Zobrazit příspěvky

Tato sekce Vám umožňuje zobrazit všechny příspěvky tohoto uživatele. Prosím uvědomte si, že můžete vidět příspěvky pouze z oblastí Vám přístupných.


Příspěvky - Vilith

Stran: [1] 2 3 ... 43
1
Server / Re:Mail u sebe doma
« kdy: 28. 10. 2021, 20:23:07 »
Ty jo, vy se furt ještě hádáte? To by zasloužilo snad i nějakou věcnou cenu nebo alespoň titul :o

p. Jirsák zvyšuje počet svých příspěvků a stále má málo - jen 4 713

Jinak od něho raději nic lepšího nečekejte, kromě "nastudované" teorie. Praxe už kulhá

2
Server / Re:Zvětšení disku u Forpsi
« kdy: 28. 09. 2021, 08:50:35 »
https://www.root.cz/clanky/lvm-prakticke-ukazky/

Chtělo byto nacvičit u sebe na virtuálce nebo požádat někoho, kdo to opravdu umí

3
Server / Re:Náhrada za Eset Mail Security pro Linux
« kdy: 23. 09. 2021, 10:03:49 »
Pokud používáš amavis, podívej se na seznam podporovaných antivirů v souboru /etc/amavis/conf.d/15-av_scanners

Clamav není nic moc, clamav-daemon dokáže "vyžrat" RAM a cpe se do swapu. Jedině ho používat, ale ne jako daemon. Ale za ty peníze je super.

Prostě mít ochranu jak na straně serveru, tak i na straně klienta. Ideálně od různých výrobců

4
Většinou jsem vždy volil klíčový aktivní prvek sítě - Cisco. Proti němu běžely Wokenní AD servery. Stanice si to braly z AD serverů

5
Ještě pro jistotu explicitně doplním, že pokud se vám z nějakého důvodu nelíbí mít ty názvy pod vaší oficiální doménou (ať už přímo pod example.com nebo všechny schované třeba pod intranet.example.com), pořád je lepší pořídit novou veřejnou doménu než mít svůj vlastní doménový strom (domény .local a podobně). Důvod je jednoduchý – kterýkoli záznam z té veřejné domény můžete zveřejnit, když se ukáže, že je to potřeba. Třeba že na něj potřebujete vystavit všeobecně uznávaný certifikát (stačí zveřejnit TXT záznam, nic jiného), nebo když se ukáže, že ta aplikace, která určitě navždy bude jenom v interní síti najednou má být dostupná i z internetu.

Ano inside LAN zveřejnit i internetu jen pomocí DNS - skvělá rada, tleskám

7
Připadá mi, že to v tom PDF máte nějak obráceně.

Node1 má u sebe síť 192.168.10.0/24 a má svou adresu ve VPN 192.168.222.10

Tedy by měl mít v AllowedIPs rozsahy jiných sítí a ne svojí. Tedy 192.168.20.0/24 a 192.168.222.0/24
Položky 192.168.222.1/32 a 192.168.222.20/32 jsou nadbytečné, protože jsou pokryty hodnotou 192.168.222.0/24.

Osobně bych doporučoval zvolit spíše větší prefix, pro případ, že sítě budou časem tři nebo čtyři - nemá cenu obcházet pak nastavení všech uzlů. Já bych tedy doporučil na oba nody nastavit AllowedIPs na 192.168.0.0/16.

Static route také není potřeba, protože Wireguard je L3 spoj, takže tam se adresa nexthopu beztak nijak neuplatní (192.168.20.0/24 via 192.168.222.20 dev wg0 je totéž co 192.168.20.0/24 dev wg0 a tento záznam automaticky vytvoří startovací skript wireguardu, pokud mu nevypnete "Route Allowed IPs").

Na straně serveru je nastavení AllowedIPs správně, ovšem ta maškaráda a pravidla PostUp a PostDown jsou úplně zbytečná, stačí prostě povolit předávání v /proc/sys/net/ipv4/ip_forward a pokud se používá firewall, nastavit ho tak, aby neblokoval forwarding. To lze udělat staticky.

