Локалка между двумя квартирами

на базе wg к сожалению, а его глушат (обидно быстрый в ядре нет геммороя) да и белый ip нужон.

Выше писали, что вроде внутри РФ VPN не глушат (сам не пробовал, рабочие работают, но они не WG, и потом, там, возможно, какая-то договорённость с РКН).

yggdrasil

А как он работает в сравнении с вг? Это же тоже типо впн?

То, что хочет автор, это по определению впн (виртуальная локалка поверх инета), и соответственно любой инструмент, который реализует его пожелания, будет являться впном.

Ygg ни разу не private и не совсем virtual.

встроенный клиент в каждом телефоне/буке/чайнике.

Андроид же отказался от l2tp в пользу ikev2. С версии 13, кажется

Столько действий предлагаешь сделать, что проще VPN поднять.

А какую-нибудь самбу тоже порты открывать предлагаешь?

Столько действий предлагаешь сделать, что проще VPN поднять.

Сколько? С VPN половину этих «действий» всё равно придётся делать, только помимо этого ещё и VPN, и IP другой.

А какую-нибудь самбу тоже порты открывать предлагаешь?

Самба не нужна, есть множество более адекватных способов получить доступ к файлам, некоторые я указал.

Это называется VPN. Проще всего это сделать через tailscale. Посложней через ручной VPN. Если тебе не повезло жить в России, для тебя скорей всего многое усложнится, придётся выбирать протоколы, которые не блокируются властями.

С версии 13, кажется

Я на 10-й, пока всё не перестанет работать

Сервисы динамического DNS позволяют обойтись без статического IP-адреса.

VPN-протоколы блокируются и внутри РФ тоже. Будь готов перебрать несколько в поисках рабочего или воспользоваться инструментами вроде cloak / wg-obfuscator.

дело всё в том, что у меня телек с тв приставкой перешитой от провайдера (андроид, но там чё-то 4.3 версия что-ли), ей надо скормить локальный айпишник и не спалить выход в инет, иначе она обновит свою голую прошивку до прекрасной провайдерской

Сожги это. Купи лучше какой-нибудь не совсем позорный мини-ПК на Intel N100, сделай из него телеприставку.

айпишник типа 192.168.., и он увидел файловую помойку с фильмами и фотками так

Каким образом должен увидеть? Что-то широковещательное, типа dlna? Если да, то может пригодиться smcroute

не спалить выход в инет

Firewall, нет?

2 роутера на openWRT

https://openwrt.org/docs/guide-user/services/vpn/wireguard/site-to-site

Есть ещё на 4pda моя инструкция с картинками, но она не доступна в России.

Плюс Tailscale или Zerotier. Можно несколько вариантов. У меня и wireguard между несколькими квартирами. И zerotier на некоторых узлах.

Важно не статика или динамика, важно белый или серый.

У мобильного как правило серый.

Это стандартные методы и сервер имен нужен такой что скажет где искомый адрес. Поэтому нормальные люди используют почтк, если сервер перегрузился и сменил айпи, чтобы не платить за белые адреса. Сендмеил или постфикс для этого годятся. На смартфон просто ставится уведомление о новой почте. Нормальные люди не перегружают систему и обновляют ее на ходу - ядро позволяет так делать, поэтому платить год за то что и так работает глупо. А второй вариант состоит в использовании Plan9/9front/Inferno - там шаринг ресурсов по сети норма и линукс понимает адреса. Вообще доменная система ненужна становится, чтобы платить за нее. Уж Inferno и так может работать внутри операционной системы не требуя оверхед с виртуальной машиной. Хотя и виртуалка будет работать. Хоть на сервере ее можно держать для для файловой шары. И это не впн, который блокируют, а полностью рабочая технология. Если государство решило убить традиционные операционные системы, то место им в виртуалке - браузеры тяжелые тащить. Вот такие они традиционные ценности.

Ничего не делать. Время от времени курсировать между пунктами А и Б с внешним диском на пару ТБ.

Это не решение таскать с собой жесткий диск. Внешние диски только для того чтобы на дачу, где связь хреновая взять с собой чего-нибудь, если едут надолго, так как крупной флешки на несколько недель скорее всего не хватит, а когда связь есть это безумие.

на базе wg к сожалению, а его глушат

А что его глушат даже если оба IP внутри страны? Вроде как это касалось только если пир забугорный.

