~acetone
@qend
Most2
Ruskoye_911
anon3
cancername
fidoid
gnarl
poriori
segfault
weko
whothefuckami
zero_tolerance
acetone
*** отключил публичный баунсер ***
weko
*используйте квассель*
acetone
weko: готов истерить, wg over i2p не получается, так как не могу заставить работать i2pd мимо wg силами iproute2 (команда ip) и nftables...
acetone
сегодня выделил время на эту честоку, думал, сделаю. надеялся. но что-то туповат, туповат
Leopold
Ммм
acetone
часов 8 протыкался, не сдвинулся
Leopold
Ужас)
weko
Звучит печально
weko
Проблема ведь только в фаерволе(
acetone
Если кто-то хочет помочь, юзкейс такой: на виртуалке с debian 11 поставьте i2pd и wg. Когда решите, что все настроено, сломайте wg (например, смените номер порта сервера). i2pd должен остаться работоспособным (клиентские туннели строятся, это легко увидеть
acetone
через веб-консоль: клиентские туннели >2)
Leopold
Вроде теоретически всё укладывается
acetone
Leopold: готов рвать волосы на жопе. В теории это как-то изящно, но на практике я просто сломался
acetone
Понял, что в этом направлении знаний у меня крайне мало
acetone
В направлении фаерволов и маршрутизации iproute2
Leopold
маршруты ip r вообще автоматом строятся
Leopold
тем же dhcp
acetone
я хз, честно, Leopold
acetone
оскарбленные и униженные
Leopold
:С
Leopold
wg это что? прослушивает порт?
acetone
Была еще светлая (как мне кажется) идея, описал ее на стаковерфлоу: ru.stackoverflow.com/questions/1491720/%d0%a1%d0%bd%d1%8f%d1%82%d0%b8%d0%b5-fwmark-%d1%81-%d1%82%d1%80%d0%b0%d1%84%d0%b8%d0%ba%d0%b0-%d0%be%d1%82%d0%b4%d0%b5%d0%bb%d1%8c%d0%bd%d0%be%d0%b3%d0%be-%d0%bf%d1%80%d0%b8%d0%bb%d0%be%d0%b6%d0%b5%d0%bd%d0%b8%d1%8f-%d0%b4%d0%bb%d1%8f-%d0%b5%d0%b3%d0%be-%d0%bc%d0%b0%d1%80%d1%88
acetone
%d1%80%d1%83%d1%82%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d0%b8-%d0%bc%d0%b8%d0%bc%d0%be-wiregua
acetone
Leopold: WireGuard
Leopold
wg это тоннель?
acetone
Leopold: не понял вопрос)
Leopold
это на одной машине, или по вг кто-то подключается и нужно направить в i2p
acetone
Все на одной машине. По идее при успешной настройке WG будет подключаться к локальному туннелю I2P и таким образом соединяться с WireGuard-сервером, откуда и будет уходить весь трафик ОС (WireGuard Over I2P)
Leopold
А если буз wg? Кидать все пакеты на 4444
Leopold
Цель в том, чтобы не было случайных соединений в системе, которые мимо i2p идут?
acetone
Leopold: всю систему в HTTP-прокси (и даже в SOCKS) не засунешь) wireguard хорош тем, что и icmp работаю и все прочее, присущее VPN
acetone
но WG хочется обфусцировать силами I2P)
weko
Может быть была идея сделать что то кроме WG ? Просто решил упомянуть что может быть попробовать ещё что-то?
acetone
Чтобы это сделать, нужно, чтобы сам i2pd в WG-туннель не лез, иначе замкнется все мертвой локальной петлей)
acetone
weko: предлагай) если можно сделать что-то, что позволит маршрутизировать весь трафик ОС, но обойти i2pd, давайте пробовать
Leopold
чтобы не лез, нужно добавить в фаервол правило выше маршрутизациии вг...
