abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 21:22 | Nová verze

Byla vydána nová verze 1.26 webového prohlížeče Brave (Wikipedie, GitHub). Nově lze mimo jiné v nastavení vybrat dnes spuštěný vyhledávač Brave Search. Ten lze využívat i v jiných prohlížečích na adrese search.brave.com.

Ladislav Hagara | Komentářů: 0
včera 15:33 | IT novinky

Hodnota Bitcoinu, decentralizované kryptoměny, klesla pod 30 000 dolarů. V dubnu byla hodnota Bitcoinu téměř 65 000 dolarů.

Ladislav Hagara | Komentářů: 13
včera 15:22 | Nová verze

Byla vydána nová major verze 14 softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech GitLab (Wikipedie). Představení nových vlastností v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
včera 10:11 | Komunita

Mozilla.cz informuje, že na začátku června Mozilla spustila novou platformu Ideas.Mozilla.Org pro sběr zpětné vazby, ale také návrhů na nové funkce a obecně komunikaci s uživateli. Nejkomentovanější návrhy se týkají kompaktního rozhraní, vzhledu s vyšším kontrastem a barevného vzhledu podle systému.

Ladislav Hagara | Komentářů: 11
21.6. 17:11 | Nová verze Fluttershy, yay! | Komentářů: 0
21.6. 10:33 | Nová verze

Mozilla.cz informuje o aktualizovaném českém slovníku pro kontrolu pravopisu pro Firefox, Thunderbird i SeaMonkey. K dispozici je na na serverech s doplňky (Firefox, Thunderbird, SeaMonkey).

Ladislav Hagara | Komentářů: 0
21.6. 10:11 | Nová verze

Byla vydána verze 0.52.1 open source počítačové hry Unvanquished (Wikipedie). Nově lze instalovat také z Flathubu. Unvanquished je fork počítačové hry Tremulous.

Ladislav Hagara | Komentářů: 0
21.6. 00:11 | Zajímavý projekt

Watchy jsou open source hodinky postaveny na ESP32-PICO-D4 s e-papírovým displejem s rozlišením 200x200 pixelů, s Wi-Fi a Bluetooth LE. Předobjednat je lze na Crowd Supply za 59 dolarů.

Ladislav Hagara | Komentářů: 8
20.6. 22:11 | Nová verze

OASIS oznamuje zveřejnění nejnovějšího standardu OASIS, který byl schválen členy 27. dubna 2021: Open Document Format for Office Applications (OpenDocument) Version 1.3. Formát OpenDocument je volně dostupný otevřený formát souborů dokumentů založený na XML pro kancelářské aplikace, který se používá pro dokumenty obsahující text, tabulky, grafy a grafické prvky. OpenDocument Format v1.3 je aktualizací mezinárodní normy verze 1.2

… více »
Zdeněk Crhonek | Komentářů: 4
19.6. 20:11 | Nová verze

Byl vydán Debian 10.10, tj. desátá opravná verze Debianu 10 s kódovým názvem Buster. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Instalační média Debianu 10 lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 35
Používáte kalkulačku?
 (10%)
 (32%)
 (62%)
 (27%)
 (12%)
Celkem 260 hlasů
 Komentářů: 26, poslední včera 16:41
Rozcestník

Dotaz: WireGuard do bridge

20.5. 16:08 Honza
WireGuard do bridge
Přečteno: 1066×
Dobrý den. Rád bych propojil dvě lokality mezi sebou pomocí Wireguardu tak, aby v každé lokalitě byla dostupná sít 10.50.10.0/24. Je to řešitelné ? Je možné dát Wiregurd interface do bridge ? V síti 10.50.10.0/24 zároveň běží DHCP server, který by měl být dostupný na obou dvou místech. Díky.

