Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26 juillet 2023 RogerT a écrit : > As-tu un retour solide sur Thunderbird et Evolution, de la part d’utilisateurs > d’Outlook et des outils d’Apple ? (C’est parfait/c’est passable/ç’est pas très > agréable/ce n’est pas très productif, etc.) La base installée est solide, pruve que nombre de personnes y trouvent leur compte. Et ces logiciels respectent les RFC. Et de toute façon ça ne peut qu'être mieux que outlook. > J’utilise apt et apt-get dont je suis satisfait (avec quelques commandes dpkg > pour divers cas). > Je n’ai jamais utilisé aptitude qui ne m’a jamais été proposé à > l’installation de debian. Oui pareil, mais j'ai toujours eu la flemme de me plonger dans les man apt/apt-get/dpkg pour (re)trouver les paramètres qui vont bien (et qui existent je le sais) pour lister les catégories :/
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 13:47, Michel Verdier a écrit : > > Le 26 juillet 2023 RogerT a écrit : > >> J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des >> messages…). Je n’ai pas encore trouvé la manière de le configurer >> correctement >> pour ça. Mon vieil Outlook me semble plus familier > > Pour rester dans le libre et, j'ose espérer, sur debian, tu as > thunderbird oui et evolution, les 2 visent à cloner outlook. > Pour les messageries légères tu as l'embarras du choix : claws-mail, > sylpheed, etc. Le mieux c'est de prendre aptitude, ou le gestionnaire > gnome, qui te liste clairement par catégorie et tu trouveras ton bonheur. > (bon le bonheur pour moi s'appelle gnus :) désolé pour mutt) > Avec la concision de Michel, même plus besoin de créer un fil « Quel client de messagerie ?… » ! L’essentiel est dit. Merci. As-tu un retour solide sur Thunderbird et Evolution, de la part d’utilisateurs d’Outlook et des outils d’Apple ? (C’est parfait/c’est passable/ç’est pas très agréable/ce n’est pas très productif, etc.) J’utilise apt et apt-get dont je suis satisfait (avec quelques commandes dpkg pour divers cas). Je n’ai jamais utilisé aptitude qui ne m’a jamais été proposé à l’installation de debian. Je vois Synaptics installé avec mon DE gnome. Ça doit être le gestionnaire gnome dont tu parles. Je n’y mets jamais les pieds. Mais je vais le visiter s’il permet de fouiller facilement dans les paquets. Merci.
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 13:47, steve a écrit : > > Le 26-07-2023, à 13:26:09 +0200, RogerT a écrit : > >> >> Le 26 juil. 2023 à 12:54, NoSpam a écrit : >>> >>> Le 26/07/2023 à 12:42, RogerT a écrit : J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des messages…). Je n’ai pas encore trouvé la manière de le configurer correctement pour ça. Mon vieil Outlook me semble plus familier >>> Ici c'est thunderbird, aucun problème. >>> >> Avec le réglage fourni à l’installation, ou encore avec un savant réglage ? > > Un logiciel publié avec des valeurs par défaut ne va jamais répondre à > tous les cas d'usage possibles et imaginables. Il faut donc passer un > peu de temps à le régler pour qu'il réponde à ses propres besoins. > > Est-ce que cela répond à ta question ? > Non ! Je n’aime pas trop les logiciels livrés avec des défauts…! Simplement pour ajouter le répertoire de la liste debian France, en plus du répertoire de ma boite de réception, j’ai du chercher comment l’ajouter. Mon vieil Outlook que je connais pas coeur me permet d’être très productif sur quelques comptes. Quand j’y ajoute un compte de messagerie en IMAP, il ne me dissimule pas les répertoires sauf la boîte de réception, sans me proposer de les afficher/publier. J’y accède immédiatement. Je sens que ça va susciter la création d’un nouveau fil de discussion… comme : « Quel client de messagerie aujourd’hui réunit le meilleur de ce qui existe, pour des utilisateurs exigeants et habitués aux logiciels Apple et MS ? »
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26-07-2023, à 13:47:14 +0200, Michel Verdier a écrit : (bon le bonheur pour moi s'appelle gnus :) désolé pour mutt) (je me lance… nan ;-))
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26 juillet 2023 RogerT a écrit : > J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des > messages…). Je n’ai pas encore trouvé la manière de le configurer correctement > pour ça. Mon vieil Outlook me semble plus familier Pour rester dans le libre et, j'ose espérer, sur debian, tu as thunderbird oui et evolution, les 2 visent à cloner outlook. Pour les messageries légères tu as l'embarras du choix : claws-mail, sylpheed, etc. Le mieux c'est de prendre aptitude, ou le gestionnaire gnome, qui te liste clairement par catégorie et tu trouveras ton bonheur. (bon le bonheur pour moi s'appelle gnus :) désolé pour mutt)
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26-07-2023, à 13:26:09 +0200, RogerT a écrit : Le 26 juil. 2023 à 12:54, NoSpam a écrit : Le 26/07/2023 à 12:42, RogerT a écrit : J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des messages…). Je n’ai pas encore trouvé la manière de le configurer correctement pour ça. Mon vieil Outlook me semble plus familier Ici c'est thunderbird, aucun problème. Avec le réglage fourni à l’installation, ou encore avec un savant réglage ? Un logiciel publié avec des valeurs par défaut ne va jamais répondre à tous les cas d'usage possibles et imaginables. Il faut donc passer un peu de temps à le régler pour qu'il réponde à ses propres besoins. Est-ce que cela répond à ta question ?
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 12:54, NoSpam a écrit : > > >> Le 26/07/2023 à 12:42, RogerT a écrit : >> J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des >> messages…). Je n’ai pas encore trouvé la manière de le configurer >> correctement pour ça. Mon vieil Outlook me semble plus familier > Ici c'est thunderbird, aucun problème. > Avec le réglage fourni à l’installation, ou encore avec un savant réglage ?
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26-07-2023, à 12:42:56 +0200, RogerT a écrit : PS : Actuellement, ne fait-on pas du middle posting (ou interleaved posting) ? (si le bottom posting consiste à répondre entièrement en dessous du message précédent). On répond sous le texte auquel on veut répondre, peu importe qu'il en reste au-dessous, on peut appeler cela du correct-posting si tu veux :)
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26/07/2023 à 12:42, RogerT a écrit : J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des messages…). Je n’ai pas encore trouvé la manière de le configurer correctement pour ça. Mon vieil Outlook me semble plus familier Ici c'est thunderbird, aucun problème.
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 12:26, steve a écrit : > >> Mon client webmail zimbra.free.fr ne respecte apparemment pas >> correctement l’indentation et le retour à la ligne, sauf en texte brut. > > Participer à une liste de diffusion Debian (mais pas que) avec un > webmail est un exercice pour le moins sportif … ;-) Oui. Ce webmail crée même des fils de discussion distincts ! (perte d’identifiant de message ?) > >> Mon client de smartphone respecte l’indentation. > > Lequel est-ce ? iOS Apple Mail (que j’utilise ici pour répondre). J’ai ressorti Thunderbird pour voir si ça aidait à la mise en forme (des messages…). Je n’ai pas encore trouvé la manière de le configurer correctement pour ça. Mon vieil Outlook me semble plus familier PS : Actuellement, ne fait-on pas du middle posting (ou interleaved posting) ? (si le bottom posting consiste à répondre entièrement en dessous du message précédent).
