Příspěvky

1

Sítě / Re:WireGuard a funkce AllowedIPs

« kdy: 10. 10. 2022, 18:07:36 »

Tohle je přesně ten případ, kdy problém vůbec nebyl ve VPN, ale ve směrování. Za domácí úkol se naučte používat příkaz

Kód: [Vybrat]

ip a prohlédněte si směrovací tabulky pomocí

Kód: [Vybrat]

ip route :-)

ip route jsem prave zkousel a tam se vse tvarilo(dle meho neodborneho nazoru) byt v poradku.

Linux pouzivam uz skoro 15 let a to jak osobnich strojich tak na serverech a nikdy jsem to nepotreboval, takze i kdyz to nastuduji tak to za mesic zapomenu Asi stejne jako ze od doby co pouzivam portainer tak pomalu zapominam zakladni docker prikazy Bohuzel jsem proste zaspal dobu a zacal ho pouzivat az v dobe kdy uz bylo vsechno jakztakz vyladene a na vsechno existovala udelatka nebo klikatka(ne fakt nepouzivam na serverech GUI) a takove veci sem fakt resit nemusel.

2

Sítě / Re:WireGuard a funkce AllowedIPs

« kdy: 10. 10. 2022, 17:28:06 »

No to si delate srandu. Tak nakonec opravdu maska. Po zmene masky v address interfacu na "klientovi" z /24 na /32 se to zacalo chovat jak ma. Pri AllowedIPs 0.0.0.0/0 se to chova jako proxy a pri 10.8.0.0/24 jako VPN.

Diky moc vsem!

3

Sítě / Re:WireGuard a funkce AllowedIPs

« kdy: 10. 10. 2022, 17:10:50 »

Asi bych to vzal od začátku. Na klientovi

Kód: [Vybrat]

ping 10.8.0.1
traceroute 10.8.0.1
na serveru je povolený forward v /proc/sys/net/ipv4/ip_forward ?
pak na serveru

Kód: [Vybrat]

tcpdump -i wg0 icmp a pingat z klienta

No jasne sem blbec traceroute me vubec nenapadl. Mrknu na to. forward povoleny je.

Jen jsem letmo přeletěl konfigurační soubory a zdá se mi, že na tzv. "serveru" máte (správně) masku /32, kdežto na klientech /24. Doporučil bych ji ve vašm případě také změnit na /32.

Jednotliví "klienti" pak komunikují skrze "server". Uvozovky píši naschvál, protože WG je by design řešen symetricky a zná jen pojem peer.  VPN "server" tak vznikne především nesymetrickou konfigurací routovacích tabulek jednotlivých peerů. Ať má server adresu WG rozhraní 10.8.0.1/24 a ať jsou tu dva klienti peer1 10.8.0.2/32 a peer2 10.8.0.3/32.

Pokud bude mít peer1 v AllowedIPs: 10.8.0.0/24, nastaví se na peer1 při startu WG rozhraní směrování: 10.8.0.0/24 přes příslušné WG rozhraní. Jde o volbu. Klidně můžete do routovací tabulky peer1 zasáhnout ručně a nasměrovat si přes WG rozhraní cokoliv dalšího. Nebo můžete nepoužít AllowedIPs a místo toho nastavit směrování v PostUp...

Pokud se podaří spustit point-to-point spojení peer1 a serveru, projde ping atp. Můžeme se posunout dál. Na serveru se musí povolit směrování paketů. Třeba pomocí sysctl -w net.ipv4.ip_forward=1 v PerUp, Pak bude možné posílat pakety mezi peer1 a peer2 tak, že server bude hrát roli prostředníka. Není potřeba nic NATovat. Pokud by měl peer1 přistoupit do části sítě, kam má přístup pouze server, třeba do rozsahu 192.66.66.0/24, musela by se do AllowedIPs peer1 přidat i tato část sítě a pak by musel server provoz NATovat.

