#acetonevideo (ilita) | Сообщество айти-просвещения | http://ff.voice.i2p/ | https://notabug.org/acetone/video/wiki/general

acetone Кто-нибудь наверное помнит обсуждение с митапа "wireguard over i2p". Особенно weko)) Круговерть суеты у меня, добраться не могу. Ясно только одно: i2pd надо запускать в отдельном network namespace, который через фаервол (nftables вместо iptables на всех новых системах,

acetone поэтому делать надо именно на nftables) будет гнать трафик i2pd мимо wireguard, а сам wireguard, соответственно, будет подключен через i2p-туннель

acetone Дык вот вопрос: кто-нибудь шарит в нэймспэйсах так, чтобы на пальцах мне описать (или дать готовый конфиг) конфигурацию для названного случая

weko Выходит да?)))

Leopold уххх

acetone Я как бы начитался и очень умный и логику понимаю, но вот опыта в этом нет, по

acetone поэтому кто бы помог - было бы бесценно)

acetone Самому грызть сей гранит конфигураци с нуля сложновато (времени не хватает)

weko Может стоит запускать i2pd от имени конкретного юзера, и просто разрешить этому юзеру пускать трафик?)

acetone weko: да, i2pd работает от юзера i2pd

acetone тут логика-то ясна, по UID мэнэджить) кто бы готовые пару строк скинул (или близкий к жизни пример), чтобы тест и пробы заняли не больше часа на моей стороне)))

Leopold )))

Leopold Ну строка-то понятна)

Leopold -A OUTPUT -m owner --uid-owner "i2pd" -j ACCEPT

Leopold Ну а о чём вы говорите я пока не знаю)

acetone Leopold: тут не только accept, тут же правила маршрутизации)

acetone у-ля-ля

Leopold в *nat

Leopold прописать нада...

Leopold дававй пример скину

acetone Задача же какая: в системе запущен i2pd, он работает bypass (напрямую), также в системе крутится wireguard, он работает через i2p-туннель и весь остальной трафик системы идет через wireguard

Leopold А

Leopold ну так то 5 минут работы

Leopold по образцу можно сделать

acetone Уже вижу бомбический заголовок "WireGuard over I2P")

Leopold wiki.archlinux.org/title/Tor_(Русский)#"Торификация"

Leopold вот

Leopold тут ошибка есть

acetone Спасибо, почитаю. какая ошибка?

Leopold инверсия на локальный интерфейс с 53го на 5353 порт

Leopold инверсия лишняя

Leopold ну а так, просто порт подставить от wireguard

Leopold и прописать аccept для пользователя i2pd

Leopold udp можно разрешить - там отклоняется udp так как это тор

Leopold ну и не забудь строки прописать для ssh первым делом, а то капут))

acetone Ну да) Leopold, если что всегда можно microSD в ридер -> в комп -> поправить конфиги -> обратно в одноплатник)

Leopold а, одноплатник)

Leopold я думал впс)

acetone Leopold: не) все одноплатник пинаю. На впске такая магия не потребуется

Leopold )))

Leopold От скольких батарей 18650 питается?)

acetone от двух

Leopold Аа

Leopold А то есть такие как у креосана на велосипеде)

Leopold последовательно-параллельно

acetone Leopold: на 5-6 часов хватает того, что есть. В моей бытности этого хватает)

acetone Но как вариант конечно от повербанка питать, а их на рынке - тьма) хоть в половину рюкзака аккум бери

Leopold в бытности?)

Leopold Я вот надеюсь тебе не долго ещё)

Leopold И свобоооода

acetone да, недолго еще) тоже надеюсь

Leopold недолго, скоро отпустят

Leopold надо саботировать работу)

Leopold что бы сказали "ой да побыстрее бы он выпустился"

Leopold а вайфай есть на одноплатнике?)

acetone Leopold: я как честный блогер обкатываю технологии, о которых хочу сказать)

acetone У меня одноплатник с 4g-модемом раздает вайфай, с него и сейчас сижу

Leopold ахах С:

acetone Наткнулся на противный баг с wireguard: после рестарта одноплатника WG не может подключиться к серверу до тех пор, пока на сервере не рестартанешь WG. Погуглил - повезло, не первый с такой проблемой) Решается обращением к NTP серверу перед запуском WG на

acetone клиенте)

weko Проблема со временем?

weko На одноплатнике похоже что проблема

weko Вообще странно что WG нужно правильное время

weko Хотя один фиг i2p нужно правильное время

acetone weko: да. В протоколе WG используются таймстамы, чтобы нельзя было использовать повторное воспроизведение сетевых пакетов. Каждый раз время в сообщении должно увеличиваться. А после хард-ресета одноплатника время на нем теряется (так как

acetone хранится в энергозависимой памяти). Пока не получишь ответ от NTP-сервера, к WG смысла стучаться нет, так как часы на одноплатнике отстают и сервер WG не принимает от него сообщения с "тухлым" таймстампами

acetone Поэтому я поставил ntp и в писал в wg0.conf "PreUp = systemctl restart ntp", чтобы как-то наверняка)

weko acetone: в идеале такой вопрос должен решаться не "увеличение таймстемпа", а " увеличение id"

acetone weko: а вот объясни это wgшникам

acetone просто ID тогда, скажут, надо хранить локально на клиенте, чтобы он всегда был выше, чем предыдущий даже после рестарта

acetone а таймстам - универсальное решение)))

Leopold ну так-то да...

Leopold Мб время в файл записывать...

weko Leopold: как вариант))

weko Лучше сделать NTP сервер на впске)

weko Чтоб уж наверняка

acetone ага, такое решение как раз озвучивается в гугле, где я нашел этот кейс

acetone но для общего кейса решил, что использовать мировые NTP-сервевы вполне приемлемо

Leopold кейс)))

weko acetone: вопрос оказался очень даже комплексным

weko Как это всё сделать

weko Привлекло внимание i2p-over-VPN, но у нас то VPN-over-i2p))))

weko [21:49:54] <3176b3zzz> new theory orignal:

weko [21:50:46] <3176b3zzz> the tunnel spam is caused by i2pd-over-VPN bugs in 0.9.56

weko [21:50:55] <3176b3zzz> there's one Mullvad router on 0.9.57 and he's fine

weko [21:51:10] <3176b3zzz> there's at least 6 Mullvad routers on 0.9.56 and they are all spamming