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26-07-2023, à 11:56:20 +0200, RogerT a écrit : Merci de ton retour. En effet, je crois qu’on aborde des points utiles pour beaucoup en matière de réseau. Oui, c'est très intéressant, et Michel amène beaucoup et de manière très claire, merci à lui.l Top posting : ok. tu voudrais du bottom-posting où les échanges se succèdent avec le plus ancien en bas. Oui, c'est en effet ce qui se fait fait très largement. Les avantages ne sont plus à démontrer Bonne conduite. Je ne crois pas qu’il y ait eu de mauvaise conduite ! En effet vous savez vous tenir :) Le terme utilisé ici est très général. Mon client webmail zimbra.free.fr ne respecte apparemment pas correctement l’indentation et le retour à la ligne, sauf en texte brut. Participer à une liste de diffusion Debian (mais pas que) avec un webmail est un exercice pour le moins sportif … ;-) Mon client de smartphone respecte l’indentation. Lequel est-ce ? Quel client de messagerie recommandes-tu (recommandez-vous) qui fasse correctement une mise en forme idéale pour une liste de discussion ? J'utilise mutt et vim pour la rédaction, mais c'est très personnel. Beaucoup le font pas trop mal, mais il faut passer un peu de temps sur la configuration pour obtenir ce que l'on recherche… Y a-t-il autre chose à corriger ? C'est bien d'effacer tout ce qui n'est plus utile dans un échange, cela clarifie le discours, mais de nouveau ça prend un peu de temps. J'essaie toujours de me mettre à la place de mes lecteurs quand je rédige, ça aide à structurer son texte. Merci pour l'ouverture d'esprit ! s.
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 11:58, Michel Verdier a écrit : > > Le 26 juillet 2023 steve a écrit : > >> Cette conversation est très intéressante, malheureusement le top-posting >> et le formatage de ces échanges rendent son suivi difficile. Serait-il >> possible de faire quelques efforts pour respecter un minimum les règles >> énoncées ici >> >> https://www.debian.org/MailingLists/ >> >> et ici >> >> https://www.debian.org/code_of_conduct >> >> Merci d'avance. > > +1 > Quelles améliorations spécifiques suggères-tu ?
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
Le 26 juillet 2023 steve a écrit : > Cette conversation est très intéressante, malheureusement le top-posting > et le formatage de ces échanges rendent son suivi difficile. Serait-il > possible de faire quelques efforts pour respecter un minimum les règles > énoncées ici > > https://www.debian.org/MailingLists/ > > et ici > > https://www.debian.org/code_of_conduct > > Merci d'avance. +1
Re: Code de conduite [Was: Re: Comment router le trafic réseau finement]
> Le 26 juil. 2023 à 11:41, steve a écrit : > > Bonjour, > > Cette conversation est très intéressante, malheureusement le top-posting > et le formatage de ces échanges rendent son suivi difficile. Serait-il > possible de faire quelques efforts pour respecter un minimum les règles > énoncées ici > > https://www.debian.org/MailingLists/ > > et ici > > https://www.debian.org/code_of_conduct > > Merci d'avance. > > s. Bonjour, Merci de ton retour. En effet, je crois qu’on aborde des points utiles pour beaucoup en matière de réseau. Top posting : ok. tu voudrais du bottom-posting où les échanges se succèdent avec le plus ancien en bas. Bonne conduite. Je ne crois pas qu’il y ait eu de mauvaise conduite ! Mon client webmail zimbra.free.fr ne respecte apparemment pas correctement l’indentation et le retour à la ligne, sauf en texte brut. Mon client de smartphone respecte l’indentation. Quel client de messagerie recommandes-tu (recommandez-vous) qui fasse correctement une mise en forme idéale pour une liste de discussion ? Y a-t-il autre chose à corriger ? Merci.
Code de conduite [Was: Re: Comment router le trafic réseau finement]
Bonjour, Cette conversation est très intéressante, malheureusement le top-posting et le formatage de ces échanges rendent son suivi difficile. Serait-il possible de faire quelques efforts pour respecter un minimum les règles énoncées ici https://www.debian.org/MailingLists/ et ici https://www.debian.org/code_of_conduct Merci d'avance. s.
Re: Comment router le trafic réseau finement
Voilà ! C’est intéressant de te lire pour comprendre qu’on peut faire des choses très complètes en restant simple avec des outils « de base » et fiables. Justement pour « router le trafic réseau finement », qui est l’objet de ce fil. Ça commence par les interfaces. Ma situation illustre bien le risque de l’automatisation d’une installation de poste de travail avec DE et autres outils systemd ou autre. Avec le problème de doc et les tutos fumeux, il faut faire un important effort pour revenir à l’essentiel. Merci encore pour tous tes retours. > Le 26 juil. 2023 à 11:02, NoSpam a écrit : > > >> Le 26/07/2023 à 10:54, RogerT a écrit : >> [...] >> >> Je voulais juste savoir si tu connaissais un inconvénient à utiliser >> systemctl enable plutôt que ifupdown. >> C’est tout. >> Ça m’intéresse aussi de savoir si on peut vivre sans systemctl ! > > Comme déjà écris précédemment, pourquoi utiliser X outils pour faire la même > chose. Tu utilises NM, systemctl et que sais je encore pour monter tes > interfaces, je n'utilise que ifupdown pour le même travail et qui de plus est > compatible avec cloud-init. Aussi, j'utilise principalement ipv6, je dois > donc faire passer ipv4 via ipv6: encore un argument pour gérer via des > scripts perso. > > [...] Le 26 juil. 2023 à 10:45, NoSpam a écrit : >>> >>> Le 26/07/2023 à 10:40, RogerT a écrit : [...] Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc. >>> Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui >>> gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ... [...] >> Le 26 juil. 2023 à 10:22, NoSpam a écrit : > >> Le 26/07/2023 à 10:17, RogerT a écrit : >> [...] >> >> Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un >> service enabled ? > Qu'est ce que cela à voir dans l'histoire ? > >
Re: Comment router le trafic réseau finement
Le 26/07/2023 à 10:54, RogerT a écrit : [...] Je voulais juste savoir si tu connaissais un inconvénient à utiliser systemctl enable plutôt que ifupdown. C’est tout. Ça m’intéresse aussi de savoir si on peut vivre sans systemctl ! Comme déjà écris précédemment, pourquoi utiliser X outils pour faire la même chose. Tu utilises NM, systemctl et que sais je encore pour monter tes interfaces, je n'utilise que ifupdown pour le même travail et qui de plus est compatible avec cloud-init. Aussi, j'utilise principalement ipv6, je dois donc faire passer ipv4 via ipv6: encore un argument pour gérer via des scripts perso. [...] Le 26 juil. 2023 à 10:45, NoSpam a écrit : Le 26/07/2023 à 10:40, RogerT a écrit : [...] Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc. Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ... [...] Le 26 juil. 2023 à 10:22, NoSpam a écrit : Le 26/07/2023 à 10:17, RogerT a écrit : [...] Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ? Qu'est ce que cela à voir dans l'histoire ?
Re: Comment router le trafic réseau finement
Mince. Encore un malentendu. Je prends soin d’écrire ce que j’ai compris. J’ai écrit que c’est moi qui utilisait systemctl avec wg. Et il me semble avoir compris que tu as dit « pas besoin, ni de nm -> ifupdown suffit). J’ai donc bien compris que tu utilises ifupdown. Et que tu n’utilises apparemment pas systemctl puisque tu n’en as pas besoin. Je voulais juste savoir si tu connaissais un inconvénient à utiliser systemctl enable plutôt que ifupdown. C’est tout. Ça m’intéresse aussi de savoir si on peut vivre sans systemctl ! Merci de ta patience. > Le 26 juil. 2023 à 10:45, NoSpam a écrit : > > >> Le 26/07/2023 à 10:40, RogerT a écrit : >> [...] >> >> Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as >> dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … >> ), etc. > Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère > les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ... >> [...] Le 26 juil. 2023 à 10:22, NoSpam a écrit : >>> >>> Le 26/07/2023 à 10:17, RogerT a écrit : [...] Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ? >>> Qu'est ce que cela à voir dans l'histoire ? >>> >
Re: Comment router le trafic réseau finement
Le 26/07/2023 à 10:40, RogerT a écrit : [...] Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc. Je n'ai *JAMAIS* dit que j'utilise systemctl puisque c'est ifupdown qui gère les interfaces ! J'aimerai bien que tu ne déformes pas mes propos ... [...] Le 26 juil. 2023 à 10:22, NoSpam a écrit : Le 26/07/2023 à 10:17, RogerT a écrit : [...] Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ? Qu'est ce que cela à voir dans l'histoire ?
