Igen, köszönöm, olvastam -- csak nem értem. Mármint azt, hogy miért is kell ezeket az IP-címeket megadni.

Mindig azt hiszem, hogy kezdek valamit érteni, aztán egy nagy túróst...

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Mert azt akarod, hogy az internet arra menjen, nem?

Ezek a hálózatok az internet címei, csak körbe kell írni a privát tartományokat (10.0.0.0, 172.16.0.0, 192.168.0.0 stb.).
Szóval a privát tartományokon kívül minden mást arra fog küldeni. Ezt máshogy nem lehet csak így körbeírni.

Ahogy már írtam, az allowed ips azt adja meg mit küldjön a vpn-en keresztül.

A default route szebb, de ahhoz kell a routing szabály amit az elsőben írtam.

[ Szerkesztve ]

Switch Tax

Ahha, hogy ez a minden minusz privát tartományok!

Ezt mondjuk kiokoskodhattam volna...

Azt sajnos nem tudom, hogy routing szabályt hol tudok beadni.

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Sziasztok,
Adott egy magyarországi T Home előfizetés (pontos csomagot, sebességet nem tudok) és egy szerbiai szimmetrikus 1.5Gbps dedikált vonal...

Magyar oldal: T-Home modem, mögötte Mikrotik hAP ax3
Szerb oldal: SFP+ modul direkt a routerben Mikrotik CCR1036-8G-2S+

Össze szeretném kötni a 2 pontot WireGuard-dal, meg is történt, először 600Mbps BTest szerint, majd 300Mbps és egy idő után 10Mbps UDP-n, TCP-n 600-1000Mbps között mozog.

NEM a WireGuard a probléma, public IP címre mérve is kaksi:

UDP feltöltés magyarországról szerbiába:

TCP feltöltés magyarországról szerbiába:

Bármi ötlet, javaslat?

-JNA- Yugoslav National Army // ⍟T-34-85⍟ // MSI H81M-P33 / Intel Xeon E3-1220 v3 @ 3.5GHz / 16GB DDR3 @ 1600MHz / Gigabyte RX470 4GB. sp4c3.speedtestcustom.com

Nálunk QoS nincs egyik végén sem, BIX-et hogy tudom kideríteni?

-JNA- Yugoslav National Army // ⍟T-34-85⍟ // MSI H81M-P33 / Intel Xeon E3-1220 v3 @ 3.5GHz / 16GB DDR3 @ 1600MHz / Gigabyte RX470 4GB. sp4c3.speedtestcustom.com

Meddig marad úgy?

Switch Tax

Volt, hogy egy egész éjjszakán át jól ment, most úgy hagytam, grafikonoztatom, meglátom mi derül ki belőle, jelenleg stabilan 10Mbps jön.

-JNA- Yugoslav National Army // ⍟T-34-85⍟ // MSI H81M-P33 / Intel Xeon E3-1220 v3 @ 3.5GHz / 16GB DDR3 @ 1600MHz / Gigabyte RX470 4GB. sp4c3.speedtestcustom.com

Ami Számodra triviális, az nekem ismeretlen terület lehet.

Én annyit látok, hogy a WG-ot a kliensoldalon a conf-fájlban tudom idomítani. Ennek viszon vajmi keveset tudok a lehetőségeiről, és amikor kutatok a neten, egymásnak ellentmondó információkat találok, valamint sok panaszt arra, hogy nincs jól használható, egységes tudástár a WG-hoz.

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Hali!

Ha a TCP stabilan megy akkor olyan nagy probléma nem szabadna legyen.
UDP-nél ugye nincs visszacsatolás, csak hányjuk izomból amit lehet.
Valószínűleg csomagveszteség miatt esik ennyire alacsonyra a sávszél.
Sajnos az udp az "best effort".
Ha mindkét végponthoz hozzáférsz egy wireshark / tcpdump-al ellenőrizheted, hogy mondjuk 100 elküldött udp csomagból mennyi is érkezik meg. TCP-nél szintén látványos lehet, ha általános csomagveszteség van, akkor tele lesz szépséges fekete-piros retransmission üzenetekkel:

Ha nagy a csomagvesztés, akkor írj a szolgáltatónak, hogy nézzenek rá ők is, csatold nekik a két oldalon készített capture-öket, hogy lássák tényleg nem jönnek meg.

szíszíenpí vájörlesz /én

Gondoltam erre is, icmp-vel ha szétbombáztam és nincs veszteség!

