Hálózatok általános

Ez mintha eltünt volna a DNS-ből:

# dig vodafone.hu @ns.vodafone.hu +noall +answer
# dig vodafone.hu @1.1.1.1 +noall +answer
# dig vodafone.hu @8.8.8.8 +noall +answer
# dig vodafone.hu @9.9.9.9 +noall +answer
# dig www.vodafone.hu @ns.vodafone.hu +noall +answer
www.vodafone.hu.        14400   IN      A       80.244.96.4
 

ugyan a www.vodafone.hu elérhető böngészővel, de pl számlafizetés nem müködik..

Sziasztok!

Új internet bekötéshez szeretném TP-link eszközömet beállítani, melyre Openwrt van telepítve. A szolgáltató ad egy egy portos (!) modemet, ami DHCP-n ad IP-t. Ez érkezne a TP-link internet portjába. A router kap IP-t, eddig jó.

A belső hálón más IP kiosztás kellene (192.168.0.*). IP-t kapok, de "nem látok ki" a net felé.

A routert (192.168.0.1) tudom pingelni, belső IP-t kapok.

Így néz ki az interfaces fül. Mit csinálok rosszul?

https://ibb.co/gdCYFt2

Köszönöm szépen a segítséget!

neha kiesnek csomagok a conntrackbol, SRC=53-al naplozok hibakat. (ez a valasz csomag, a ct state established,related)

beallitanek neki uj timeoutot, csak nem tudom mennyi az alapertelmezett ertek.

ha valaki tudja mirol van szo, legyszi irja meg!

https://wiki.nftables.org/wiki-nftables/index.php/Ct_timeout

koszi!

update:

a teljes kephez hozzatartozik, hogy 20 evig a hoston volt csak tuzfal, regebben iptables, majd iptables-nft, ott nem logolt ilyen problemat.

nemreg megcsinaltam minden vm-ben a tuzfalat nftables-el, majd leegyszerusitettem a hoston a vm-ek fele meno forgalomra a tuzfalat.

ez csak a vm-ekben jelentkezik, es csak azota, hogy ott is van tuzfal.

van egy ilyenem, de nem emlékszem mire való. valaki feismeri?

https://pasteboard.co/ku6LuNyYLFNJ.jpg

Sziasztok!

Van nekem egy VPN előfizetésem, amihez beállítottam wireguard klients Ubuntu Linux 22.04 gépen.

Nagyjából a következők szerint:

ip link add dev wgsurfsharkbud type wireguard
ip address add dev wgsurfsharkbud 10.14.0.2/16
wg setconf wgsurfsharkbud wireguard.conf
ip link set up wgsurfsharkbud

A wireguard config-ja ilyen egyszerű:

[Interface]
PrivateKey = Q*=
[Peer]
PublicKey = P*=
AllowedIPs = 0.0.0.0/0
Endpoint = hu-bud.prod.surfshark.com:51820

Ez majdnem az amit a szolgáltató (surfshark) adott, kivéve hogy kivettem belőle az Address és a DNS sorokat, mert azok csak window-os klienssel mennek.

Ezek után azt látom, hogy sikeresen csatlakozik:

# wg show
interface: wgsurfsharkbud
  public key: Y********=
  private key: (hidden)
  listening port: 5*****8

peer: P*****=
  endpoint: 146.70.120.27:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 1 minute, 45 seconds ago
  transfer: 124 B received, 3.49 KiB sent

Természetesen még route-ok nincsenek rá, ezért ez így még nem használható. Az is világos, hogy a szogláltató 10.14.0.2 foglalt címet adott ,ezért ez bizonyára NAT-olva van.

Namost ha adok neki egy ilyen route-ot:

# host ifconfig.me
ifconfig.me has address 34.160.111.145
# ip route add 34.160.111.145/32 dev wgsurfsharkbud

Akkor azt látom, hogy működik, mert a 146.70.120.28 az nem az én címem, hanem a hu-bud.prod.surfshark.com (egyik) címe:

# curl ifconfig.me/all
ip_addr: 146.70.120.28
remote_host: unavailable
user_agent: curl/7.81.0
port: 41734
language: 
referer: 
connection: 
keep_alive: 
method: GET
encoding: 
mime: */*
charset: 
via: 1.1 google

Viszont ha default route-ot akarok hozzáadni, akkor minden elromlik, semmit nem tudok elérni.

Sőt, ha egy negyed netet adok hozzá route-nak:

ip route add 128.0.0.0/2 dev wgsurfsharkbud

Akkor is nagyjából minden elérhetetlenné válik. A fenti parancs után ilyen a route-om:

default via 192.168.14.254 dev enp4s0 proto dhcp metric 100 
10.14.0.0/16 dev wgsurfsharkbud proto kernel scope link src 10.14.0.2 
34.160.111.145 dev wgsurfsharkbud scope link 
128.0.0.0/2 dev wgsurfsharkbud scope link 
169.254.0.0/16 dev enp4s0 scope link metric 1000 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
192.168.14.0/24 dev enp4s0 proto kernel scope link src 192.168.14.100 metric 100 

Mondjuk azt se értem, hogy a 34.160.111.145 hogy került oda (???).