Re: Comment router le trafic réseau finement
Tu sais, bien que je saches gérer mon poste de travail et mes serveurs, mes connaissances sont limitées et avaient été déformées par les installations automatiques d’outils voulant remplacer ses concurrents, voire par le wiki debian qui m’a souvent égaré. Et par divers tutos fumeux qui méconnaissent certains outils et te font casser ton système (ex : resolvconf recommandé, sans considération pour l’existant ; ben non, il n’y a pas de policier qui alerte qu’il y a deux services de résolution de nom en conflit). D’où mes questions détaillées ici pour y voir enfin complètement clair. Et en faire profiter d’autres lecteurs. Je crois que tu avais relevé que j’utilisais systemctl start wg0 . Tu m’as dit : pas besoin de nm, de systemd (systemctl enable | disable | start | … ), etc. J’ai compris l’intérêt de ifupdown, que les outils récents semblaient faire passer pour un truc dépassé. J’aimerais juste comprendre l’inconvénient que tu trouves à utiliser systemd (avec un service enabled pour le démarrage/l’arrêt automatique). Si tu en vois, par rapport à ifupdown. Il y a peut-être un malentendu sur le fait que tu m’as vu utiliser systemctl start wg0 alors que j’utilise aussi systemctl enable pour démarrer/arrêter automatiquement wg avec le serveur (systemd est rentré dans ma pratique sur un serveur). Merci. > Le 26 juil. 2023 à 10:22, NoSpam a écrit : > > >> Le 26/07/2023 à 10:17, RogerT a écrit : >> [...] >> >> Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un >> service enabled ? > > Qu'est ce que cela à voir dans l'histoire ? >
Re: Comment router le trafic réseau finement
Le 26/07/2023 à 10:17, RogerT a écrit : [...] Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ? Qu'est ce que cela à voir dans l'histoire ?
Re: Comment router le trafic réseau finement
J’ai compris que je peux utiliser les scripts wg-quick up | down declenchés en post-up et pre-down de ifupdown qui lit /etc/network/interfaces. Ou les modifier selon mes besoins et ma compréhension (il y a quelques commandes que je dois étudier pour bien comprendre). Je comprends que le déclenchement par ifupdown est simple, efficace et automatisé (j’irai voir si pour désactiver le montage/démontage de l’interface wg il existe l’équivalent de systemctl enable | disable). Je vois que les scripts présents (openvpn) n’ont pas d’extension .sh ; et qu’elles ne devaient pas en avoir il y a quelques années sur ubuntu https://askubuntu.com/questions/406126/why-is-ifup-not-running-all-of-the-if-pre-up-d-scripts. A vérifier Mais peux-tu expliquer l’inconvénient que tu trouves à un utiliser un service enabled ? > Le 26 juil. 2023 à 09:42, NoSpam a écrit : > Pour clarifier, setconf est lancer dans mes scripts post-up, manuellement en > est pour moi le reflet. > > Le 26/07/2023 à 09:38, NoSpam a écrit : >> Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit : >>> [...] >>> Si on décide à la place d'utiliser des commandes élementaires, par quoi >>> remplacerait-on les commandes wg setconf et wg set ? >> Je n'utilise pas ces commandes, je configure manuellement. >> Comprends bien que tu ne dois pas être un clone de mes >> configurations/remarques/... à toi de découvrir ce qui te convient le mieux, >> ce avec quoi tu es à l'aise et surtout comment tu pourras réparer en cas de >> problème.
Re: Comment router le trafic réseau finement
Pour clarifier, setconf est lancer dans mes scripts post-up, manuellement en est pour moi le reflet. Le 26/07/2023 à 09:38, NoSpam a écrit : Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit : [...] Si on décide à la place d'utiliser des commandes élementaires, par quoi remplacerait-on les commandes wg setconf et wg set ? Je n'utilise pas ces commandes, je configure manuellement. Comprends bien que tu ne dois pas être un clone de mes configurations/remarques/... à toi de découvrir ce qui te convient le mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer en cas de problème.
Re: Comment router le trafic réseau finement
Le 26/07/2023 à 01:22, roger.tar...@free.fr a écrit : [...] Si on décide à la place d'utiliser des commandes élementaires, par quoi remplacerait-on les commandes wg setconf et wg set ? Je n'utilise pas ces commandes, je configure manuellement. Comprends bien que tu ne dois pas être un clone de mes configurations/remarques/... à toi de découvrir ce qui te convient le mieux, ce avec quoi tu es à l'aise et surtout comment tu pourras réparer en cas de problème.
Re: Comment router le trafic réseau finement
De: "NoSpam" À: "Liste Debian" Envoyé: Mardi 25 Juillet 2023 22:55:18 Objet: Re: Comment router le trafic réseau finement Le 25/07/2023 à 19:46, RogerT a écrit : BQ_BEGIN Le 25 juil. 2023 à 18:55, NoSpam [ mailto:no-s...@tootai.net | ] a écrit : BQ_BEGIN BQ_BEGIN [...] A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service) BQ_END Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...) BQ_END Je ne suis pas habitué à faire comme ça. Peux-tu en dire davantage sur la manière de procéder ? Merci. BQ_END man interfaces & remove NM Oui, c'est radical ! A condition de maîtriser parfaitement ces commandes ifupdown et autres. Voici ce que wg-quick up | down fait : ~$ sudo wg-quick up wg0 [#] ip link add wg0 type wireguard [#] wg setconf wg0 /dev/fd/63 [#] ip -4 address add 10.8.0.2/24 dev wg0 [#] ip link set mtu 1420 up dev wg0 [#] wg set wg0 fwmark 51820 [#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820 [#] ip -4 rule add not fwmark 51820 table 51820 [#] ip -4 rule add table main suppress_prefixlength 0 [#] sysctl -q net.ipv4.conf.all.src_valid_mark=1 [#] nft -f /dev/fd/63 $ sudo wg-quick down wg0 [#] ip -4 rule delete table 51820 [#] ip -4 rule delete table main suppress_prefixlength 0 [#] ip link delete dev wg0 [#] nft -f /dev/fd/63 Tu as écrit : BQ_BEGIN "post-up de ifupdown qui lit le fichier /etc/network/interfaces qui lance les scripts dans /etc/network/[if-up|ifdown].d/ Bien plus souple, compatible avec les autres interfaces et facile à gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou wg-quick, les interfaces wg sont montées au démarrage en même temps que les autres. Aucune manipulation." BQ_END Ok. Je reformule pour vérifier que j'ai bien compris. Comme le principe de wg est de créer et supprimer l'interface du tunnel, elle n'est donc pas définie dans /etc/network/interfaces . Après le montage des interfaces qui y sont définies, le script, disons /etc/network/if-up.d/wg_up est exécuté ( post-up ). A l'arrêt de la machine, avant de démonter les interfaces, le script, disons /etc/network/if-down.d/ wg_down est exécuté ( pre-down). Après tes explications, je dirais que je pourrais directement utiliser les 2 scripts wg-quick up | down. Si on décide à la place d'utiliser des commandes élementaires, par quoi remplacerait-on les commandes wg setconf et wg set ? Merci.
