Příspěvky

16

Sítě / Re:Kontaktuje WireGuard peera vždy?

« kdy: 31. 08. 2023, 11:39:11 »

WireGuard používá transportní protokol UDP. Na začátku komunikace se provede jednocestný handshake, přičemž se bezpečně vymění klíče pro relaci a můžou se začít přenášet data. Když přijde nová komunikace na vnitřní rozhraní, WireGuard podle cílové IP adresy uvnitř VPN vybere z interní směrovací tabulky správný klíč, najde správnou cílovou IP a vytvoří nový UDP paket. Ten odešle a celá akce pro něj končí. Pokud je druhá strana nedostupná, paket se někde ztratí, ale to už WireGuard neřeší. Opakování si má udělat protokol vyšší vrstvy.

Partneři se bez potřeby přenášet data kontaktují jen při nutnosti nového handshaku, kdy se mění klíče relace. V dokumentaci jsou popsány timeouty a počty paketu, po kterém se provede rekey. Pokud to není potřeba, nic kromě zašifrovaných dat neproudí.

WireGuard používá tichý protokol, takže když není co posílat, je na lince ticho. Po cestě můžou být překlady adres (NAT), které si po nějaké době nepoužívání čistí tabulku spojení. V takové situaci pak není schopen partner zvenčí doručit UDP pakety za NAT. Typicky se tak třeba ze serveru nedostanete ke klientovi v privátní síti. K tomu slouží pakety keepalive, které se v pravidelných intervalech posílají. WireGuard na ně nereaguje, ty pakety neobsahují žádná data a slouží jen k udržování záznamu v tabulkách překladu.

Pokud je partner nedostupný, WireGuard to neřeší a vlastně to ani nemá jak zjistit. Předpokládá se, že se může kdykoliv v budoucnu třeba ozvat z jiné IP adresy. Uživatel například uspal notebook, převáží ho do jiného města a odtamtud se ozve. WireGuard v sobě má z principu zabudovaný roaming. Komunikace se posílá na poslední IP adresu, ze které se partner někdy ozval.

17

O serveru Root.cz / Re:Proč nelze sortovat články podle čtenosti?

« kdy: 28. 08. 2023, 09:43:48 »

Taková funkce tam není, protože zatím zřejmě nikoho nenapadla a neimplementoval ji. Osobně si nemyslím, že by měla valný smysl z hlediska čtenosti, protože takový žebříček jen ukáže velmi staré věci, které prostě v průběhu let nabraly postupně velkou čtenost. To by musel být komplexní nástroj, kde by se filtrovalo podle data a různých parametrů, ale takové věci zase použije pár lidí za rok, takže to nebude nikdo vyvíjet.

Zkušenost je taková, že drtivou většinu čtenosti nabere článek první týden na titulce a pak vodí návštěvnost vyhledávače. Nejsou tu žádné davy archeologů, kteří by sofistikovanými nástroji prohledávali archiv a tím vytvářeli nějaká zajímavá čísla. Mnohem víc udělá třeba odkaz na sledovaném profilu na sociální síti nebo odkaz z jiného serveru.

18

O serveru Root.cz / Re:Reklama na Rootu: Vydělávejte 4500€ měsíčně

« kdy: 14. 08. 2023, 19:09:46 »

Obchodníci určitě pravidelně na weby nechodí, aby si četli články a prohlíželi reklamy. Většina reklamy je dneska programatická a pochází z externích reklamních systémů. Neprochází tedy ani přes obchodní oddělení IInfa, takže reklamu obchodníci předem nevidí a nemůžou ji nijak schvalovat. Navíc každý uživatel vidí obvykle jiné reklamy, takže se problém obvykle týká jen části čtenářů.

Taky se mi to nelíbí, mrzí mě tyhle problémy, ale neumím s tím nic udělat. Stále platí, že obchod umí nahlásit a zablokovat konkrétní reklamu, ale potřebují k tomu mít odkaz. Jinak s tím taky nic nedokážou udělat.