-JNA- Yugoslav National Army // ⍟T-34-85⍟ // MSI H81M-P33 / Intel Xeon E3-1220 v3 @ 3.5GHz / 16GB DDR3 @ 1600MHz / Gigabyte RX470 4GB. sp4c3.speedtestcustom.com

Ezeket a WG szerveren kell beállítani, hogy ezeket az ip-ket küldje le mint route a rácsatlakozó kliensnek.
Elején talán még ovpn-ről volt szó és az "protected network"-nek hívja.
Ami hálózatokat megadsz a szerveren mint protected network, azok lesznek a kliens számára elérhetőek vpn-en keresztül.
Teszem azt, van egy openwrt routered ami VPN szerverként üzemel és amúgy rajta van a 192.168.10.0/24 subnet.
Te pedig az irodában ülsz ahol meg az az ip-d, hogy 10.238.70.157.
Az irodában ülve ha cmd-ben kiadod a "route print" parancsot, akkor a sok egyéb között lesz két valami ilyesmi:
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 10.238.70.254 10.238.70.157 25
10.238.70.0 255.255.255.0 On-link 10.238.70.254 281
Amikor pedig felcsatlakozol a vpn-edre, akkor fogsz mellé kapni valami olyasmit, hogy
192.168.10.0 255.255.255.0 On-link X.X.X.X 1

Ami megmondja a gépednek, hogy a 192.168.10.0-ás tartományt a vpn csatornán kell keresnie.
Tehát bármit megadsz a protected networks-be arról fogsz kapni egy route-ot.
Ha mindent arra akarsz vinni, akkor 0.0.0.0 0.0.0.0-át kell belerakni.
Ha pedig mindent, kivéve a privát tartományokat, akkor MM megadta hozzá a képletet

szíszíenpí vájörlesz /én

Kipróbáltam egy pest környéki mikrotikről thome-os előfizetés az is, ugyanúgy 10Mbps UDP-n a sebesség.

-JNA- Yugoslav National Army // ⍟T-34-85⍟ // MSI H81M-P33 / Intel Xeon E3-1220 v3 @ 3.5GHz / 16GB DDR3 @ 1600MHz / Gigabyte RX470 4GB. sp4c3.speedtestcustom.com

PiroGrim, MasterMark!

Nagyon köszönöm a hasznos segítségeteket!

A célom nem az, hogy Titeket csuklóztassak itt, hanem legfőképpen szeretném megérteni a WG működését és beállításait. Tehát már egy használható tutorialnak is nagyon örülnék, amelyben tisztázva vannak a beállítási lehetőségek, hogy pl. mi az a Postup és Postdown, mik a fogalmak és a szintaxis. (Inkonzisztens, zavaros leírást már sokat találtam, és erre nem csak én panaszkodom a neten.)

Hogy mást ne mondjak: nem tudom, hogy hogyan tudom a szerveroldalt finomhangolni. Egy routeren futó GUI-m van...

Köszönettel: MaCS

UI: Szomorú érdekesség:
Láthatjátok, hogy milyen szinten vagyok, milyen komoly hiányosságaim vannak.
Ehhez képest az egyetemen mérnökinformatikus szakon hálózatokból az évfolyam legjobb hármasában voltam. Elmélet és labor (= Packet Tracer) kombóból.
Ennyit ér mostanában a felsőoktatás...

Fán nem lehet motorozni, motoron viszont lehet fázni!

Amit írt olyan wireguardnál nincs.

Ez szerintem elég jó leírás: [link]

Switch Tax

Nem kell alairas az elfogadashoz, boven eleg a rautalo magatartas, mint pl. az, hogy belepsz az ajton.

Bocs, mégsem értem.

Mármint azt nem, hogy ez miért fedi le az internetet a privát tartományok nélkül:

1.0.0.0/8, 2.0.0.0/8, 3.0.0.0/8, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/2, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/6, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Mert ezek azok a tartomanyok, amelyek az interneten elerhetoek.

Ez csak a kérdés megismétlése.

Azt nem értem, hogy miért. Hol a többi IP-cím? Vagy az a trükk, hogy az első oktetek /x részeiből összeáll az egész? (Most éppen nem igazán vagyok kettes számrendszerben számoló üzemmódban, és ez nekem negyon nem rutinszerű.)

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Szia!

Pontosan!
1.0.0.0/8 az azt jelenti, hogy 1.0.0.0-tól 1.255.255.255-ig minden
IP címzésben pedig 0-tól 255-ig számolunk.

Azért /8 mert csak az első 8 bit van lefixálva. Azaz:
az 1.0.0.0 ipv4 cím kettes számrendszerben nézve:
00000001.00000000.00000000.00000000
az első pont előtti 8 bit fix, utána pedig bármi lehet.

szíszíenpí vájörlesz /én

pedig kénytelen leszel kettes számrendszerben bináris and műveletet végrehajtani
a /x azt jelenti, hogy balról, a legértékesebb bit felől x darab 1-es bitet "betolsz", beshiftelsz, és így megkapod a netmaszkot. A netmaszk és az ip cím bináris és művelettel megmondja a meghatározott biteket, a netmaszk 0-s bitjei helyén bármi állhat, amit te osztasz ki.

tehát a 192.168.1.0/24 az 24 darab 1-es bit balról, vagyis a 192.168.1 fix, és a nulla helyére be tudod rakni 8 darab 0/1 bit minden kombinációját.

