Это, конечно, пальцем в небо, но подозреваю это происходит из-за задержки в поднятии zt интерфейсов. Они банально стартуют позже инициализации pbr. Проблема решается созданием пустого моста, в который добавляется zt интерфейс. Все настройки pbr делаются для этого моста.
Не совсем понятно к чему вы готовитесь с такими сложностями, но для описанного выше юзкейза все это просто не нужно. Даже если заблокируют на время, или даже на постоянку, без российских сайтов, которые блокируют заграничных пользователей можно вполне и обойтись.
Вся эта конструкция, исключительно для удобства. А не для обхода блокировок органов же.
Блокировать корневые сервера относительно бесполезно, т.к. сделать зеркало на VPS можно. Это вроде даже DNAT-ом/SNAT-ом сделать можно. Но, конечно, кастомный адрес для пира прописывается в конфиге. Так что, да, не zero conf, конечно, будет уже.
Так что, недостаток не настолько фатальный. Но, я сомневаюсь что до этого дойдет. В конце концов, в РФ вроде не VPN запрещен, а обход блокировок с помощью VPN. Мы же тут, вообще, решаем обратную задачу. Роутим российский трафик через российский хостинг чтобы нормально пользоваться российскими сайтами из-за бугра.
Да. Все верно. WG тут исключение из правил, он быстрее, и идеально подходит для создания постоянных L3 тоннелей на слабых роутерах. И, если бы он умел L2 тоннели, было бы совсем хорошо. Правда, все не на столько плохо у остальных VPN-ов, т.к. в ядро можно сходить сразу за большой пачкой пакетов за раз, а не за каждым отдельно. Но, накладные расходы, конечно, все равно выше.
Но, на x86 железе ZT узким местом не становится. Так что, для моего юзкейза не принципиально. И, предпочтение было отдано функциональности и простоте настройки.
ZT исповедует принцип полного отсутствия конфигурации (zero config). Его не надо настраивать на роутере совсем. Только установить. Что удобно.
Спасибо за статью. Очень обстоятельно и понятно написано.
Жаль, что не было такой раньше, так что, пришлось разбираться самому. За пару дней осилил, и пришел к конфигурации почти идентичной вашей.
Однако, получилось несколько отличий.
В качестве домашнего маршрутизатора я использую виртуальную машину на x86 сервере. Обычный libvirt/qemu. Туда прекрасно встал образ OpenWRT для ПК.
На VPS хостинг где должен стоять VPN сервер тоже залит x86 образ OpenWRT. Исключительно из-за компактности, простоты настройки и нетребовательности по ресурсам.
Вместо WG, я использую ZeroTier в режиме Ethernet моста без автоконфигурации IP. В этом случае VPNы выглядят как обычные Ethernet интерфейсы, и, соответственно настраиваются. Это удобно.
Судя по картинке, для формирования диаграмм направленности эта точка доступа использует 16 независимых антенн.
Я, прямо таки, представил, как пользователь устанавливает у себя на мачте решетку из 16 антенн, а, потом, к нему приезжают уполномоченные сотрудники с вопросом, зачем ему понадобился персональный микроволновый радар?
Это же сетевики. Сетевикам выгодно, чтобы росла потребность в скоростных сетях. Так что, иконки по мегабайту, это, скорее, даже, "коммерческая стратегия".
Вместо второго телефона можно просто централизованно запустить Андроид в Облаке, и, сделать под Аврору "тонкий клиент". Это, чтобы не запускать на самом телефоне "недоверенные приложения из сомнительных источников". Но, при этом, иметь возможность ими пользоваться при необходимости.
Заодно, получится целый рынок услуг виртуализации Андроид-приложений, и, можно монетизировать разработку Авроры)
ID оборудования встроенного в материнку может измениться при обновлении BIOS. И, в случае ноутбуков, это особенно справедливо.
Например, производитель ноутбука поставляет встроенную видеокарту с кастомным драйвером, VBIOS и ID. Через пару лет нужные фичи уже поддерживаются в стандартном драйвере и они перепрошивают VBIOS на стандартный и меняют на стандартный ID оборудования.
Я, в свое время, намучился с заменой мелких, шумных, и, часто выходящих из строя, вентиляторов, у которых еще и разъемы не самые стандартные, настолько, что последнюю систему принципиально собрал без мелких вентиляторов. Это было одном из определяющих факторов при выборе материнской платы, и даже, вообще платформы.