acetone
прост кажется, что с любым софтом упремся примерно в то же самое
acetone
Leopold: 8 часов пытался это сделать xD
acetone
и не догнал
acetone
в теории казалось не страшно
Leopold
Давай сделаем в iptables :D
weko
acetone: наверное... Тут ты прав я думаю, будет тоже самое
acetone
а сейчас нервный смех)
Leopold
Сконвертируй nftables в ipyta
Leopold
)
acetone
Leopold: нооооу xD Конвертировал, залупа нерабочая. Адаптировал - тоже чот нет магии
Leopold
Скинь тогда как есть)
acetone
Короче, я рак. Если кто сможет помочь - бесценно
weko
acetone: давай сначала чётко сформируем задачу
acetone
Мне самому дико интересно увидеть реализацию и обкатать ее, но сегодня был единственные в ближайшие дни денечек, когда я мог полдня ковырять эту тему
acetone
weko: дык вот она: i2pd работает bypass, WireGuard работает через i2p-туннель и тянет на себе остальной трафик ОС
weko
1. В реальную сеть выходит только i2pd
weko
2. WG выходит только через i2pd
weko
3. Весь остальной трафик идёт только через WG
acetone
Да, именно так
weko
Звучит как три правила
weko
Мм?)
acetone
Хуй
acetone
WG не удаляет никакие маршруты из системы)
acetone
он маркирует трафик fwmark, на основе которого ядро маршрутизирует в wg0
Leopold
маркер на пакет?
Leopold
Есть --mark
acetone
то есть надо хитро (или хз, я не догоняю) отбирать эти пакеты у wg0, чтобы отправлять их на условный eth0
acetone
Leopold: ага, именно так
Leopold
В nftables по маркеру инверсию сделай
acetone
Leopold: я эти маркеры сегодня и ругал и целовал, nftables передрючил) рабочей версии так и не добился
acetone
замылился глаз конечно, сейчас уже вообще рассужать не могу
acetone
спать надо идти) но досадно, что смогу вернуться к теме только через несколько дней
Leopold
скинь таблицы что написал
Leopold
И как работает вг скажи, порт слушает или что
acetone
Leopold: нет никаких таблиц, все удалено как нерабочее. Тыкал то тут, то там, гуглилируя все на свете
weko
Leopold: WG и клиент, и сервер нужен.
weko
С сервером проще
acetone
Leopold: сервер вг слушает порт. Клиент вг подключается к этому адрес:порту. На клиентской машине WG работает как VPN, выступая шлюзом
acetone
Для тестов на локальной машине нужно две виртуалки: одна сервер WG, другая клиентская с WG и I2Pd
Leopold
это в локальной сети планируется?
acetone
Leopold: нет. Это планируется на одноплатнике и VPS (вг-сервер на впске)
weko
acetone: первая тоже с i2pd
acetone
Но для решения задачки подойдет и две виртуалки на домашнем компе)
acetone
weko: да, ты прав. но это не проблема, там ничего шаманить не нужно
weko
acetone: просто говорю)) да, шаманство на сервере не нужно
acetone
weko: для локальных тестов можно вообще не заморачиваться. Leopold, это кстати вот да. Достаточно поставить wg-клиент, натравить его на несуществуюший сервер и при этом заставить i2pd работать)
Leopold
вг-клиент на одноплатнике предоставляет открытый порт 127.0.0.1:** , на который надо сливать траффик?
Leopold
И есть туннель i2pd который отводит с этого опрта на .b32.i2p ?
acetone
wireguard тянет на себя маршрутизацию 0.0.0.0, но при этом нужно заставить ОС гнать трафик i2pd напрямую через условный eth0
acetone
Leopold: не заморачивайся об этом, это лишние детали вне проблемы)
Leopold
воткни iptables, звучит как 5 правил
Leopold
в *nat
weko
acetone: я вот о чём подумал. Это если нам так сложно всё это сделать, то что будет делать Иван Иванов, когда у него что-то не заработает/сломается/сыграет фактор любопытства или кривых рук/обновление софта? Как Иванушка починит)?
weko
Будет как чёрный ящик для юзеров))
acetone
weko: он попадет в секту психов и появится в этом чате. Но я все же надеюсь, что четкий гайд с рядом правил маршрутизации станет более-менее жизнеспособной в долгосрочной перспективе темой
weko
acetone: хорошо. Вполне вероятно, что это локальный тупняк)
acetone
Ладушки. Если у кого будет прилив энтузиазма, проблему и ее самое простое воспроизведение написал несколькими сообщениями выше. Пошел спать)
acetone
Победим эту шляпу, без сомнений. Просто шизнячок локальный, ага)
acetone
Оголилась тема слабых познаний в nftables и подкапотных секретах WG)
Leopold
ох ужж этот netfilter
Leopold
good night dreams acetone C:
acetone
*** обнял ***
weko
acetone: спокойных слонов!)