Mondjuk ez a lista nem jó, mert a carrier nat benne van, de mindegy.
Egyébként szerintem nincs értelme ilyen címzést használni, hogy minden ip cím, hanem helyette van az alapértelmezett átjáró. a kivételt fel kell venni route-ként plusz marad a default.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Megmondom őszintén a listát nem ellenőriztem, korábban talán MM fogalmazta meg.

szíszíenpí vájörlesz /én

A listát a wireguard mobilos klienséből vettem, és mindent tartalmaz ami nem privát és az internet felé kell routolni.

Én nagyjából átnéztem és jónak tűnik. A CGNAT tartományt is a net felé kell routolni, ez jól van így.

A loopback is benne van, de szerintem az nem okoz gondot.

[ Szerkesztve ]

Switch Tax

Ezek tartományok ahogy már írták, netes kalkulátorba be tudod tenni, és akkor látod melyik címeket tartalmazza: IP Subnet Calculator

[ Szerkesztve ]

Switch Tax

Miért lenne tilos? Amikor egy default routeot beállítasz 0.0.0.0/0 abban is benne van a loopback tartomány.

Switch Tax

Ez ugye itt a 0.0.0.0/0 kivéve belőle a 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16.

Azaz a default route megfelelője a privát tartományokat kivéve. Ugyanúgy kell működnie mint egy default routenak.

A loopback tartományt szerintem network driver szinten nem fogja routolni semmi még ha van is rá route egyébként.

Switch Tax

meg az apipa-t is: 169.254/16

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

tilos.
amikor a 0.0.0.0/0-t beállítod, akkor előtte van egy specifikusabb route, mert a loopbacket mindig felhúzza a kernel, tehát a default route nem routolja a lokál netet.

meg egyébként van még egy rakás privát címtartomány, ami, jó eséllyel, szintén nincs kiszedve ebből, de most nem fogok rfc-t turkálni.

A helyes eljárás az, hogy a specifikus route-okat meg kell adni, és default route-t a végére. ezt a listát meg el kell felejteni.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ugyanúgy lesz itt is előtte specifikus route előtte a loopbackre ha van. Ezek a routeok a default route helyett vannak.

Nem lehet specifikus routeokkal megoldani, nézd vissza az eredeti problémát.

Switch Tax

Az is benne van a 0.0.0.0/0-ban.

szerk.: Ugyanúgy ezek elé is fognak kerülni, mert specifikusabbak mint a listában amik vannak.

[ Szerkesztve ]

Switch Tax

Igen, MaterMark is a route beállítását ajánlotta, de odáig még nem jutottam el a WireGuard rejtelmeiben, hogy azt hogyan konfigurálom.

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Azt is leírtam, hogy úgy hogy lehet megcsinálni.

Egyedüli amit nem értek, hogy ha wireguardban AllowedIPs-re 0.0.0.0/0 van beírva, akkor hogy írja felül azt, hogy a már meglévő routeok se működjenek, hanem mindent arra küldjön. Hiszen a saját lokál hálód ott van connected networknél, a route meg kéne maradjon, de mégis valahogy felülírja ezt.

Egyébként itt is ki lehet számoltatni: WIREGUARD ALLOWEDIPS CALCULATOR
(És itt alul ugyanúgy leírja, hogy a PostUp scripttel jobb inkább beállítani.)

[ Szerkesztve ]

Switch Tax

Igazabol azt nem a wireguard irja felul, hanem a tool amit hasznalsz. Maga a wireguard hozza sem nyul a route tablahoz.

Normalis tool azt csinalja, hogy ami eddig default route volt, annak atirja a destination-jet az ellenoldali wireguard ipcimere, igy az mindig ki fog talalni.

[ Szerkesztve ]

Ha csak simán ezt csinálná hogy a default routeot lecseréli, az nem okozná azt hogy elveszted a kapcsolatot a lokális connected hálókkal.

Tool alatt a wireguard klienst érted?

Switch Tax

Sziasztok!

Próbálkoztam a "pihole"-lal. Dockerben azt látom, hogy elindul rendesen, de a telepítésről szóló videókban jól működő "localhost/admin" nálam nem vezet eredményre.
Van ötletetek, hogy mit ronthatok el?
Előre is köszönöm.

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

A Dockerben van egy "Networks" fül, amiből számomra két sor hordoz feldolgozható információt:
"Gateway": "172.17.0.1",
"IPAddress": "172.17.0.3",
Ebből azt gondolnám, hogy a pihole a "172.17.0.3" IP címen kellene, hogy elérhető legyen, de azt a címet még csak pingelni se tudom, a "172.17.0.1"-et igen

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

Az belső docker network cím lesz. A docker megvan hogy működik, van már tapasztalatod vele? Ha nem, és nem most akarsz elmélyedni benne, akkor ne dockerbe tedd fel.

Switch Tax

Szia!
Először látom a pihole-t. Illetve szeretném. Van setleg egy kiszuperált kis pc a pincében, amire tehetek valami linuxot, ha az célravezetőbb.

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...