Hálózatok általános

Sziasztok!

Van nekem egy VPN előfizetésem, amihez beállítottam wireguard klients Ubuntu Linux 22.04 gépen.

Nagyjából a következők szerint:

ip link add dev wgsurfsharkbud type wireguard
ip address add dev wgsurfsharkbud 10.14.0.2/16
wg setconf wgsurfsharkbud wireguard.conf
ip link set up wgsurfsharkbud

A wireguard config-ja ilyen egyszerű:

[Interface]
PrivateKey = Q*=
[Peer]
PublicKey = P*=
AllowedIPs = 0.0.0.0/0
Endpoint = hu-bud.prod.surfshark.com:51820

Ez majdnem az amit a szolgáltató (surfshark) adott, kivéve hogy kivettem belőle az Address és a DNS sorokat, mert azok csak window-os klienssel mennek.

Ezek után azt látom, hogy sikeresen csatlakozik:

# wg show
interface: wgsurfsharkbud
  public key: Y********=
  private key: (hidden)
  listening port: 5*****8

peer: P*****=
  endpoint: 146.70.120.27:51820
  allowed ips: 0.0.0.0/0
  latest handshake: 1 minute, 45 seconds ago
  transfer: 124 B received, 3.49 KiB sent

Természetesen még route-ok nincsenek rá, ezért ez így még nem használható. Az is világos, hogy a szogláltató 10.14.0.2 foglalt címet adott ,ezért ez bizonyára NAT-olva van.

Namost ha adok neki egy ilyen route-ot:

# host ifconfig.me
ifconfig.me has address 34.160.111.145
# ip route add 34.160.111.145/32 dev wgsurfsharkbud

Akkor azt látom, hogy működik, mert a 146.70.120.28 az nem az én címem, hanem a hu-bud.prod.surfshark.com (egyik) címe:

# curl ifconfig.me/all
ip_addr: 146.70.120.28
remote_host: unavailable
user_agent: curl/7.81.0
port: 41734
language: 
referer: 
connection: 
keep_alive: 
method: GET
encoding: 
mime: */*
charset: 
via: 1.1 google

Viszont ha default route-ot akarok hozzáadni, akkor minden elromlik, semmit nem tudok elérni.

Sőt, ha egy negyed netet adok hozzá route-nak:

ip route add 128.0.0.0/2 dev wgsurfsharkbud

Akkor is nagyjából minden elérhetetlenné válik. A fenti parancs után ilyen a route-om:

default via 192.168.14.254 dev enp4s0 proto dhcp metric 100 
10.14.0.0/16 dev wgsurfsharkbud proto kernel scope link src 10.14.0.2 
34.160.111.145 dev wgsurfsharkbud scope link 
128.0.0.0/2 dev wgsurfsharkbud scope link 
169.254.0.0/16 dev enp4s0 scope link metric 1000 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
192.168.14.0/24 dev enp4s0 proto kernel scope link src 192.168.14.100 metric 100 

Mondjuk azt se értem, hogy a 34.160.111.145 hogy került oda (???).

Az a kérdés, hogy a default route, illetve akár egy 128.0.0.0/2 dst net route hozzáadása miért ront el mindent?

Mit nem látok?

• https://www.fsf.org/blogs/community/web-environment-integrity-is-an-all-out-attack-on-the-free-internet
• https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/
• http://www.ghacks.net/2023/07/28/googles-web-environment-integrity-could-be-a-disaster-for-the-web/
• https://stackdiary.com/web-environment-integrity/
• https://arstechnica.com/gadgets/2023/07/googles-web-integrity-api-sounds-like-drm-for-the-web/
• http://securityboulevard.com/2023/07/google-wei-drm-adtech-richixbw/
• http://www.aroged.com/2023/07/29/web-environment-integrity-by-google-a-disaster-for-the-internet/
• https://github.com/ungoogled-software/ungoogled-chromium/issues/2432

Adott egy 20 eves haz, telis tele tv kabellel, minden szobaban.

Szepen kulon, sajat kabelcsatornaban futnak. Mindig csak felfele, a tetoterbe, ami egyfajta IX-kent funkcional, ott futnak ossze es mennek vissza mindenhova a coax kabelek.

Namost tv nem soha nem is volt a csaladban, minden szobaba utp viszont nagyon kene.

Megragadott egy otlet, miszerint a kabelcsatornaban athuzni a legegyszerubb ugy, ha a coax-ra rakotod az utp-t, es fent meghuzva a coaxot, a kihuzassal egy idoben be is huzza az utp-t szepen a helyere.

Epp neki is allnek, de jo lenne par otlet, hogy hogyan is lehetne ezt. Hogy erositem ossze a 2 vezeteket, hogy ne jojjon szet rangatas kozben? gyorskotozovel? kotellel? forrasszam ossze?

Aki mar csinalt ilyet, vannak tippjei?

Úgy tűnik betegeskednek... :)

Szóval, próbálok upgradelni 6.49-ről 7-re, talán már működőképes, de a történtek után azért vannak még fenntartásaim....

