varje användare hade sin egen dator som de då anslöt in mot via Teamviewer eller VNC. Snabbspolar vi fram till dagens billiga Tiny/Micro-datorer som du kan köpa billigt som refurbished, och mesh-vpn lösningar, så kan man förstås göra en liknande lösning med individuella fjärrskrivbords PC:s som ryms på en liten yta och med säker fjärraccess över ordinarie RDP-protokollet, och utan att exponera 3389 ut mot omvärlden.

En snabb koll på Shodan påvisar 13,947 exponerade RDP-portar i Sverige, de flesta i Stockholmsregionen. Av dessa 13,947 så är det iofs endast 128st som har bekräftade Remote Code Execution-sårbarheter, om det nu är någon silver lining i det hela. Vad jag menar är att det finns bättre lösningar år 2025 än att exponera fjärrskrivbord direkt ut via tcp/3389.

https://picsur.rhz.se/i/612aba1f-7522-40b6-97d6-4f827e02c8f6.jpg

Lustigt att du skulle nämna det.
Jag kan säga att det var väldigt lärorikt att vara med och konfigurera nät för ett sådant här event. Själv är jag en självlärd generalist-konsult som råkar hysa viss förkärlek till just nätverksområdet. Misstaget jag gjorde just inför sagda eventet var att jag snöade in mig på att maximera tillgänglig kapacitet, kontra att den switch-utrustning vi hade för att LAG/LACP-bonda inkommande interface var helt fel utrustning för ändamålet, UniFi aggregation-switchar med deras avsaknad av stöd för aktiv LACP i kombination med Huawei-switchar i andra änden med fullt aktivt LACP-stöd i andra änden visade sig resultera i att allt såg bra ut så länge man bara skickade trafik över TCP, men när UDP blandades in i mixen så visade sig mikro-stopp i trafiken när LACP-förhandlingen misslyckades på grund utav att switch i andra änden inte hanterade detta. Det misstaget gör jag inte om.

Rent krasst så kan du förstås klara dig med det mesta i switch-väg, det är trots allt inte hubbar vi pratar om här utan utrustning som är kapabel att adressera trafiken till den specifika porten där MAC-adressen på destinationen befinner sig. Sen kan jag tycka att du borde kunna få tag på en drös med ProCurve 2530 hellre än gamla härkar såsom Procurve 2650/2626, jag vet att vi har slängt iväg ett 50-tal sådana under åren där vi har uppgraderat till UniFi för både switchning och trådlöst just för enkelheten att styra allt i samma kontroller.

Jag skulle nog inte satsa på något så enkelt som en enstaka "hemma-router" för det trådlösa, om det inte är för att ge ett enklare wifi på en begränsad yta eller för en specifik funktion. Man får förstås anpassa detta utifrån ytan och hur många enheter som man tänker sig ska ansluta trådlöst. Vi körde t.ex inget wifi på SubZero förra sommaren, då det wifi som fanns på Arenan då inte var byggt för att ta hundratals enheter. Men inför kommande event så har vi nu uppgraderat Arenan med U6 Enterprise accesspunkter som klarar upp emot 600+ klienter per accesspunkt så vi kommer att erbjuda wifi för behövande.

Som vi byggde det på SubZero så fick vi låna 2st FortiGate 100F kombinerat med 10 FortiSwitch:ar som core nät, och efter det körde jag en drös med UniFi Gen1 och Gen2 switchar som vi bytte in från en kund lägligt där innan LAN:et. Rent konfigurationsmässigt så hade jag delat upp nätet i olika zoner/VLAN utifrån bordsgrupperingar för att kunna både applicera brandväggsregler och trafik shaping mellan bordsgrupper och från bordsgrupper och ut mot det breda internet. Men jag insåg i efterhand att jag lite väl strikt som inte tillät åtminstone high ports-trafik mellan grupperna, jag hörde gnissel i discord:en över att folk inte kunde ansluta till lokalt huserade Minecraft-servrar. Däremot så tycker jag att SMB-trafik inte bör tillåtas hur som helst, även om SMB 1.0 protokollet är ett minne blott, men du vill inte ha ett utbrott utav skadlig kod som sprids som en skogsbrand ute på golvet, det väcker gamla minnen från lan från det förflutna, CIH Spacefiller- och Chernobyl-virus and their likes där halva första dagen gick åt till att skicka disketter med antivirus-program mellan deltagarna.

Hej njanja,

Så här fungerar Uptime Kuma.

1. Installera och publicera Uptime Kuma Dashboard på av dig valfri webbadress, förslagsvis inte status.dindomän.se utan kanske uptime.dindomän.se eller liknande.
2. Logga in och skapa upp övervakningar för önskade tjänster
3. Gå in under "Status Panels" och skapa en status-panel för din domän
4. I fältet "Domain Name" i menyn till vänster knappar du in det domännamn som denna status-panel ska nås på, exempelvis status.dindomän.se, samt skapa upp en vettig layout för dina övervakar
5. Se till så att eventuell omvänd proxy publicerar uptime.dindomän.se (eller vad du nu valde att publicera din Uptime Kuma dashboard som) samt status.dindomän.se in mot din Uptime Kuma-instans.
6. Testa att surfa till status.dindomän.se för att verifiera funktion

Hela poängen med ovan är att du, utifrån en Uptime Kuma-instans, kan sätta upp status-paneler för flera domäner i samma instans. Jag har flera domäner själv där jag har satt upp en status subdomän för samtliga så att berörda individer kan surfa till och kolla hur länge Minecraft-, mejl-servern eller annan tjänst har varit nere. Här har du exempel för min wickenberg.nu domän -> https://status.wickenberg.nu