Řešení dotazu:


Odpovědi

20.5. 17:14 billgates | skóre: 25
Rozbalit Rozbalit vše Re: WireGuard do bridge
Nie, wireguard je tunel na tretej (IP) vrstve.
20.5. 17:45 xxl | skóre: 23
Rozbalit Rozbalit vše Re: WireGuard do bridge
Přímo WireGuardem to nejde. Ale můžeš zkusit přes L3 (WireGuard) protunelovat L2 (gretap).

https://notes.superlogical.ch/pages/note_wg/nolayer2/

20.5. 19:17 mmcze
Rozbalit Rozbalit vše Re: WireGuard do bridge
Sám na tohle používám GRE tunel.

Nějaké studium konfigurace asi nebude nutné, když ti řeknu, co přesně spouštím na obou stranách:

Strana1: VPN IP: 10.200.0.110, LAN IP 192.168.0.231, přístup do LAN jen pomocí GRE tunelu

#!/bin/bash iptables -I INPUT -s 10.200.0.105 -p gre -j ACCEPT ip link add gretap1 type gretap local 10.200.0.110 remote 10.200.0.105 ip link set dev gretap1 up brctl addbr br0 brctl addif br0 gretap1 ip addr add 192.168.0.231/24 dev br0 ip link set br0 up

Strana 2: VPN IP: 10.200.0.105, LAN IP 192.168.0.230, přístup do LAN pomocí eth1

#!/bin/bash sleep 20 iptables -I INPUT -s 10.200.0.110 -p gre -j ACCEPT ip link add gretap1 type gretap local 10.200.0.105 remote 10.200.0.110 ip link set dev gretap1 up brctl addbr br0 brctl addif br0 gretap1 brctl addif br0 eth1 ip addr add 192.168.0.230/24 dev br0 ip link set br0 up
20.5. 19:20 mmcze
Rozbalit Rozbalit vše Re: WireGuard do bridge

Sorry, blbé formátování a nejsem přihlášen, abych mohl editovat, tak znovu. :-)

Sám na tohle používám GRE tunel.

Nějaké studium konfigurace asi nebude nutné, když ti řeknu, co přesně spouštím na obou stranách:

Strana1:
VPN IP: 10.200.0.110, LAN IP 192.168.0.231, přístup do LAN jen pomocí GRE tunelu

#!/bin/bash
iptables -I INPUT -s 10.200.0.105 -p gre -j ACCEPT
ip link add gretap1 type gretap local 10.200.0.110 remote 10.200.0.105
ip link set dev gretap1 up
brctl addbr br0
brctl addif br0 gretap1
ip addr add 192.168.0.231/24 dev br0
ip link set br0 up

Strana 2:
VPN IP: 10.200.0.105, LAN IP 192.168.0.230, přístup do LAN pomocí eth1

#!/bin/bash
sleep 20
iptables -I INPUT -s 10.200.0.110 -p gre -j ACCEPT
ip link add gretap1 type gretap local 10.200.0.105 remote 10.200.0.110
ip link set dev gretap1 up
brctl addbr br0
brctl addif br0 gretap1
brctl addif br0 eth1
ip addr add 192.168.0.230/24 dev br0
ip link set br0 up

9.6. 19:29 mmcze
Rozbalit Rozbalit vše Re: WireGuard do bridge
Ugh, nějak se změnilo něco v síti po cestě a mě to přestalo fungovat, zřejmě proto, proč to tobě nefungovalo od začátku(divný je, že přes půlku světa to fungovalo dál)... :-)

Stačí na každou stranu přidat na konec jeden řádek: ifconfig br0 mtu 1280
Max avatar 10.6. 16:19 Max | skóre: 69 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: WireGuard do bridge
Lepší, než si hrát s MTU, je nastavovat MSS.
Zdar Max
Měl jsem sen ... :(
10.6. 21:13 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Prosím, Maxi, mohl by jste to rozvést a uvést konkrétní příklad v rámci tohoto případu ?
Max avatar 10.6. 22:13 Max | skóre: 69 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: WireGuard do bridge
Prostě natvrdo přepisovat velikost MTU na jednotlivých interfacích je cesta do pekel. Pokud mám nějakou službu, která s tím má problém a nedokáže si to sama nějak uřídit, tak prostě v mangle si vynutíme konkrétní MSS, příklad:
# přepiš MSS na 1280 v případě, že si někdo bude přát vyšší jak 1281
iptables -t mangle -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1281:1536 -j TCPMSS --set-mss 1280
Kontrola:
iptables -t mangle -vL

