Příspěvky

16

Server / Re:Zvětšení disku u Forpsi

« kdy: 28. 09. 2021, 08:50:35 »

https://www.root.cz/clanky/lvm-prakticke-ukazky/

Chtělo byto nacvičit u sebe na virtuálce nebo požádat někoho, kdo to opravdu umí

17

Server / Re:Náhrada za Eset Mail Security pro Linux

« kdy: 23. 09. 2021, 10:03:49 »

Pokud používáš amavis, podívej se na seznam podporovaných antivirů v souboru /etc/amavis/conf.d/15-av_scanners

Clamav není nic moc, clamav-daemon dokáže "vyžrat" RAM a cpe se do swapu. Jedině ho používat, ale ne jako daemon. Ale za ty peníze je super.

Prostě mít ochranu jak na straně serveru, tak i na straně klienta. Ideálně od různých výrobců

18

Windows a jiné systémy / Re:Zdroj přesného času ve Windows síti - hlavní NTP - NTP server

« kdy: 05. 09. 2021, 20:15:02 »

Většinou jsem vždy volil klíčový aktivní prvek sítě - Cisco. Proti němu běžely Wokenní AD servery. Stanice si to braly z AD serverů

19

Sítě / Re:Lokální doménová jména u počítačů v malé síti

« kdy: 04. 09. 2021, 09:50:40 »

Ještě pro jistotu explicitně doplním, že pokud se vám z nějakého důvodu nelíbí mít ty názvy pod vaší oficiální doménou (ať už přímo pod example.com nebo všechny schované třeba pod intranet.example.com), pořád je lepší pořídit novou veřejnou doménu než mít svůj vlastní doménový strom (domény .local a podobně). Důvod je jednoduchý – kterýkoli záznam z té veřejné domény můžete zveřejnit, když se ukáže, že je to potřeba. Třeba že na něj potřebujete vystavit všeobecně uznávaný certifikát (stačí zveřejnit TXT záznam, nic jiného), nebo když se ukáže, že ta aplikace, která určitě navždy bude jenom v interní síti najednou má být dostupná i z internetu.

Ano inside LAN zveřejnit i internetu jen pomocí DNS - skvělá rada, tleskám

20

Windows a jiné systémy / Re:SW pro deployment OS Windows na stanice

« kdy: 12. 08. 2021, 21:00:59 »

MECM - https://www.interlink.com/blog/entry/microsoft-has-renamed-system-center-configuration-manager-sccm-to-microsoft-endpoint-configuration-manager-mecm

21

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 21. 01. 2021, 13:53:05 »

Připadá mi, že to v tom PDF máte nějak obráceně.

Node1 má u sebe síť 192.168.10.0/24 a má svou adresu ve VPN 192.168.222.10

Tedy by měl mít v AllowedIPs rozsahy jiných sítí a ne svojí. Tedy 192.168.20.0/24 a 192.168.222.0/24
Položky 192.168.222.1/32 a 192.168.222.20/32 jsou nadbytečné, protože jsou pokryty hodnotou 192.168.222.0/24.

Osobně bych doporučoval zvolit spíše větší prefix, pro případ, že sítě budou časem tři nebo čtyři - nemá cenu obcházet pak nastavení všech uzlů. Já bych tedy doporučil na oba nody nastavit AllowedIPs na 192.168.0.0/16.

Static route také není potřeba, protože Wireguard je L3 spoj, takže tam se adresa nexthopu beztak nijak neuplatní (192.168.20.0/24 via 192.168.222.20 dev wg0 je totéž co 192.168.20.0/24 dev wg0 a tento záznam automaticky vytvoří startovací skript wireguardu, pokud mu nevypnete "Route Allowed IPs").

Na straně serveru je nastavení AllowedIPs správně, ovšem ta maškaráda a pravidla PostUp a PostDown jsou úplně zbytečná, stačí prostě povolit předávání v /proc/sys/net/ipv4/ip_forward a pokud se používá firewall, nastavit ho tak, aby neblokoval forwarding. To lze udělat staticky.

Nevím, ale toto řešení, jako jedno z mnoha pokusů, je funkční

Node A má skutečně

Kód: [Vybrat]

allowed ips: 192.168.10.0/24, 192.168.222.10/32, 192.168.222.1/32, 192.168.222.20/32, 192.168.20.0/24

Jeho LAN je 192.168.10.0/24
VPN co ho řídí je 192.168.222.10/32
na serveru je 192.168.222.1/32
a na nodu B je 192.168.222.20/32

Obecně se dá povolit vše, ale na druhou stranu je lépe mít větší kontrolu a povolovat opravdu jen to, co je potřeba

Nyní je zvolen malý IP adresní rozsah IPv4 , ale jistě pro nikoho nebude problém použít rozsahy větší podle potřeby

Kód: [Vybrat]

192.168.20.0/24 via 192.168.222.20 dev wg0 proto static

je jeden z řádků výpisu "ip rou" na node A. Vlastní routing je nastaven na další záložce v OpenWRT webové konfigurace

22

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 21. 01. 2021, 07:12:18 »

Tak to jsem rád že se to povedlo.
Jen mi není jasné proč je v na serveru v PostUp toto

Kód: [Vybrat]

iptables -t nat -D POSTROUTING -o wg0 -j MASQUERADE

Podle mě je to zbytečné.

To  jsem neřešil, ale použil z předchozího příkladu od drobek1, kdy autor posílá do tunelu veškerý provoz a odchozí komunikaci zajišťuje server ve středu řešení.

