IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#acetonevideo
/2023/01/28
@qend
Most2
Ruskoye_911
acetone
anon3
cancername
fidoid
gnarl
longsky
poriori
segfault
weko_
whothefuckami_
zero_tolerance
acetone Кто-нибудь наверное помнит обсуждение с митапа "wireguard over i2p". Особенно weko)) Круговерть суеты у меня, добраться не могу. Ясно только одно: i2pd надо запускать в отдельном network namespace, который через фаервол (nftables вместо iptables на всех новых системах,
acetone поэтому делать надо именно на nftables) будет гнать трафик i2pd мимо wireguard, а сам wireguard, соответственно, будет подключен через i2p-туннель
acetone Дык вот вопрос: кто-нибудь шарит в нэймспэйсах так, чтобы на пальцах мне описать (или дать готовый конфиг) конфигурацию для названного случая
weko Выходит да?)))
Leopold уххх
acetone Я как бы начитался и очень умный и логику понимаю, но вот опыта в этом нет, по
acetone поэтому кто бы помог - было бы бесценно)
acetone Самому грызть сей гранит конфигураци с нуля сложновато (времени не хватает)
weko Может стоит запускать i2pd от имени конкретного юзера, и просто разрешить этому юзеру пускать трафик?)
acetone weko: да, i2pd работает от юзера i2pd
acetone тут логика-то ясна, по UID мэнэджить) кто бы готовые пару строк скинул (или близкий к жизни пример), чтобы тест и пробы заняли не больше часа на моей стороне)))
Leopold Ну строка-то понятна)
Leopold -A OUTPUT -m owner --uid-owner "i2pd" -j ACCEPT
Leopold Ну а о чём вы говорите я пока не знаю)
acetone Leopold: тут не только accept, тут же правила маршрутизации)
acetone у-ля-ля
Leopold в *nat
Leopold прописать нада...
Leopold дававй пример скину
acetone Задача же какая: в системе запущен i2pd, он работает bypass (напрямую), также в системе крутится wireguard, он работает через i2p-туннель и весь остальной трафик системы идет через wireguard
Leopold ну так то 5 минут работы
Leopold по образцу можно сделать
acetone Уже вижу бомбический заголовок "WireGuard over I2P")
Leopold вот
Leopold тут ошибка есть
acetone Спасибо, почитаю. какая ошибка?
Leopold инверсия на локальный интерфейс с 53го на 5353 порт
Leopold инверсия лишняя
Leopold ну а так, просто порт подставить от wireguard
Leopold и прописать аccept для пользователя i2pd
Leopold udp можно разрешить - там отклоняется udp так как это тор
Leopold ну и не забудь строки прописать для ssh первым делом, а то капут))
acetone Ну да) Leopold, если что всегда можно microSD в ридер -> в комп -> поправить конфиги -> обратно в одноплатник)
Leopold а, одноплатник)
Leopold я думал впс)
acetone Leopold: не) все одноплатник пинаю. На впске такая магия не потребуется
Leopold От скольких батарей 18650 питается?)
acetone от двух
Leopold А то есть такие как у креосана на велосипеде)
Leopold последовательно-параллельно
acetone Leopold: на 5-6 часов хватает того, что есть. В моей бытности этого хватает)
acetone Но как вариант конечно от повербанка питать, а их на рынке - тьма) хоть в половину рюкзака аккум бери
Leopold в бытности?)
Leopold Я вот надеюсь тебе не долго ещё)
Leopold И свобоооода
acetone да, недолго еще) тоже надеюсь
Leopold недолго, скоро отпустят
Leopold надо саботировать работу)
Leopold что бы сказали "ой да побыстрее бы он выпустился"
Leopold а вайфай есть на одноплатнике?)
acetone Leopold: я как честный блогер обкатываю технологии, о которых хочу сказать)
acetone У меня одноплатник с 4g-модемом раздает вайфай, с него и сейчас сижу
Leopold ахах С:
acetone Наткнулся на противный баг с wireguard: после рестарта одноплатника WG не может подключиться к серверу до тех пор, пока на сервере не рестартанешь WG. Погуглил - повезло, не первый с такой проблемой) Решается обращением к NTP серверу перед запуском WG на
acetone клиенте)
weko Проблема со временем?
weko На одноплатнике похоже что проблема
weko Вообще странно что WG нужно правильное время
weko Хотя один фиг i2p нужно правильное время
acetone weko: да. В протоколе WG используются таймстамы, чтобы нельзя было использовать повторное воспроизведение сетевых пакетов. Каждый раз время в сообщении должно увеличиваться. А после хард-ресета одноплатника время на нем теряется (так как
acetone хранится в энергозависимой памяти). Пока не получишь ответ от NTP-сервера, к WG смысла стучаться нет, так как часы на одноплатнике отстают и сервер WG не принимает от него сообщения с "тухлым" таймстампами
acetone Поэтому я поставил ntp и в писал в wg0.conf "PreUp = systemctl restart ntp", чтобы как-то наверняка)
weko acetone: в идеале такой вопрос должен решаться не "увеличение таймстемпа", а " увеличение id"
acetone weko: а вот объясни это wgшникам
acetone просто ID тогда, скажут, надо хранить локально на клиенте, чтобы он всегда был выше, чем предыдущий даже после рестарта
acetone а таймстам - универсальное решение)))
Leopold ну так-то да...
Leopold Мб время в файл записывать...
weko Leopold: как вариант))
weko Лучше сделать NTP сервер на впске)
weko Чтоб уж наверняка
acetone ага, такое решение как раз озвучивается в гугле, где я нашел этот кейс
acetone но для общего кейса решил, что использовать мировые NTP-сервевы вполне приемлемо
Leopold кейс)))
weko acetone: вопрос оказался очень даже комплексным
weko Как это всё сделать
weko Привлекло внимание i2p-over-VPN, но у нас то VPN-over-i2p))))
weko [21:49:54] <3176b3zzz> new theory orignal:
weko [21:50:46] <3176b3zzz> the tunnel spam is caused by i2pd-over-VPN bugs in 0.9.56
weko [21:50:55] <3176b3zzz> there's one Mullvad router on 0.9.57 and he's fine
weko [21:51:10] <3176b3zzz> there's at least 6 Mullvad routers on 0.9.56 and they are all spamming