gaaronk Posted February 22 Share Posted February 22 Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию { "settings": { "interfacePrefixBlacklist": ["ezcfg0", "ngre1"] } } 1 Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted February 22 Author Share Posted February 22 Ну и ezcfg0 туда по умолчанию Quote Link to comment Share on other sites More sharing options...
0 r13 Posted February 22 Share Posted February 22 +1 ZT лезет через все щели, в некоторые его пускать не хочется 1 Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted February 23 Share Posted February 23 7 часов назад, r13 сказал: +1 ZT лезет через все щели, в некоторые его пускать не хочется Лезет как просто слушает или стучится? https://docs.zerotier.com/rules/ Quote Link to comment Share on other sites More sharing options...
0 r13 Posted February 23 Share Posted February 23 1 час назад, vasek00 сказал: Лезет как просто слушает или стучится? https://docs.zerotier.com/rules/ И слушает и стучится. 1 Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted February 23 Author Share Posted February 23 (edited) Ну или если мы делаем zerotier connect via PPPoE0 то можно и так в в /var/run/ztrun-ZeroTier0/local.conf { "settings": { "bind": [ "<IP address>"] } } тут все параметры описаны Edited February 23 by gaaronk Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted February 24 Share Posted February 24 В 23.02.2024 в 09:48, r13 сказал: И слушает и стучится. Странный ответ. Ну ладно. Как же ему не стучаться и не слушать если он работает через сервер Root Server IP Addresses да еще и из любой точки где есть интернет должен работать. https://zerotier.atlassian.net/wiki/spaces/SD/pages/7241732/Root+Server+IP+Addresses Что подтверждается на сегодня Скрытый текст 17:49:15.071791 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137 17:49:15.072613 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137 17:49:15.073314 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137 17:49:15.073929 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137 17:53:00.452307 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137 17:53:00.453235 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137 17:53:00.454037 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137 17:53:00.454849 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137 17:56:45.786730 IP Мой_IP.43051 > root-mia-01.zerotier.com.9993: UDP, length 137 17:56:45.787472 IP Мой_IP.43051 > root-zrh-01.zerotier.com.9993: UDP, length 137 17:56:45.788111 IP Мой_IP.43051 > root-sgp-01.zerotier.com.9993: UDP, length 137 17:56:45.788736 IP Мой_IP.43051 > 104.194.8.134.9993: UDP, length 137 These are Amsterdam, Seattle, Miami, and Singapore. и некоторые коменты 2022года https://github.com/slackhq/nebula/issues/706 Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 1 Author Share Posted April 1 В 22.02.2024 в 22:04, gaaronk сказал: Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию { "settings": { "interfacePrefixBlacklist": ["ezcfg0", "ngre1"] } } @Le ecureuil не посмотрите? Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 1 Share Posted April 1 А разве connect via не спасает? Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 1 Author Share Posted April 1 27 минут назад, Le ecureuil сказал: А разве connect via не спасает? Абсолютно не спасает interface ZeroTier0 security-level public ip dhcp client dns-routes ip access-group _WEBADMIN_ZeroTier0 in zerotier accept-addresses zerotier no accept-routes zerotier network-id ХХХХХХХХХХХ zerotier connect via PPPoE0 lldp disable up ! Слушает на всех IP на ВСЕХ интерфейсах посмотрел WG туннель через tcpdump -nvi nwg1 udp Зеротир туда гонит трафик. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 1 Share Posted April 1 1 час назад, gaaronk сказал: Абсолютно не спасает interface ZeroTier0 security-level public ip dhcp client dns-routes ip access-group _WEBADMIN_ZeroTier0 in zerotier accept-addresses zerotier no accept-routes zerotier network-id ХХХХХХХХХХХ zerotier connect via PPPoE0 lldp disable up ! Слушает на всех IP на ВСЕХ интерфейсах посмотрел WG туннель через tcpdump -nvi nwg1 udp Зеротир туда гонит трафик. Понял, спасибо, будем работать. 1 Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 1 Author Share Posted April 1 @Le ecureuil И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль. Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс... Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 1 Share Posted April 1 2 часа назад, gaaronk сказал: @Le ecureuil И еще зеротир на старте слушает рандомный порт. Но этот порт не открывается на вход на WAN интерфейсах. И если другой узел стучится к нам напрямую - беда-печаль. Приходится задавать статичные secondaryPort и tertiaryPort и их прописывать в ACL руками на вход в WAN интерфейс... Ok, это тоже приделаем. 2 Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 2 Share Posted April 2 Реализовано открытие порта и bind только на актуальный адрес. Будет доступно уже в следующей 4.2. Давайте проверим, возможно удастся обойтись и без команды. 1 Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 2 Author Share Posted April 2 12 минуты назад, Le ecureuil сказал: Реализовано открытие порта и bind только на актуальный адрес. Будет доступно уже в следующей 4.2. Давайте проверим, возможно удастся обойтись и без команды. Спасибо! Проверю и отпишусь. Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 6 Author Share Posted April 6 В 02.04.2024 в 17:10, Le ecureuil сказал: Реализовано открытие порта и bind только на актуальный адрес. Будет доступно уже в следующей 4.2. Давайте проверим, возможно удастся обойтись и без команды. Добрый день! По быстрому проверил. Да, работает bind на интерфейс. Порт открывается. По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое. Например # netstat -anp | i zero tcp 0 0 10.184.101.197:63916 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 10.184.101.197:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 127.0.0.1:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 ::1:41500 :::* LISTEN 1116/zerotier-one udp 0 0 10.184.101.197:63916 0.0.0.0:* 1116/zerotier-one udp 0 0 10.184.101.197:41500 0.0.0.0:* 1116/zerotier-one Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface .... а просто down. Со сменой адреса на IP WAN интерфейсе отрабатывает корректно Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 8 Author Share Posted April 8 В 02.04.2024 в 17:10, Le ecureuil сказал: Реализовано открытие порта и bind только на актуальный адрес. Будет доступно уже в следующей 4.2. Давайте проверим, возможно удастся обойтись и без команды. Что еще заметил Команда ip arp на зеротире не работает правильно. При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 8 Share Posted April 8 6 часов назад, gaaronk сказал: Что еще заметил Команда ip arp на зеротире не работает правильно. При включении/ребуте статическая запись появляется, но потом видимо интерфейс меняет свой статус и все... все пропадает. То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется? Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 8 Share Posted April 8 В 06.04.2024 в 10:19, gaaronk сказал: Добрый день! По быстрому проверил. Да, работает bind на интерфейс. Порт открывается. По сути слушается стандартный порт 41500. Так же ZT слушает дополнительный рандомный UDP порт, но это дело такое. Например # netstat -anp | i zero tcp 0 0 10.184.101.197:63916 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 10.184.101.197:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 127.0.0.1:41500 0.0.0.0:* LISTEN 1116/zerotier-one tcp 0 0 ::1:41500 :::* LISTEN 1116/zerotier-one udp 0 0 10.184.101.197:63916 0.0.0.0:* 1116/zerotier-one udp 0 0 10.184.101.197:41500 0.0.0.0:* 1116/zerotier-one Если интерфейсу сделать down - из firewall порт не убирается. Но опять же это не no interface .... а просто down. Со сменой адреса на IP WAN интерфейсе отрабатывает корректно Да, порт резервируется сразу при создании интерфейса и он его "держит" до удаления. Другое ничего там не появится, потому не страшно. Насчет secondary port - пусть будет, жить не мешает. Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 8 Author Share Posted April 8 2 минуты назад, Le ecureuil сказал: То есть, если выполнить no zerotier network-id, то запись пропадет, а если опять вступить в сеть, то не появляется? Скорее так. Вносим в конфиг. Сохраняемся. Ребутаем роутер. После загрузки бридж интерфейс уже есть. И запись в арп тоже есть. А процесс зеротир еще даже не запускался. Потом он стартует. И когда переходит в состояние up (сам зеротир) то арп запись из таблицы попадает. Quote Link to comment Share on other sites More sharing options...
0 r13 Posted April 8 Share Posted April 8 В 02.04.2024 в 17:10, Le ecureuil сказал: Реализовано открытие порта и bind только на актуальный адрес. @Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто Quote Link to comment Share on other sites More sharing options...
0 gaaronk Posted April 8 Author Share Posted April 8 2 минуты назад, r13 сказал: @Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто А вы как я сделайте... system set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.default.disable_ipv6 1 ... и нет никакого IPv6 Quote Link to comment Share on other sites More sharing options...
0 r13 Posted April 8 Share Posted April 8 10 минут назад, gaaronk сказал: А вы как я сделайте... system set net.ipv6.conf.all.forwarding 0 set net.ipv6.conf.all.disable_ipv6 1 set net.ipv6.conf.default.disable_ipv6 1 ... и нет никакого IPv6 Так мне как раз хочется чтоб было ))) Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 9 Share Posted April 9 19 часов назад, r13 сказал: @Le ecureuil Опять дискриминация! Дырка открыта в ipv4, в ipv6 закрыто У нас connect via толком не умеет в IPv6, потому дырку откроем, но bind() на ipv6-адреса все равно не будет работать. Quote Link to comment Share on other sites More sharing options...
0 r13 Posted April 9 Share Posted April 9 1 час назад, Le ecureuil сказал: потому дырку откроем и на том спасибо! Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 10 Share Posted April 10 19 часов назад, r13 сказал: и на том спасибо! Открыл, в следующей 4.2 будет. 1 Quote Link to comment Share on other sites More sharing options...
Question
gaaronk
Хорошо бы на интерфейсах по аналогии с командой ipsec ignore использовать команду zerotier ignore
И тогда linux имена интерфейсов добавлялись бы в /var/run/ztrun-ZeroTier0/local.conf (или другой номер интерфейса) в секцию
Link to comment
Share on other sites
25 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.