Локалка между двумя квартирами

Причём тут гуи? Просто не надо легаси друг на друга докладывать и графоманию в конфигах разводить.

Да я в курсе, в чем это реально выражается то? В чем неудобства?

Для меня ни в чем, но вот «люди-то не в курсе» :) Хотя конечно вру, помниться было дело когда это всё занесли именно в ip, раньше было привычно рулить командами ipsec, а тут «фигак» и оно не работает, пришлось поднапрячься изучая новое :)

Я хз, давно юзал что то типа такого:

-A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport NNNN -j ACCEPT

а остально нафиг не нужно.

Причём тут гуи?

Это отсылка к вашему конфигу, вариация в виде «мне большего и не нужно». Но когда понадобиться соединить н-цать территориально разбросанных сетей по принципу все-ко-всем, то вот этот гуй уже перестанет быть таким простым. А когда железки на точках будут разные, то «этот гуй» уже может стать «вот совсем не простым». В этих гуях встречается, что написанное не соответствует действительности и это не на совсем ноунэмах, а на вполне известных названиях.

Я вам про роутинг, а вы мне про fw... мы о совершенно разных планетах похоже говорим.

Да я в курсе и сразу спрашивал зачем это может понадбится и как это можно применить?

Ограничить можно и фиреваллом.

Но когда понадобиться соединить н-цать территориально разбросанных сетей по принципу все-ко-всем

Так это другая задача. У автора задача очень простая - соединить два места, и «куча сетей без выделенного сервера» ему вряд ли когда-то понадобится. А если вдруг всё-таки понадобится - он сможет изучить более сложный инструмент тогда, а не заранее.

Тут можно было бы возразить в виде «зачем изучать два инструмента, когда можно изучить один который подойдёт везде» (и вроде бы это единственный аргумент). Возражу: прога в том виде, как её описал я, изучается за 5 минут, эти затраты времени можно не учитывать. То есть выбор между двумя вариантами:

1) для решения тривиальной задачи муторно изучаем сложный инструмент, в предположении что когда-то он нам понадобится, а потом прикостыливаем этот сложный инструмент к своей тривиальной задаче (примерно как получать права самой сложной категории для того чтобы сесть на мопед - а вдруг потом захочется фуры водить?)

2) за 5 минут решаем тривиальную задачу тривиальным способом и скорее всего больше ничего делать не надо, а если выпадет тот <1% где нужен сложный инстурмент - хорошо, изучим его для сложной задачи

И ещё добавлю. Для случая распределённого децентрализованного впн конфиг, конечно, придётся делать более сложный, но его всё равно можно сделать в едином стиле, без легаси и графомании, присущих упомянутой в начале дискусии конструкции.

А когда железки на точках будут разные

Ну это да, если железки не пойми какие, хорошие способы не поддерживают и придётся извращаться и подсовывать им то что они умеют. Но по-моему это надо не целью ставить а наоборот тем, от чего надо избавляться.

Да я в курсе и сразу спрашивал зачем это может понадбится и как это можно применить?

fw имхо для файрволинга усю жизнь было :) Да и обратите внимание волшебное "--dir in" это важный нюанс для ipsec, оно умеет разными маршрутами входящий и исходящий гнать.

Но когда понадобиться соединить н-цать территориально разбросанных сетей по принципу все-ко-всем

Так это другая задача. У автора задача очень простая - соединить два места

Ну и где в ваших конфигах хоть намек на эти «два места»?

Очевидно где - одно место это сервер с белым айпи, второе клиент с чем угодно.

Ну не скажи. МГТС например по дефолту даёт.

К спору выше: насколько просто поднять L2tp/ipsec на OpenWRT? Помню нагугливал, что там что-то не тривиальное.

А так как у ТС:

Что есть: 2 роутера на openWRT (Archer C6 v2); мало денег;

То ориентируемся на то, что работает на OpenWRT

https://openwrt.org/docs/guide-user/services/vpn/libreswan/openswanxl2tpvpn#deprecation_note

ТС молчит. Наверно, уже давно всё настроил.

у половины сотрудников wg не работает

им можно amneziawg поставить

навыки эникея;

не освоившего использования GPT?

МГТС один из десятков провов в плевке на карте этой страны.

Под «соединить два места» я подразумевал именно соединить, а не что бы одно место весь трафик гнало через другое.