Chain PREROUTING (policy ACCEPT 1969K packets, 337M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 1645K packets, 188M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 323K packets, 149M bytes)
 pkts bytes target     prot opt in     out     source               destination         
 3052  162K TCPMSS     tcp  --  any    any     anywhere             anywhere             tcp flags:SYN,RST/SYN tcpmss match 1281:1536 TCPMSS set 1280

Chain OUTPUT (policy ACCEPT 1311K packets, 324M bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 1777K packets, 534M bytes)
 pkts bytes target     prot opt in     out     source               destination
Jinak Mikrotik na to má KB: Change_MSS. Zywall na to má zase u nastavení ipsecu klikátko atd.
Zdar Max
Měl jsem sen ... :(
11.6. 07:10 xxl | skóre: 23
Rozbalit Rozbalit vše Re: WireGuard do bridge
Nebo se to dá udělat nějak takhle:
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
jak je uvedeno na stránce odkazované v tomto příspěvku.
21.5. 08:26 j
Rozbalit Rozbalit vše Re: WireGuard do bridge
Az se doucis ty uplne nejzakladnejsi zaklady sitovani, tak ti treba i dojde, ze propojovat naprosto cokoli na L2 je nejblbejsi ze vsech blbych napadu.

---

Dete s tim guuglem dopice!
21.5. 10:37 billgates | skóre: 25
Rozbalit Rozbalit vše Re: WireGuard do bridge
Niekedy to ma zmysel. Napriklad ak ma firma v budove viac poschodi a chcu mat rovnake subnety na roznych poschodiach, ale zaroven nechcu vystavit siet moznemu utoku, kedze kabel medzi poschodiami opusta ich priestory a je vedena v spolocnej kablovej sachte, kam maju pristup aj cudzi ludia. Vtedy sa oplati aj L2 tunelovat cez nieco sifrovane.
21.5. 13:01 mmcze
Rozbalit Rozbalit vše Re: WireGuard do bridge
Ten nejblbější z blbých nápadů, mi takhle funguje už druhým rokem, bez jakéhokoli mého dalšího zásahu.

Díky GRE, mohu mít kontejner na druhé straně světa kde běží DLNA server, jednoduše připojený do sítě doma a všechny televize, se k tomuto DLNA serveru mohou bez problémů připojit.

Pokud to funguje, nemusím se o to starat a vyřešilo to mou potřebu, nemám s tím nejmenší problém.

Proč je to dle tebe blbý nápad?
21.5. 13:46
Rozbalit Rozbalit vše Re: WireGuard do bridge
A máš ten tunel z druhého konce světa šifrovaný?
21.5. 18:26 mmcze
Rozbalit Rozbalit vše Re: WireGuard do bridge
Když to běží přes Wireguard, tak asi jo. :-)
21.5. 18:47
Rozbalit Rozbalit vše Re: WireGuard do bridge
Ale jsi v té tvé konfiguraci dokonale utajil.
Josef Kufner avatar 21.5. 20:54 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: WireGuard do bridge
Myslím, že to dobře vyplynulo z kontextu ;-)
Hello world ! Segmentation fault (core dumped)
22.5. 09:45
Rozbalit Rozbalit vše Re: WireGuard do bridge
Ta naznačená konfigurace by fungovala i bez WireGuardu. Akorát by to nebylo šifrované.

A jak vidíš, tazatel to ještě tak docela nezprovoznil, ačkoliv se všechny ty informace dají dohledat i gůglem nebo načist v manuálech.