19

O serveru Root.cz / Re:Logika fóra

« kdy: 03. 08. 2023, 13:19:59 »

Jenže to nebyl technický dotaz, ale poptávka na zakázkový vývoj: „Hledám někoho... objednal... na ceně...“

Proto to patří do kategorie práce. Ta má na titulce přepínač, aby se inzeráty a jiné pracovní nabídky nemíchaly do výpisu běžných témat.

Je to tak schválně, abychom se nenechali zasypat podobnými nabídkami. Takhle už byla udušena řada jiných fór. Skončilo tak třeba fórum na Lupě, kde byly jen samé nabídky a poptávky.

20

/dev/null / Re:SHODAN - Akce

« kdy: 17. 07. 2023, 13:29:21 »

Když už je to ve zprávičkách, je zbytečné to dávat ještě do fóra.

21

Sítě / Re:Wireguard, NixOS a IPv6

« kdy: 23. 06. 2023, 10:49:06 »

Záleží na tom, co je cílem. Pokud se jen dostat do vnitřní sítě, pak budou stačit ty ULA adresy. Pokud je potřeba projít skrz tu síť ven, pak je potřeba přiřadit klientovi veřejnou adresu. Vůbec to nemusí být celý rozsah (třeba /64), ale přes tunel stačí poslat jednu adresu, kterou si koncový klient přidělí na rozhraní WG a projde s ní do sítě i pak ven.

22

Sítě / Re:Wireguard, NixOS a IPv6

« kdy: 22. 06. 2023, 12:07:51 »

Málo informací. Potřebujeme vidět stav sítě na obou stranách. Bude tedy potřeba spustit tam příkazy:

Kód: [Vybrat]

# wg
# ip a
# ip rou

Těch šest výstupů sem pak pošli.

23

Sítě / Re:ASUS RT-AX58U a WireGuard

« kdy: 16. 06. 2023, 17:03:00 »

AllowedIPs se nenastavují u rozhraní, ale pro každého peera. Čili v routeru u toho klienta Martin. Pořád to píše, že je odpojený? Pokud ano, bude problém vůbec v komunikaci mobilu a routeru. Pokud se to spojí a data netečou, bude problém v konfiguraci VPN.

Ještě mě napadlo: mají obě strany nastavemý stejný preshared key?

24

Sítě / Re:ASUS RT-AX58U a WireGuard

« kdy: 16. 06. 2023, 15:07:39 »

Obojí je možné, jako u jakékoliv jiné VPN. Co se nasměruje do tunelu, to tam jde. Takže je možné tam poslat jen vybrané rozsahy nebo veškerý provoz. V případě WoreGuardu se to řídí už zmíněnou položkou AllowedIPs

25

Sítě / Re:ASUS RT-AX58U a WireGuard

« kdy: 16. 06. 2023, 13:50:25 »

V dokumentaci k tomu routeru to je popsané docela dobře. Kromě toho tady na Rootovi je celý seriál o WireGuardu, doporučuji přečíst alespoň druhý díl, kde jsou popsané ty zásadní koncepty.

To podstatné je, že obě strany musejí mít nakonfigurované své rozhraní, což znamená IP adresu z rozsahu uvnitř VPN, soukromý klíč a UDP port pro příjem komunikace.

Kromě toho ale je potřeba na obou stranách nakonfigurovat také protistranu, které se říká peer. Tam se vkládá veřejný klíč protistrany, u klientů se tam dává IP adresa routeru (aby se bylo kam připojit) a u každé protistrany se také nastavuje AllowedIPs, tedy seznam adres, které jsou používány na druhé straně.

Tohle všechno musí být správně, jinak data nepotečou. Typicky se stává to, že uživatel špatně uvede AllowedIPs a provoz sice putuje k němu tunelem, ale jeho strana kontroluje zdrojové adresy a pokud peer do tunelu strká provoz z nepovolených adres, tak je na konci filtrován.

Problém řešení na routeru a mobilu je obvykle ten, že se to hrozně špatně ladí, protože tam nejsou vidět žádné stavové informace a nedají se tam pustit analytické nástroje. Lepší je si to nejdřív vyzkoušet třeba proti linuxovému stroji a až to chodí, tak si vyrobit konfiguraci pro mobil.