Как результат, учитывая мои задачи, я отказался вообще от Thread Ripper и ушел в сторону EPYC. Там проблем с поиском материнских плат на чисто пассивном охлаждении не было.
Понятно, что совсем без вентиляторов нельзя, но достаточное количество крупных, тихих и медленных вентиляторов в корпусе обеспечивает достаточный поток воздуха для пассивного охлаждения VRM. При этом, они не производят того шума, что может выдавать даже один мелкий вентилятор.
В итоге удалось собрать очень удачную, и, достаточно тихую систему на EPYC 7773X. Чисто на вентиляторах. Без водянки.
Чем меньше вентилятор тем больше шумит. Чем толще вентилятор, в общем случае, тем он эффективнее при эквивалентной скорости вращения. Чем больше скорость вращения, тем больше шума.
В общем, их можно сделать более-менее тихими. Но, в этом случае, их эффективность будет крайне низка. На столько, что, в перспективе, можно заменить просто радиатором, что и делают, как выше написано.
Но, есть момент, при использовании водянки без них может быть нельзя, т.к. пассивные радиаторы без потока воздуха от вентилятора ЦП, будут тоже крайне неэффективны.
А, еще, вентиляторы ненадежны, и, их надо часто чистить, т.к. они собирают много пыли.
Это, конечно, пальцем в небо, но подозреваю это происходит из-за задержки в поднятии zt интерфейсов. Они банально стартуют позже инициализации pbr. Проблема решается созданием пустого моста, в который добавляется zt интерфейс. Все настройки pbr делаются для этого моста.
Не совсем понятно к чему вы готовитесь с такими сложностями, но для описанного выше юзкейза все это просто не нужно. Даже если заблокируют на время, или даже на постоянку, без российских сайтов, которые блокируют заграничных пользователей можно вполне и обойтись.
Вся эта конструкция, исключительно для удобства. А не для обхода блокировок органов же.
Блокировать корневые сервера относительно бесполезно, т.к. сделать зеркало на VPS можно. Это вроде даже DNAT-ом/SNAT-ом сделать можно. Но, конечно, кастомный адрес для пира прописывается в конфиге. Так что, да, не zero conf, конечно, будет уже.
Так что, недостаток не настолько фатальный. Но, я сомневаюсь что до этого дойдет. В конце концов, в РФ вроде не VPN запрещен, а обход блокировок с помощью VPN. Мы же тут, вообще, решаем обратную задачу. Роутим российский трафик через российский хостинг чтобы нормально пользоваться российскими сайтами из-за бугра.
Да. Все верно. WG тут исключение из правил, он быстрее, и идеально подходит для создания постоянных L3 тоннелей на слабых роутерах. И, если бы он умел L2 тоннели, было бы совсем хорошо. Правда, все не на столько плохо у остальных VPN-ов, т.к. в ядро можно сходить сразу за большой пачкой пакетов за раз, а не за каждым отдельно. Но, накладные расходы, конечно, все равно выше.
Но, на x86 железе ZT узким местом не становится. Так что, для моего юзкейза не принципиально. И, предпочтение было отдано функциональности и простоте настройки.
ZT исповедует принцип полного отсутствия конфигурации (zero config). Его не надо настраивать на роутере совсем. Только установить. Что удобно.
Спасибо за статью. Очень обстоятельно и понятно написано.
Жаль, что не было такой раньше, так что, пришлось разбираться самому. За пару дней осилил, и пришел к конфигурации почти идентичной вашей.
Однако, получилось несколько отличий.
В качестве домашнего маршрутизатора я использую виртуальную машину на x86 сервере. Обычный libvirt/qemu. Туда прекрасно встал образ OpenWRT для ПК.
На VPS хостинг где должен стоять VPN сервер тоже залит x86 образ OpenWRT. Исключительно из-за компактности, простоты настройки и нетребовательности по ресурсам.
Вместо WG, я использую ZeroTier в режиме Ethernet моста без автоконфигурации IP. В этом случае VPNы выглядят как обычные Ethernet интерфейсы, и, соответственно настраиваются. Это удобно.
Судя по картинке, для формирования диаграмм направленности эта точка доступа использует 16 независимых антенн.
Я, прямо таки, представил, как пользователь устанавливает у себя на мачте решетку из 16 антенн, а, потом, к нему приезжают уполномоченные сотрудники с вопросом, зачем ему понадобился персональный микроволновый радар?