Viszont van egy markáns probléma, amit egyszerűen nem tudok megoldani (vagy még mindig valami bug): több internetkapcsolat (jelen esetben 3), connection és routing mark. Ugye 7-esben ezt a routingot rendesen megborították, úgyhogy ami korábban ment, az most nem megy... Illetve nem egészen, mindjárt vázolom.

Aminek mennie kell:

• mindhárom kapcsolat él és online
• mindhárom kapcsolaton működjön a bejövő kapcsolat (mikrotikre) és a port forwardok is, nyilván ott menjen a válasz, ahol bejött
• a belső hálózatról prioritás alapján van sorrend, amíg az elsődleges megy, addig azon megy alapból minden, amikor megáll, akkor nyilván a másodlagoson, ha az is, akkor a harmadlagoson; mindemellett mindaddig amíg él a kapcsolat, addig az azon a neten menjen, amin elindult
• legyen lehetőség dinamikusan netkapcsolat váltásra, tehát attól még hogy az elsődleges megy és az a default, mehet valaki a másodlagoson vagy harmadlagoson, ha akar

Ebből ami nem megy, az a kintről mikrotikre irányuló (ping, ssh, vpn) forgalom jelölése (vagyis nem feltétlen a jelölése), illetve a mikrotikről kifele menő forgalom jelölése (pl. dns).

Szóval a firewall mangle táblában történik a kapcsolatok jelölése, a routing mark beállítása. A jelenség pedig az, hogy kívülről pingelve a másodlagos vagy harmadlagos net ip-jét, az első ICMP-re megjön a válasz, a többire nem. Telepakolva logolásokkal a manglet arra jutottam, hogy az első packet végigmegy a mangle bejegyzésein ahogy kell, a többi viszont egyáltalán nem, illetve az első packetnél a connectionre beállított routing markot is lekulázza, és második icmp-től kezdődően simán az elsődlegesen küldené a választ.

Próbáltam keresni, elolvastam a doksit, televan szerintem életszerűtlen és/vagy számomra haszontalan példákkal, néztem fórumokat ahol mások is hasonlóra panaszkodnak.... megnéztem, nem jutottam előrébb és igazából nem is értem.

Egyelőre nem akarok ideömleszteni minden konfigot, kérdezzetek, kérjetek, aztán mutatom. :)

Sziasztok!

Segítsetek néhány érvet összeszedni, hogy miért tanuljam meg az ansible-t (hálózati network automation feladatokra), mert egyelőre nem látom, hogy mivel tud ez többet, mint egy python megfelelő könyvtárakkal telepítve (netmiko, csv, ...), plusz normálisan kommentelt scriptek. Eddig a python valahogy mindig egyszerűbb volt.

Kösz, üdv.  

Sziasztok!

Van egy kis bind szerverem (ns1.xyz.com jelleggel), amivel egy két eszközöm dinamikus IP miatti fix elérését oldom meg. (Kb mint a dyndns.org). Nemrégiben váltottam fix ip-t a domain mögött, azóta csak vodafone hálózatból de van probléma. Jellemzően mobilneten a fő domain fix ip-jét se oldja a vodafone 80.244.99.37 szervere. Telekom, Invitech, stb hálózat alap DNS szervereivel minden szép és jó, a Google 8.8.8.8 DNS szerverével is, csak ez a voda tesz a sírba ?

Nyilván alternatív megoldás a DNS szerver csere de mivel jellemzően mobilnet, Ipone-on kb lehetetlen a mobilnet DNS csere. Csak erre VPN meg elég feleslegesnek tűnik.

Járt már valami így? Van esély ügyfélszolgálaton valami nem level 0 supportra? (Azért tartok tőle mert én ezért konkrétan nem fizetek nekik, nem érdekeltek hogy működjön…)

Köszi a tippeket!

Vagy csak nálam timeoutol? 

Sziasztok!

 Az lenne a kérdésem, hogy lehet egyáltalán olyat egyáltalán csinálni, hogy egy adott domain alá sorolt "prefix" egy másik IP címre mutatva külön SSL hitelesítést kapjon?

srv2.azEnDomainem.hu

Valamiért a hitelesítést nem engedi a Let's Encrypt, és próbálok rájönni, miért...

A sub-domain egy Rackforest-es VPS-re mutat.

Az eredeti azEnDomainem.hu egy másik szerver szolgáltató szerverére.

Kell valamit ehhez állítani a domain beállításoknál is? (a sub-domain IP címén kívül) ?

sziasztok,

Tudja esetleg valaki, hogy a THome-nak mit matatnak mostanaban a kabelnet halozatban? Ugyanis vagy 3 hete elkezdett kohogni az otthoni kabelnet, neha rendesen leesik az access minden elojel nelkul, neha csak nagyon belassul.

Az inditsa ujra probalkozas mar tobbszor megvolt, de nem hoz konzisztens valtozast. Mar az ugyfelszolgalatot is felhivtam, ott megfrissitettek a doboz software-t, de ez sem jelent megoldast, ugyanugy van problema.

Valaki esetleg tudja mi lehet a hatterben - ha van esetleg ralatas ilyen kabel net access uzemeltetesre?

koszi

Gabor