Tool alatt az a progit ertem amivel pocogteted es nem a gyari wg nevezeto command line tool, ami csak a wireguard interfeszt konfiguralja.

Linux alatt pl. a wg-quick a tipikus tool (wireguard-tools csomag resze). Ez allitja a default routeokat. [link]
Az alap wg command ami a wireguard csomagban van, az csak a wg interfeszek parametereit allitja, route tablahoz nem nyul, az a user feladata.

[ Szerkesztve ]

Ennek még nincs köze a pihole-hoz, amiket kérdeztél azok docker kérdések voltak.

Switch Tax

Telefonra és windowsra is ezek offical "toolok", de ugye windowson együtt jár a kettő.

szerk.: Pedig de, az allowedIPs az automatikusan kernel route lesz, nem kell hozzá tool, a wg interfész csinálja.

[ Szerkesztve ]

Switch Tax

Akkor pontosítok: a linux, docker, pihole mindegyik abba a halmazba tartozik, amiben nem vagyok nagyon jártas. Azért próbálkoztam dockerben a pihole-lal, mert nyilván így kényelmes a meglévő PC előtt ülve, illetve néhány "oktató" videót találtam, de mindegyik végén működött a "localhost/admin", csak nálam nem ...

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

Akkor PC-re tegyél egy virtuális gépet, arra meg egy debiánt, és arra mehet natívan a pihole.

Switch Tax

Erdekes, en beirom, hogy
wg set wg0 peer <PK> add allowed-ips 0.0.0.0/0

es semmit sem valtozik a route tabla. Szoval nem a wg valtoztatja, hanem a melle pakolt tool.

Sajnos a win/android verziokon bundleben kapod, de szerencsere fent van a forraskodja, at lehet irni.

[ Szerkesztve ]

A megoldás a WireGuard beállítására meglepően egyszerű lett:

Ha ugyanis a windowsos kliensben a konfiguárciós file szerkesztési ablakában az AllowedIPs sorba azt írom be, hogy 0.0.0.0/0, csakkor megjelenik egy "Block untunneled traffic (kill-switch) opció a szerkesztési ablak alatt. Ha ez nincs beikszelve, akkor az AllovedIPs sorhoz beír a 0.0.0.0/0 mögé egy 128.0.0.0/1 értéket.

Mindenkinek köszönöm a segítséget!

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Működni látszik a pihole virtuális gépen ubuntun.
Merre induljak, ha egy bizonyos kliens forgalmát szeretném látni a lokális hálózaton?

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

Ez végül mit oldott meg? Én már elfelejtettem az eredeti problémád.

Azt látom, hogy a 0.0.0.0/0-t fölbontja 2 részre, 0.0.0.0/1 és 128.0.0.0/1-re. Azt nem értem pontosan ez miért jó? A /1 talán magasabb prioritású mint a /0?

szerk: mondjuk a kill switch funkció sem tiszta nekem...

[ Szerkesztve ]

A rosszban mindig van valami megtévesztően jó, különben nem választanánk a rosszat

Én se értem.

A kill-switch arra kell, hogy ne szivárogjon a VPN-en kívülre packet. Szóval úgy állítja be, hogy csak a VPN-en keresztül küldjön csomagokat. Azt nem tudom ezt hogy éri el, és hogy az említett allowedIPs szabály ezt hogy oldja meg.

Switch Tax

A kliensek használják ezt a DNS szervert.

Switch Tax

Az volt a gond, hogy ha bekapcsoltam a WireGuard kapcsolatot a mindenes AllowedIPs-szel, akkor ezzel el is dobta a helyi hálózatomat, mert minden a WireGuardon keresztül jött. A checkbox viszont lehetővé teszi, hogy a távoli és a helyi hálózatot is lássam, ugyanakkor a távoli hálózat netkapcsolatát használjam.

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Szerintem az a trükk, hogy ha 0.0.0.0/0 van az allowedIPs-ben akkor azt úgy veszi hogy akkor minden mást kizár. Amint mellékerül bármi, akkor már nem csinálja ezt a kizárást. A 128.0.0.0/1 az átfedésben van amúgyis a 0.0.0.0/0-val, szerintem csak dummynak van odarakva, hogy ne érvényesüljön ez a kizárás.