Скорее всего, подразумевается потребление энергии в idle/background режиме благодаря LP-E ядрам.
Это же сетевики. Сетевикам выгодно, чтобы росла потребность в скоростных сетях. Так что, иконки по мегабайту, это, скорее, даже, "коммерческая стратегия".
Заземление подключено на корпус болтами! Все в норме!
https://ubuntu.com/engage/android-on-arm-whitepaper
Данные бывают секретными, а, бывают не секретными. И, в недоверенном приложении секретных данных быть по определению не должно.
Но, на секретно-защищенном смартфоне ставить приложение нельзя. Потому что оно секретные данные сольет.
Вот и решается проблема доступа к не секретным данным во вражеском приложении методом установки на не секретный чужой компьютер))))
В этом смысл. "Недоверенные" приложения которые "текут на сторону" лучше, как раз, запускать на "чъем-то компьютере" вместо своего телефона)))
Вместо второго телефона можно просто централизованно запустить Андроид в Облаке, и, сделать под Аврору "тонкий клиент". Это, чтобы не запускать на самом телефоне "недоверенные приложения из сомнительных источников". Но, при этом, иметь возможность ими пользоваться при необходимости.
Заодно, получится целый рынок услуг виртуализации Андроид-приложений, и, можно монетизировать разработку Авроры)
Последние пару недель у меня наблюдается следующее поведение в поисковой строке Гугл в Firefox под Windows:
Открываем Гугл, вводим запрос. Ищем. Меняем запрос. Снова ищем. В момент повторного нажатия на кнопку поиска происходит фриз. Рандомно.
Как бы это не оно. Надо проверить.
Да, было бы не плохо.
Нашел вот это: https://wiki.nftables.org/wiki-nftables/index.php/GeoIP_matching#dbip.csv
В принципе, стало понятно, как помечать трафик.
Не совсем понимаю, как использовать кастомный маршрут на основе метки. Может подскажете эту часть?
Не поделитесь ссылками на инструкции?
Другие примеры:
включение/выключение встроенного raid/ahci после обновления BIOS.
добавление поддержки USB4.
в BIOS есть целый набор эмулируемых девайсов у которых может поменяться ID.
Одновременное изменение части этого в некоторых сочетаниях может привести к сбросу активации.
ID оборудования встроенного в материнку может измениться при обновлении BIOS. И, в случае ноутбуков, это особенно справедливо.
Например, производитель ноутбука поставляет встроенную видеокарту с кастомным драйвером, VBIOS и ID. Через пару лет нужные фичи уже поддерживаются в стандартном драйвере и они перепрошивают VBIOS на стандартный и меняют на стандартный ID оборудования.
Я, в свое время, намучился с заменой мелких, шумных, и, часто выходящих из строя, вентиляторов, у которых еще и разъемы не самые стандартные, настолько, что последнюю систему принципиально собрал без мелких вентиляторов. Это было одном из определяющих факторов при выборе материнской платы, и даже, вообще платформы.
Как результат, учитывая мои задачи, я отказался вообще от Thread Ripper и ушел в сторону EPYC. Там проблем с поиском материнских плат на чисто пассивном охлаждении не было.
Понятно, что совсем без вентиляторов нельзя, но достаточное количество крупных, тихих и медленных вентиляторов в корпусе обеспечивает достаточный поток воздуха для пассивного охлаждения VRM. При этом, они не производят того шума, что может выдавать даже один мелкий вентилятор.
В итоге удалось собрать очень удачную, и, достаточно тихую систему на EPYC 7773X. Чисто на вентиляторах. Без водянки.
Чем меньше вентилятор тем больше шумит. Чем толще вентилятор, в общем случае, тем он эффективнее при эквивалентной скорости вращения. Чем больше скорость вращения, тем больше шума.
В общем, их можно сделать более-менее тихими. Но, в этом случае, их эффективность будет крайне низка. На столько, что, в перспективе, можно заменить просто радиатором, что и делают, как выше написано.
Но, есть момент, при использовании водянки без них может быть нельзя, т.к. пассивные радиаторы без потока воздуха от вентилятора ЦП, будут тоже крайне неэффективны.
А, еще, вентиляторы ненадежны, и, их надо часто чистить, т.к. они собирают много пыли.