Nevím, ale toto řešení, jako jedno z mnoha pokusů, je funkční

Node A má skutečně
Kód: [Vybrat]
allowed ips: 192.168.10.0/24, 192.168.222.10/32, 192.168.222.1/32, 192.168.222.20/32, 192.168.20.0/24

Jeho LAN je 192.168.10.0/24
VPN co ho řídí je 192.168.222.10/32
na serveru je 192.168.222.1/32
a na nodu B je 192.168.222.20/32

Obecně se dá povolit vše, ale na druhou stranu je lépe mít větší kontrolu a povolovat opravdu jen to, co je potřeba

Nyní je zvolen malý IP adresní rozsah IPv4 , ale jistě pro nikoho nebude problém použít rozsahy větší podle potřeby

Kód: [Vybrat]
192.168.20.0/24 via 192.168.222.20 dev wg0 proto static je jeden z řádků výpisu "ip rou" na node A. Vlastní routing je nastaven na další záložce v OpenWRT webové konfigurace

8
Tak to jsem rád že se to povedlo.
Jen mi není jasné proč je v na serveru v PostUp toto
Kód: [Vybrat]
iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADEPodle mě je to zbytečné.

To  jsem neřešil, ale použil z předchozího příkladu od drobek1, kdy autor posílá do tunelu veškerý provoz a odchozí komunikaci zajišťuje server ve středu řešení.

U mne to moc význam mít nebude, ale co kdyby někdy něco do tunelu "vlítlo" v rámci experimentu a nebo nepozornosti

Snad se nepletu

9
Děkuji všem za pomoc

Konfiguraci jsem se pokusil stručně shrnout do přiloženého PDF souboru.
Snad to bude inspirací i pro ostatní

Chyběly mi PostUp a PostDown scripty na serveru, statické routy na nodech a správně zadat AllowedIP

10
Ještě jedna důležitá věc ohledně peerů za NATem.
https://www.wireguard.com/quickstart/
Přeci si sekci "NAT and Firewall Traversal Persistence"
Na peerech je třeba nastavit parametr PersistentKeepalive=...

PersistentKeepalive je samozřejmě nastavené - v tom problém není

Trápil jsem Google, ale nenašel jsem pořádnou ucelenou funkční radu, jak zrealizovat dané řešení. Proto se prám zde, zda to někdo nemá funkční

11
Pod OpenVPN mi to chodí (nebylo to až tak těžké - hlavně to je jinde popsané), jen jsem chtěl vyzkoušet něco nového, co nikde není pořádně popsané, jen naznačené :D

Každá lokalita má svou def. GW a jde na internet svou cestou - nechci veškerý provoz z LAN pouštět do tunelů. Jedná se jen o vzájemné propojení jejich LAN sítí

12
na
   ip route add 162.168.20.1/24 via 192.168.222.10 dev wg0
hlásí invalid prefix

   ip route add 162.168.20.1/32 via 192.168.222.10 dev wg0
nepomohlo, stejně jako nepomohlo
   ip route add 162.168.20.0/24 via 192.168.222.10 dev wg0 

Dík za snahu, ale tudy cesta nevede... :(

Nebo už se zase někde motám zase v kruhu...

13
Na server "v strede" to nedavat, tam dat do allowedip iba /32, ktoru ma peer alokovanu. Stred bude routovat podla svojej normalnej routovacej tabulky.

Upraven střed na:

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.10.0/24, fd00:db80:0:10::/64

peer B:
  allowed ips: 192.168.20.0/24, fd00:db80:0:20::/64

ale stále to není ono :(
Už si ze středu nepingnu na 192.168.222.10 ani na 192.168.222.20

Ještě to zkusím obráceně...

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.222.10/32, fd00:db80:0:222::10/128

peer B:
  allowed ips: 192.168.222.20/32, fd00:db80:0:222::20/128

a potom zase nepingnu ze středu na 192.168.10.1 nebo 192.168.20.1

14
Toto nastavení mi nepomohlo:

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.10.0/24, fd00:db80:0:10::/64, 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.222.1/32, fd00:db80:0:222::1/128, 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64

Kód: [Vybrat]
peer B:
  allowed ips: 192.168.20.0/24, fd00:db80:0:20::/64, 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.222.1/32, fd00:db80:0:222::1/128, 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64

a na serveru ve středu:

Kód: [Vybrat]
peer A:
  allowed ips: 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64

peer B:
  allowed ips: 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64

15
AllowedIP je v podstate zoznam subnetov, routovanych cez dany wg interface. 0.0.0.0/0 znamena default gateway.

T.j. na gw v LAN A potrebujes mat v AllowedIP subnet  preLAN B a naopak.

Bohužel, tohle mi neprojde, wireguard nedovolí ma serveru ve "středu" zadat stejné AllowedIP na obou peerech

Stran: [1] 2 3 ... 43