U mne to moc význam mít nebude, ale co kdyby někdy něco do tunelu "vlítlo" v rámci experimentu a nebo nepozornosti

Snad se nepletu

23

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 20. 01. 2021, 18:11:34 »

Děkuji všem za pomoc

Konfiguraci jsem se pokusil stručně shrnout do přiloženého PDF souboru.
Snad to bude inspirací i pro ostatní

Chyběly mi PostUp a PostDown scripty na serveru, statické routy na nodech a správně zadat AllowedIP

24

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 19. 01. 2021, 23:48:06 »

Ještě jedna důležitá věc ohledně peerů za NATem.
https://www.wireguard.com/quickstart/
Přeci si sekci "NAT and Firewall Traversal Persistence"
Na peerech je třeba nastavit parametr PersistentKeepalive=...

PersistentKeepalive je samozřejmě nastavené - v tom problém není

Trápil jsem Google, ale nenašel jsem pořádnou ucelenou funkční radu, jak zrealizovat dané řešení. Proto se prám zde, zda to někdo nemá funkční

25

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 19. 01. 2021, 23:02:59 »

Pod OpenVPN mi to chodí (nebylo to až tak těžké - hlavně to je jinde popsané), jen jsem chtěl vyzkoušet něco nového, co nikde není pořádně popsané, jen naznačené

Každá lokalita má svou def. GW a jde na internet svou cestou - nechci veškerý provoz z LAN pouštět do tunelů. Jedná se jen o vzájemné propojení jejich LAN sítí

26

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 19. 01. 2021, 22:35:31 »

na
   ip route add 162.168.20.1/24 via 192.168.222.10 dev wg0
hlásí invalid prefix

   ip route add 162.168.20.1/32 via 192.168.222.10 dev wg0
nepomohlo, stejně jako nepomohlo
   ip route add 162.168.20.0/24 via 192.168.222.10 dev wg0 

Dík za snahu, ale tudy cesta nevede...

Nebo už se zase někde motám zase v kruhu...

27

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 19. 01. 2021, 20:56:52 »

Na server "v strede" to nedavat, tam dat do allowedip iba /32, ktoru ma peer alokovanu. Stred bude routovat podla svojej normalnej routovacej tabulky.

Upraven střed na:

Kód: [Vybrat]

peer A: 
  allowed ips: 192.168.10.0/24, fd00:db80:0:10::/64

peer B: 
  allowed ips: 192.168.20.0/24, fd00:db80:0:20::/64

ale stále to není ono
Už si ze středu nepingnu na 192.168.222.10 ani na 192.168.222.20

Ještě to zkusím obráceně...

Kód: [Vybrat]

peer A: 
  allowed ips: 192.168.222.10/32, fd00:db80:0:222::10/128

peer B:
  allowed ips: 192.168.222.20/32, fd00:db80:0:222::20/128

a potom zase nepingnu ze středu na 192.168.10.1 nebo 192.168.20.1

28

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 19. 01. 2021, 20:40:55 »

Toto nastavení mi nepomohlo:

Kód: [Vybrat]

peer A: 
  allowed ips: 192.168.10.0/24, fd00:db80:0:10::/64, 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.222.1/32, fd00:db80:0:222::1/128, 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64

Kód: [Vybrat]

peer B:
  allowed ips: 192.168.20.0/24, fd00:db80:0:20::/64, 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.222.1/32, fd00:db80:0:222::1/128, 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64

a na serveru ve středu:

Kód: [Vybrat]

peer A:
  allowed ips: 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64

peer B:
  allowed ips: 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64

29

Server / Re:Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 19. 01. 2021, 16:56:30 »

AllowedIP je v podstate zoznam subnetov, routovanych cez dany wg interface. 0.0.0.0/0 znamena default gateway.

T.j. na gw v LAN A potrebujes mat v AllowedIP subnet  preLAN B a naopak.

Bohužel, tohle mi neprojde, wireguard nedovolí ma serveru ve "středu" zadat stejné AllowedIP na obou peerech

30

Server / Wireguarg a propojení 2 NAT LAN přes veřejný server

« kdy: 19. 01. 2021, 14:22:13 »

Experimentuji s wireguardem a nalezl jsem článek https://www.zahradnik.io/wireguard-a-vpn-with-real-world-usage-in-mind a zkouším podle něj propojit 2 LAN za NAT přes server s veřejnou IP

Server je Debian 10, v obou lokalitách běží OpenWRT routery. Orientační schéma je v příloze

Nejlepší varianta, kterou se mi podařilo rozchodit, je, že se ze serveru dostanu do obou lokalit na zařízení v jednotlivých LAN, ale už se mi nedaří komunikovat přes server mezi zařízeními v LAN

Stále tápu, jak nastavit AllowedIPs na jednotlivých zařízeních, případně routing (kde a jaký)

Neměl by někdo funkční řešení mého problému?

Konfugurace wireguardu na serveru:

Kód: [Vybrat]

 ~ # cat /etc/wireguard/wg0.conf
[Interface]
Address = 192.168.222.1/24
Address = fd00:db80:0:222::1/64
SaveConfig = true
ListenPort = 51194
PrivateKey = xxx=

[Peer]
PublicKey = zzz=
AllowedIPs = 192.168.222.10/32, fd00:db80:0:222::10/128, 192.168.10.0/24, fd00:db80:0:10::/64
Endpoint = a.b.c.d:35681

[Peer]
PublicKey = yyy=
AllowedIPs = 192.168.222.20/32, fd00:db80:0:222::20/128, 192.168.20.0/24, fd00:db80:0:20::/64
Endpoint = e.f.g.h:46475