куда жаловаться в таких случах обычному физ. лицу

Начать с провайдера. Дальше в роскомнадзор, внезапно.

мне не прятатся нужно, а работать. amneziawg это временное решение, через некоторое время тоже блочить начнут.

Причём тут «гнало весь трафик через другое»? Не надо default route прописывать и всё, и я там даже такую опцию написал. Но это был не проект готового конфига а пример, если что.

yggdrasil

1. Не умеет прокидывать локальные сети без туннелей поверх

2. Нет автоматического поиска пиров. Будет отваливаться периодически

3. Нет механизма пробития NAT

4. Меньшая безопасность, чем у других решений с аутентификацией на основе ключей. Т.к. ключ обрезается до длины ipv6 адреса

5. При использовании публичных пиров надо корректно настраивать firewall

По итогу не надо натягивать сову на глобус. Этот проект хорош как публичная меш сеть.

Для создания приватных сетей для своих устройств полно решений типа zerotier, tailscale и ещё кучи самохостящихся

Тут только жаловаться провайдерам и в ркн. У меня все работает. Wireguard это просто протокол, ничем не хуже других. Внутри России его не должны блокировать, в этом нет смысла

Не надо default route прописывать и всё, и я там даже такую опцию написал.

Написали:

и клиента типа такого
...
default_route yes

Но это был не проект готового конфига а пример, если что.

Видимо это пример из какой-то другой темы.

Нет механизма пробития NAT

А как у меня через сотового оператора работает?

Меньшая безопасность,

Можно подумать безопасность так сильно нужна для доступа к файлопомойке с фильмами.

Нет автоматического поиска пиров. Будет отваливаться периодически

Двух-трех штук прописывают явно,остальные вроде как сами ищутся.

В OpenWrt для связи между маршрутизаторами есть программа unetd - https://openwrt.org/docs/techref/unetd Описание возможностей выглядит очень интересно - работа через двойной NAT, автоматическая репликация настроек, но у меня не получилось с ее помощью сделать надежную связь между двумя сетями.

А как у меня через сотового оператора работает?

Через чужую ноду которую ты прописал в пирах. И две машины с серыми ip в разных географических точках напрямую у тебя трафик гонять не будут, только через публичных пиров.

В zero trust сетях типа zerotier/tailscale в первую очередь пробивается NAT, и только если это невозможно, то связь идёт через сторонний шлюз.

Сложно доверять ChatGPT в нынешних реалиях, если он даже при написании курсача не помог мне с MySQL, поэтому сидел и методично сам разбирался Здесь решил просто поступить чуть проще и спросить знающих людей, ибо с VPN кроме как аппки на телефоне не сталкивался в принципе (и на работе тоже не используем, нет необходимости, всё довольно консервативно и на WinServ2003-2008 вообще)

В общем всё равно пришёл к выводу что стоит проштудировать всё самостоятельно, и понял что в моём случае лучшим вариантом будет заменить хотя бы один роутер на что-нибудь, поддерживающее OpenVPN клиент, ибо на арчере можно реализовать только сервер, и лучше даже делать это на родной прошивке по всей видимости

Поскольку квартиры в рамках одного города, вроде как и не блокирует никто и ничего, то OpenVPN подойдёт

Если будут какие-то проблемы, то наверное займусь L2TP/ipsec, это как минимум интересно и познавательно

Дикой необходимости в реализации описанной мною забавы в данный момент - нет, поскольку сам сервер ещё в состоянии апгрейда и переформирования под полноценный NAS, так что и на подумать время есть, и на разобраться, в целом, тоже, а в моём случае так это вообще дико полезно, ибо двигаться как-то всё-таки надо

Всем спасибо!

Что за дурацкие придирки? Это был пример того, как бы мог выглядеть (в плане синтаксиса) конфиг-файл нормальной реализации нужной проги. Я нигде не писал что вот конкретно этот конфиг - посимвольно - это решение проблемы автора, это был ответ исключительно на вопрос, почему плох l2tp/ipsec. Ты ещё скажи что у автора айпи-адрес не 1.2.3.4 и соответственно этот конфиг не подойдёт. Разумеется, там могут быть и другие настройки опций, и другие названия опций, и даже какие-то другие опции которые я не написал, но в рамках общей показанной идеологии. Да и программы, которая принимает конфиг а таком формате, если что, не существует, повторю, это пример как бы она могла выглядеть.

абсолютно согласен, думал по первости, по ошибке глушили, но нет глушат до сих пор.

