-
Mobilarena
Haladó szintű hálózati témák topikja
Új hozzászólás Aktív témák
-
félisten
válasz bambano #12751 üzenetére
Sajnos tényleg nem értem a WireGuard IP-osztását (a működő szerverem például számora teljesen érthetetlen, hogy miért működik), de ezek az IP-címek szerepelnek a gyári tutorialban leírva és videón is. De ezzel még megbirkóznék, ha már ott tartanék.
Először el kéne jutnom a portnyitásig, de hiába állítom be a portokat a routeren, a net felől nem látszanak.
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
-
félisten
válasz MasterMark #12753 üzenetére
A Transmissionnak szerintem mindenképpen válaszolnia kellene, de kívülről-belülről zárt port látszik.
Az IP-címeket a tutorialből kopipészteltem ki, de amiatt fáj most kevésbé a fejem. Be kéne odáig jutni...
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
félisten
válasz bambano #12755 üzenetére
Igyexem!
Akkor marad a két kérdés:
1. Mi legyen az IP-címek logikája? (Vallomás: én a /32-t eleve nem értem...)
2. Hogyan tudom tesztelni a portnyitást távolról? A router LAN-oldalán van egy múködő AP és van ugye a NAS, meg egy Raspbian. Most ugye kizárólag a NAS érdekel, de jól jöhet, ha tudok keresztpróbákkal próbálkozni.
Köszönettel: MaCS
UI: Egyébként nyilván gondolkozhatnék is, de ha valamihez nem értek, akkor hajlamos vagyok hinni a tutorialnak -- amelyik a következő IP-címeket állíttatja be az emberrel:
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
bambano
titán
válasz MaCS_70 #12756 üzenetére
Beállítod a nas-on a wg interfész ip címét. Szokás szerint a subnet valamelyik végét. Tehát a 10.0.4.0/24-hez a te esetedben 10.0.4.1/24-et. Kell a nason egy udp port, amin figyel a vpn szerver, azt illik beforwardolni.
Utána még mindig a nason minden klienshez felveszel egy peer-t, ahol beállítod a peer publikus kulcsát, és allowedip-be a peer ip címét. Mivel te beállítottál egyet és már nem tudod elérni a nast, ezért azt az ip-t fogod használni a kliensen.
Ezután minden kliensen párban beírod a megfelelő kulcsokat és ip címet. Tehát a szerveren levő publikus kulcs és allowed ip egyezzen meg minden kliensen, vagyis amelyik kliensen az adott publikus kulcs van, ott annak az ip-nek kell lennie. A kliensen is kell udp port, azt forwardolni kell. Nat miatt nem árt beállítani egy keepalive-t is.
Elvileg routing táblát nem kell csinálnod, jó esetben a grafikus felület megteszi helyetted.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
válasz MaCS_70 #12756 üzenetére
szerintem nem oké, hogy a kliens endpoint címét beállítottad a szerveren a kliensek listájában. mert ha beállítottad, akkor a szerver arra az ip-re fogja forwardolni a kliens felé menő forgalmat, és ha a cím nem passzol, akkor baj van.
a kliensnek kell felcsatlakozni a szerverre, mindegy, milyen úton, és arra kell figyelni, hogy a dinamikus nat táblák megmaradjanak.
ja, és ha egy helyen vagy a nas-sal, akkor hairpin nat kell a nashoz tartozó routerbe. ha külön helyeken vagy, akkor nem.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
A W11-es HP laptop miért szopatja a DHCP szervert?
DHCPS:Send ACK to 192.168.10.211
DHCP INFO DHCPS:Recv REQUEST from 68:07:0A:...
DHCP INFO DHCPS:Send OFFER with ip 192.168.10.211
DHCP WARNINGDHCPS:lease host name not found
DHCP INFO DHCPS:Recv DISCOVER from 68:07:0A:...
DHCP INFO DHCPS:Send NAK
DHCP INFO DHCPS:Recv REQUEST from 68:07:0A:...
DHCP INFO DHCPS:Send NAK
DHCP INFO DHCPS:Recv REQUEST from 68:07:0A:...