Суть в том, чтобы я мог телеку прописать айпишник типа 192.168.., и он увидел файловую помойку с фильмами и фотками так, будто это всё дело к одному роутеру подключено

Это именно то, для чего придумали VPN.

Нет, его придумали чтобы крупные компании работали сообща, даже будучи разбросанными по разным часовым поясам. Это частная сеть в интернете, а не просто файловая шара.

yggdrasil это оверлейная сеть с ipv6 адресацией. Обычно работает поверх «обычного» интернета но может и поверх физических линков,не имеющих ip-адресации (только eth-пакеты). Вроде как исходно это было научной работой какого-то профессора,а потом превратилось в достаточно крупный проект.

Если данных много но они read only (как фильмы и музыка например) то внешний диск вполне может оказаться хорошей альтернативой постоянной перекачке туда-сюда и зависимости от провайдерских глюков.

Я лично OpenVPN юзаю. Мои провы (Билайн, Ярнет и мобильный МТС) внутри страны до него не домогаются. Но на роутеры я не полагаюсь, а держу мелкий сервачок. Сейчас, кстати, есть прикольные скрипты для нубов, которые автоматически настраивают OpenVPN соединение и маршрутизацию.

Что значит много? Он в городе живет, а значит связь должна быть более чем достаточная по скорости. Таскать жесткий диск зачем? Ну в крайнем случае есть карты памяти. Вес там несколько грамм, а не пол кило и ушатать карту памяти в смартфоне нереально. Жесткие диски это локальное хранилище не предназначенное для переноски. Это у вас в деревне может быть по-другому. Диск таскать есть смысл, если там 20 терабайт уже накачано и кидаться такими объемами по мобильному интернету значит привлекать внимание и без того обозленных операторов.

VPN-протоколы блокируются и внутри РФ тоже.

Мои коллеги, подключаясь через openvpn и wg, подключаются, наверное, через астрал :)

Ух ты, астральные линуксоиды существуют.

Кстати, я так понимаю в астрал они входят и выходят используя Astra Linux? Какие они затейники оказывается. Не думал что у нас военные тоже все в астрал ходят. В любом случае наши астральные воины самые лучшие!

Ещё полгода назад у одних клиентов работал WG между двумя Кянетяками: на одном из них подняли сервер, другой был как клиент; прописали маршруты и всё работало нормально.

zerotier в идеале, если его не глушат провайдерв A и Б. Никакого скила для настройки не нужно. навозюкивается мышью в вебморде. Бесплатно.

ipsec - по взрослому. Нужен внешний ip хотя бы с одной стороны. Нужен скилл.

Ну и всякие трендовые - хайповые вайергарды, опенвыпыэны и прочее богомерзкое васянство - тоже можно. Скил не нужен, ютуба хватит.

Всю тему не читал. У меня сделано нечто подобное. Есть два микротика между ними прокинут туннель GRE/IPsec. Статических IP нигде нет. Есть домен и субдомены. Скрипты микротика следят за изменениями IP у провайдера, обновляют эти IP у субдоменов. Далее другие скрипты забирают обновлённые IP из субдоменов и прописывают в туннели GRE. Сделано кустарно, но такая схема мне необходима.

UPD. В будущем планирую расширить сетку добавлением узлов от загородного дома и других квартир.

l2tp/ipsec это древняя и неудобная муть

От того, что было придумано давно, оно однозначно не становится плохим или хорошим. Ну и насчет неудобства, это вы просто не осилили. У ipsec есть недостатки, которые говорят уже поправили, но на этом как бэ всё.

Современный ipsec все и так может. (современный это типа с ядра 3 ;))

Вроде ещё и на 2 умел, но это не точно.

Узнай может быть на обоих квартирах есть IPv6.

Вероятность стремящаяся к нулю.

Что значит «не осилил»? Запустить что угодно сейчас несложно, везде инструкции для идиотов даже рассованы. Я про то как эта конструкция организована - от неё прям несёт этой линуксовой традицией создавать продукты из груды разнородного хлама, склееного изолентой. Сверху, конечно, можно прикрыть красивой обёрткой, как это сделано во всех этих смартфонах, но внутри оно от этого не меняется.

Tailscale и не делай себе мозг.

libastral.so.2 же ж

Будешь одним их тех, ктого будут мысленно любить клиенты обоих провайдеров. Так как любить они будут и провайдеров, то провайдеры тебя тоже будут любить.

