WG

  • Zwei Wireguard-Interfaces - eines wo jeder jeden sieht, und eines für End-to-End verschlüsselte Verbindungen. Right?
  • Was läuft worüber und wird wie adressiert?
  • Surfen primär über IPv4, aber auch IPv6
  • Box-zu-Box Dienste über zufallsgenerierte IPv6 (Mail, Telefon, …)
  • Interne Geräte hinter zwei Boxen über ein 10.X.Y.Z/27 miteinander verbinden, aber erst, wenn gegenseitig freigegeben

wg0 - overlay-netz

IPv4: 172.16.X.Y/32
IPv6: fdbla::1/128
Overlay-spezifische Adresse der Box

wg0: NAT, ausgehend masquerading

wg1 - end-to-end

IPv4: 10.X.Y.Z/32
IPv6: fdbla::1/112

ethX - lan

IPv4: 10.X.Y.Z/27
IPv6: /64? (weil gezwungen, radv)

192.168… wird für Pods innerhalb Kubernetes verwendet.

Wie funktioniert das Wireguard-technisch? Wie wird verbunden, Endpunkte?

AS-Nummern… Braucht jede Box eine AS-Nummer? Oder geht das Routing auch ohne? Hintergrund: Möglichst dezentral und unabhängig von einer zentralen Nummernvergabestelle bleiben. Hab mit IPv4 schon Mühe, aber das ist Legacy und von daher noch ok.
antwort: nein. weil wir ospf und nicht bgp benutzen.
rp_filter überall an.

ospf für end-zu-end stuff.

internet manuell geschaltet.

Internet über [Ungarn]… = Default-Route der Box auf die IP von wg0 vom HU-Server?

Auf der Box:

DHCP muss im externen namespace laufen, weil ja - kommunikation.
netzwerknamespaces = braucht keine zwei routingtabellen.

allowed-ips: alle vier (extern + intern, v4 + v6). zugriff:
Iptables verwenden.

bfd: automatic failovers.

Serverseitig:

wg0 mit fettem 10.X.Y.Z/8 range. = 255 server + 65000 boxen max.
–> für ospf-failover.

Sudelblatt (kannste ignorieren)

  • Infrastruktur geroutet - no more port forwardings
  • IPv4 Infrastruktur - viele Geräte sind noch nicht v6-fähig
  • Unique IPv6 pro Enigmabox - bietet dann 65k Adressen für interne Geräte
  • Surfen über IPv4 und IPv6 - wie lösen?
  • 10.0.0.1/27 Netze - 30 Geräte pro Box
  • Range Enigmabox A: 10.0.0.1 - 10.0.0.30
  • Range Enigmabox B: 10.0.0.33 - 10.0.0.62
  • Also z.B. meine Workstation 10.0.0.3 kann auf den Drucker von Bob 10.0.0.36 zugreifen - sofern:
  • Bob: iptables -A FORWARD -s 10.0.0.0/27 -d 10.0.0.32/27 -j ACCEPT
  • Lastrule: iptables -A FORWARD -s 10.0.0.0/8 -d 10.0.0.32/27 -j DROP
  • 10.0.0.0 für interne IPv4 Geräte
  • fd32:0000:0000:0000:0000:0000:0000:0000/112 pro Enigmabox - der 0000:0000:…-Teil ist zufallsgeneriert, die Zahlen in Fett stehen für Geräte im LAN zur Verfügung
  • 65536 Adressen für interne IPv6 Geräte

Surfen:

  • Eine Wegwerf-172.16.X.Y-IP pro Box für Internet über IPv4

Wireguard-in-Wireguard:

  • fd32::1/112 bildet die Unique-IP (bisher cjdns-IPv6) - das Meshnetz, wo jeder jeden sieht
  • Wie funktioniert das jetzt mit nochmal Wireguard? Endpoint ist Gegenstelle-fd32::1?
  • wg0 ist fd32::1/112 mit 172er Wegwerf-IP für Surfen über v4?
  • wg1 ist 10.X.Y.Z/27 für Box-zu-Box Infrastruktur-Verbindungen? Ou, was ist mit Box-zu-Box-Diensten über die Zufalls-IPv6? Brauchts eine zusätzliche IPv6?

Andere Netze verbinden:

  • cjdns - bridge zu fc00::1/8
  • dn42 - aber nur IPv6-Teil (die v4-Ranges wollen wir für uns!) - gnah, grad gesehen, die haben den kompletten fd-bereich für sich alloziert. Dann sind also beide unique-local-adresses weg - fc00 für cjdns, fd00 für dn42. na toll! -.-
  • Viele Freifunk-Netze und Hackerspaces sind im dn42. Wär schon geil, wenn man mit allen (v6)-Geräten dort plötzlich reden kann… wäre wirklich geil gewesen, wenn dn42 nicht gleich den ganzen block für sich geschnappt hätte. bei cjdns ists ja noch argumentierbar, da ipv6 = fingerprint. aber ja, meh.
wg.txt · Last modified: 2018/02/05 15:55 by 42
Back to top
GNU Free Documentation License 1.3
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0