DHCP INFO DHCPS:Send NAK
Ezzel van tele a router naplója. Ilyen kérést másodpercenként akár 13-14 alkalommal is küld neki. Minden más kliens ért a szóból, nem nyaggatja.Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews
-
félisten
válasz bambano #12757 üzenetére
A problémám alapvetően az, hogy valamiért nem tiszta a VPN-ek belső címkezelési folyamata. Elmagyarázni el tudom másnak, csak nem értem. Olvasom a szakanyagokat, de mégsem jelenik meg előttem a folyamat a két végpont között.
Beállítod a nas-on a wg interfész ip címét. Szokás szerint a subnet valamelyik végét. Tehát a 10.0.4.0/24-hez a te esetedben 10.0.4.1/24-et. Kell a nason egy udp port, amin figyel a vpn szerver, azt illik beforwardolni.
Ez megvan, IP-cím beállítva, az UDP Listen Portot látja az IPVOID szkennere.Utána még mindig a nason minden klienshez felveszel egy peer-t, ahol beállítod a peer publikus kulcsát, és allowedip-be a peer ip címét. Mivel te beállítottál egyet és már nem tudod elérni a nast, ezért azt az ip-t fogod használni a kliensen.
Egyelőre mind az egy klienst egyszerre piszkálom.
A kulcsok elvben rendben vannak, minden olvasott leírás szerint szépen párba vannak állítva.
A peer NAS-oldali beállításában tehát az engedélyezett IP-cím a 10.0.4.1/32.
Egyébként elérem a NAS-t, mivel a hálózat routeréhez vagylagos elérésként működik a Wireguard.Ezután minden kliensen párban beírod a megfelelő kulcsokat és ip címet. Tehát a szerveren levő publikus kulcs és allowed ip egyezzen meg minden kliensen, vagyis amelyik kliensen az adott publikus kulcs van, ott annak az ip-nek kell lennie.
Ez is így van.A kliensen is kell udp port, azt forwardolni kell. Nat miatt nem árt beállítani egy keepalive-t is.
Na, itt már elfogyott a nafta...
A kliens beállítási sora a következő:
[Interface]
PrivateKey = Amit a kliens adott a létrehozásnál
Address = 10.0.4.1/32
DNS = 8.8.8.8
[Peer]
PublicKey = Megegyezik a NAS-on a szerver nyilvános kulcsával.
PresharedKey = Megegyezik a NAS-on a Peer alatt szereplő megosztott kulccsal.
AllowedIPs = 10.0.4.1/32
Endpoint = A router DDNS címe:Listen port a NAS szerverbeállításban megadott portszám
PersistentKeepalive = 25szerintem nem oké, hogy a kliens endpoint címét beállítottad a szerveren a kliensek listájában. mert ha beállítottad, akkor a szerver arra az ip-re fogja forwardolni a kliens felé menő forgalmat, és ha a cím nem passzol, akkor baj van.
Na, ezt már nem értem. Nem tudom, melyik beállításról van szó.ja, és ha egy helyen vagy a nas-sal, akkor hairpin nat kell a nashoz tartozó routerbe. ha külön helyeken vagy, akkor nem.
Nem igazán vagyok egy helyen vele. Köztünk van fél Magyarország.Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
bambano
titán
válasz MaCS_70 #12760 üzenetére
"A peer NAS-oldali beállításában tehát az engedélyezett IP-cím a 10.0.4.1/32.": de a nasnak nem kell engedélyezni a saját ip címét.
ha a kliensen "Address = 10.0.4.1/32" ugyanazt az ip címet adod meg, mint a szerveren, abból káosz lesz. vagyis van.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
MasterMark
titán
válasz MaCS_70 #12760 üzenetére
Itt egy jó konfig:
"Szerver" oldal:
[Interface]
#Szerver
PrivateKey=xxxx
Address=10.200.1.1
ListenPort=51820
[Peer]
#Mark-iPhone-ja
PublicKey=xxxx
PresharedKey=xxxx
AllowedIPs=10.200.1.3"Kliens" oldal:
[Interface]
#Mark-iPhone-ja
PrivateKey=xxxx
Address=10.200.1.3/32
[Peer]
#Szerver
PresharedKey=xxxx
PublicKey=xxxx
Endpoint=vpn.mydomain.com:51820
AllowedIPs=0.0.0.0/0Ez routingolós beállítás, vagyis kellenek routeok ahhoz, hogy működjön, nem csinál NAT-olást.