При всем уважении к вам, но не совсем согласен с данным тезисом. Если у прова в договоре написано «скорость до xyz» то если будешь «флудить» они соблюдут условия договора и это может стать только твоей ЛПП.

Ну и сам ты тоже будешь любить, когда у тебя на телевизоре будет всё дёргаться.

А вот это уже другой вопрос.

В теории не должны.
На практике бывают нюансы, типа Блокируют ли ваши операторы VPN-протоколы (не сервисы) (комментарий)
Проблема в том, что непонятно, куда жаловаться в таких случах обычному физ. лицу.

Я про то как эта конструкция организована - от неё прям несёт этой линуксовой традицией создавать продукты из груды разнородного хлама,

ipsec таще-то придумали «чутка» пораньше, чем онтопик.

Я про то как эта конструкция организована - от неё прям несёт этой линуксовой традицией создавать продукты из груды разнородного хлама

Можно подробностей про негодную организацию и разношерстного хлама?

Там просто туннель был l2tp а шифрование ipsec.

В ipsec v2 уже все сразу. Причем мне не понятна его сложность по отошению к openvpn. Ладно wg для тех кто не может осилить сертификаты. Но если ты можешь юзать openvpn то ipsec еще проще.

ipsec таще-то придумали «чутка» пораньше, чем онтопик.

Я знаю. И речь не про ipsec сам по себе (хотя подозреваю что там тоже не всё хорошо) а про конструкцию под названием «l2tp/ipsec».

Можно подробностей про негодную организацию и разношерстного хлама?

Нормальная реализация это пара прог (сервер+клиент) с конфигом сервера типа такого

listen 1.2.3.4:6666
server_key server.key
auth_rules accounts.conf
preferred_ciphers ...
gateway_ip 192.168.55.1
clients_ip 192.168.55.2-192.168.55.255

connect 1.2.3.4:6666
server_key server.pubkey
client_key client.key
или client_account login:password
preferred_ciphers ...
default_route yes

l2tp/ipsec на это абсолютно не похоже, полная противоположность - нужна пачка прог, пачка портов невнятного назначения, пачка конфигов каждый из своей эпохи и своего формата, половина конфигов явное легаси из 90-х типа параметров сжатия заголовков ppp.

к сожалению всё в РФ находятся, у половины сотрудников wg не работает.

Как то странно, разные города? Разные провы но в одном городе вроде пашут без проблем.

причем у v1 была еще авторизация по xauth и паролю (в том же андроиде это есть). Без всяких l2tp. Правда считается менее секурно … чем v2.

В ipsec v2 уже все сразу. Причем мне не понятна его сложность по отошению к openvpn.

Понятия left*/right* не всем понятны и ip xfrm policy «немного» менее привычнее для большинства чем ip ro. Ну а если сюда докинуть вагон всяких ike, esp и других таймаутов, то его сложность при попытке подружить разносортные железки сильно возрастает.

Нормальная реализация это пара прог (сервер+клиент) с конфигом сервера типа

Ясно, вам нужна реализация с гуи интерфейсом в котором одна форма на которой красуется надпись «тебе уже зашибись».

Понятия left*/right*

Что бы народ не тупил когда соединяются в 2 сервера ;)

ip xfrm policy «немного» менее привычнее для большинства чем ip ro.

х.з. про что вы, это в современных ядрах на уровне ядра так что фиолетово по сути.

P.S. Глянул сейчас про ipsec хм, там сейчас сделали:

[root@comp1 ~]# ipsec newhostkey 
Generated RSA key pair with CKAID f7d0e... was stored in the NSS database
[root@comp2 ~]# ipsec showhostkey --left --ckaid f7d0e8 ...
	# rsakey AzEA...
	leftrsasigkey=05A... [....]

офигеть, и зачем понадбилось wg изобретать?

интересно как выглядит конфиг сервера в гуе, и вообще такое бывает?

NM с гнома48: https://ibb.co/jZJ6YjzB

ip xfrm policy «немного» менее привычнее для большинства чем ip ro.

х.з. про что вы, это в современных ядрах на уровне ядра так что фиолетово по сути.

Я про то, что ip ro != ip xfrm policy это разные вестчи.

Да я в курсе, в чем это реально выражается то? В чем неудобства?

NM с гнома48: https://ibb.co/jZJ6YjzB

Ничего незнаю, ничего не ведаю, с гуйни разве что всякие «коробочки» тыкал.