Na mikrotiku budete asi muset nastavit v IP->Addresses na WG rozhraní 10.8.0.3/32 a adresu sítě 10.8.0.1. Pak v IP->Routes nastavit směrování 10.8.0.0/24 přes 10.8.0.1.

Zakladni konfiguraci mi generuje server, myslel jsem ze to tak prave ma byt, preci jen kdyz nemam DHCP tak take nastavuji IPv4/24 resp. 255.255.255.0 tak mi to prislo logicke ze se do interface uvadi toto. Vyzkousim zmenit.

Ještě je potřeba ověřit, že nedošlo ke kolizi IP rozsahů. Každé to zařízení má minimálně dvě síťová rozhraní: skutečnou okolní síť a rozhraní WireGuardu. V žádné z těch sítí se nesmí používat stejné rozsahy, aby bylo směrování jednoznačné. Otázka tedy zní: nemá ještě jiné síťové rozhraní (třeba síť kolem MikroTiku) také rozsah 10.8.0.0/24? Pak se rozbije směrování a router neví, kam poslat provoz pro tento rozsah.

Tato podsit byla prave zvolena schvalne protoze se nikde jinde nepouziva(zadny peer takovou nema). Ale napada me, nemuze byt problem v tom ze Mikrotiky co slouzi jako vychozi brany site maji vetsinou stejnou podsit 10.0.0.0/24? Pripadne i 10.0.1.0/24 nebo 10.0.2.0/24.

4

Sítě / Re:WireGuard a funkce AllowedIPs

« kdy: 10. 10. 2022, 14:56:16 »

Nemáš tam maškarádu? Pak bys musel do AllowedIPs dát i IP peera. Možná bys ji tam měl dát i tak, to si nejsem jistý.

Jakoze maskaradu na interface Wireguardu? A IP jakeho peera? Vlastni, protejsek? A jakou? Podsit wireguardu nebo realnou lokalni nebo verejnou?

Skús
ip route
Možno tam nemáš správnu routu

To je mozne, IP tables jdou trochu mimo me, vzdycky najdu cestu jak se jim vyhnout(napr. ufw, atd.) Ale podle navodu apod. by to na PC melo byt vse spravne, hlavne ta routujici na 0.0.0.0/0

Co na tom chcete přesně vysvětlovat? Prostě z toho, co není allowed vám nic nepřijde ani na to WIreguard nevytvoří odchozí routování. To je celé.

Vsak to take pisi, "preklad" tech dvou bodu z EN manualu je muj, ale chtel jsem si byt jisty zda to chapu spravne a jestli tam neni schovaneho jeste neco - trochu u te sitariny bojuji s terminologii (myslet znamena h**** vedet)

To je dost zvláštní. Fungovat by to právě takhle mělo.

Prave. Tak jak chapu Allowed IPs tak by melo fungovat jen to ze proste vsem peerum strelim Allowed IPs 10.8.0.0/24 a to by melo routovat odchozi komunikaci v tomto rozsahu pres wireguard interface a zbytek normalne.

Nicméně by ses mohl podívat např. na tento návod, snad ti pomůže.

Bohuzel, toto je na me az zbytecne mnoho teorie, ale treba najdu nejaky cas to cele projit.

Neuvádíš konfiguraci => dá se špatně radit co máš špatně..

Konfigurace notebook(i Mikrotiky, rozdil je jen v ip pro interface):

Kód: [Vybrat]

[Interface]
PrivateKey = XXXXX
Address = 10.8.0.2/24
DNS = 1.1.1.1


[Peer]
PublicKey = XXXXX
PresharedKey = XXXXX
AllowedIPs = 10.8.0.0/24
Endpoint = xxxxx.cz:51820

Konfigurace server - je automaticky generovana, ale neprijde mi tam nic spatne:

Kód: [Vybrat]

[Interface]
PrivateKey = XXXXXXXX
Address = 10.8.0.1/24
ListenPort = 51820
PreUp =
PostUp =  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE; iptables -A INPUT -p udp -m udp --dport 51820 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -A FORWARD -o wg0 -j ACCEPT>
PreDown =
PostDown =