Switch Tax

Köszönöm, ezt jó tudni. Ugyanis elég sokat agyaltam azon, hogy a 128.0.0.0/1 mégis hogyan működhet, de hiányos IP-címzési ismereteimmel nem sokra jutottam.

Köszönettel: MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

A 128.0.0.0/1 a 0.0.0.0/0 felso fele. Azert van odarakva, hogy 128.0.0.0-255.255.255.254 cimeken levo gepeket is elerjed. A 0.0.0.0/1 csak 1.0.0.0-126.255.255.255-ig fedi le.

Nagyon egyszeru: a / utan levo szam azt jelzi, hogy mennyi bit fix, balrol szamolva.
Tehat 0.0.0.0/0 eseten barmelyik bit megvaltoztathato, az az ez a teljes cimatartomany.

0.0.0.0/0-nel ez azt jelenti, hogy a legfelso bit allando, a mogotte levo tartomanyok valtoztathatoak:
Azaz
0xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx maszkolva, igy az eleje:
0000000 0000000 0000000 0000000 = 0.0.0.0, a vege pedig:
0111111 11111111 11111111 11111111 = 127.255.255.255

Ehhez hasonloan a 128.0.0.0/1 majdnem ugyanez lesz, csak a legfelso bit 1-es:
1xxxxxxx xxxxxxxx xxxxxxxx xxxxxxxx maszkolva, igy az eleje:
1000000 0000000 0000000 0000000 = 128.0.0.0, a vege pedig:
1111111 11111111 11111111 11111111 = 255.255.255.255

Szoval ennyi a matek. A 0.0.0.0/0 also fele a 0.0.0.0/1 a felso fele a 128.0.0.0/1.

Igen, de nem azért van odarakva, hiszen eddig is benne volt a 0.0.0.0/0-ban.

Switch Tax

Köszönöm a választ!
A képen lévő IP-k közül valamelyik a megfelelő, vagy rossz helyen keresem?
Ezt a DNS-t a routeremben kell beállítani, vagy csak a figyelni kívánt gépben?
Ha ez a pihole kikapcsolásra kerül, akkor a kliens nem fog tudni wifin internetet használni, vagy esetleg akkor egy másodlagos DNS-t használ, ami a mostani?

Ha szeretet van az életünkben, az pótol ezernyi dolgot, ami hiányzik. Ha nincs szeretet, mindegy, mink van, sose lesz elég...

Köszi, a matekot eddig is értettem (bizonyos gyakorlati bizonytalanságokkal),de nekem is az a furcsa (ismeretlen), amit MasterMark írt.

Olyan ez nekem, mint egy csomó jogszabályban, amikor van egy olyan meghatározás, hogy pl. "beléphetnek: a, kék szeműek; b, barna szeműek; c, egyébként minden színű szeműek"

MaCS

Fán nem lehet motorozni, motoron viszont lehet fázni!

Ja, latom en is beneztem. hogy /0-t hagynak a 128.0.0.0/1 melle, de ott a /1 is jo lenne. Valoszinuleg azert mert valami primitiv content matchingot csinaltak es ha nem pont 0.0.0.0/0 van a stringben, akkor mar nem routeol. Valoszinuleg barmi mast is melle lehetne irni, akar 0.0.0.1/24-et is.

[ Szerkesztve ]

A teljes IPv4 tartományt le tudod fedni a 0.0.0.0/0 leírással.
Ezt persze felbonthatod ketté is, a 0.0.0.0/1 és 128.0.0.0/1 leírással.
Na most. Ha két helyen is szerepel a 0.0.0.0/0, de csak az egyik helyen az utóbbi kettő, akkor az lesz a nyertes, mivel nála van jobban passzoló routing szabály.
Szerintem 😁

[ Szerkesztve ]

Igen, én is erre gondolok, hogy arra matchel ez a kizárás dolog, hogy ha csak az van ott. Sajnos semmit nem találtam erről hogy működik.

Illetve arról se találtam semmit, hogy hogy tudja megakadályozni olyankor a packet leak-et más routera.

Switch Tax

Igen, pont errol volt szo. Azaz konkretabban arrol, hogy a nem linux wg klienseknel hogyan erik el, hogy ne turjon bele a default route-ba.

Csak a route prioritasok alapjan, esetleg, ha OS szinten van valami kivetel kezeles is, pl. 127.0.0.0/8-ra, mondjuk windowson, de annak a lelkivilagat nem ismerem annyira.