Takže by se bývalo nic nestalo, kdyby v naznačené konfiguraci zmínka o wireguardu byla. Zvlášť, když ten Wireguard snižuje MTU na svých rozhraních na 1420 ;-).
21.5. 10:45 mask
Rozbalit Rozbalit vše Re: WireGuard do bridge
Zbytecna ztrata casu.

Podivej se na:

tailscale zerotier cloudflare access

Zprovozneni behem par minut. Bez nutnosti public IPv4. Nulove nebo minimalni naklady. Nezavislot na lokaci Snadno skalovatelne.
21.5. 12:58 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Tak je to nějaký divný. Povedlo se mi to rozchodit. Obě strany mezi s sebou pingnu. DHCP mi také chodí na obou dvouch stranách. Ale jakmile se chci z jedné strany na druhou navázat SSH spojení, nebo HTTPS spojení, tak nic. Prostě nedostupné. Myšleno spojení po vnitřní síti. Tedy např. https://10.50.10.101 Ping ale prochází, DHCP broadcast taky, IP dostanu, ale tohle neběhá.

Byla by nějaká myšlenka, na co se zaměřit ?
vencour avatar 21.5. 14:15 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: WireGuard do bridge
Nemusí se nastavit proxy arp?
Co pustit tcpdump na zdroji a cíli a zjistit, co tam vlastně a jak komunikuje?
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
21.5. 14:29 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Proč SSH projde, ale cokoli dalšího "většího" NE ?
21.5. 14:33
Rozbalit Rozbalit vše Re: WireGuard do bridge
To je záhada, na kterou ti nikdo neodpoví, protože nikdo nemá křišťálovou kouli, aby věděl, jak to máš nakonfigurované.
21.5. 14:34 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: WireGuard do bridge
vzdyt pises nahore ze ti ssh neprojde, tak ted fakt nevim
vencour avatar 21.5. 14:44 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: WireGuard do bridge
Tak koukni, co kam přesně a s jakýma zdrojovýma adresama prochází. Nejde něco směrem tam tunelem a zpět "normální linkou" třeba?
Jsou komunikující IP adresy opravdu takové, jak píšeš?
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
21.5. 15:03 Dušan
Rozbalit Rozbalit vše Re: WireGuard do bridge
Žeby MTU?
21.5. 18:28 mmcze
Rozbalit Rozbalit vše Re: WireGuard do bridge
Jak pociťuješ, že se ti děje "něco divného" se sítí co na první pohled nechápeš, je na 90% na vině MTU.
21.5. 18:33 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
No jo, ale co a kde ? Viz. nize.
21.5. 15:48 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Na MTU už jsem také myslel.
Bohužel, tento portál mi při kopírování z konzole hlásí, že "Značka LOOPBACK,UP,LOWER_UP není povolena!" a já neumím to obejít.
Zasílám tedy přes pastebin.

MTU na serveru
https://pastebin.com/W01s3x3F

MTU na klientovi
https://pastebin.com/m8ZmMbft

Ping ze serveru na klienta, který je za GRE tunelem projde pouze do velikosti 1354
>>> ping 192.168.1.91 -s 1354 -c 3
PING 192.168.1.91 (192.168.1.91) 1354(1382) bytes of data.
1362 bytes from 192.168.1.91: icmp_seq=1 ttl=64 time=5.40 ms
1362 bytes from 192.168.1.91: icmp_seq=2 ttl=64 time=5.55 ms
1362 bytes from 192.168.1.91: icmp_seq=3 ttl=64 time=5.30 ms

--- 192.168.1.91 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 5ms
rtt min/avg/max/mdev = 5.298/5.418/5.554/0.105 ms
Ping ze serveru na klienta, který je za GRE tunelem o velikosti větší než 1354 už neprojde
>>> ping 192.168.1.91 -s 1355 -c 3
PING 192.168.1.91 (192.168.1.91) 1355(1383) bytes of data.
From 192.168.1.102 icmp_seq=1 Frag needed and DF set (mtu = 1396)
From 192.168.1.102 icmp_seq=2 Frag needed and DF set (mtu = 1396)
From 192.168.1.102 icmp_seq=3 Frag needed and DF set (mtu = 1396)

--- 192.168.1.91 ping statistics ---
3 packets transmitted, 0 received, +3 errors, 100% packet loss, time 17ms
Poradil by někdo, jak správně (a kde všude) nastavit MTU, pakliže je to tento problém ?
Tady mé znalosti končí.