# Client: 1 - jine PC
[Peer]
PublicKey = XXXXXXX
PresharedKey = XXXXXXXX
AllowedIPs = 10.8.0.3/32

# Client: 2 - Notebook
[Peer]
PublicKey = XXXXXXX
PresharedKey = XXXXXXX
AllowedIPs = 10.8.0.2/32


5

Sítě / WireGuard a funkce AllowedIPs

« kdy: 08. 10. 2022, 15:58:23 »

Hojte, muze mi nekdo polopate vysvetlit k cemu presne slouzi Allowed IPs atribut v konfiguraci peera? Manualy rikaji ze to ma dve funkce:

1 - Omezeni prichozi komunikace na dane rozsahy,
2 - routovani odchozi komunikace pro urcene rozsahy.

Nechtel jsem to nechat otevrene (0.0.0.0/0) ale jen dany rozsah. Chci si tedy pomoci wireguard vytvorit opravdu VPN nikoliv to co dnes nesmyslne oznacuji jako VPN a pritom je to proxy.

Pokud nastavim na Mikrotiku 0.0.0.0/0 tak vse funguje. Pokud nastavim 10.8.0.0/24 coz je rozsah vsech zarizeni v teto VPN tak to prestane fungovat. Podobne je to v Ubuntu. 10.8.0.0/24 nefunguje akorat zde je zmena a to ze pri 0.0.0.0/0 se to zacne chovat prave jako proxy. Tedy veskera komunikace notebooku jede pres hlavni server (10.8.0.1/24) ale aspon to funguje.

Da se to nejak obejit? Chci to vse omezit jen na podsit 10.8.0.0/24, ale zaroven chci aby pres to sla jen komunikace v ramci teto podsite a nikoliv vse. Teprve si s tim zacinam hrat. Na serveru pouzivam docker image weejewel/wg-easy.

6

Server / Re:Lightweight distribuce pro TVHeadEnd

« kdy: 12. 03. 2022, 21:41:00 »

mna by zaujimalo, aky pouzivas DVB-T tuner a pripadne skusenosti s prevadzkou

Standardni RPi TV Hat + NFS mountpoint na domaci server pro funkci timeshift prip. nahravani. Funguje to skvele az na problem ktery se tu resi.

7

Server / Re:Lightweight distribuce pro TVHeadEnd

« kdy: 11. 03. 2022, 01:53:04 »

Ja jedu tvheadend + 2xdvb-t2 na rpi3 + sdcard. Ale uvazuju ze poridim rpi4 a budu to provozovat pres iSCSI. Uz jedno rpi4 ktery bootuju z iscsi z nasky takhle v domaci infrastrukture mam.

A jakou mas prumernou spotrebu RAM? RPI 3 ma 1 GB.

8

Desktop / Bluetooth klavesnice + LUKS s mcrypt

« kdy: 10. 03. 2022, 15:19:03 »

Zdravim, da se nejak uz pri bootu pripojit bluetooth klavesnice? Problem je jasny, nemuzu zadat sifrovaci klic pro mcrypt(muzu primo na klavesnici notebooku, ale to je jaksi nepohodlne).

9

Server / Re:Lightweight distribuce pro TVHeadEnd

« kdy: 10. 03. 2022, 15:13:19 »

Swap se nezačne používat, protože nestíhá úložiště. Swap se používá, protože dochází paměť. To není běžné chování a určitě to není způsobeno konkrétní distribucí. Já běžím tvheadend na normálním Debianu a nic takového se samozřejmě neděje. Pravděpodobně tam něco požere postupně paměť. Řešením je přijít na to, co to dělá.

Prvním krokem by mohlo být nainstalování balíčku htop, ve kterém je stejnojmenná utilita, která je schopná zobrazit, který proces potřebuje jaké množství paměti. Je potřeba to zjistit na začátku a pak to porovnat se stavem po určité době. Samozřejmě ten systém musí být v té době živý a odpovídat. Ale už po pár dnech by mělo být jasné, co sežralo víc paměti, než je zdrávo. Podle toho by pak bylo možné postupovat dál a zjistit, co s tím.

