Jump to content
  • 2

ZeroTier interface ignore


gaaronk

Question

Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore

И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию

 

{
	"settings": {
		"interfacePrefixBlacklist": ["ezcfg0", "ngre1"]
	}
}

 

 

  • Thanks 1
Link to comment
Share on other sites

25 answers to this question

Recommended Posts

  • 0

+1 ZT лезет через все щели, в некоторые его пускать не хочется

  • Upvote 1
Link to comment
Share on other sites

  • 0

Ну или если мы делаем zerotier connect via PPPoE0

то можно и так в  в /var/run/ztrun-ZeroTier0/local.conf 

 

{
    "settings": {
        "bind": [ "<IP address>"]
    }
}

 

тут все параметры описаны

Edited by gaaronk
Link to comment
Share on other sites

  • 0
В 23.02.2024 в 09:48, r13 сказал:

И слушает и стучится. 

Странный ответ. Ну ладно.

Как же ему не стучаться и не слушать если он работает через сервер Root Server IP Addresses да еще и из любой точки где есть интернет должен работать.

https://zerotier.atlassian.net/wiki/spaces/SD/pages/7241732/Root+Server+IP+Addresses

Что подтверждается на сегодня

Скрытый текст
17:49:15.071791 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:49:15.072613 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:49:15.073314 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:49:15.073929 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137
17:53:00.452307 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:53:00.453235 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:53:00.454037 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:53:00.454849 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137
17:56:45.786730 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137
17:56:45.787472 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137
17:56:45.788111 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137
17:56:45.788736 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137

These are Amsterdam, Seattle, Miami, and Singapore.

 

и некоторые коменты 2022года

https://github.com/slackhq/nebula/issues/706

 

 

Link to comment
Share on other sites

  • 0
В 22.02.2024 в 22:04, gaaronk сказал:

Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore

И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию

 

{
	"settings": {
		"interfacePrefixBlacklist": ["ezcfg0", "ngre1"]
	}
}

 

 

@Le ecureuil не посмотрите?

Link to comment
Share on other sites

  • 0
27 минут назад, Le ecureuil сказал:

А разве connect via не спасает?

Абсолютно не спасает

 

interface ZeroTier0
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier no accept-routes
    zerotier network-id ХХХХХХХХХХХ
    zerotier connect via PPPoE0
    lldp disable
    up
!

Слушает на всех IP на ВСЕХ интерфейсах

 

посмотрел WG  туннель через

tcpdump -nvi nwg1 udp

 

Зеротир туда гонит трафик.

Link to comment
Share on other sites

  • 0
1 час назад, gaaronk сказал:

Абсолютно не спасает

 

interface ZeroTier0
    security-level public
    ip dhcp client dns-routes
    ip access-group _WEBADMIN_ZeroTier0 in
    zerotier accept-addresses
    zerotier no accept-routes
    zerotier network-id ХХХХХХХХХХХ
    zerotier connect via PPPoE0
    lldp disable
    up
!

Слушает на всех IP на ВСЕХ интерфейсах

 

посмотрел WG  туннель через

tcpdump -nvi nwg1 udp

 

Зеротир туда гонит трафик.

Понял, спасибо, будем работать.

  • Thanks 1
Link to comment
Share on other sites

  • 0

@Le ecureuil

И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль.

Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...

 

 

Link to comment
Share on other sites

  • 0
2 часа назад, gaaronk сказал:

@Le ecureuil

И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль.

Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс...

 

 

Ok, это тоже приделаем.

  • Thanks 2
Link to comment
Share on other sites

  • 0

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

  • Upvote 1
Link to comment
Share on other sites

  • 0
12 минуты назад, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

Спасибо! Проверю и отпишусь.

Link to comment
Share on other sites

  • 0
В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

 

Добрый день!

 

По быстрому проверил. Да, работает bind на интерфейс. Порт открывается.

По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое.

Например

# netstat -anp | i zero
tcp        0      0 10.184.101.197:63916    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 10.184.101.197:41500    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 127.0.0.1:41500         0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 ::1:41500               :::*                    LISTEN      1116/zerotier-one
udp        0      0 10.184.101.197:63916    0.0.0.0:*                           1116/zerotier-one
udp        0      0 10.184.101.197:41500    0.0.0.0:*                           1116/zerotier-one

Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface ....  а просто down.

Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

 

Link to comment
Share on other sites

  • 0
В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

Будет доступно уже в следующей 4.2.

Давайте проверим, возможно удастся обойтись и без команды.

Что еще заметил

 

Команда ip arp на зеротире не работает правильно.

При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

Link to comment
Share on other sites

  • 0
6 часов назад, gaaronk сказал:

Что еще заметил

 

Команда ip arp на зеротире не работает правильно.

При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает.

То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется?

Link to comment
Share on other sites

  • 0
В 06.04.2024 в 10:19, gaaronk сказал:

 

Добрый день!

 

По быстрому проверил. Да, работает bind на интерфейс. Порт открывается.

По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое.

Например

# netstat -anp | i zero
tcp        0      0 10.184.101.197:63916    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 10.184.101.197:41500    0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 127.0.0.1:41500         0.0.0.0:*               LISTEN      1116/zerotier-one
tcp        0      0 ::1:41500               :::*                    LISTEN      1116/zerotier-one
udp        0      0 10.184.101.197:63916    0.0.0.0:*                           1116/zerotier-one
udp        0      0 10.184.101.197:41500    0.0.0.0:*                           1116/zerotier-one

Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface ....  а просто down.

Со сменой адреса на IP WAN интерфейсе отрабатывает корректно

 

Да, порт резервируется сразу при создании интерфейса и он его "держит" до удаления. Другое ничего там не появится, потому не страшно.

Насчет secondary port - пусть будет, жить не мешает.

Link to comment
Share on other sites

  • 0
2 минуты назад, Le ecureuil сказал:

То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется?

Скорее так. Вносим в конфиг. Сохраняемся. Ребутаем роутер. После загрузки бридж интерфейс уже есть. И запись в арп тоже есть. А процесс зеротир еще даже не запускался. Потом он стартует. И когда переходит в состояние up (сам зеротир) то арп запись из таблицы попадает. 

Link to comment
Share on other sites

  • 0
В 02.04.2024 в 17:10, Le ecureuil сказал:

Реализовано открытие порта и bind только на актуальный адрес.

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто ;)

Link to comment
Share on other sites

  • 0
2 минуты назад, r13 сказал:

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто ;)

А вы как я сделайте...

system
    set net.ipv6.conf.all.forwarding 0
    set net.ipv6.conf.all.disable_ipv6 1
    set net.ipv6.conf.default.disable_ipv6 1

... и нет никакого IPv6

Link to comment
Share on other sites

  • 0
10 минут назад, gaaronk сказал:

А вы как я сделайте...

system
    set net.ipv6.conf.all.forwarding 0
    set net.ipv6.conf.all.disable_ipv6 1
    set net.ipv6.conf.default.disable_ipv6 1

... и нет никакого IPv6

Так мне как раз хочется чтоб было )))

Link to comment
Share on other sites

  • 0
19 часов назад, r13 сказал:

@Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто ;)

У нас connect via толком не умеет в IPv6, потому дырку откроем, но bind() на ipv6-адреса все равно не будет работать.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...