Re: Comment router le trafic réseau finement
Le 25/07/2023 à 19:46, RogerT a écrit : Le 25 juil. 2023 à 18:55, NoSpam a écrit : [...] A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service) Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...) Je ne suis pas habitué à faire comme ça. Peux-tu en dire davantage sur la manière de procéder ? Merci. man interfaces & remove NM
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 18:55, NoSpam a écrit : > > [...] > A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou > client) ? (puisque pas de service) > Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets > tout en place (MTU, DNS, routes, ...) Je ne suis pas habitué à faire comme ça. Peux-tu en dire davantage sur la manière de procéder ? Merci.
Re: Comment router le trafic réseau finement
Aucune idée, je ne suis de loin pas un spécialiste de Windows Le 25/07/2023 à 18:26, roger.tar...@free.fr a écrit : Encore un truc bizarre win (version avant 10) : Pour ce client qui n'affichait aucun bouton sur le GUI, j'avais ajouté dans C:\Program Files\WireGuard\Data\Configurations un fichier de conf (validé par ailleurs) : pc.conf Sans mon accord, le système a produit un fichier chiffré : pc.conf.dpapi et a supprimé le fichier original... Ce fichier de conf chiffré est opérationnel (ping ok, le serveur wg voit ce client), mais n'est plus éditable. Surtout, je ne peux plus le supprimer ! Que ce soit en utilisateur normal avec "pwd administrateur" (le sudo de win) Ou en utilisateur admin dans sa propre session ! Je ne connaissais pas ce format de chiffrement ni ce comportement incroyable. Comment se débarrasser de ce machin ? (sans devoir démarrer depuis une autre partition, etc.) Merci. *De: *"NoSpam" *À: *"Liste Debian" *Envoyé: *Mardi 25 Juillet 2023 17:52:49 *Objet: *Re: Fwd: Comment router le trafic réseau finement Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit : Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non admin) fonctionnent. Chaque pair peut joindre l'autre sur le vpn (ping). Je pense m'être emmêlé entre plusieurs choses : D'ou ma question si tu penses avoir compris wg ... [...] A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service) Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...) 3/ divers tutos recommandent pour le client wg win10, soit aucune directive DNS, soit une directive DNS, par exemple : DNS = 10.8.0.1 ou DNS = 10.8.0.1, 9.9.9.9 Je constate que pour accéder à internet via le serveur wg, le client iOS wg et le client win10 wg ont besoin DNS = 10.8.0.1, 9.9.9.9 sinon, c'est "pas d'accès à internet". Le client wg linux (mon poste de travail) n'a pas besoin de directire DNS. Aucun des clients windows, MacOS ou Linux n'ont de directives DNS 4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si le client a été inactif pendant un petit moment, il ne répond plus au ping des autres pairs. Tandis que sur le serveur la commande sudo wg l'affiche avec un dernier contact assez lointain : latest handshake: 1 minute, 56 seconds ago As tu lu la doc ? PersistentKeepalive est la pour ca. Le problème est le réseau du client, pas le client [...] Vous saviez tout ça sur wg ? J'insiste, mais lire des tutos n'est pas la bonne manière d'apprendre à configurer un logiciel. À la première panne tu seras dans la panade.
Re: Comment router le trafic réseau finement
NM est l'usine à gaz Le 25/07/2023 à 18:29, roger.tar...@free.fr a écrit : Entendu. Je lis que NM et ifupdown font bon ménage. Pour toi, wg-quick est une usine à gaz ? *De: *"NoSpam" *À: *"Liste Debian" *Envoyé: *Mardi 25 Juillet 2023 18:12:50 *Objet: *Re: Comment router le trafic réseau finement Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces qui lance les scripts dans /etc/network/[if-up|ifdown].d/ Bien plus souple, compatible avec les autres interfaces et facile à gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou wg-quick, les interfaces wg sont montées au démarrage en même temps que les autres. Aucune manipulation. Le 25/07/2023 à 18:04, RogerT a écrit : Le 25 juil. 2023 à 17:53, NoSpam <mailto:no-s...@tootai.net> a écrit : Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit : Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non admin) fonctionnent. Chaque pair peut joindre l'autre sur le vpn (ping). Je pense m'être emmêlé entre plusieurs choses : D'ou ma question si tu penses avoir compris wg ... Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6). L’UI est perturbante, comparée à d’autres applications. La documentation est super incomplète et les tutos trouvés se marchent dessus Surtout sur le comportement de wg, selon les directives des fichiers de configuration n’est pas expliqué… il faut tout lire man wg-quick, etc. [...] A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service) Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...) Tu veux sans doute dire en postup après le démarrage du système (il y a PostUp dans le fichier de configuration du serveur wg). Merci de considérer mon niveau moyen. Quelle raison te fait ne pas utiliser un service ?
Re: Comment router le trafic réseau finement
Entendu. Je lis que NM et ifupdown font bon ménage. Pour toi, wg-quick est une usine à gaz ? De: "NoSpam" À: "Liste Debian" Envoyé: Mardi 25 Juillet 2023 18:12:50 Objet: Re: Comment router le trafic réseau finement Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces qui lance les scripts dans /etc/network/[if-up|ifdown].d/ Bien plus souple, compatible avec les autres interfaces et facile à gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou wg-quick, les interfaces wg sont montées au démarrage en même temps que les autres. Aucune manipulation. Le 25/07/2023 à 18:04, RogerT a écrit : BQ_BEGIN Le 25 juil. 2023 à 17:53, NoSpam [ mailto:no-s...@tootai.net | ] a écrit : BQ_BEGIN Le 25/07/2023 à 16:28, [ mailto:roger.tar...@free.fr | roger.tar...@free.fr ] a écrit : BQ_BEGIN Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non admin) fonctionnent. Chaque pair peut joindre l'autre sur le vpn (ping). Je pense m'être emmêlé entre plusieurs choses : BQ_END D'ou ma question si tu penses avoir compris wg ... BQ_END Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6). L’UI est perturbante, comparée à d’autres applications. La documentation est super incomplète et les tutos trouvés se marchent dessus Surtout sur le comportement de wg, selon les directives des fichiers de configuration n’est pas expliqué… il faut tout lire man wg-quick, etc. BQ_BEGIN BQ_BEGIN [...] A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service) BQ_END Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...) BQ_END Tu veux sans doute dire en postup après le démarrage du système (il y a PostUp dans le fichier de configuration du serveur wg). Merci de considérer mon niveau moyen. Quelle raison te fait ne pas utiliser un service ? BQ_END
Re: Comment router le trafic réseau finement
Encore un truc bizarre win (version avant 10) : Pour ce client qui n'affichait aucun bouton sur le GUI, j'avais ajouté dans C:\Program Files\WireGuard\Data\Configurations un fichier de conf (validé par ailleurs) : pc.conf Sans mon accord, le système a produit un fichier chiffré : pc.conf.dpapi et a supprimé le fichier original... Ce fichier de conf chiffré est opérationnel (ping ok, le serveur wg voit ce client), mais n'est plus éditable. Surtout, je ne peux plus le supprimer ! Que ce soit en utilisateur normal avec "pwd administrateur" (le sudo de win) Ou en utilisateur admin dans sa propre session ! Je ne connaissais pas ce format de chiffrement ni ce comportement incroyable. Comment se débarrasser de ce machin ? (sans devoir démarrer depuis une autre partition, etc.) Merci. De: "NoSpam" À: "Liste Debian" Envoyé: Mardi 25 Juillet 2023 17:52:49 Objet: Re: Fwd: Comment router le trafic réseau finement Le 25/07/2023 à 16:28, [ mailto:roger.tar...@free.fr | roger.tar...@free.fr ] a écrit : Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non admin) fonctionnent. Chaque pair peut joindre l'autre sur le vpn (ping). Je pense m'être emmêlé entre plusieurs choses : D'ou ma question si tu penses avoir compris wg ... BQ_BEGIN [...] A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service) BQ_END Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...) BQ_BEGIN 3/ divers tutos recommandent pour le client wg win10, soit aucune directive DNS, soit une directive DNS, par exemple : DNS = 10.8.0.1 ou DNS = 10.8.0.1, 9.9.9.9 Je constate que pour accéder à internet via le serveur wg, le client iOS wg et le client win10 wg ont besoin DNS = 10.8.0.1, 9.9.9.9 sinon, c'est "pas d'accès à internet". Le client wg linux (mon poste de travail) n'a pas besoin de directire DNS. BQ_END Aucun des clients windows, MacOS ou Linux n'ont de directives DNS BQ_BEGIN 4/ l'outil ping est trompeur avec ce protocole "peu bavard" car si le client a été inactif pendant un petit moment, il ne répond plus au ping des autres pairs. Tandis que sur le serveur la commande sudo wg l'affiche avec un dernier contact assez lointain : latest handshake: 1 minute, 56 seconds ago BQ_END As tu lu la doc ? PersistentKeepalive est la pour ca. Le problème est le réseau du client, pas le client BQ_BEGIN [...] Vous saviez tout ça sur wg ? BQ_END J'insiste, mais lire des tutos n'est pas la bonne manière d'apprendre à configurer un logiciel. À la première panne tu seras dans la panade.
