Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
wg [2018/01/19 00:16]
42
wg [2018/02/05 15:55] (current)
42
Line 1: Line 1:
 +====== WG ======
 +
 +  * Zwei Wireguard-Interfaces - eines wo jeder jeden sieht, und eines für End-to-End verschlüsselte Verbindungen. Right?
 +  * Was läuft worüber und wird wie adressiert?
 +  * Surfen primär über IPv4, aber auch IPv6
 +  * Box-zu-Box Dienste über zufallsgenerierte IPv6 (Mail, Telefon, ...)
 +  * Interne Geräte hinter zwei Boxen über ein 10.X.Y.Z/27 miteinander verbinden, aber erst, wenn gegenseitig freigegeben
 +
 +**wg0** - overlay-netz
 +
 +IPv4: 172.16.X.Y/​32\\
 +IPv6: fdbla::​1/​128\\
 +Overlay-spezifische Adresse der Box
 +
 +wg0: NAT, ausgehend masquerading
 +
 +**wg1** - end-to-end
 +
 +IPv4: 10.X.Y.Z/​32\\
 +IPv6: fdbla::​1/​112
 +
 +**ethX** - lan
 +
 +IPv4: 10.X.Y.Z/​27\\
 +IPv6: /64? (weil gezwungen, radv)
 +
 +192.168... wird für Pods innerhalb Kubernetes verwendet.
 +
 +Wie funktioniert das Wireguard-technisch?​ Wie wird verbunden, Endpunkte?
 +
 +AS-Nummern... Braucht jede Box eine AS-Nummer? Oder geht das Routing auch ohne? Hintergrund:​ Möglichst dezentral und unabhängig von einer zentralen Nummernvergabestelle bleiben. Hab mit IPv4 schon Mühe, aber das ist Legacy und von daher noch ok.\\
 +antwort: nein. weil wir ospf und nicht bgp benutzen.\\
 +rp_filter überall an.
 +
 +ospf für end-zu-end stuff.
 +
 +internet manuell geschaltet.
 +
 +Internet über [Ungarn]... = Default-Route der Box auf die IP von wg0 vom HU-Server?
 +
 +**Auf der Box:**
 +
 +DHCP muss im externen namespace laufen, weil ja - kommunikation.\\
 +netzwerknamespaces = braucht keine zwei routingtabellen.
 +
 +allowed-ips:​ alle vier (extern + intern, v4 + v6). zugriff:\\
 +Iptables verwenden.
 +
 +bfd: automatic failovers.
 +
 +**Serverseitig:​**
 +
 +wg0 mit fettem 10.X.Y.Z/8 range. = 255 server + 65000 boxen max.\\
 +--> für ospf-failover.
 +
 +===== Sudelblatt (kannste ignorieren) =====
 +
 +  * Infrastruktur geroutet - no more port forwardings
 +  * IPv4 Infrastruktur - viele Geräte sind noch nicht v6-fähig
 +  * Unique IPv6 pro Enigmabox - bietet dann 65k Adressen für interne Geräte
 +  * Surfen über IPv4 und IPv6 - wie lösen?
 +
 +  * 10.0.0.1/27 Netze - 30 Geräte pro Box
 +  * Range Enigmabox A: 10.0.0.1 - 10.0.0.30
 +  * Range Enigmabox B: 10.0.0.33 - 10.0.0.62
 +  * Also z.B. meine Workstation 10.0.0.3 kann auf den Drucker von Bob 10.0.0.36 zugreifen - sofern:
 +  * Bob: ''​iptables -A FORWARD -s 10.0.0.0/27 -d 10.0.0.32/​27 -j ACCEPT''​
 +  * Lastrule: ''​iptables -A FORWARD -s 10.0.0.0/8 -d 10.0.0.32/​27 -j DROP''​
 +
 +  * 10.0.0.0 für interne IPv4 Geräte
 +  * fd32:​0000:​0000:​0000:​0000:​0000:​0000:​**0000**/​112 pro Enigmabox - der 0000:​0000:​...-Teil ist zufallsgeneriert,​ die Zahlen in Fett stehen für Geräte im LAN zur Verfügung
 +  * 65536 Adressen für interne IPv6 Geräte
 +
 +Surfen:
 +
 +  * Eine Wegwerf-172.16.X.Y-IP pro Box für Internet über IPv4
 +
 +Wireguard-in-Wireguard:​
 +
 +  * fd32::1/112 bildet die Unique-IP (bisher cjdns-IPv6) - das Meshnetz, wo jeder jeden sieht
 +  * Wie funktioniert das jetzt mit nochmal Wireguard? Endpoint ist //​Gegenstelle-fd32::​1//?​
 +  * wg0 ist fd32::1/112 mit 172er Wegwerf-IP für Surfen über v4?
 +  * wg1 ist 10.X.Y.Z/27 für Box-zu-Box Infrastruktur-Verbindungen?​ Ou, was ist mit Box-zu-Box-Diensten über die Zufalls-IPv6?​ Brauchts eine zusätzliche IPv6?
 +
 +Andere Netze verbinden:
 +
 +  * cjdns - bridge zu fc00::1/8
 +  * <​del>​dn42 - aber nur IPv6-Teil (die v4-Ranges wollen wir für uns!)</​del>​ - gnah, grad gesehen, die haben den kompletten fd-bereich für sich alloziert. Dann sind also beide unique-local-adresses weg - fc00 für cjdns, fd00 für dn42. na toll! -.-
 +  * <​del>​Viele Freifunk-Netze und Hackerspaces sind im dn42. Wär schon geil, wenn man mit allen (v6)-Geräten dort plötzlich reden kann...</​del>​ wäre wirklich geil gewesen, wenn dn42 nicht gleich den ganzen block für sich geschnappt hätte. bei cjdns ists ja noch argumentierbar,​ da ipv6 = fingerprint. aber ja, meh.
 +
 +
 +
 +
 +
 +
  
wg.txt · Last modified: 2018/02/05 15:55 by 42
Back to top
GNU Free Documentation License 1.3
chimeric.de = chi`s home Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0