Linuxon biztos, mert pl. a 127.0.0.0/8 a local routing tablaban van, nem a main-ben, es annak prioritasa van a main tabla elott.

[ Szerkesztve ]

Sziasztok!

Esetleg nem tudjátok, hogy miért tekernek egy csomó kábelt pluszban ezekre az eszközökre? Sok esetben ennek a mennyiségnek akár a kétszeresét is látom.

Nekem pazarlásnak tűnik, de biztos van rá magyarázat...

Köszi!

[ Szerkesztve ]

♛ Kanapékirály Bútor és Kanapé Webáruház »»» https://kanapekiraly.hu

szervizhurok, csak nem aprózták el

A tipikus munkafolyamat legjobb tesztszimulációja a tipikus munkafolyamat. A "napi anti-corporate hsz"-ok felelőse :)

Esetleges oszlopcsere esetén van rá szükség, azért, hogy ne kelljen szétbombázni mindent.

Mi alá kell írás?

fatpingvin, sziszi-fuszi: Köszi szépen! Ma is tanultam valamit... :-)

♛ Kanapékirály Bútor és Kanapé Webáruház »»» https://kanapekiraly.hu

Sziasztok!
Van egy TUF-AX3000V2-es routerem.
Bekapcsoltam benne a tűzfalat.
A kérdésem az volna, hogy ha port forwardnál rögzítek szabályokat, akkor kell-e avval külön foglalkozni, hogy a tűzfalnál is kivételek közé tegyem azokat?

Feltételezném, hogy inteligens annyira a rendszer, hogy ebben az esetben ott már nem kell.
Ha viszont automatikosan működik szépen, akkor meg mi értelme annak, hogy külön lehet tűzfal szabályt is és külön lehet port forwardingot is csinálni?

Általában automatikusan létrehoz tűzfalszabályt, hacsak nem lehet ezt valahol kikapcsolni.

A port forward az egy Source NAT szabály a NAT-olás közben.
A tűzfalszabály meg utána jön.

Switch Tax

Köszönöm szépen!

Akkor nem foglalkozom külön a tűzfallal, csak bekapcsolva hagyom és ennyi.

A kötődobozoknál lévő optikai kábel tartaléknak elsődlegesen más a feladata: mivel a szálhegesztést nem igazán lehet megfelelő minőségben elvégezni az oszlopon lógva, így a plusz feltekert kábel ebben az esetben azért kell, hogy a kötődobozt levéve a földön tudják a hegesztést elvégezni. Normál esetben csak annyi plusz kábel kellene oda, hogy a kötődobozt leszerelve, a földig kényelmesen leérjen.

[ Szerkesztve ]

Sziasztok!
Remélem jó helyre írok, mert egy elég speciális kérdésem lenne. Előre szeretném leszögezni, hogy ebben a témakörben nem igazán vagyok otthon, sok mindent nem értek, és ezért is szeretnék segítséget kérni. Szóval adott 2 docker container, nevezzük őket A-nak és B-nek.

A-n uwsgi fut, a következő beállítással (a lényeget kiemelve):
socket = 0.0.0.0:8000
B containeren Nginx fut, a következő beállításokkal (szintén a lényeget kiemelve):
upstream backend_upstream {
server backend:8000;
}
...
location / {
uwsgi_pass backend_upstream;
include uwsgi_params;
}

Ez így rendben van, működik. Nginx kommunikál a megadott socket porton a backend containerrel és minden tökéletes.

Viszont szeretném lecserélni az uwsgi-t, mert szükség lenne asgi-re. Jelenlegi állás szerint daphne-ra. És innentől kezdve nem értem a dolgokat, mivel ha daphne-n socket-es kommunikációt szeretnék, ahhoz be kell állítani egy socket fájlt. De minek a fájl? Nem lesz socket port? Hogy skálázódik? A jelenlegi konfigurációba hogy illeszkedik bele? Egyszerűen nem értem a mögöttes logikát, pedig úgy néz ki a többi megoldás is socket fájlokat használ, pl. uvicorn.

Egyébként azt tudom, hogy simán http alapon is működhetném a daphne-t, de azt olvastam, hogy nem javasolt amennyiben van Nginx is, mert a socket gyorsabb és "tisztább" megoldás.