Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Vilith

Stran: [1] 2 3 ... 43
1
Tak to jsem rád že se to povedlo.
Jen mi není jasné proč je v na serveru v PostUp toto
Kód: [Vybrat]
iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADEPodle mě je to zbytečné.

To  jsem neřešil, ale použil z předchozího příkladu od drobek1, kdy autor posílá do tunelu veškerý provoz a odchozí komunikaci zajišťuje server ve středu řešení.

U mne to moc význam mít nebude, ale co kdyby někdy něco do tunelu "vlítlo" v rámci experimentu a nebo nepozornosti

Snad se nepletu

2
Děkuji všem za pomoc

Konfiguraci jsem se pokusil stručně shrnout do přiloženého PDF souboru.
Snad to bude inspirací i pro ostatní

Chyběly mi PostUp a PostDown scripty na serveru, statické routy na nodech a správně zadat AllowedIP

3
Ještě jedna důležitá věc ohledně peerů za NATem.
https://www.wireguard.com/quickstart/
Přeci si sekci "NAT and Firewall Traversal Persistence"
Na peerech je třeba nastavit parametr PersistentKeepalive=...

PersistentKeepalive je samozřejmě nastavené - v tom problém není

Trápil jsem Google, ale nenašel jsem pořádnou ucelenou funkční radu, jak zrealizovat dané řešení. Proto se prám zde, zda to někdo nemá funkční

4
Pod OpenVPN mi to chodí (nebylo to až tak těžké - hlavně to je jinde popsané), jen jsem chtěl vyzkoušet něco nového, co nikde není pořádně popsané, jen naznačené :D

Každá lokalita má svou def. GW a jde na internet svou cestou - nechci veškerý provoz z LAN pouštět do tunelů. Jedná se jen o vzájemné propojení jejich LAN sítí

5
na
   ip route add 162.168.20.1/24 via 192.168.222.10 dev wg0
hlásí invalid prefix

   ip route add 162.168.20.1/32 via 192.168.222.10 dev wg0
nepomohlo, stejně jako nepomohlo
   ip route add 162.168.20.0/24 via 192.168.222.10 dev wg0 

Dík za snahu, ale tudy cesta nevede... :(

Nebo už se zase někde motám zase v kruhu...

6
Na server "v strede" to nedavat, tam dat do allowedip iba /32, ktoru ma peer alokovanu. Stred bude routovat podla svojej normalnej routovacej tabulky.

Upraven střed na:

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.10.0/24, fd00:db80:0:10::/64

peer B:
  allowed ips: 192.168.20.0/24, fd00:db80:0:20::/64

ale stále to není ono :(
Už si ze středu nepingnu na 192.168.222.10 ani na 192.168.222.20

Ještě to zkusím obráceně...

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.222.10/32, fd00:db80:0:222::10/128

peer B:
  allowed ips: 192.168.222.20/32, fd00:db80:0:222::20/128

a potom zase nepingnu ze středu na 192.168.10.1 nebo 192.168.20.1

7
Toto nastavení mi nepomohlo:

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.10.0/24, fd00:db80:0:10::/64, 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.222.1/32, fd00:db80:0:222::1/128, 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64

Kód: [Vybrat]
peer B:
  allowed ips: 192.168.20.0/24, fd00:db80:0:20::/64, 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.222.1/32, fd00:db80:0:222::1/128, 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64

a na serveru ve středu:

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64

peer B:
  allowed ips: 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64

8
AllowedIP je v podstate zoznam subnetov, routovanych cez dany wg interface. 0.0.0.0/0 znamena default gateway.

T.j. na gw v LAN A potrebujes mat v AllowedIP subnet  preLAN B a naopak.

Bohužel, tohle mi neprojde, wireguard nedovolí ma serveru ve "středu" zadat stejné AllowedIP na obou peerech

9
Server / Wireguarg a propojení 2 NAT LAN přes veřejný server
« kdy: 19. 01. 2021, 14:22:13 »
Experimentuji s wireguardem a nalezl jsem článek https://www.zahradnik.io/wireguard-a-vpn-with-real-world-usage-in-mind a zkouším podle něj propojit 2 LAN za NAT přes server s veřejnou IP

Server je Debian 10, v obou lokalitách běží OpenWRT routery. Orientační schéma je v příloze

Nejlepší varianta, kterou se mi podařilo rozchodit, je, že se ze serveru dostanu do obou lokalit na zařízení v jednotlivých LAN, ale už se mi nedaří komunikovat přes server mezi zařízeními v LAN

Stále tápu, jak nastavit AllowedIPs na jednotlivých zařízeních, případně routing (kde a jaký)

Neměl by někdo funkční řešení mého problému?

Konfugurace wireguardu na serveru:

Kód: [Vybrat]
~ # cat /etc/wireguard/wg0.conf
[Interface]
Address = 192.168.222.1/24
Address = fd00:db80:0:222::1/64
SaveConfig = true
ListenPort = 51194
PrivateKey = xxx=

[Peer]
PublicKey = zzz=
AllowedIPs = 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64
Endpoint = a.b.c.d:35681

[Peer]
PublicKey = yyy=
AllowedIPs = 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64
Endpoint = e.f.g.h:46475

10
Sítě / Re:Repeater SSID název
« kdy: 23. 12. 2020, 17:54:43 »
použij stejné SSID, ideálně jiný kanál

ALE určitě stejný způsob zabezpečení

11
Server / Re:Zkušenosti s AntiSpam Gateway
« kdy: 13. 11. 2020, 13:02:28 »
Co použít obyčejný postfix jako relay server příchozí i odchozí pošty s nasazeným rspamd ?

To snad zvládne kdokoli na obyčejné VPSce

12
Sítě / Re:Mikrotik a OpenVPN?
« kdy: 01. 11. 2020, 21:23:02 »
Na Windows jde spustit i OpenVPN server, ne? Bych udělal ten.

Vcelku ne dobrý, ba přímo hloupý, nápad vystavovat firemní Windows server přímo do internetu. Ale každého volba

13
Sítě / Re:Mikrotik a OpenVPN?
« kdy: 01. 11. 2020, 19:42:35 »
Ověřené a funkční:

1/ UPC modem v režimu bridge - máš pak IPv4 adresu a pomoci např. afraid.org a DynDNS se na ni můžeš připojovat

2/ za UPC modemem vlastní router s OpenWRT a OpenVPN serverem. Spokojenost s TP-Link Archer C7 (na něm běží DynDNS služba)

14
Desktop / Re:Virtuální linuxový desktop ve VirtualBoxu
« kdy: 29. 10. 2020, 19:40:29 »
Moje osobní zkušenost je taková, že lze pod Linuxem ve Virtualboxu provozovat bez problémů Windows. Stejně tak i opačně - z Windows pouštět virtuální stroje s OS Linux

Doporučuji si ponechat jako primární OS systém, který používáte častěji a který Vám vyhovuje na běžnou práci s Vašimi aplikacemi

Při virtualizaci vždy počítejte s jistou ztrátou výkonu virtuálního OS, především při využití graficky náročných aplikací, tj. zpracování videa, grafiky i her.

15
Server / Re:Server pouze k odesílání mailů
« kdy: 27. 10. 2020, 23:12:50 »
Pro takové malé poštování https://sendgrid.com/pricing/ či jiné podobné služby by nestačily?

Stran: [1] 2 3 ... 43