Benutzer-Werkzeuge

Webseiten-Werkzeuge

infrastruktur:host:dobby-setup

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
Nächste Überarbeitung		Vorherige Überarbeitung
infrastruktur:host:dobby-setup [03.02.2025 23:59] – [OPNSense Firewall fw01.nobreakspace.org] Linus Lüssinginfrastruktur:host:dobby-setup [15.02.2025 01:32] (aktuell) – [Netfilter Firewall] Linus Lüssing
Zeile 106: Zeile 106:
 nft add rule inet filter forward iifname "eth0" oifname "dn42_*" accept nft add rule inet filter forward iifname "eth0" oifname "dn42_*" accept
 nft add rule inet filter forward iifname "dn42_*" oifname "eth0" ct state established,related accept nft add rule inet filter forward iifname "dn42_*" oifname "eth0" ct state established,related accept
-nft add rule inet filter forward counter reject+nft add rule inet filter forward counter reject with icmpx type admin-prohibited
 </code> </code>
  
Zeile 216: Zeile 216:
                 * Description: ChaosVPN, neonetwork, Freifunk/ICVPN (via dn42)                 * Description: ChaosVPN, neonetwork, Freifunk/ICVPN (via dn42)
   * [ ]: Variante B) full BGP import von dobby, export Filter auf dobby (-> Routing: BGP)   * [ ]: Variante B) full BGP import von dobby, export Filter auf dobby (-> Routing: BGP)
-  * [ ]: DNS hinzufügen: https://dn42.dev/services/DNS+  * [x]: DNS hinzufügen: https://dn42.dev/services/DNS 
 +    * Services: Unbound DNS: Advanced: 
 +      * Private Domains: add "dn42" 
 +    * Services: Unbound DNS: Query Forwarding -> Custom forwarding, add: 
 +      * Enabled: yes 
 +      * Domain: dn42 
 +      * Address: fd42:d42:d42:54::
 +      * Description: dn42 DNS
 ===== Bird2 ===== ===== Bird2 =====
  
Zeile 399: Zeile 406:
  
         export filter { if is_valid_network() && source ~ [RTS_STATIC, RTS_BGP] then accept; else reject; };         export filter { if is_valid_network() && source ~ [RTS_STATIC, RTS_BGP] then accept; else reject; };
-        import limit 1000 action block;+        import limit 9000 action block;
     };     };
  
Zeile 412: Zeile 419:
         };         };
         export filter { if is_valid_network_v6() && source ~ [RTS_STATIC, RTS_BGP] then accept; else reject; };         export filter { if is_valid_network_v6() && source ~ [RTS_STATIC, RTS_BGP] then accept; else reject; };
-        import limit 1000 action block; +        import limit 9000 action block; 
     };     };
 } }
Zeile 525: Zeile 532:
         neighbor ${PEERIP6}%dn42_${PEERNAME}_wg as ${PEERASN};         neighbor ${PEERIP6}%dn42_${PEERNAME}_wg as ${PEERASN};
 } }
 +EOF
 </code> </code>
 +
 +Oder alternativ/präferiert via multiprotocol "extended next hop" (IPv4 via v6 next hop):
 +
 +<code>
 +$ cat << EOF > /etc/bird/peers/dn42-${PEERNAME}.conf
 +protocol bgp dn42_${PEERNAME}_v6 from dnpeers {
 +        neighbor ${PEERIP6}%dn42_${PEERNAME}_wg as ${PEERASN};
 +        
 +        ipv4 {
 +                extended next hop on;
 +        };
 +}
 +EOF
 +</code>
 +
 +Dann hat man lustige Routen wie diese:
 +
 +<code>
 +$ ip -4 route show prot bird via inet6 fe80::b
 +10.26.0.0/16 via inet6 fe80::b dev dn42_ffda_wg src 172.23.208.8 metric 32 
 +10.29.0.0/16 via inet6 fe80::b dev dn42_ffda_wg src 172.23.208.8 metric 32 
 +10.37.0.0/16 via inet6 fe80::b dev dn42_ffda_wg src 172.23.208.8 metric 32 
 +10.56.0.0/16 via inet6 fe80::b dev dn42_ffda_wg src 172.23.208.8 metric 32 
 +10.60.128.0/20 via inet6 fe80::b dev dn42_ffda_wg src 172.23.208.8 metric 32
 +...
 +</code>
 +
 +Und man benötigt keine IPv4 Adress Absprachen für den Wireguard Tunnel, für dn42-${PEERNAME}-wg.network.
infrastruktur/host/dobby-setup.1738627144.txt.gz · Zuletzt geändert: 03.02.2025 23:59 von Linus Lüssing

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution 4.0 International