L2TP/ipsec, это как минимум интересно и познавательно

и устарело несколько лет назад

https://rkn.gov.ru/press/news/news74921.htm

найти именно на медиатеке

Cudy WR3000S

У Netis nx31 железо примерно такое же как у Xiaomi AX3000T, на озоне он сейчас даже дешевле.

Наверное самое дешевое решение это белый IP на первой хате. Сей вопрос не дорог.

Ну не скажи. МГТС например по дефолту даёт.

Не знаю что там у вас МГТС дает, у меня было вот так:

После пяти звонков в ТП, наконец-то соединили хоть с кем-то кто знал что такое ipv6. Остальные говорили что у них такого нет, и быть не может. На шестой раз ответили что у них эта услуга тестовая, и что они, внезапно, НАТят ipv6 (выдают адреса fe80::) и не дают реальных адресов. И более того, они заявляют что если я у них покупаю белый ipv4, то ipv6 мне не положен. Как это связано никто в ТП так и не смог ответить.

З.Ы. Было это примерно полгода назад.

У опсосов дорогие IP. У кабельных копейки.

У нормальных провайдеров белый айпи включен в стоимость.

<Бред.

Новости великой ipv6-державы

МТС смотрит на тебя с недоумением

Докажи.

У Netis nx31

Даже разницу не нашёл, но что-то дико непопулярный несмотря на официальную поддержку и на 4пда треть ветки - возня с кирпичами

Чтобы ты не надрывался подумай что такое «серый» айпи. По сути это тот же белый из списка адресов, которые выкупил провайдер под свой домен, вот только тебе его дают динамически и требуют денег за ничегонеделание с белым айпишником. Вот тебе и бред с манерами каннибалов. За белый айпи заплати, за раздачу заплати - это выдумки каннибалов, а не людей.

По сути это тот же белый из списка адресов

Нет.

Начать с провайдера. Дальше в роскомнадзор, внезапно.

ISP справедливо ответит, что проблемы на удаленном узле (обращайтесь туда).
Хорошо, возьмем ТП хостера: на основании какого документа или закона они обязаны решать проблемы, потенциально связанные с РКН? AFAIK такой обязанности регулятор ни на хостеров, ни на ISP не наложил.

Дальше в роскомнадзор, внезапно.

Очень внезапно. Представим себе, что каждый пользователь интернета при любых неполадках будет обращаться в РКН. Очевидно это неработоспособное решение. Пользователю следует обращаться к поставщику услуг, где квалифицированный специалист произведет первичный анализ проблемы и при необходимости сформирует запрос в РКН. Но если у поставщика услуг такой обязанности (по договору или закону) нет, то заниматься таким он не будет.

каждый пользователь интернета при любых неполадках будет обращаться в РКН

А в чём проблема? Это такое же ведомство как и любое другое. И почему при любых? Ты тупой или специально передёргиваешь? Я тебе русским языком сказал сначала к провайдеру. Но вроде бы эту часть ты понял, значит не совсем тупой.

Пользователю следует обращаться к поставщику услуг

ISP справедливо ответит

Ты уже как-то определись в какую сторону воюешь. То у тебя провайдер пошлёт подальше, то через абзац ты повторяешь ровно то, что я и предложил.

если у поставщика услуг такой обязанности (по договору или закону) нет

А что, другие формы управления и взаимодействия кроме как из-под палки тебе не знакомы?

Что за дурацкие придирки? Это был пример того, как бы мог выглядеть (в плане синтаксиса) конфиг-файл нормальной реализации нужной проги.

Я художник, я так вижу...
Ясно.

L2TP/ipsec, это как минимум интересно и познавательно

и устарело несколько лет назад

Устарело в каком именно месте? Вот беру в руки смаратафон одной фруктовой компании произведенный 4-е года назад, варианты VPN: IKEv2, IPsec и L2TP, на этом как бэ всё.

Чего нет? Айпи адреса закупаются в определенном диапазоне и в нем же и выдаются, а не просто от балды - именно так банят к примеру китайские ботнеты. Просто кому-то хочется закрыть глаза на правду что им сознательно чего-то недодают.

Серый/белый адрес никак с его динамичностью не связаны, это другое. Серый адрес как раз не из закупленных адресов, из интернета его напрямую не видно.

Это значит что указанная компания дремуча и суёт в свои устройства всякое легаси.