Remélem így már érthető, hogy mi a lényeg.[ Szerkesztve ]
Switch Tax
-
félisten
válasz bambano #12761 üzenetére
Oké, ez így nagyon logikus, és volt is nálam már ilyen, de nem látom, hogy működne.
A kliens állapotablaka szerint jönnek-mennek a bitek, és számolja a másodperceket a latest handshake óta.
DE!
A NAS szerverinfója szerint nincs aktív kapcsolat. Ez persze még nem jelent semmit.
Kérdés, hogy sikeres kapcsolódás esetén hogyan érem el a NAS GUI-ját és SMB-megosztásait.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
-
félisten
válasz MasterMark #12762 üzenetére
Köszönöm!
Nem akarok én NAT-ot. Annyit szeretnék elérni, hogy elérjem a NAS GUI-ját és megosztásait.
Ezért aztán kicsit bajban is vagyok a 0.0.0.0/0 engedélyezett IP-vel...
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
félisten
válasz MasterMark #12766 üzenetére
Oké, ez megint csak az "értem én", csak nem értem kategória.
Tehát a NAS címe ugye a WG szerver interface címe, azaz most a 10.0.4.1 -- ugye?
NAT vagy routing -- persze, csak gondoltam, ez a motorháztető alatt történik. A már működő kapcsolatoknál sem foglalkoztam külön ilyen beállításokkal.
Mit kell tennem?
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
MasterMark
titán
válasz MaCS_70 #12767 üzenetére
Tehát a NAS címe ugye a WG szerver interface címe, azaz most a 10.0.4.1 -- ugye?
Nem, mert azon nem hallgat.
A NAS címe ugyanaz ami eddig. Csak keresztül fog menni a wireguard interfészen aminek saját IP-jei vannak.
Mivel nálad a "szerver" oldal egy router, gondolom ott nem kézzel konfigolod teljesen, szóval a NAT / router lehet, hogy automatikus, de látnod kell a konfig fájlban azt is egyébként.
Switch Tax
-
félisten
válasz MasterMark #12768 üzenetére
"A NAS címe ugyanaz ami eddig. Csak keresztül fog menni a wireguard interfészen aminek saját IP-jei vannak."
Tehát DDNS-cím:listenport ???"Mivel nálad a "szerver" oldal egy router, gondolom ott nem kézzel konfigolod teljesen, szóval a NAT / router lehet, hogy automatikus, de látnod kell a konfig fájlban azt is egyébként."
Igen, a működő WG-kapcsolatnál magán a routeren fut a szerver, ami már csak a port forward szükségtelensége miatt is örvendetes. Lehet, hogy látom, de nem tudom, hogy mit látok...Tehát nem tiszta (de még a homályostól is nagyon távol van), hogy mit kell még beállítanom, illetve, hogy hogyan érem ez a szerveroldalt.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
MasterMark
titán
válasz MaCS_70 #12769 üzenetére
Nem, hanem a lokális címe a NAS-nak, 192.168.1.100 vagy akármi ami a lokális hálózatod és amúgy lokálisan elérnéd.
A VPN-nel bemész a lokális hálódra, onnan ugyanaz minden.
Ha most a NAS egyben ahol a wireguard is fut, akkor elképzelhető, hogy hallgat a wireguard interfész címére is, de alapesetben nem, szóval az eredeti IP-vel éred el, amivel egyébként is.
Switch Tax
-
félisten
válasz MasterMark #12770 üzenetére
Ez egyszerűen túl szép ahhoz, hogy gondolni mertem volna rá... Viszont működik!
Úgyhogy tulajdonképpen megoldottátok a problémámat, és mondhatnám, hogy ma is tanultam valamit, de ez annál sokkal több.
Nagyon köszönöm!
MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
TazLeacher
nagyúr
Sziasztok! Segítsetek szeretnék kérni. A hálózat téma nekem világ életemben a "vakfolt" kategóra volt, egyszerűen nem értek hozzá. Amikor megvettem a NAS-t, akkor is más állította be. Most vettem egy új gépet, és azt szeretném beállítani, hogy erről is elérjem a NAS-t. A másik gép is itt van, így gondoltam "lemásolom" a beállításokat. A gond az, hogy fogalmam sincs, hogy mit kellene csinálni. Lenne valaki oly' jó, és leírna, hogy hogyan tudnám átmásolni egyik gépről a másikra a beállításokat?
