IRCaBot 2.1.0
GPLv3 © acetone, 2021-2022
#acetonevideo
/2023/01/31
~acetone
@qend
Most2
Ruskoye_911
anon3
cancername
fidoid
gnarl
poriori
segfault
weko
whothefuckami
zero_tolerance
acetone *** отключил публичный баунсер ***
weko *используйте квассель*
acetone weko: готов истерить, wg over i2p не получается, так как не могу заставить работать i2pd мимо wg силами iproute2 (команда ip) и nftables...
acetone сегодня выделил время на эту честоку, думал, сделаю. надеялся. но что-то туповат, туповат
Leopold Ммм
acetone часов 8 протыкался, не сдвинулся
Leopold Ужас)
weko Звучит печально
weko Проблема ведь только в фаерволе(
acetone Если кто-то хочет помочь, юзкейс такой: на виртуалке с debian 11 поставьте i2pd и wg. Когда решите, что все настроено, сломайте wg (например, смените номер порта сервера). i2pd должен остаться работоспособным (клиентские туннели строятся, это легко увидеть
acetone через веб-консоль: клиентские туннели >2)
Leopold Вроде теоретически всё укладывается
acetone Leopold: готов рвать волосы на жопе. В теории это как-то изящно, но на практике я просто сломался
acetone Понял, что в этом направлении знаний у меня крайне мало
acetone В направлении фаерволов и маршрутизации iproute2
Leopold маршруты ip r вообще автоматом строятся
Leopold тем же dhcp
acetone я хз, честно, Leopold
acetone оскарбленные и униженные
Leopold wg это что? прослушивает порт?
acetone %d1%80%d1%83%d1%82%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d0%b8-%d0%bc%d0%b8%d0%bc%d0%be-wiregua
acetone Leopold: WireGuard
Leopold wg это тоннель?
acetone Leopold: не понял вопрос)
Leopold это на одной машине, или по вг кто-то подключается и нужно направить в i2p
acetone Все на одной машине. По идее при успешной настройке WG будет подключаться к локальному туннелю I2P и таким образом соединяться с WireGuard-сервером, откуда и будет уходить весь трафик ОС (WireGuard Over I2P)
Leopold А если буз wg? Кидать все пакеты на 4444
Leopold Цель в том, чтобы не было случайных соединений в системе, которые мимо i2p идут?
acetone Leopold: всю систему в HTTP-прокси (и даже в SOCKS) не засунешь) wireguard хорош тем, что и icmp работаю и все прочее, присущее VPN
acetone но WG хочется обфусцировать силами I2P)
weko Может быть была идея сделать что то кроме WG ? Просто решил упомянуть что может быть попробовать ещё что-то?
acetone Чтобы это сделать, нужно, чтобы сам i2pd в WG-туннель не лез, иначе замкнется все мертвой локальной петлей)
acetone weko: предлагай) если можно сделать что-то, что позволит маршрутизировать весь трафик ОС, но обойти i2pd, давайте пробовать
Leopold чтобы не лез, нужно добавить в фаервол правило выше маршрутизациии вг...
acetone прост кажется, что с любым софтом упремся примерно в то же самое
acetone Leopold: 8 часов пытался это сделать xD
acetone и не догнал
acetone в теории казалось не страшно
Leopold Давай сделаем в iptables :D
weko acetone: наверное... Тут ты прав я думаю, будет тоже самое
acetone а сейчас нервный смех)
Leopold Сконвертируй nftables в ipyta
acetone Leopold: нооооу xD Конвертировал, залупа нерабочая. Адаптировал - тоже чот нет магии
Leopold Скинь тогда как есть)
acetone Короче, я рак. Если кто сможет помочь - бесценно
weko acetone: давай сначала чётко сформируем задачу
acetone Мне самому дико интересно увидеть реализацию и обкатать ее, но сегодня был единственные в ближайшие дни денечек, когда я мог полдня ковырять эту тему
acetone weko: дык вот она: i2pd работает bypass, WireGuard работает через i2p-туннель и тянет на себе остальной трафик ОС
weko 1. В реальную сеть выходит только i2pd
weko 2. WG выходит только через i2pd
weko 3. Весь остальной трафик идёт только через WG
acetone Да, именно так
weko Звучит как три правила
weko Мм?)
acetone Хуй
acetone WG не удаляет никакие маршруты из системы)
acetone он маркирует трафик fwmark, на основе которого ядро маршрутизирует в wg0
Leopold маркер на пакет?