Děkuji.
vencour avatar 21.5. 20:09 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: WireGuard do bridge
Ok, nápověda ...
$ ip li help
Usage: ip link add [link DEV] [ name ] NAME
		    [ txqueuelen PACKETS ]
		    [ address LLADDR ]
		    [ broadcast LLADDR ]
		    [ mtu MTU ] [index IDX ]
		    [ numtxqueues QUEUE_COUNT ]
		    [ numrxqueues QUEUE_COUNT ]
		    type TYPE [ ARGS ]

	ip link delete { DEVICE | dev DEVICE | group DEVGROUP } type TYPE [ ARGS ]

	ip link set { DEVICE | dev DEVICE | group DEVGROUP }
			[ { up | down } ]
			[ type TYPE ARGS ]
		[ arp { on | off } ]
		[ dynamic { on | off } ]
		[ multicast { on | off } ]
		[ allmulticast { on | off } ]
		[ promisc { on | off } ]
		[ trailers { on | off } ]
		[ carrier { on | off } ]
		[ txqueuelen PACKETS ]
		[ name NEWNAME ]
		[ address LLADDR ]
		[ broadcast LLADDR ]
		[ mtu MTU ]
		[ netns { PID | NAME } ]
		[ link-netns NAME | link-netnsid ID ]
		[ alias NAME ]
		[ vf NUM [ mac LLADDR ]
			 [ vlan VLANID [ qos VLAN-QOS ] [ proto VLAN-PROTO ] ]
			 [ rate TXRATE ]
			 [ max_tx_rate TXRATE ]
			 [ min_tx_rate TXRATE ]
			 [ spoofchk { on | off} ]
			 [ query_rss { on | off} ]
			 [ state { auto | enable | disable} ]
			 [ trust { on | off} ]
			 [ node_guid EUI64 ]
			 [ port_guid EUI64 ] ]
		[ { xdp | xdpgeneric | xdpdrv | xdpoffload } { off |
			  object FILE [ section NAME ] [ verbose ] |
			  pinned FILE } ]
		[ master DEVICE ][ vrf NAME ]
		[ nomaster ]
		[ addrgenmode { eui64 | none | stable_secret | random } ]
		[ protodown { on | off } ]
		[ protodown_reason PREASON { on | off } ]
		[ gso_max_size BYTES ] | [ gso_max_segs PACKETS ]

	ip link show [ DEVICE | group GROUP ] [up] [master DEV] [vrf NAME] [type TYPE]

	ip link xstats type TYPE [ ARGS ]

	ip link afstats [ dev DEVICE ]
	ip link property add dev DEVICE [ altname NAME .. ]
	ip link property del dev DEVICE [ altname NAME .. ]

	ip link help [ TYPE ]