Re: Comment router le trafic réseau finement
Non. post-up de ifupdown qui lit le fichier /etc/network/interfaces qui lance les scripts dans /etc/network/[if-up|ifdown].d/ Bien plus souple, compatible avec les autres interfaces et facile à gérer sur les serveurs. Pas besoin d'une usine à gaz comme NM ou wg-quick, les interfaces wg sont montées au démarrage en même temps que les autres. Aucune manipulation. Le 25/07/2023 à 18:04, RogerT a écrit : Le 25 juil. 2023 à 17:53, NoSpam a écrit : Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit : Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non admin) fonctionnent. Chaque pair peut joindre l'autre sur le vpn (ping). Je pense m'être emmêlé entre plusieurs choses : D'ou ma question si tu penses avoir compris wg ... Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6). L’UI est perturbante, comparée à d’autres applications. La documentation est super incomplète et les tutos trouvés se marchent dessus Surtout sur le comportement de wg, selon les directives des fichiers de configuration n’est pas expliqué… il faut tout lire man wg-quick, etc. [...] A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou client) ? (puisque pas de service) Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets tout en place (MTU, DNS, routes, ...) Tu veux sans doute dire en postup après le démarrage du système (il y a PostUp dans le fichier de configuration du serveur wg). Merci de considérer mon niveau moyen. Quelle raison te fait ne pas utiliser un service ?
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 17:53, NoSpam a écrit : > > Le 25/07/2023 à 16:28, roger.tar...@free.fr a écrit : >> Bonne nouvelle : les 2 clients wg win (win10/admin et win avant 10/non >> admin) fonctionnent. >> Chaque pair peut joindre l'autre sur le vpn (ping). >> >> >> Je pense m'être emmêlé entre plusieurs choses : > D'ou ma question si tu penses avoir compris wg ... Le noyau semble costaud (d’où l’intégration au noyau linux depuis 5.6). L’UI est perturbante, comparée à d’autres applications. La documentation est super incomplète et les tutos trouvés se marchent dessus Surtout sur le comportement de wg, selon les directives des fichiers de configuration n’est pas expliqué… il faut tout lire man wg-quick, etc. >> [...] >> A NoSpam : tu utilises wg-quick pour toutes les interfaces wg (serveur ou >> client) ? (puisque pas de service) > Non. Les interfaces sous Linux sont lancées en post-up via un script qui mets > tout en place (MTU, DNS, routes, ...) Tu veux sans doute dire en postup après le démarrage du système (il y a PostUp dans le fichier de configuration du serveur wg). Merci de considérer mon niveau moyen. Quelle raison te fait ne pas utiliser un service ?
Re: Comment router le trafic réseau finement
Je répète: rien, je ne touche pas au fw Windows. Wireguard n'est pas dans la liste des applications autorisées. Uniquement "Les connexions sortantes qui ne correspondent pas à une règle sont autorisées dans les 3 profils. J'utilise Windows defender Le 25/07/2023 à 13:53, RogerT a écrit : Le 25 juil. 2023 à 11:40, NoSpam a écrit : Bonjour. Je fais simple comme dit dans mes messages précédents et cela fonctionne. De ce que je lis de ce message, tu as activé wireguard en tant que service ce que je ne fais jamais. Oui, en tant que service. Comme montré dans les différents tutos trouvés. Pourquoi pas ? Si le tunnel est activé tu as un soucis avec les IP autorisées dans le tunnel. Es tu sûr de prendre du temps pour comprendre le fonctionnement de wg ? Oui. J’ai tout lu la doc de wg et effectué divers tutos. Clients linux ou iOS : impeccable. Clients Win : je patauge manifestement dans les réglages du fw win. Aussi, avant de jouer avec un utilisateur lambda je validerai en tant qu'administrateur de la machine. Ah oui, teste ta config windows sur une machine linux ou inversement si la config linux est opérationnelle: la conf de l'un doit fonctionner pour l'autre sans modification aucune. Sur la machine win10, je suis utilisateuradmin. J’avais quand même fait et pu faire les deux réglages (commandes ou via GUI) recommandés hier. J’ai tenté de faire sur le fw (attention : je suis très moyen en fw win !) : Autoriser l’application Wireguard.exe Pas suffisant. J’ai alors ajouté une règle pour autoriser le trafic vers le port 51820 udp (pas sûr que ça suffise puisque wg crée des connexions en retour sur d’autres ports sur lesquels le client écoute…). Peux-tu me dire exactement comment tu configures le poste win10 (utilisateur admin) pour que le client wg fonctionne ? Merci. Le 25/07/2023 à 01:00, roger.tar...@free.fr a écrit : Sur win (version avant 10) : Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de configuration réseau" avec le GUI (appelé par lusrmgr.msc) Puis, j'ai pu appliquer cette recette en CLI : Enable WireGuard "C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice "C:\Program Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi" Disable WireGuard "C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice "NAME_OF_CONNECTION" Rq : le fichier NAME_OF_CONNECTION.conf a été transformé automatiquement en fichier chiffré NAME_OF_CONNECTION.conf.dpapi Il vaut donc mieux le gérer ailleurs avant de le glisser dans C:\Program Files\WireGuard\Data\Configurations\ ! Effet : ça a réveillé le GUI et fait apparaître les boutons ! Sauf le bouton Edit puisque le fichier de conf est chiffré... Rq : il m'a été proposé par win d'ajouter la connexion à un réseau domestique ou de bureau. Ce que j'ai accepté. Pas plus de ping possible vers le serveur. Au final, j'ai pu arriver au même comportement qu'avec le client wg w10 : il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne le voit pas. Avec un problème accessoire en prim, puisque je suis connecté en RDP à ce win et que la tentative de connexion en wg coupe la connexion RDP, ce qui m'oblige à aller déterrer le PC concerné. Je suis très curieux de savoir comment tu (NoSpam) arrives à faire tourner des clients wg sous Win. Bonne nuit. Ref : https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md (-> https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata ) *De: *"roger tarani" *À: *"Liste Debian" *Envoyé: *Lundi 24 Juillet 2023 23:27:56 *Objet: *Fwd: Comment router le trafic réseau finement
Re: Comment router le trafic réseau finement
Le 25 juillet 2023 RogerT a écrit : > Dois-je absolument prendre deux VPS basiques chez mon hébergeur préféré ? > (Si oui, alors je pourrai aussi l’utiliser pour des services complémentaires, > car un service de nom ne me semble pas solliciter beaucoup de ressources) Bien sûr, tous les services classiques bénéficient d'une redondance, notamment le web, la messagerie. > Par rapport à la vivacité souhaitée pour la navigation, vois-tu une objection > ? La latence et le débit sont impactés par le circuit mis en place, le choix et le réglage des briques individuelles, mais aussi par le type de trafic, notamment nombre et taille des paquets. Rien n'évite de faire des tests de charge. Un bon paquet debian pour faire ça est iperf3 (ou iperf au choix).