Leopold Есть --mark
acetone то есть надо хитро (или хз, я не догоняю) отбирать эти пакеты у wg0, чтобы отправлять их на условный eth0
acetone Leopold: ага, именно так
Leopold В nftables по маркеру инверсию сделай
acetone Leopold: я эти маркеры сегодня и ругал и целовал, nftables передрючил) рабочей версии так и не добился
acetone замылился глаз конечно, сейчас уже вообще рассужать не могу
acetone спать надо идти) но досадно, что смогу вернуться к теме только через несколько дней
Leopold скинь таблицы что написал
Leopold И как работает вг скажи, порт слушает или что
acetone Leopold: нет никаких таблиц, все удалено как нерабочее. Тыкал то тут, то там, гуглилируя все на свете
weko Leopold: WG и клиент, и сервер нужен.
weko С сервером проще
acetone Leopold: сервер вг слушает порт. Клиент вг подключается к этому адрес:порту. На клиентской машине WG работает как VPN, выступая шлюзом
acetone Для тестов на локальной машине нужно две виртуалки: одна сервер WG, другая клиентская с WG и I2Pd
Leopold это в локальной сети планируется?
acetone Leopold: нет. Это планируется на одноплатнике и VPS (вг-сервер на впске)
weko acetone: первая тоже с i2pd
acetone Но для решения задачки подойдет и две виртуалки на домашнем компе)
acetone weko: да, ты прав. но это не проблема, там ничего шаманить не нужно
weko acetone: просто говорю)) да, шаманство на сервере не нужно
acetone weko: для локальных тестов можно вообще не заморачиваться. Leopold, это кстати вот да. Достаточно поставить wg-клиент, натравить его на несуществуюший сервер и при этом заставить i2pd работать)
Leopold вг-клиент на одноплатнике предоставляет открытый порт 127.0.0.1:** , на который надо сливать траффик?
Leopold И есть туннель i2pd который отводит с этого опрта на .b32.i2p ?
acetone wireguard тянет на себя маршрутизацию 0.0.0.0, но при этом нужно заставить ОС гнать трафик i2pd напрямую через условный eth0
acetone Leopold: не заморачивайся об этом, это лишние детали вне проблемы)
Leopold воткни iptables, звучит как 5 правил
Leopold в *nat
weko acetone: я вот о чём подумал. Это если нам так сложно всё это сделать, то что будет делать Иван Иванов, когда у него что-то не заработает/сломается/сыграет фактор любопытства или кривых рук/обновление софта? Как Иванушка починит)?
weko Будет как чёрный ящик для юзеров))
acetone weko: он попадет в секту психов и появится в этом чате. Но я все же надеюсь, что четкий гайд с рядом правил маршрутизации станет более-менее жизнеспособной в долгосрочной перспективе темой
weko acetone: хорошо. Вполне вероятно, что это локальный тупняк)
acetone Ладушки. Если у кого будет прилив энтузиазма, проблему и ее самое простое воспроизведение написал несколькими сообщениями выше. Пошел спать)
acetone Победим эту шляпу, без сомнений. Просто шизнячок локальный, ага)
acetone Оголилась тема слабых познаний в nftables и подкапотных секретах WG)
Leopold ох ужж этот netfilter
Leopold good night dreams acetone C:
acetone *** обнял ***
weko acetone: спокойных слонов!)