TYPE := { vlan | veth | vcan | vxcan | dummy | ifb | macvlan | macvtap |
	   bridge | bond | team | ipoib | ip6tnl | ipip | sit | vxlan |
	   gre | gretap | erspan | ip6gre | ip6gretap | ip6erspan |
	   vti | nlmon | team_slave | bond_slave | bridge_slave |
	   ipvlan | ipvtap | geneve | bareudp | vrf | macsec | netdevsim | rmnet |
	   xfrm }
vencour@No606haven ~ $ 
(a pro jednoduché lidi přímo znění ... #ip li set dev eth0 mtu 1000)
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
21.5. 21:01 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Mohu poprosit tzv. po lopate ? Jak nastavit mtu vim. Jak pres ipconfig, tak pres ip. Jen nevim (nerozumim) nad kterym interface a jestli na strane serveru nebo klienta - viz. prispevek vyse.
Josef Kufner avatar 21.5. 21:14 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: WireGuard do bridge
Na tom bridgi, aby se přeposílané pakety i s přidanou hlavičou vešly do Wireguardích paketů a ty se vešly do běžného MTU.
Hello world ! Segmentation fault (core dumped)
22.5. 08:32 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
To znamená nastavit to na br0 jak na serveru, tak na klientovi ? Na jakou hodnotu ideálně ?
22.5. 11:08 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Ať nastavím, co nastavím, prostě mi to nechodí :(
Jestli tomu rozumím dobře, tak bych měl nastavit na zařízení br0 na obou stranách (server + klient) mtu na vyšší hodnotu, než je wireguard a gre tunel tak, aby se to do toho vše vešlo zabalit. Ale když nastavím na br0 mtu na 1500 nebo 2000, tak to stejně nechodí. Resp. rozbije se to ještě víc a ping o velikosti 1354 už taky neprojde.
22.5. 11:54 xxl | skóre: 23
Rozbalit Rozbalit vše Re: WireGuard do bridge
Wireguard interfdace má MTU 1420. Takže jestli to dobře počítám, tak

velikost [payload packetu na interfacu wireguardu] - [ip header] - [ethernet header] -[gre header]

1420 - 20 - 14 - 32 = 1354

To je velikost toho tvého pingu, co ještě projde.

Takže to je max velikost MTU na tvých bridge rozhraních na obou stranách.

Josef Kufner avatar 22.5. 12:44 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: WireGuard do bridge
mtu na vyšší hodnotu
Naopak. Na nižší. Wireguard i ten bridge si přidá nějaké hlavičky navíc a to celé se musí vejít do MTU na fyzické síťovce, protože když pošleš moc velký paket, tak ti ucpe kabel. Pokud však na začátku nasekáš data na menší pakety (s menším MTU), tak po přidání hlaviček bridge a Wireguardu se pořád ještě ty pakety vejdou do MTU na síťovce a kabel se neucpe.
Hello world ! Segmentation fault (core dumped)
23.5. 10:27 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Ještě mě napadlo, co zvednout MTU přímo tomu Wireguardu (MTU=1500) ? To by nebylo řešení ?
23.5. 13:05
Rozbalit Rozbalit vše Re: WireGuard do bridge
ne
Řešení 1× (billgates)
23.5. 13:25 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Tím pádem na to kašlu, protože tohle prostě nechodí a nahodím OpenVPN. S hodnotou MTU=1000 na bridge to sice začne fungovat trochu líp, ale pořád to nechodí tak, jak by to chodit mělo. Např. webová stránka webmailu se načte, ale nic ostatního (složitějšího) už ne - např. rozhraní VMware WebUI. Pokud např. spustím WinSCP, tak se na druhou stranu připojím, mohu procházet adresáři, ale jakmile dám cokoli kopírovat zprava do leva nebo opačně, tak to padne. Fakt už nevím. Řešení WireGuard a nad tím GRE zřejmě není cesta a bude potřeba se vrátit k ověřeným řešením (OpenVPN).
23.5. 13:26 billgates | skóre: 25
Rozbalit Rozbalit vše Re: WireGuard do bridge
Spravne rozhodnutie.
23.5. 15:23 :47
Rozbalit Rozbalit vše Re: WireGuard do bridge
A nezahazuješ ty náhodou všechny icmp pakety kromě pingu?
26.5. 21:44 zipi | skóre: 20
Rozbalit Rozbalit vše Re: WireGuard do bridge
Pokud použiješ GRE tak doporučuji všechny pakety, co vedou do GRE upravovat na MSS 1356 - pak by ti vše bude chodit jak má - několikrát jsem něco podobného řešil.
27.5. 10:38 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Prosím, šlo by to detailněji ? Příklad ? Děkuji.
27.5. 14:17 billgates | skóre: 25
Rozbalit Rozbalit vše Re: WireGuard do bridge
Pozor, treba mysliet este na to, ze GRE je este vlozene do dalsieho tunelu, ktory z toho tiez oreze. V tomto pripade naozaj je najlepsie riesenie OpenVPN na L2. Navyse to po novom podporuje aj 802.1q a rovnake sifrovanie ako WireGuard (ChaCha20Poly1305). Nie je dovod robit taketo sialene somariny (WireGuard + GRE).
27.5. 14:21 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Původní myšlenka, proč WireGuard, byla kvůli daleko vyšší propustnosti, než co má OpenVPN. Pak jsme ale narazili na to, že kvůli pár věcem musíme jednu síť protáhnout po L2 a od té doby jsem řešil problém, že něco nechodilo tak, jak by mělo. Teď jsem ve stavu, kdy jsem to komplet hodil na OpenVPN a vše běží jak má. Prostě, zkusil jsem to a nefungovalo to, takže návrat k osvědčenému řešení. Obě dvě lokality máme spojené full-duplexním 200Mbps linkou. Bohužel, ztráty na propustnosti jsou znát.
27.5. 15:01 billgates | skóre: 25
Rozbalit Rozbalit vše Re: WireGuard do bridge
Divne. Pouzivame takto OpenVPN hromadne (tisice nodov) a vsade sa nam to podarilo vyladit tak, aby tie straty boli prakticky nedetegovatelne. Mas vsade najnovsie OpenVPN 2.5 a nastavene ChaCha20Poly1305, pripadne AES-GCM a HW s podporou AES akceleracie?
27.5. 15:14 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
Všude mám OpenVPN, která je standartně v repozitářích Debianu 10.
ii  openvpn                        2.4.7-1                      amd64        virtual private network daemon
v server.conf pak toto...
...
tls-auth /etc/openvpn/server/ta.key 0
cipher BF-CBC
comp-lzo
...
Klíč "ta.key" je generovaný standardně přes
openvpn --genkey --secret ta.key
Nějaký nápad na úpravu ? A jak případně zjistit, zda-li HW má podporu AES akcelerace ?
Zřejmě to bude chtít po letech revizi konfigurace.