Az a kérdés, hogy a default route, illetve akár egy 128.0.0.0/2 dst net route hozzáadása miért ront el mindent?

Mit nem látok?

• https://www.fsf.org/blogs/community/web-environment-integrity-is-an-all-out-attack-on-the-free-internet
• https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/
• http://www.ghacks.net/2023/07/28/googles-web-environment-integrity-could-be-a-disaster-for-the-web/
• https://stackdiary.com/web-environment-integrity/
• https://arstechnica.com/gadgets/2023/07/googles-web-integrity-api-sounds-like-drm-for-the-web/
• http://securityboulevard.com/2023/07/google-wei-drm-adtech-richixbw/
• http://www.aroged.com/2023/07/29/web-environment-integrity-by-google-a-disaster-for-the-internet/
• https://github.com/ungoogled-software/ungoogled-chromium/issues/2432

Adott egy 20 eves haz, telis tele tv kabellel, minden szobaban.

Szepen kulon, sajat kabelcsatornaban futnak. Mindig csak felfele, a tetoterbe, ami egyfajta IX-kent funkcional, ott futnak ossze es mennek vissza mindenhova a coax kabelek.

Namost tv nem soha nem is volt a csaladban, minden szobaba utp viszont nagyon kene.

Megragadott egy otlet, miszerint a kabelcsatornaban athuzni a legegyszerubb ugy, ha a coax-ra rakotod az utp-t, es fent meghuzva a coaxot, a kihuzassal egy idoben be is huzza az utp-t szepen a helyere.

Epp neki is allnek, de jo lenne par otlet, hogy hogyan is lehetne ezt. Hogy erositem ossze a 2 vezeteket, hogy ne jojjon szet rangatas kozben? gyorskotozovel? kotellel? forrasszam ossze?

Aki mar csinalt ilyet, vannak tippjei?

Úgy tűnik betegeskednek... :)

Szóval, próbálok upgradelni 6.49-ről 7-re, talán már működőképes, de a történtek után azért vannak még fenntartásaim....

Viszont van egy markáns probléma, amit egyszerűen nem tudok megoldani (vagy még mindig valami bug): több internetkapcsolat (jelen esetben 3), connection és routing mark. Ugye 7-esben ezt a routingot rendesen megborították, úgyhogy ami korábban ment, az most nem megy... Illetve nem egészen, mindjárt vázolom.

Aminek mennie kell:

• mindhárom kapcsolat él és online
• mindhárom kapcsolaton működjön a bejövő kapcsolat (mikrotikre) és a port forwardok is, nyilván ott menjen a válasz, ahol bejött
• a belső hálózatról prioritás alapján van sorrend, amíg az elsődleges megy, addig azon megy alapból minden, amikor megáll, akkor nyilván a másodlagoson, ha az is, akkor a harmadlagoson; mindemellett mindaddig amíg él a kapcsolat, addig az azon a neten menjen, amin elindult
• legyen lehetőség dinamikusan netkapcsolat váltásra, tehát attól még hogy az elsődleges megy és az a default, mehet valaki a másodlagoson vagy harmadlagoson, ha akar

Ebből ami nem megy, az a kintről mikrotikre irányuló (ping, ssh, vpn) forgalom jelölése (vagyis nem feltétlen a jelölése), illetve a mikrotikről kifele menő forgalom jelölése (pl. dns).

Szóval a firewall mangle táblában történik a kapcsolatok jelölése, a routing mark beállítása. A jelenség pedig az, hogy kívülről pingelve a másodlagos vagy harmadlagos net ip-jét, az első ICMP-re megjön a válasz, a többire nem. Telepakolva logolásokkal a manglet arra jutottam, hogy az első packet végigmegy a mangle bejegyzésein ahogy kell, a többi viszont egyáltalán nem, illetve az első packetnél a connectionre beállított routing markot is lekulázza, és második icmp-től kezdődően simán az elsődlegesen küldené a választ.

Próbáltam keresni, elolvastam a doksit, televan szerintem életszerűtlen és/vagy számomra haszontalan példákkal, néztem fórumokat ahol mások is hasonlóra panaszkodnak.... megnéztem, nem jutottam előrébb és igazából nem is értem.

Egyelőre nem akarok ideömleszteni minden konfigot, kérdezzetek, kérjetek, aztán mutatom. :)

Sziasztok!

Segítsetek néhány érvet összeszedni, hogy miért tanuljam meg az ansible-t (hálózati network automation feladatokra), mert egyelőre nem látom, hogy mivel tud ez többet, mint egy python megfelelő könyvtárakkal telepítve (netmiko, csv, ...), plusz normálisan kommentelt scriptek. Eddig a python valahogy mindig egyszerűbb volt.

Kösz, üdv.