Jasne, takovou analyzu jsem nedelal, samozrejme jsem se koukal, ale pamet je tak roztristena mezi procesy ze jsem to nebral jako neco co by enorme zralo. Tedy nebral jsem to jako chybu ale jako vlasnost BTW htop instaluji vzdy hned po midnight commanderu

Otazka ale vicemene zustava. Zero ma 512MB RAM on ten system muze proste postupne ubirat pamet a skoncil by treba stabilne na 1GB. Jinymi slovy bych byl rad kdyby nekdo provozoval bez problemu stejny system na stejnem zeleze, pak by asi melo smysl se tomu venovat, ale nechci nad tim palit cas abych nakonec zjistil ze Zero na to proste neni dostatecny HW.

10

Server / Lightweight distribuce pro TVHeadEnd

« kdy: 05. 03. 2022, 10:41:09 »

Čaute,
existuje nějaká opravdu lehká distribuce s TVHeadEnd pro RPi Zero W(r1.2)? Jde o to že teď to provozuji na klasickém rasbianu a ruční instalace TVHeadEnd. System ovšem po dejme tomu půlroce perfektním fungování přestane stíhat. Podle mě to přestane stíhat SD karta, čímž se začne ohromě využívat SWAP(opět na SD kartě ). Hledám tedy něco obdobného jako je LibElec pro Kodi. Naprosto ořezaný systém, který má základní firewall, TVHeadEnd a možnost mountnout NFS disk a ideálně optimalizace nastavené tak aby to prostě fungovalo. Nikdy sem Linux "nezeštíhloval", takže pokud má někdo třeba návod jak toto provést půjdu i touto cestou.

Ze začátku to po tom půlroce občas přestane odpovídat a je potřeba restart. Toto chování je častější a častější než to přestane fungovat úplně.

11

Hardware / Re:Brašna k notebooku pro IT

« kdy: 17. 02. 2022, 07:42:06 »

Vidim ze se to tu trochu rozjelo. Nakonec sem zvolil cestu batohu + organizery ve stylu jako jsem odkazoval, pokud tedz nebude batoh vyhovovat, koupim brasnu a predelam organizery

Co si máš vybrat to ti nikdo tady neporadí.
Prostě máš nějakou představu a jsi líný si to najít sám.

Moje rada je taková, aby jsi vstal od počítače a došel ses kouknout do nějakého krámu a tam si můžeš, většinou, vybrat dle svých preferencí i peněženky.
Věř mi že je to, může být, nově získaná zkušenost k nezaplacení, ale do životopisu, že už toto ovládáš, radši nedávej.

1. Nikdo nerikal ze mi ma nekdo neco vybirat, ale je zde hodne lidi z oboru a nekdo muze znat brasnu, ktera se klidne jako jedina na svete setkava s pozadavky co jsem napsal. Vis kolikrat se mi toto uz stalo s jinymi vecmi o kterym jsem si rikal ze se snad ani nebudou vyrabet? A hele nakonec to jeden cinan vyrabi nebo je to pojmenovane uplne jinak nez by me kdy vubec napadlo.
2. Sem pisu vicemene ze zoufalstvi, protoze to resim dlouhodobe v horizontu 2 let, akorat az ted jsem tomu venoval hodne casu v poslednich 14ti dnech, protoze se mi na brasne uz zacal rozjizdet zip.
3. Jednak neznam ani jeden kram, ktery je vyslovene specializovany na brasny a pak je ten vyber ve fyzickych obchodech dost omezeny a navic predpokladam ze moje pozadavky tam maji max 2 lidi za rok, takze by to stejne nemeli skladem. Ale nemam problem se zajet fyzicky podivat do kramu pokud najdu co mi vyhovuje na e-shopu.

tak smolík pacholík, v katalogu už minimálně v ČR není.