26

Sítě / Re:ASUS RT-AX58U a WireGuard

« kdy: 16. 06. 2023, 11:40:57 »

Není to dokonalé, ale už to něco říká. Chybí tam třeba informace o peerovi (klientovi) na straně toho routeru.

Začal bych tím, že bych na rozhraní změnil prefix z /32 na /24 na obou stranách. To znamená 10.6.0.1/24 a na druhé straně 10.6.0.2/24.

Pak nastává zásadní otázka, kde je přesně problém. Je potřeba se ujistit, že na sebe obě zařízení na veřejné síti skutečně vidí, tedy že je například otevřený port na tom routeru. Pokud ano a komunikace běží, pak je problém buď v klíčích (zkontrolujte dvakrát, že máte správně vyměněné veřejné klíče) nebo v obsahu AllowedIPs, což je velmi častá chyba. Ta položka jednak zařizuje směrování v odchozím směru, ale zároveň v příchozím filtruje. Takže pokud druhé straně nepovolíte adresu (třeba klientovi 10.6.0.2), tak router při přijetí tu komunikaci zahodí.

27

Sítě / Re:ASUS RT-AX58U a WireGuard

« kdy: 16. 06. 2023, 10:34:42 »

To je málo informací, potřebovali bychom vidět konfiguraci na obou stranách. Samozřejmě s vynechanými soukromými klíči.

28

Distribuce / Re:Debian12: jak nainstalovat nginx+php bez apache?

« kdy: 15. 06. 2023, 20:58:46 »

V takových situacích je potřeba se podívat na závislosti toho balíku.

Kód: [Vybrat]

# apt show php

Zjistíte, že je to metabalík, který závisí na nejnovější dostupné verzi PHP, tedy balíku php8.2.

Kód: [Vybrat]

# apt show php8.2

Tohle zase ukáže, že to závisí na libapache2-mod-php8.2 nebo php8.2-fpm nebo php8.2-cgi. Tedy že existují tři formy PHP a některou je třeba si vybrat. Pokud to neuděláte, zvolí se sama forma „modul pro Apache“. Což je ten problém, na který narážíte. Musíte si tedy vybrat ručně jinou. Kolega Foreigner poradil správně, tedy stačí zavolat:

Kód: [Vybrat]

# apt install nginx php-fpm

V takovém případě není důvod instalovat modul pro Apache a tím pádem ani nevzniká závislost na Apache, který se pak sám nenainstaluje.

29

Server / Re:Co se děje s doménou outlook.cz?

« kdy: 05. 06. 2023, 14:16:09 »

Doména je od dnešního dne vyřazená ze zóny. Informace o administrativně vyřazených zónách jsou veřejně dostupné. U outlook.cz je uvedeno „v karanténě před zrušením z důvodu nesprávných údajů držitele/nesdělení zástupce“.

30

Sítě / Re:Jak rozšířit Wi-Fi na zahradu?

« kdy: 14. 05. 2023, 18:36:08 »

Dá se použít libovolný Wi-Fi router. Často je možné ho přepnout do režimu AP, kdy jsou všechna rozhraní spojená do bridge a jsou vypnuté funkce jako DHCP. Pokud to není možné, pak stačí to DHCP vypnout v nastavení, vybrat tomu zařízení IP adresu z místního rozsahu a propojit žluté (LAN) konektory obou routerů.

V každém případě se dosáhne toho, že vše bude připojeno do jednoho síťového segmentu a nevznikne několik oddělených sítí s různou adresací. Pak už zbývá jen na tom novém routeru nastavit stejné SSID (název sítě), vybrat stejný způsob zabezpečení (asi WPA2), dát stejné heslo a jiný kanál. Pak bude na koncovém zařízení, aby si vybíralo podle síly signálu jeden nebo druhý router.

Pokud jde o konkrétní tip, pak jsem u rodičů instaloval MikroTik wAP ac, který je určen pro používání venku a má PoE, takže je možné jej napájet po síti třeba z jiného MikroTiku nebo pasivním injektorem od zásuvky. Funguje to pro venkovní použití velmi dobře.