27.5. 15:34 billgates | skóre: 25
Rozbalit Rozbalit vše Re: WireGuard do bridge
No, najlepsie by bolo prejst na OpenVPN 2.5, ale kym to nie je v repozitari, tak aspon nejake male veci. Sifrovanie treba zmenit na AES-GCM (napriklad AES-128-GCM). Ak je pouzite AES-CBC sifrovanie, tak openvpn k tomu navyse pridava HMAC vsetkych packetov, napriklad vo forme SHA-1 alebo SHA-256. Uz si nepamatam presne, co bolo defaultne v 2.4 verzii. OpenVPN funguje v rezime najprv zasifruj, potom podpis. Cize ak sa pouziva sifrovanie bez AEAD, tak po zasifrovani to este pocita HMAC. Ak sa pouzije sifrovanie s AEAD (napriklad AES-GCM alebo ChachaPoly), tak sa dalsi HMAC uz nerobi.

Cize zacal by som parametrami:
ncp-disable
cipher AES-128-GCM
compress
passtos
Dalej comp-lzo vyhodit, to uz je deprecated.

Ak je to po tcp, tak este:
tcp-nodelay
V OpenVPN 2.5 pribudlo este par zaujimavych veci na zlepsenie vykonu.
27.5. 15:37 Honza
Rozbalit Rozbalit vše Re: WireGuard do bridge
To zní dobře. OpenVPN běhá po UDP. Asi si s tím večer pohraju. Předpokladám, že když přidám repo OpenVPN a udělám update/upgrade, tak že by to mělo normálně projít a jen povýšit verzi serveru. Asi mi to stojí za to to vyzkoušet. Děkuju !

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.