Příspěvky

46

Sítě / Re:Nastavení WireGuardu na OpenWRT a Androidu

« kdy: 01. 12. 2020, 00:12:53 »

Neumím potvrdit jestli takhle přesně je to ok, ale vypadá to lépe než minule.
Každopádně otevření UDP portu na Firewallu pro přístup zvenku ok tj. firewall.@rule[10]*
Pokud si dám u sebe příkaz "uci show firewall" tak mám nastaveno pro Wireguard ještě:

Kód: [Vybrat]

firewall.@zone[4]=zone
firewall.@zone[4].name='wg'
firewall.@zone[4].input='ACCEPT'
firewall.@zone[4].forward='ACCEPT'
firewall.@zone[4].output='ACCEPT'
firewall.@zone[4].masq='1'
firewall.@zone[4].network='wg0'

Graficky to vypadá viz příloha Firewall.png .

Co vám ukazuje příkaz

Kód: [Vybrat]

wg show z jedné a z druhé strany tunelu ?

Mělo by to vypadat nějak takhle:

Kód: [Vybrat]

interface: wg0
  public key: SERxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  private key: (hidden)
  listening port: 51820

peer: Axxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  endpoint: 176.xxx.xxx.xxx:51027
  allowed ips: 10.10.10.11/32
  latest handshake: 33 seconds ago
  transfer: 40.93 MiB received, 10.55 MiB sent

Co vám vypíše 'ping' na adresy 10.0.1.1 a 10.0.1.2 ?
Co vám vypíše 'route' ?

47

Hardware / Re:Kde sehnat českou klávesnici pro laptop?

« kdy: 28. 11. 2020, 17:17:13 »

Dle popisu nezbytně nepotřebuješ CZ klávesnici, písmenka se dají mezi klávesnicema přeházet. Měla by ti stačit US. A ulomené máš co ? Úchyty na desce, nebo na klávese ? Protože klávesy a ten nůžkový mechanismus se dají na některé klávesnice sehnat.

48

Sítě / Re:Nastavení WireGuardu na OpenWRT a Androidu

« kdy: 28. 11. 2020, 00:25:18 »

Konfigurační soubor pro připojení z mobilu nebo z počítače je stejnej => vyzkoušej z počítače, jenodušeji se testuje než z mobilu.

Rozdíl jestli jdu full provoz přes Wireguard nebo jen vybrané IP adresy je v položce AllowedIPs.
Moje konfigurace z mobilu pro plnej provoz přes Wireguard spojení je:

Kód: [Vybrat]

[Interface]
# Which networks does my interface belong to? Notice: /24 and /64
Address = 10.10.10.11/24
DNS = 8.8.8.8, 8.8.4.4
PrivateKey = Uxxx....xxxx=

# Server
[Peer]
PublicKey = SExxxx...xxxx=
# I want to route everything through the server, both IPv4 and IPv6. All IPs are
# thus available through the Server, and I can expect packets from any IP to
# come from that peer.
AllowedIPs = 0.0.0.0/0

# Where is the server on the internet? This is a public address. The port
# (:51820) is the same as ListenPort in the [Interface] of the Server file above
Endpoint = 80.xxx.xxx.xxx:51820
# Usually, clients are behind NAT. to keep the connection running, keep alive.
PersistentKeepalive = 25

Neuvádíš jakej adresní prostor pro co používáš, tj. jestli máš lokální síť  10.x.x.x a ve stejným rozsahu tam dáváš WG ?
Já třeba používám pro Turrise adresní rozsah 172.20.xxx.xxx, a pro VPNky pak dávám 10.x.x.x.
Používám Turris Omnia aktuálně s verzí FW 15.05 a ty obrazovky co printscreenuješ mám vzhledově trochu jiný, zkus sem dát výpis z příkazu

Kód: [Vybrat]

uci show | grep WIREGUARD  
to bude jednodušší na porovnání.