Nemas nejaky link nebo alespon jmeno at si to muzu vygooglit? Dostupnost v CR je mi ukradena, ale zajima me to i jen tak ze zvedavosti co ikea nabizela 

Taska na notebook je od slova notebook. Ty hladas tasku na naradie. Nie na notebook... ty potrebujes udrzbarsku tasku a nie toto...

Dekuji za minutku lingvistiky, ted prosim prispej necim z tematu

Hele nedalo mi to, ještě jede joke:
https://www.idnes.cz/ekonomika/zahranicni/kabelka-louis-vuitton-letadlo.A210408_095548_eko-zahranicni_rie

Neco s jednorozcem by tam nebylo?    Ale beru zpet moje fnukani nad nepohodlnosti batohu

12

Hardware / Re:Brašna k notebooku pro IT

« kdy: 11. 02. 2022, 13:11:58 »

Jeden tip k zamysleni: fotobrasny maji mnoho prihradek na organizaci prislusenstvi k zrcadlovce, nebo se da samostatne koupit takovy organizer.

Ano na ty sem koukal take a take by mi sedeli, jenze vetsinou se tam ani ta 13" NB nevleze.

Takže to nemá připomínat bednu s nářadím, ale nosíš v tom nářadí

Vubec nerypes, vystihl jsi to uplne presne, akorat jsem myslel ze je to ocividne uz z prvniho prispevku

To mi přijde, že čekaj spíše takové ty lamy.

Tak jeste je pak sorta tech starsich, kteri uprednostnuji osobni setkani at uz z nostalgie/slusnosti nebo proste z toho duvodu ze s Teamsy, Meety a skypy moc neumi. A je fakt ze poznavaci schuzka s novym klientem, kterej se ocividne pripojuje nekde z Uzbekistanu pres mikrovlnku neni moc fajn kdyz pulku rozhovoru zazniva jen "Slysime se" nebo "Zase jste si vypnul mikrofon" 

Mám pro tebe 2 absolutně hustý nápady:
1) Rač se rozhodnout, jestli ji programátor nebo údržbář
2) Když teda tak často jezdíš autem, kup si druhou brašnu na nářadí a tu si nechávej i s tím nářadím v autě. V brašně s notebookem si nech jen to, co opravdu potřebuješ úplně nutně - čili nabíječku, redukci k monitoru (pokud ji notebook vyžaduje), myš, propisku, blok. Nic víc, nic míň.

1) ja bych to spis nazval jako DevOpsak se zapalem pro vec Nicmene je to asi ze dvou duvodu. Prvni je ze ze zacatku beres co se naskytne a sprava serveru me vzdycky bavila a zajimala, tak proc ne ze. A druhe je klasicke meme, kdy prijde rodina/nadrizeny apod za programatorem a rekne "Ty delas s temi pocitaci ze? Tak mi preinstaluj Windowsy.". Pak uz se jen stanes obeti vlastniho uspechu a veze se to s tebou.

2) To jsem zkousel, ale potrebuju to mit u sebe a ne behat furt do auta. Dalsi vec je ze mam auta 3 a celkem je stridam, takze bud poridit naradi a brasny do vsech(coz by se asi prodrazilo) nebo na to furt myslet a prehazovat z auta do auta, coz se mi opet vubec nechce uz tak zapominam v aute e-cigaro a vzdycky me nasere kdyz nekam mam jet, stojim uz u auta a vzpomenu si ze cigaro mam v druhem od ktereho mam klicky v baraku 

Ještě existují brašny co se v případě nutnosti dají nosit jako batoh (hybrid bags). Jsou ale dražší.

Ty jsem videl, ale moc me to nenadchlo, to uz je na me asi moc hypsterke 

Asi to dopadne tak ze fakt pujdu smerem batohu, ale jeste me napadla moznost koupit trojitou brasnu, tedy kapsa na notebook + treba papiry, dalsi kapsa volna a pak takova ta standardni mensi kapsa zepredu na propisky apod. Do te volne kapsy bych jeste koupil organizacni vlozku. Treba takovou

https://www.aliexpress.com/item/32864701564.html

nebo

https://www.aliexpress.com/item/4000856672647.html

13

Hardware / Re:Brašna k notebooku pro IT

« kdy: 10. 02. 2022, 21:04:18 »

A zkoušel jsi ten baťoh během řízení sundat?

