~acetone
Leopold
Most2
Ruskoye_911
anon2
cancername
immibis|ygg2
offensive_nickname
poriori_
weko
whothefuckami_
zero_tolerance
acetone
Кто-нибудь наверное помнит обсуждение с митапа "wireguard over i2p". Особенно weko)) Круговерть суеты у меня, добраться не могу. Ясно только одно: i2pd надо запускать в отдельном network namespace, который через фаервол (nftables вместо iptables на всех новых системах,
acetone
поэтому делать надо именно на nftables) будет гнать трафик i2pd мимо wireguard, а сам wireguard, соответственно, будет подключен через i2p-туннель
acetone
Дык вот вопрос: кто-нибудь шарит в нэймспэйсах так, чтобы на пальцах мне описать (или дать готовый конфиг) конфигурацию для названного случая
weko
Выходит да?)))
Leopold
уххх
acetone
Я как бы начитался и очень умный и логику понимаю, но вот опыта в этом нет, по
acetone
поэтому кто бы помог - было бы бесценно)
acetone
Самому грызть сей гранит конфигураци с нуля сложновато (времени не хватает)
weko
Может стоит запускать i2pd от имени конкретного юзера, и просто разрешить этому юзеру пускать трафик?)
acetone
weko: да, i2pd работает от юзера i2pd
acetone
тут логика-то ясна, по UID мэнэджить) кто бы готовые пару строк скинул (или близкий к жизни пример), чтобы тест и пробы заняли не больше часа на моей стороне)))
Leopold
)))
Leopold
Ну строка-то понятна)
Leopold
-A OUTPUT -m owner --uid-owner "i2pd" -j ACCEPT
Leopold
Ну а о чём вы говорите я пока не знаю)
acetone
Leopold: тут не только accept, тут же правила маршрутизации)
acetone
у-ля-ля
Leopold
в *nat
Leopold
прописать нада...
Leopold
дававй пример скину
acetone
Задача же какая: в системе запущен i2pd, он работает bypass (напрямую), также в системе крутится wireguard, он работает через i2p-туннель и весь остальной трафик системы идет через wireguard
Leopold
А
Leopold
ну так то 5 минут работы
Leopold
по образцу можно сделать
acetone
Уже вижу бомбический заголовок "WireGuard over I2P")
Leopold
вот
Leopold
тут ошибка есть
acetone
Спасибо, почитаю. какая ошибка?
Leopold
инверсия на локальный интерфейс с 53го на 5353 порт
Leopold
инверсия лишняя
Leopold
ну а так, просто порт подставить от wireguard
Leopold
и прописать аccept для пользователя i2pd
Leopold
udp можно разрешить - там отклоняется udp так как это тор
Leopold
ну и не забудь строки прописать для ssh первым делом, а то капут))
acetone
Ну да) Leopold, если что всегда можно microSD в ридер -> в комп -> поправить конфиги -> обратно в одноплатник)
Leopold
а, одноплатник)
Leopold
я думал впс)
acetone
Leopold: не) все одноплатник пинаю. На впске такая магия не потребуется
Leopold
)))
Leopold
От скольких батарей 18650 питается?)
acetone
от двух
Leopold
Аа
Leopold
А то есть такие как у креосана на велосипеде)
Leopold
последовательно-параллельно
acetone
Leopold: на 5-6 часов хватает того, что есть. В моей бытности этого хватает)
acetone
Но как вариант конечно от повербанка питать, а их на рынке - тьма) хоть в половину рюкзака аккум бери
Leopold
в бытности?)
Leopold
Я вот надеюсь тебе не долго ещё)
Leopold
И свобоооода
acetone
да, недолго еще) тоже надеюсь
Leopold
недолго, скоро отпустят
Leopold
надо саботировать работу)
Leopold
что бы сказали "ой да побыстрее бы он выпустился"
Leopold
а вайфай есть на одноплатнике?)
acetone
Leopold: я как честный блогер обкатываю технологии, о которых хочу сказать)
acetone
У меня одноплатник с 4g-модемом раздает вайфай, с него и сейчас сижу
Leopold
ахах С:
acetone
Наткнулся на противный баг с wireguard: после рестарта одноплатника WG не может подключиться к серверу до тех пор, пока на сервере не рестартанешь WG. Погуглил - повезло, не первый с такой проблемой) Решается обращением к NTP серверу перед запуском WG на
acetone
клиенте)
weko
Проблема со временем?
weko
На одноплатнике похоже что проблема
weko
Вообще странно что WG нужно правильное время
weko
Хотя один фиг i2p нужно правильное время
acetone
weko: да. В протоколе WG используются таймстамы, чтобы нельзя было использовать повторное воспроизведение сетевых пакетов. Каждый раз время в сообщении должно увеличиваться. А после хард-ресета одноплатника время на нем теряется (так как
acetone
хранится в энергозависимой памяти). Пока не получишь ответ от NTP-сервера, к WG смысла стучаться нет, так как часы на одноплатнике отстают и сервер WG не принимает от него сообщения с "тухлым" таймстампами
acetone
Поэтому я поставил ntp и в писал в wg0.conf "PreUp = systemctl restart ntp", чтобы как-то наверняка)
weko
acetone: в идеале такой вопрос должен решаться не "увеличение таймстемпа", а " увеличение id"
acetone
weko: а вот объясни это wgшникам
acetone
просто ID тогда, скажут, надо хранить локально на клиенте, чтобы он всегда был выше, чем предыдущий даже после рестарта
acetone
а таймстам - универсальное решение)))
Leopold
ну так-то да...
Leopold
Мб время в файл записывать...
weko
Leopold: как вариант))
weko
Лучше сделать NTP сервер на впске)
weko
Чтоб уж наверняка
acetone
ага, такое решение как раз озвучивается в гугле, где я нашел этот кейс
acetone
но для общего кейса решил, что использовать мировые NTP-сервевы вполне приемлемо
Leopold
кейс)))
weko
acetone: вопрос оказался очень даже комплексным
weko
Как это всё сделать
weko
Привлекло внимание i2p-over-VPN, но у нас то VPN-over-i2p))))
weko
[21:49:54] <3176b3zzz> new theory orignal:
weko
[21:50:46] <3176b3zzz> the tunnel spam is caused by i2pd-over-VPN bugs in 0.9.56
weko
[21:50:55] <3176b3zzz> there's one Mullvad router on 0.9.57 and he's fine
weko
[21:51:10] <3176b3zzz> there's at least 6 Mullvad routers on 0.9.56 and they are all spamming