Minimálně máš podle mě blbě ten blok Síťové rozhraní >> Wireguard - Obecné nastavení. Do toho pole IP adresy máš dát pouze jednu IP adresu a to jakou bude mít konec tvého tunelu na straně Turrise, ty tam máš daný 4, já  tam mám: 10.10.10.1/24.
A v záložce protistrany pak máš mít povolený provoz v tomhle spojení tj. typicky IP adresu kterou si přiřadil mobilu v mém případě je to:  10.10.10.11/32

49

Server / Re:Komentáře v souboru wg0.conf

« kdy: 25. 11. 2020, 11:48:59 »

Pokud ti jde o identifikaci uživatelů, tj. komu patří který klíč tak je zajímavý nástroj "wireguard-vanity-address" https://github.com/warner/wireguard-vanity-address

50

Sítě / Re:Wi-Fi síť pro hosty s jinou DNS

« kdy: 06. 10. 2020, 21:52:51 »

Řekl bych že to co popisuješ je tzv. síť pro hosty a pak dokonfigurovat DNS pro ní. Minimálně v Turrisu je síť pro hosty standardně, ale pro DNS konfiguraci musíš jít přes Luci rozhraní.

51

Sítě / Re:Jak nastavit stejnou IP na dvě síťové rozhraní?

« kdy: 17. 07. 2020, 14:07:10 »

A zřejmě budeš potřebovat i podporu na Switchi aby to fungovalo.

52

Sítě / Re:OpenVPN přesměrování provozu

« kdy: 24. 06. 2020, 00:29:09 »

Podle popisu problému s OpenVPN teprve začínáš ... doporučuju zvážit použití Wireguardu.
S OpenVPN sem také nějako dobu zápasil než běžel jak sem potřeboval.
Ale Wireguard mi připadá o 2 levely jednoduší na nastavení i použití.

53

Sítě / Re:Stabilita routeru Turris Omnia

« kdy: 24. 06. 2020, 00:10:25 »

Já používám 3x Turris Omnie + 2x starší Turris 1.x. 2 Omnie mám od kampaně na Indiegu (2015).  Později za plnou cenu dokoupena 2GB verze Omnie. A nedávno sem si dokoupil další dva starší modely Turris 1.0 a 1.1 (použité za cenu kolem 2tis.). K tomu ještě používám jeden router Asus RT-N16 s aktuální verzí OpenWRT. Vše používám v rámci rodiny, mám je propojený přes Wireguard (předtím přes OpenVPN).

Ano, jednou sem narazil při automatické aktualizací driveru na 2,4GHz WiFi kdy tam dali novější verzi a začal mi zlobit starý tablet (Acer A700) ale to pak vrátili zpátky takže sem opět mohl tablet používat.

Co se týče aktualizací ukaž mi jiný produkt typu router který nabízí automatické aktualizace. Navíc ty sám si můžeš nastavit zda se bude automaticky aktualizovat nebo zda budeš aktualizovat ručně po upozornění.

Tyhle routery považuju za bezpečné řešení v rámci rodiny oproti jiným routerům, které mají uzavřený FW a jsi odkázán na libovůli výrobce zda některé chyby opraví nebo ne, nebo zda řekne že produkt už je End of life a žádná nová aktualizace nevyjde i když je produkt napadnutelný. Navíc vždy u nich musíš provádět aktualizace ručně.

Pokud bys měl nějaký problém tak máš k dispozici komunikaci s podporou a to v češtině.

Na fórech se většinou řeší problémy, takže pak ti to může zkreslit pohled na produkt.

54

Hardware / Re:Výběr NAS: QNAP nebo Synology

« kdy: 17. 06. 2020, 20:13:28 »

Fotky + Zálohy => pro tebe důležitá data. Měli by být co nejbezpečněji uložená.
S tebou udanou cenou se na nový HP Microserver nedostaneš, nový Gen10 je za 12tis (bez disků).
Na Aukru/Bazosi/eBay se dají sehnat jeté Gen8 za rozumné ceny ale už bez záruky.

55

Hardware / Re:Výběr NAS: QNAP nebo Synology

« kdy: 17. 06. 2020, 19:07:55 »

Záleží co na tom chceš provozovat. Zkus se podívat i na další alternativy.
Mě vyhovuje HP Microserver a jako systém FreeNAS.
Zatím provozuju starší generaci GEN7.
Disky mám v mirroringu tj. Raid1, používám filesystém ZFS který umí mimo jiné i Snapshoty (mám nastaveno že si pamatuje všechny změny souborů za posledních 14 dní).