Re: Comment router le trafic réseau finement
Le 25 juillet 2023 NoSpam a écrit : >> Pour installer un service de nom, il est recommandé (dans divers tutos) de >> monter deux serveurs distincts (un master et un slave). >> Je vais utiliser un VPs chez mon hébergeur pour ne pas avoir à maintenir de >> matériel chez moi. >> Ok ? > 2 serveurs de nom chez 2 hébergeurs différents (à minima un hébergeur 2 > datacenters différents) Oui en fait il faut 2 IP sur des ASN différents (qu'on peut voir dans le whois), ce qui est le cas, mais pas toujours, avec des datacenters différents. Comme les hébergeurs classiques ont en général 1 ASN ça revient presque au même de prendre 2 hébergeurs.
Re: Comment router le trafic réseau finement
J'ai encore un problème (réseau) à régler avec la machine win ("avant 10") ; ce
sera sans doute pareil avec win10.
Je m'y connecte avec un client Remmina (depuis mon poste de travail linux, sur
le même LAN) en RDP (port 3389).
Dès que j'active le client wg ("activé", configuré avec kill switch et "DNS =
10.8.0.1, 9.9.9.9"), je perds la connexion RDP.
Je dois alors me connecter à la machine win physique pour désactiver le vpn.
Comment ça se règle ?
Suffit-il d'autoriser le port 3389 sur la machine win ? Mais alors, je ne crois
pas possible de maintenir l'option kill switch.
Ou alors faut-il désactiver l'option kill switch et définir les règles de fw
win à la main ?
Je fume encore de mes recherches précedentes...
Merci.
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 11:40, NoSpam a écrit : > > Bonjour. Je fais simple comme dit dans mes messages précédents et cela > fonctionne. De ce que je lis de ce message, tu as activé wireguard en tant > que service ce que je ne fais jamais. > Oui, en tant que service. Comme montré dans les différents tutos trouvés. Pourquoi pas ? > Si le tunnel est activé tu as un soucis avec les IP autorisées dans le > tunnel. Es tu sûr de prendre du temps pour comprendre le fonctionnement de wg > ? > Oui. J’ai tout lu la doc de wg et effectué divers tutos. Clients linux ou iOS : impeccable. Clients Win : je patauge manifestement dans les réglages du fw win. > Aussi, avant de jouer avec un utilisateur lambda je validerai en tant > qu'administrateur de la machine. Ah oui, teste ta config windows sur une > machine linux ou inversement si la config linux est opérationnelle: la conf > de l'un doit fonctionner pour l'autre sans modification aucune. > Sur la machine win10, je suis utilisateuradmin. J’avais quand même fait et pu faire les deux réglages (commandes ou via GUI) recommandés hier. J’ai tenté de faire sur le fw (attention : je suis très moyen en fw win !) : Autoriser l’application Wireguard.exe Pas suffisant. J’ai alors ajouté une règle pour autoriser le trafic vers le port 51820 udp (pas sûr que ça suffise puisque wg crée des connexions en retour sur d’autres ports sur lesquels le client écoute…). Peux-tu me dire exactement comment tu configures le poste win10 (utilisateur admin) pour que le client wg fonctionne ? Merci. > Le 25/07/2023 à 01:00, roger.tar...@free.fr a écrit : >> Sur win (version avant 10) : >> Comme avec w10, j'ai ajouté l'utilisateur au groupe "Opérateurs de >> configuration réseau" avec le GUI (appelé par lusrmgr.msc) >> >> Puis, j'ai pu appliquer cette recette en CLI : >> >> Enable WireGuard >> "C:\Program Files\WireGuard\wireguard.exe" /installtunnelservice "C:\Program >> Files\WireGuard\Data\Configurations\NAME_OF_CONNECTION.conf.dpapi" >> >> Disable WireGuard >> "C:\Program Files\WireGuard\wireguard.exe" /uninstalltunnelservice >> "NAME_OF_CONNECTION" >> >> Rq : le fichier NAME_OF_CONNECTION.conf a été transformé automatiquement en >> fichier chiffré NAME_OF_CONNECTION.conf.dpapi >> Il vaut donc mieux le gérer ailleurs avant de le glisser dans C:\Program >> Files\WireGuard\Data\Configurations\ ! >> >> Effet : ça a réveillé le GUI et fait apparaître les boutons ! >> Sauf le bouton Edit puisque le fichier de conf est chiffré... >> >> Rq : il m'a été proposé par win d'ajouter la connexion à un réseau >> domestique ou de bureau. Ce que j'ai accepté. >> Pas plus de ping possible vers le serveur. >> >> Au final, j'ai pu arriver au même comportement qu'avec le client wg w10 : >> il dit "Activé" mais n'arrive pas à se connecter au serveur qui ne le voit >> pas. >> >> Avec un problème accessoire en prim, puisque je suis connecté en RDP à ce >> win et que la tentative de connexion en wg coupe la connexion RDP, ce qui >> m'oblige à aller déterrer le PC concerné. >> >> Je suis très curieux de savoir comment tu (NoSpam) arrives à faire tourner >> des clients wg sous Win. >> Bonne nuit. >> >> Ref : >> https://blog.bonner.is/enable-disable-wireguard-from-windows-command-line/ >> https://git.zx2c4.com/wireguard-windows/about/docs/enterprise.md >> (-> >> https://learn.microsoft.com/en-us/windows/win32/api/dpapi/nf-dpapi-cryptprotectdata >> ) >> >> >> >> >> >> De: "roger tarani" >> À: "Liste Debian" >> Envoyé: Lundi 24 Juillet 2023 23:27:56 >> Objet: Fwd: Comment router le trafic réseau finement >> >> >>
Re: Comment router le trafic réseau finement
Le 25/07/2023 à 12:16, RogerT a écrit : [..] Pour installer un service de nom, il est recommandé (dans divers tutos) de monter deux serveurs distincts (un master et un slave). Je vais utiliser un VPs chez mon hébergeur pour ne pas avoir à maintenir de matériel chez moi. Ok ? 2 serveurs de nom chez 2 hébergeurs différents (à minima un hébergeur 2 datacenters différents) Dois-je absolument prendre deux VPS basiques chez mon hébergeur préféré ? (Si oui, alors je pourrai aussi l’utiliser pour des services complémentaires, car un service de nom ne me semble pas solliciter beaucoup de ressources) Ne pas oublier les services qui vont avec comme DNSSEC, SPF, les certificats, et autres joyeusetés [...]
