Подписаться

Кто-то прлбовал скрестить adguard home(докер) + openvpn(натив) в плане правильного отображение ip клиента, вместо сервера для всех клиентов

конфиг сервера
local <server ip>
port 666
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
server-ipv6 fddd:1194:1194:1194::/64
push "redirect-gateway def1 ipv6 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 10.8.0.1"
"dhcp-option DNS 185.12.64.1"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify
sndbuf 0
rcvbuf 0
push "sndbuf 524288"
push "rcvbuf 524288"

@kitanit в конфигурации openvpn клиентской указан внутренний или внешний dns. И указан ли вообще ?

@kurator88
тянет от сервера push "dhcp-option DNS 10.8.0.1" (tun)

@Lafiel @kurator88
Ну считай каждый клиент имеет ipv4 внешний один и тот же, внутри уже разные(причемстатчные), то есть натом назвать можно 🤔

@kitanit @kurator88
Тогда получается, что все запросы приходят с одного IP адреса, что и отображается в статистике.

@Lafiel @kurator88
Не почему не обращатся с локального ip в локальный dns(порт dns закрыт, так что все и так на бумаге должно идти в локалке):thinker:

@Lafiel @kurator88
То есть вот конфиг, и dns ip так же локальный
social.securetown.top/@kitanit
(Конечно можно смирится и кинуть дело но вдруг есть простое решение, ибо фаервола для заворота костылей нет в системе, он стоит на левеле сети)

@kitanit @kurator88
Если AdGuard крутится в отдельном Docker контейнере в другой подсети... Будет сложнее сделать. Могу ошибаться. Я не знаю как там у тебя организована внутренняя сеть.

@kitanit @kurator88
Тебя надо добиться двух-сторонней связи по сети между AdGuard и клиентами.
Возможно, придётся вытаскивать AdGuard из контейнера.

@Lafiel @kurator88
Вот то же об этом думал, но вариань в зло себе, так что воздержусь :troled:
Может когда-то разбогатею на выделенный мелкий сервер для vpn

@Lafiel @kurator88
Да он крутится у подсети докера, а vpn в своем tun'е :troled:

@Lafiel @kurator88
Кажется проще повеится ибо напомню из преведущий сообщений фаерволл в системе не предусмотрен по причинам макчимальной докеризации и гибкости через центральную вебню :troled:

@Lafiel @kurator88
Когда наступит прыжок в IT когда вещи просто будут работать без костылей :blobcatcomfangery:

@kitanit @Lafiel когда ты перестанет использовать костыли для продакшена :blobcatcoffee:

Два сервиса в докере в разных сетях, один из которых работает с виртуальным интерфейсом :AAAAAA:

@kurator88 @Lafiel
*1 в докере
**второй нет
***почему?
****потому что без докера бвстрее на мизер
*****зачем быстрее?
******дабы мог стримить игрулки и другие сервисы с низкой задержкой

@Lafiel @kurator88
Кстати про маршруты, в теории моня вынести джокер в сеть host, нужно будет попробовать в дев машине :thinker:

@kitanit @kurator88
Выкинь докер, настрой сервисы без него.
А файервол в любом случае нужен.

@Lafiel @kurator88
Я бы может и подумал, но с учетом вагона дел которые едят время и уменьшения ебли в 202929 раз как при работе так и обновлении и депое это того стоит, а так же очень удобная миграция :troled:

@kitanit @kurator88
Только вот в твоём случае возникают проблемы с настройкой сети.

@Lafiel @kurator88
А по поводу огненой стены она стоит на сетке и управляется вебней что в данном случае важно

@Lafiel @kurator88
host и смена бинда портов дабы не давить nginx и все работает :blobcataww:

@Lafiel @kurator88
стоп оно работает но не работает, отображает теперь только 1 локальный ip, это вообще законно, как ты видишь только локальную подсеть но не юзеров

@kitanit @kurator88
Вероятно что до сих пор все запросы из локальной подсети проходят через NAT.

@Lafiel @kurator88
итак вопрос на миллиард, а как мастодон без хост мода видит ip локалки vpn причем абсолютно правильно

@kitanit @kurator88
А там в nginx используется переменная proxy_set_header X-Real-IP $remote_addr.

@Lafiel @kurator88
а разве он не должен выдавать все равно внешний ip :thinker:

@Lafiel @kurator88
а ну да там была по дефолту анонимизация ip и он из-за совпадения 10.8.0.0 сложил все как 1 устройство, теперь все работает

@kitanit @kurator88
Он передаёт IP адрес устройства, с которого пришёл запрос на nginx. Если устройство находится за NAT, то передаст IP адрес NAT устройства.

@kitanit @Lafiel я потому и спрашивал про dns в конфиге.

Клиенты ходят в adguard когда уже вышли из vpn сети, а их нужно внутри перенаправлять.

Но я не настоящий сварщик

Войдите, чтобы принять участие в дискуссии
Social|SecureTown

Социальная сеть будущего: никакой рекламы, слежки корпорациями, этичный дизайн и децентрализация! С Mastodon ваши данные под вашим контролем.