56

Server / Re:Omezení přístupu na SSH z některých IP

« kdy: 03. 06. 2020, 16:10:12 »

Taky mám VPS a taky řeším omezení přístupu, na jedné VPSce mám Fail2ban a logy jsou hodně dlouhý (mám nastaveno že po 5 pokusu dám ban na hodinu). Na nové VPS mám nastaveno povolení SSH pouze z domácí IP adresy a je to jednodušší. Jen potřebuješ veřejnou adresu která se ti nemění a pak VPNku domu aby ses na server dostal i když jsi někde na cestách. Anebo si vytvoř VPNku na server a až přes vpnku jdi do SSH. A to co píše kolega tj. místo hesla příhlašování klíčem je také dobrá varianta. A určitě nezapomeň zakázat přihlašování uživatele root přes SSH. Pokud půjdeš do VPN tak doporučuju použít Wireguard (velice jednouchá konfigurace oproti OpenVPN).

Nakonfigurovat přihlašování klíčem a zakázat přihlašování heslem je to nejdůležitější – to je potřeba vyřešit na prvním místě. Fail2ban nebo povolení jen určitých IP adres je dvousečná zbraň, snadno tak můžete odříznout sám sebe. Pro mne je to už za hranou, kdy nevýhody převažují nad výhodami. Zakázat přihlašování roota přes SSH nedává vůbec žádný smysl, pokud je na daném serveru jediný správce. Pokud je na serveru více správců, jde jen o to, zda chcete konkrétního uživatele logovat na základě klíče použitého pro přihlášení nebo na základě toho, přes jakého uživatele se přihlásil.

Pokud nemám/nemohu mít přihlášení jen klíčem, tak zakázat přihlášení pro uživatele root je podle mě důležitý bod. Když kouknu na mou statistiku fail2ban tak cca 300 pokusů denně zkouší právě root a vedle toho pár dalších jmen. Fail2ban mám s Whitelistem abych si neblokl domácí spojení . A pokud by se povedlo bloknout se někde z venku, tak mám vždy možnost použít admin konzoli od poskytovatele VPS.

57

Server / Re:Omezení přístupu na SSH z některých IP

« kdy: 03. 06. 2020, 10:15:11 »

Taky mám VPS a taky řeším omezení přístupu, na jedné VPSce mám Fail2ban a logy jsou hodně dlouhý (mám nastaveno že po 5 pokusu dám ban na hodinu). Na nové VPS mám nastaveno povolení SSH pouze z domácí IP adresy a je to jednodušší. Jen potřebuješ veřejnou adresu která se ti nemění a pak VPNku domu aby ses na server dostal i když jsi někde na cestách. Anebo si vytvoř VPNku na server a až přes vpnku jdi do SSH. A to co píše kolega tj. místo hesla příhlašování klíčem je také dobrá varianta. A určitě nezapomeň zakázat přihlašování uživatele root přes SSH. Pokud půjdeš do VPN tak doporučuju použít Wireguard (velice jednouchá konfigurace oproti OpenVPN).

58

Sítě / Re:Turris Omnia / alternativy?

« kdy: 11. 01. 2019, 20:08:29 »

Dle mého názoru, pokud chceš automatické aktualizace tak potřebuješ TurrisOS tj. buď starého Turrise nebo Turris Omnia, popř. nový projekt Turris MOX. Ve všech ostatních případech budeš muset ručně upgradovat a sledovat jestli není nějaká zranitelnost daného routeru, někteří výrobci skoro žádné aktualizace nevydávají, někteří jen po omezenou dobu.

Osobně mám Turris Omnia od kampaně a aktuálně už provozuju tři kousky. Jeden doma a další u rodičů a jedou bez problémů. (před Turrisem sem používal ASUS routery s alternativním FW DD-WRT, konkrétně  – WL-500g a RT-N16).

Pokud myslíš NAS jen jako multimediální centrum tak to na router klidně dej. Ale pokud to má být pro zálohování dat, tak bych doporučoval postavit ho nad ZFS file systémem s disky v RADI1. Na to je pak takřka ideální HP Microserver s ECC RAM (má 4 pozice pro disky) a jak systémem např. FreeNAS  (takhle to provozuju já) .