ZeroTier interface ignore

[gaaronk]

Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore

И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию

 

{
	"settings": {
		"interfacePrefixBlacklist": ["ezcfg0", "ngre1"]
	}
}

 

 

[gaaronk]

Ну и ezcfg0 туда по умолчанию

[r13]

+1 ZT лезет через все щели, в некоторые его пускать не хочется

[vasek00]

7 часов назад, r13 сказал:

+1 ZT лезет через все щели, в некоторые его пускать не хочется

Лезет как просто слушает или стучится?

https://docs.zerotier.com/rules/

[r13]

1 час назад, vasek00 сказал:

Лезет как просто слушает или стучится?

https://docs.zerotier.com/rules/

И слушает и стучится. 

[gaaronk]

Ну или если мы делаем zerotier connect via PPPoE0

то можно и так в  в /var/run/ztrun-ZeroTier0/local.conf 

 

{
    "settings": {
        "bind": [ "<IP address>"]
    }
}

 

тут все параметры описаны

Edited February 23 by gaaronk

[vasek00]

В 23.02.2024 в 09:48, r13 сказал:

И слушает и стучится. 

Странный ответ. Ну ладно.

Как же ему не стучаться и не слушать если он работает через сервер Root Server IP Addresses да еще и из любой точки где есть интернет должен работать.

https://zerotier.atlassian.net/wiki/spaces/SD/pages/7241732/Root+Server+IP+Addresses

Что подтверждается на сегодня

Скрытый текст

17:49:15.071791 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:49:15.072613 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:49:15.073314 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:49:15.073929 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137
17:53:00.452307 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:53:00.453235 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:53:00.454037 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:53:00.454849 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137
17:56:45.786730 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:56:45.787472 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:56:45.788111 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:56:45.788736 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137

These are Amsterdam, Seattle, Miami, and Singapore.

 

и некоторые коменты 2022года

https://github.com/slackhq/nebula/issues/706

 

 

[gaaronk]

В 22.02.2024 в 22:04, gaaronk сказал:

Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore

И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию

 

{
	"settings": {
		"interfacePrefixBlacklist": ["ezcfg0", "ngre1"]
	}
}

 

 

@Le ecureuil не посмотрите?

[Le ecureuil]

А разве connect via не спасает?

[gaaronk]

27 минут назад, Le ecureuil сказал:

А разве connect via не спасает?

Абсолютно не спасает

 

interface ZeroTier0
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier no accept-routes
    zerotier network-id ХХХХХХХХХХХ
    zerotier connect via PPPoE0
    lldp disable
    up
!

Слушает на всех IP на ВСЕХ интерфейсах

 

посмотрел WG  туннель через

tcpdump -nvi nwg1 udp

 

Зеротир туда гонит трафик.

[Le ecureuil]

1 час назад, gaaronk сказал:

Абсолютно не спасает

 

interface ZeroTier0
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier no accept-routes
    zerotier network-id ХХХХХХХХХХХ
    zerotier connect via PPPoE0
    lldp disable
    up
!

Слушает на всех IP на ВСЕХ интерфейсах

 

посмотрел WG  туннель через

tcpdump -nvi nwg1 udp

 

Зеротир туда гонит трафик.

Понял, спасибо, будем работать.

[gaaronk]

@Le ecureuil

И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль.

Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...

 

 

[Le ecureuil]

2 часа назад, gaaronk сказал:

@Le ecureuil

И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль.

Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...

 

 

Ok, это тоже приделаем.

[Le ecureuil]

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

[gaaronk]

12 минуты назад, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

Спасибо! Проверю и отпишусь.

[gaaronk]

В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

 

Добрый день!

 

По быстрому проверил. Да, работает bind на интерфейс. Порт открывается.

По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое.

Например

# netstat -anp | i zero
tcp        0      0 10.184.101.197:63916    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 10.184.101.197:41500    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 127.0.0.1:41500         0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 ::1:41500               :::*                    LISTEN      1116/zerotier-one
udp        0      0 10.184.101.197:63916    0.0.0.0:*                           1116/zerotier-one
udp        0      0 10.184.101.197:41500    0.0.0.0:*                           1116/zerotier-one

Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface ....  а просто down.

Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

 

[gaaronk]

В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

Что еще заметил

 

Команда ip arp на зеротире не работает правильно.

При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

[Le ecureuil]

6 часов назад, gaaronk сказал:

Что еще заметил

 

Команда ip arp на зеротире не работает правильно.

При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется?

[Le ecureuil]

В 06.04.2024 в 10:19, gaaronk сказал:

 

Добрый день!

 

По быстрому проверил. Да, работает bind на интерфейс. Порт открывается.

По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое.

Например

# netstat -anp | i zero
tcp        0      0 10.184.101.197:63916    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 10.184.101.197:41500    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 127.0.0.1:41500         0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 ::1:41500               :::*                    LISTEN      1116/zerotier-one
udp        0      0 10.184.101.197:63916    0.0.0.0:*                           1116/zerotier-one
udp        0      0 10.184.101.197:41500    0.0.0.0:*                           1116/zerotier-one

Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface ....  а просто down.

Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

 

Да, порт резервируется сразу при создании интерфейса и он его "держит" до удаления. Другое ничего там не появится, потому не страшно.

Насчет secondary port - пусть будет, жить не мешает.

[gaaronk]

2 минуты назад, Le ecureuil сказал:

То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется?

Скорее так. Вносим в конфиг. Сохраняемся. Ребутаем роутер. После загрузки бридж интерфейс уже есть. И запись в арп тоже есть. А процесс зеротир еще даже не запускался. Потом он стартует. И когда переходит в состояние up (сам зеротир) то арп запись из таблицы попадает. 

[r13]

В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто

[gaaronk]

2 минуты назад, r13 сказал:

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто

А вы как я сделайте...

system
    set net.ipv6.conf.all.forwarding 0
    set net.ipv6.conf.all.disable_ipv6 1
    set net.ipv6.conf.default.disable_ipv6 1

... и нет никакого IPv6

[r13]

10 минут назад, gaaronk сказал:

А вы как я сделайте...

system
    set net.ipv6.conf.all.forwarding 0
    set net.ipv6.conf.all.disable_ipv6 1
    set net.ipv6.conf.default.disable_ipv6 1

... и нет никакого IPv6

Так мне как раз хочется чтоб было )))

[Le ecureuil]

19 часов назад, r13 сказал:

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто

У нас connect via толком не умеет в IPv6, потому дырку откроем, но bind() на ipv6-адреса все равно не будет работать.

[r13]

1 час назад, Le ecureuil сказал:

потому дырку откроем

и на том спасибо!

[Le ecureuil]

19 часов назад, r13 сказал:

и на том спасибо!

Открыл, в следующей 4.2 будет.