-
válasz TazLeacher #12772 üzenetére
Ez nem a haladó topokba való, sokkal inkábba Otthoni hálózat és internet megosztás ill. a géped operációs rendszerének topikjába.
Nézd meg a régi gépen, hogy az intézőben hogyan éred el a NAS-t. Be van mappolva egy meghajtónak, vagy a Hálózatok-ban jelenik meg?
[ Szerkesztve ]
Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews
-
Stealth
senior tag
Sziasztok!
Wireguarddal kapcsolatban kérdeznék én is.
A routerem (Asus AX58U v2) és a telóm között sikerült létrehoznom a QR kódos módszerrel a VPN kapcsolatot, Pingtools-szal telóról tudom pingelni a routert. Viszont a router mögötti nas már nem válaszol a pingre. Mi hiányzik? Feltételezem valami port forwarding, de sajnos nem jövök rá, mit kellene beállítani.u.i: az engedélyezett ip-k között ott a nas belső hálós ip címe. A korábbi hozzászólások és ez segített eljutni a routerig.
[ Szerkesztve ]
-= Stealth =-
-
Stealth
senior tag
válasz MasterMark #12775 üzenetére
A nason és a routeren is engedélyezve van a szükséges udp port. Ezen kívül mit kellene még engedni?
A linkelt video szerint válaszol nekem is a hup.hu a tracerout.ra, első ip a VPN ip címe.
Ha már a nas ip címét írom a traceroutba, ott is az első ip a VPN, de aztán no response.-= Stealth =-
-
Stealth
senior tag
-
félisten
válasz MasterMark #12783 üzenetére
Akkor itt szeretnék belekérdezni egy kis egyértelműsítés kedvéért.
Tételezzük fel, hogy sejtem, hogy mi az a routolás. Legalábbis PacketTracerben sok százszor állítottam már be hálózatszerkesztéskor, mégpedig jól.
A NAT-olással is vagyok. (Bár a pedagógus ismerőseimmel valahogy nem értek szót ezzel kapcsolatban. )De itthoni hálózati viszonyok között valahogy nem látom, hol jön elő a routolás.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
Stealth
senior tag
válasz MasterMark #12783 üzenetére
A NAS router mögött kap egy belső ip címet, NAT van.
A kilépési pont az a router LAN ip címe?
Tehát: Allow - router LAN ip cím - WG UDP port?A portforwarding kell/jó?
-= Stealth =-
-
félisten
-
Stealth
senior tag
válasz 4Grider #12788 üzenetére
Igen, de mégsem. A 0.0.0.0/0 tartomány van beírva, amivel tudom pingelni telóról a routert bekapcsolt VPN-nel, de a router mögötti nas-t már nem.
A NAS tűzfal fog meg valamit, mert ha mindent allow-ra teszek, akkor látom az SMB megosztást telón, szintén bekapcsolt VPN-nel és a ping/traceroute is megy.
A helyes nas tűzfalszabályra nem jövök rá...-= Stealth =-
-
bambano
titán
válasz MaCS_70 #12784 üzenetére
A hálózat különböző szintekből áll. OSI modell szerint, amit a kutya nem használ már oktatáson kívül, 7 réteg van, IP modell szerint előadótól függően 4 vagy 5.
Ha a második rétegben van összekötve két hálózat, az bridge, vagy switch, ha a harmadik rétegben, az routing.Otthon neked úgy jön elő a routolás, hogy a belső hálózatod egy második szinten egységes hálózat (rendes nevén: collision domain / broadcast domain), meg a szolgáltatótól kapott link is egy, és a kettő között a dobozod harmadik rétegben létesít kapcsolatot, ezért az egy router funkcionalitás. A nat arra jó, hogy amikor a routing folyamaton keresztül megy a csomag, akkor megcsinálja azt a címfordítást, ami ahhoz kell, hogy a csomagod kifelé is ki találjon, meg befelé is visszataláljon.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Stealth
senior tag
válasz Stealth #12790 üzenetére
Na, a sok próbálgatásnak meg lett az eredménye, elérem a nas-on az Smb megosztást a routeremen keresztül Wireguarddal. A GUI is bejön, be tudok lépni a NAS-ra.