  A ono to jde? ... Spis me nebavi si ho davat a zase sundavat. Co jsem moc nechtel zminovat je i fakt ze to pusobi na klienta proste blbe z esteticke stranky. Dneska lidi cekaji ze prijde Hypster, kterej z neoprenoveho obalu vytasi svuj uplne novej MacBook nejnovejsi generace a prohodi par cool slov jako micro-services, blockchain, NFT, Lada Hruska jinak pro nej proste nejste ten IT Guru(nebo O2 Guru ... uz vlastne nevim). Takze aniz bych se chtel nekoho dotknout nebo snad znevazovat pracovni pozice, nechci na schuzku prijit, tak aby si me spletli s technikem od jejich ISP. A to si piste ze delat technika at uz jakehokoliv, tak ten batoh beru hned.

Co třeba
https://www.ahprofi.cz/brasna-na-naradi-a-na-notebook-pro-servisniho-technika-prazdny-002110le

Jako ta nahledova fotka 190x150 je super material  Nicmene po dohledni jinde to neni uplne spatne co se prostoru tyce, ale za ty prachy bych si predstavoval neco co uz vypada trochu lepe. Podobne se daji sehnat i do 1000. Ale aspon mam namet jak a kde hledat za coz diky i kdyz jak koukam tak stejne dopadnu tak ze si koupim neco podobneho a k tomu jeste ten neoprenovej obal, protoze to co bych chtel asi nenajdu

Suma sumarum, Me by uplne stacila ta brasna, kterou odkazuji v prvni prispevku, kdyby ji delali v trochu vetsim provedeni aby se tam vlezl notebook a zaroven mela popruh pres rameno.

14

Hardware / Re:Brašna k notebooku pro IT

« kdy: 10. 02. 2022, 14:47:13 »

Jo zapomněl jsem dodat že batoh by veškeré mé trable vyřešil ale nechci jej. Jezdím hodně autem a je mi to nepohodlné.

15

Hardware / Brašna k notebooku pro IT

« kdy: 10. 02. 2022, 13:40:47 »

Caute,
uz skoro 10 let pouzivam starou obycejnou brasnu od HP co tehda rozdavali ke kazdemu notebooku. Cim vic toho ale na me pada tim vic potrebuju veci a uz me nebavi v tom lovit veci jak zenska petikorunu v kabelce. To je tak abych si vzal vzdycky pul-den dovolenou. Hledam tedy nejakou messenger brasnu, ktera ale neni koncipovana pro kancelarskou krysu, ktera tam taha jen svuj stylovej ultrabook a papiry.

Potrebuji neco, kam dam 13" Thinkpada, a zaroven to ma dalsi kapsu, alespon s naznakem na organizaci naradi/prislusenstvi. Zaroven hlavne jako programator  jezdivam po schuzkach, takze by bylo fajn kdyby to aspon trochu nepripominalo bednu s naradim a popruhem pres rameno.

A co v tom teda nosim?
- RJ45 koncovky
- krympovacky
- Narazecku kabelu do Patch panelu
- Popisovacku
- nabijecku na notebook
- 1,5m STP
- Redukce SATA -> USB i s napajecim adapterem
- Pasky suchych zipu na organizaci kabelu
- Tester kabelu RJ45/RJ11
- nejaky ty sroubovacky
- tuna kabelu, prechodek a redukci - od USB-C po VGA, propojovaci kostku RJ45, SATA , USB-C na RJ45, USB-C na VGA atd.

Otazka tedy zni ... mate nejake doporuceni, zkusenosti apod?

Toto jsem si objednal cca 2 roky zpet, je to zhruba OK a nejakou takovou organizaci bych si predstavoval, ale je to male a nevleze se mi do toho notebook, takze jsem to daroval.

https://www.aliexpress.com/item/33052558838.html