Re: Comment router le trafic réseau finement
> Le 25 juil. 2023 à 10:11, Michel Verdier a écrit : > > Le 24 juillet 2023 roger tarani a écrit : > >> Commencer par un service de résolution directe et inverse ? (bind) >> Oui, mais ne faudrait-il pas d'abord avoir posé le plan d'adressage ? > > C'est ce que je disais. Et que installer bind fixe mieux les idées à mon > avis. Entendu. Je me pose des questions de dimensionnement et d’architecture. Je suis donc en train de « monter une infra ». Elle doit fonctionner et elle doit aussi être assez réactive (latence faible, débit suffisant). Pour installer un service de nom, il est recommandé (dans divers tutos) de monter deux serveurs distincts (un master et un slave). Je vais utiliser un VPs chez mon hébergeur pour ne pas avoir à maintenir de matériel chez moi. Ok ? Dois-je absolument prendre deux VPS basiques chez mon hébergeur préféré ? (Si oui, alors je pourrai aussi l’utiliser pour des services complémentaires, car un service de nom ne me semble pas solliciter beaucoup de ressources) Si je décide de monter un vpn, j’envisage que chaque machine, dont les 2 serveurs qui hébergent les 2 services de nom soit automatiquement connectés au vpn. L’essentiel du trafic sensible sera forcé à passer par le tunnel. Et aussi, si le client est réglé pour ça, pour la navigation internet (via ProxyFoxy, par exemple) Par rapport à la vivacité souhaitée pour la navigation, vois-tu une objection ? En effet, j’ai testé Wireguard sur mon smartphone. En 4G il est plus réactif en navigation que lorsque le vpn est actif et redirige tout le trafic vers le serveur vpn. La latence de ma liaison 4G (smartphone vers serveur wg) est de 30-50 ms avec un débit serveur vers smartphone de 50-60 Mbps. En vpn, l’affichage des pages prend un temps supplémentaire nettement perceptible. Je tiens à ce que les utilisateurs aient une bonne expérience de navigation. Merci. > >> Est-ce que tout ça est suffisant pour définir un plan d'adressage ? > > C'est à toi de savoir si ça te suffit ou pas. Chacun a des besoins > différents. > D’habitude, je fais des configurations réseau simple (poste de travail, serveur). Ou j’interviens sur des configurations déjà faites. Là, en partant de zéro, il faut penser à tout Ce qui suppose de connaître tous les composants utilisés.
Re: Comment router le trafic réseau finement
Le 24 juillet 2023 roger tarani a écrit : > Commencer par un service de résolution directe et inverse ? (bind) > Oui, mais ne faudrait-il pas d'abord avoir posé le plan d'adressage ? C'est ce que je disais. Et que installer bind fixe mieux les idées à mon avis. > Est-ce que tout ça est suffisant pour définir un plan d'adressage ? C'est à toi de savoir si ça te suffit ou pas. Chacun a des besoins différents.
Re: Comment router le trafic réseau finement
Le 24/07/2023 à 20:08, Michel Verdier a écrit : [...] Et je crois que mixer iptables et nftables crée des effets de bords problématiques. C'est un euphémisme !
Re: Comment router le trafic réseau finement
te Debian" Envoyé: Lundi 24 Juillet 2023 16:13:08 Objet: Re: Comment router le trafic réseau finement Le 24 juillet 2023 roger tarani a écrit : > Plus tard, pourront s'y ajouter un service de nom (bind) et un service de > messagerie. Pour moi il faut que tu commences par poser ton plan d'adressage. Et en général d'installer bind permet de fixer les choses. Mais bon c'est ma manière d'aborder ce genre de choses. > Pour réaliser ça, je suis persuadé qu'il faut parfaitement maîtriser les > techniques de routage. > 2/ Sur le plan pratique, quel ordre dois-je suivre pour écrire les règles de > routage sur ce réseau ? Chaque machine doit juste avoir sa table de routage. man route Après si tu as un routeur physique sa table sera sans doute un peu plus compliquée mais il aura certainement une interface de paramétrage.
Re: Comment router le trafic réseau finement
> Le 24 juil. 2023 à 19:40, NoSpam a écrit : > Le 24/07/2023 à 18:56, roger.tar...@free.fr a écrit : >> [...] >> C'est bien compliqué d'installer wg sur win ! > Je n'ai pas eu ces soucis avec des W11 & quelques W10. Accuser wg est fort je > trouve, bienvenue dans le monde de WinXX Je n’accuse personne. Je trouve étonnant qu’installer wg sur win soit ausssi compliqué. Et que le site wg ne fournisse pas les infos requises. J’ai trouvé ça : https://s0ph0s.dog/blog/wireguard-windows-10-home-non-admin/ qui renvoie vers un message de l’auteur de wg : https://lore.kernel.org/wireguard/CAHmME9oMFQtePYt37+4eyOn23mwHwP2UGxQi=sajk9j3p1z...@mail.gmail.com/ Un résumé serait bienvenu sur leur site, à la page installation. J’ai installé le serveur wg très vite. J’ai configuré un client linux assez vite (première fois). J’ai configuré un client wg iOS en 1 mn : je vois ce client depuis le serveur. J’ai configuré un client wg win10 en quelques mn. mais il dit Activé alors que le serveur wg ne le voit pas m( et ta 2ème commande n’a pas fonctionné). J’ai tenté d’exécuter wg client w10 en admin : il dit Activé, mais le serveur ne le voit pas. Comment régler ce problème win10 avec Add-LocalGroupMember ? Comment expliques-tu que le client wg sur win10 (utilisateur normal ou admin) affiche Activé alors que le serveur ne voit rien ? Merci. >> [...] >> Oui, c’est mal formulé. Je voulais dire que l’on peut sans doute démarrer >> avec nft sans même connaître iptables et ufw. > ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et semble > compatible avec nftables Entendu. Je suis en train d’apprendre nft. >> (même si la syntaxe est différente, c'est vrai que connaitre la syntaxe >> iptables permet de savoir les notions manipulées). > nftables n'a rien de commun avec iptables. Comme dit par Michel, commencer > par le wiki. Difficile de dire alors que je connais un peu iptables et que je découvre nftables. Il semble que la syntaxe change pour faire la même chose. Cf. https://linuxhandbook.com/iptables-vs-nftables/. Merci.
Re: Comment router le trafic réseau finement
Le 24/07/2023 à 14:51, roger.tar...@free.fr a écrit : [...] J'ai besoin de diriger correctement tous les flux de chaque machine d'un réseau. [...] Désolé, j'ai abusivement élagué ton message qui était très long, pour plus de clarté Je suis un vrai neuneu dans ce domaine, donc je vais laisser ceux qui sont compétents te conseiller. J'interviens juste brièvement pour souligner que compte-tenu de mes carences, si j'étais à ta place , j'essaierais de trouver: 1) un guide sur l'architecture réseau pour avoir une idée de la structure à donner au mien. Il y a ici un guide (58 pages, schémas très visuels) de l'ANSSI(1) sur les "RECOMMANDATIONS RELATIVES À L'INTERCONNEXION D'UN SYSTÈME D'INFORMATION À INTERNET": https://www.ssi.gouv.fr/uploads/2020/06/anssi-guide-passerelle_internet_securisee-v3.pdf 2) un guide sur la politique de sécurisation par paramétrage des pare-feux. Il y a ici un guide (16 pages) de l'ANSSI sur les "Recommandations pour la définition d’une politique de filtrage réseau d’un pare-feu" https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Politique_pare_feu_NoteTech.pdf Rappel, je suis une truffe pour tout ça, donc c'est peut-être overkill ou inadapté (je suis peut-être en train de préconiser l'emploi d'un tournevis pour enfoncer des clous). Ami lecteur, prends mon intervention pour ce qu'elle est: une interrogation métaphysique à voix haute, par un ignare, sur la façon dont il devrait m'y prendre, au cas où... Désolé pour le bruit (1) ANSSI: Agence Nationale de la Sécurité des Systèmes d'Information
Re: Comment router le trafic réseau finement
Le 24 juillet 2023 NoSpam a écrit : > ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et semble > compatible avec nftables Je crois qu'il utilise iptables uniquement, donc via xtables-nft si on n'a que nftables installé https://www.man7.org/linux/man-pages/man8/xtables-nft.8.html Et je crois que mixer iptables et nftables crée des effets de bords problématiques.
Re: Comment router le trafic réseau finement
Le 24/07/2023 à 18:56, roger.tar...@free.fr a écrit : [...] C'est bien compliqué d'installer wg sur win ! Je n'ai pas eu ces soucis avec des W11 & quelques W10. Accuser wg est fort je trouve, bienvenue dans le monde de WinXX [...] Oui, c’est mal formulé. Je voulais dire que l’on peut sans doute démarrer avec nft sans même connaître iptables et ufw. ufw n'est qu'un front-end à iptables (tout comme sfw à nftables) et semble compatible avec nftables (même si la syntaxe est différente, c'est vrai que connaitre la syntaxe iptables permet de savoir les notions manipulées). nftables n'a rien de commun avec iptables. Comme dit par Michel, commencer par le wiki.
Re: Comment router le trafic réseau finement
Le 24 juil. 2023 à 15:17, NoSpam a écrit : BQ_BEGIN Bonjour Le 24/07/2023 à 14:51, [ mailto:roger.tar...@free.fr | roger.tar...@free.fr ] a écrit : BQ_BEGIN [...] Win : le client wg pose encore un problème car l'utilisateur n'est pas dans le groupe Administrators, ce qui rend l'UI wg inaccessible) BQ_END Ceci est un problème Windows: entrer dans powershell en mode administrateur et executer les 2 commandes suivantes: New-ItemProperty "hklm:\software\wireguard" -Name "LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force Add-LocalGroupMember -Group "Network Configuration Operators" -Member "$username" La 1ere commande permet de dire a Wireguard d'être moins strict, la seconde ajoute l'utilisateur $username au groupe Opérateur Réseau. Cette dernière manipulation peut également se faire dans les paramètres Gestion de l'ordinateur => Utilisateurs & Groupes BQ_END Bonjour, Merci. Sur la configuration de Wireguard sur win, j’avais trouvé un tuto qui proposait d’ajouter à la main un DWORD appelé LimitedOperatorUI avec la valeur 1 à HKEY_LOCAL_MACHINE\SOFTWARE\WireGuard Mais comme je n’ai pas de tel répertoire WireGuard installé dasn HKLM\SOFTWARE, j’avais différé cette opération pour en savoir plus. Je viens d'essayer tes 2 commandes avec Powershell. Sur une machine win (avant 10). Je préviens : c'est un peu long. J'ai fait un détour pour réussir la 1ère commande et il reste à exécuter la 2ème commande C'est une aventure d'installer un client WireGuard sur Win ! Je suis étonné que wg n'ait pas détaillé ça sur leur site. Sur une machine win10 = En détails... Sur une machine Win (d'avant 10...) D'abord une erreur avec la première commande : PS C:\Windows\system32> New-ItemProperty "hklm:\software\wireguard" -Name "LimitedOperatorUI" -Value 1 -PropertyType "D ord" -Force New-ItemProperty : Impossible de trouver le chemin d'accès « HKLM:\software\wireguard », car il n'existe pas. Au niveau de ligne : 1 Caractère : 17 + New-ItemProperty "hklm:\software\wireguard" -Name "LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force + CategoryInfo : ObjectNotFound: (HKLM:\software\wireguard:String) [New-ItemProperty], ItemNotFoundExcept ion + FullyQualifiedErrorId : PathNotFound,Microsoft.PowerShell.Commands.NewItemPropertyCommand J'ai donc d'abord ajouté manuellement la clé WireGuard à HKLM:\software\ (avec regedit en admin, comme je sais faire) J'ai alors pu exécuter avec succès ta commande : PS C:\Windows\system32> New-ItemProperty "hklm:\software\wireguard" -Name "LimitedOperatorUI" -Value 1 -PropertyType "DW ord" -Force PSPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software\wireguard PSParentPath : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\software PSChildName : wireguard PSDrive : HKLM PSProvider : Microsoft.PowerShell.Core\Registry LimitedOperatorUI : 1 Ensuite, la seconde commande pose aussi problème : PS C:\Windows\system32> Get-LocalGroup -Name "Network Configuration Operators" Le terme « Get-LocalGroup » n'est pas reconnu comme nom d'applet de commande, fonction, fichier de script ou programme exécutable. Vérifiez l'orthographe du nom, ou si un chemin d'accès existe, vérifiez que le chemin d'accès est correct e t réessayez. Au niveau de ligne : 1 Caractère : 15 + Get-LocalGroup -Name "Network Configuration Operators" + CategoryInfo : ObjectNotFound: (Get-LocalGroup:String) [], CommandNotFoundException + FullyQualifiedErrorId : CommandNotFoundException ça parle de ça ici : https://isolution.pro/fr/q/su14459644/new-localuser-et-add-localgroupmember-ne-sont-pas-reconnus-comme-le-nom-d-une-applet-de-commande Et une solution ici : https://stackoverflow.com/questions/61137294/add-localgroupmember-is-not-recognized-as-a-cmdlet-function-script-or-file-o J'installe WMF... J'avais déjà .NET framework supérieur à 4.5.2 (cf. [ https://www.microsoft.com/fr-FR/download/details.aspx?id=42642 | .NET Framework 4.5.2 ) ] https://www.microsoft.com/fr-FR/download/confirmation.aspx?id=42642 > .\Install-WMF5.1.ps1 Impossible de charger le fichier Install-WMF5.1.ps1, car l'exécution de scripts est désactivée sur ce système. Pour plus d'informations, consultez « get-help about_signing ». > get-executionpolicy Restricted PS > Set-ExecutionPolicy Unrestricted Modification de la stratégie d'exécution La stratégie d'exécution permet de vous prémunir contre les scripts que vous jugez non fiables. En modifiant la stratégie d'exécution, vous vous exposez aux risques de sécurité décrits dans la rubrique d'aide about_Execution_Policies. Voulez-vous modifier la stratégie d'exécution ? [O] Oui [N] Non [S] Suspendre [?] Aide (la valeur par défaut est « O ») : PS > .\Install-WMF5.1.ps1 Avertissement de sécurité N'exécutez que des scripts que vous approuvez. Bien que les scripts en provenance d'Internet puissent être utiles, ce
Re: Comment router le trafic réseau finement
Le 24 juillet 2023 roger tarani a écrit : > Plus tard, pourront s'y ajouter un service de nom (bind) et un service de > messagerie. Pour moi il faut que tu commences par poser ton plan d'adressage. Et en général d'installer bind permet de fixer les choses. Mais bon c'est ma manière d'aborder ce genre de choses. > Pour réaliser ça, je suis persuadé qu'il faut parfaitement maîtriser les > techniques de routage. > 2/ Sur le plan pratique, quel ordre dois-je suivre pour écrire les règles de > routage sur ce réseau ? Chaque machine doit juste avoir sa table de routage. man route Après si tu as un routeur physique sa table sera sans doute un peu plus compliquée mais il aura certainement une interface de paramétrage.
Re: Comment router le trafic réseau finement
Le 24 juillet 2023 NoSpam a écrit : > Pour t'aider avec nftables, va sur framagit et cherche sfw Le wiki de nftables est très bien fait, et plus précisemment pour commencer : https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes Bon ok pas tout à fait 10mn mais presque :)
Re: Comment router le trafic réseau finement
Bonjour Le 24/07/2023 à 14:51, roger.tar...@free.fr a écrit : [...]Win : le client wg pose encore un problème car l'utilisateur n'est pas dans le groupe Administrators, ce qui rend l'UI wg inaccessible) Ceci est un problème Windows: entrer dans powershell en mode administrateur et executer les 2 commandes suivantes: New-ItemProperty "hklm:\software\wireguard" -Name "LimitedOperatorUI" -Value 1 -PropertyType "DWord" -Force Add-LocalGroupMember -Group "Network Configuration Operators" -Member "$username" La 1ere commande permet de dire a Wireguard d'être moins strict, la seconde ajoute l'utilisateur $username au groupe Opérateur Réseau. Cette dernière manipulation peut également se faire dans les paramètres Gestion de l'ordinateur => Utilisateurs & Groupes [...] Puisque nftables est devenu la référence pour debian 12, est-ce que l'on peut tout faire de zéro en nftables ? Debian ou d'autres distributions publierait des logiciels dont on ne pourrait pas configurer à partir de zéro ? Drôle de question ... Pour t'aider avec nftables, va sur framagit et cherche sfw