Köszönöm!
Még egy kérdés foglalkoztat igazából: melyik a jobb/biztonságosabb megoldás:
WG-vel elérni a routert, majd onnan a nas-t, vagy közvetlenül WG-vel a nas-t?-= Stealth =-
-
MasterMark
titán
válasz MaCS_70 #12784 üzenetére
Csináltam pár ábrát, talán így jobban érthető. Direkt külön vettem a NAS, a router, és egy külön szervert amin a wireguard fut, hogy jobban érthető legyen a különbség.
NAT:
NAT-nál ugye a wireguard átírja az IP-t, mintha ő csinálná a forgalmat nem valaki más, így a saját hálón rögtön odatalál ahova kell meg vissza is.
Route:
Routolásnál mivel visszafelé már nem fogja tudni hogy kinek kell küldeni, ezért a routernek tudnia kell róla, hogy hova küldje a wireguardos forgalmat, ilyenkor kell route ami megmondja merre talál vissza a csomag.
Sokminden le lett egyszerűsítve, de kb. ez a lényeg a wireguard oldalról.
Az alapokat meg leírta bambano, bár szerintem ezeket már tudtad.
Switch Tax
-
félisten
válasz MasterMark #12794 üzenetére
MasterMArk, bambano, mindkettőtöknek nagyon köszönöm a segítséget és az időráfordítást!
Baromi sokat segítettetek!
Az egészben az a rettenetesen szomorú, hogy az egyetemen hálózatokból az évfolyamon az első háromban voltam, PacketTracerben pillanatok alatt kattingattam össze minden feladatot, elméletből fejből vágtam az egész ISO-OSI-t fejlécbitekkel meg méretekkel -- és mégis ilyen jellegű hiányosságaim vannak.
Köszönettel: MaCS
Fán nem lehet motorozni, motoron viszont lehet fázni!
-
[HUN]Zolee
őstag
Sziasztok.
Össze kell kötnöm két épületet, amire az optikát szeretnék használni, mert nem egy villanyóráról kapnak áramot.
Elvesztem a media konverterek világába.
Igény minimális. 10/100 is elég bár örülnék az 1000-esnek. 1-1 router lesz két oldalt.
10mbit az internet ami jelenleg adott. Stabil működés elvárás.Tudnátok ajánlani valamit. ~50m vezeték kell szerelt végekkel, csőben lesz a föld alatt átvezetve(2 épület távolsáva ~10 m )
Előre is köszönöm.
''<[HUN]DrH>valaki mondjon egy tuningolos programot a mivel kocsis képeket tudok tuningoloni.'' https://ferromag.aranyoldalak.hu/
-
korcsi
veterán
válasz [HUN]Zolee #12796 üzenetére
Ahogy én csináltam:
Alis gigabites médiakonverterek SC csatlakozóval, ~(5000Ft/pár) van ilyen nekem itthon pár darab.
Vettem gyors csatlakozókat, száltörőt, csupaszító fogót, és itthonról 50m mono kevlár erősítésű kültéri kábelt (szolgáltató is ilyennel dolgozik)Néhány youtube tutoriál videó és megszereltem pikk-pakk.
Ebben a topikban, lehet aktuálisabb lenne.
Amúgy a külön villanyóra nem igényelné a optikai kábelt.
referencia és MSI gaming X 5700(XT) plexi ARGB-s blokkok eladóak!
-
válasz korcsi #12797 üzenetére
Viszont a villámlás másodlagos (indukció) védelmére tökéletes megoldás.
Szerszámkészlet helyett nem egyszerűbb egy készreszerelt 50m-es kábel?Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews
Új hozzászólás Aktív témák
- exHWSW - Értünk mindenhez IS
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- AMD Ryzen 9 / 7 / 5 7***(X) "Zen 4" (AM5)
- Házimozi haladó szinten
- Viccrovat
- Debrecen és környéke adok-veszek-beszélgetek
- MIUI / HyperOS topik
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- ASZTALI GÉP / ALKATRÉSZ beárazás
- Elemlámpa, zseblámpa
- További aktív témák...
Állásajánlatok
Cég: HC Pointer Kft.
Város: Pécs
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest