AMPR ARI - Contributi dell'utente [it]

Host connessi

2024-04-03T09:12:05Z

IW1GEU: aggiunti link

In questa pagina sono elencati gli host che sono risultati raggiungibili nelle ultime 24 ore
{{#get_external_data:db=ipam
|data=Ip_addr=IpAddr,Hostname=hostname,LastSeen=lastSeen
}}
{| class="wikitable sortable"
! Indirizzo IP !! Hostname !! Ultimo contatto {{#for_external_table:<nowiki/>
{{!}}-
{{!}} [http://{{{Ip_addr}}} {{{Ip_addr}}}] {{!}}{{!}} [http://{{{Hostname}}} {{{Hostname}}}] {{!}}{{!}} {{{LastSeen}}}
}}
|}

APPPUNTI VM internet e AMPRNET

2024-03-28T11:34:09Z

IW1GEU: /* prompt colorato */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>
[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = ip -4 rule add from 44.32.33.xxx table r_AMPR
PostUp = ip -4 route add 44.0.0.0/9 via 44.32.32.1
PostUp = ip -4 route add 44.128.0.0/10 via 44.32.32.1

PostDown = ip -4 rule del from 44.32.33.xxx table r_AMPR
PostDown = ip -4 route del 44.0.0.0/9 via 44.32.32.1 dev wg0 table r_AMPR
postDown = ip -4 route del 44.128.0.0/10 via 44.32.32.1 dev wg0 table r_AMPR

[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Terminal gems ==

=== history alla BSD ===

Impostazioni da mettere nel proprio .bash_profile
Questa mostra il timestamp della history in classico stile BSD. es:

<code>
export HISTTIMEFORMAT="%d/%m/%y %T "
</code>

=== prompt colorato ===

Impostazioni da mettere nel proprio .bash_profile

root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;31m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

utente_non_root_in_verde@hostname_in_azzurro

<code>
export PS1='\[\e[0;32m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server nella rete 44 AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

APPPUNTI VM internet e AMPRNET

2024-03-27T21:05:14Z

IW1GEU: /* tunnel wireguard - OK */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>
[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = ip -4 rule add from 44.32.33.xxx table r_AMPR
PostUp = ip -4 route add 44.0.0.0/9 via 44.32.32.1
PostUp = ip -4 route add 44.128.0.0/10 via 44.32.32.1

PostDown = ip -4 rule del from 44.32.33.xxx table r_AMPR
PostDown = ip -4 route del 44.0.0.0/9 via 44.32.32.1 dev wg0 table r_AMPR
postDown = ip -4 route del 44.128.0.0/10 via 44.32.32.1 dev wg0 table r_AMPR

[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Terminal gems ==

=== history alla BSD ===

Impostazioni da mettere nel proprio .bash_profile
Questa mostra il timestamp della history in classico stile BSD. es:

<code>
export HISTTIMEFORMAT="%d/%m/%y %T "
</code>

=== prompt colorato ===

Impostazioni da mettere nel proprio .bash_profile

root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;31m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

utente_non_root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;32m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server nella rete 44 AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

APPPUNTI VM internet e AMPRNET

2024-03-27T21:04:10Z

IW1GEU: /* tunnel wireguard - OK */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = ip -4 rule add from 44.32.33.xxx table r_AMPR
PostUp = ip -4 route add 44.0.0.0/9 via 44.32.32.1
PostUp = ip -4 route add 44.128.0.0/10 via 44.32.32.1

PostDown = ip -4 rule del from 44.32.33.xxx table r_AMPR
PostDown = ip -4 route del 44.0.0.0/9 via 44.32.32.1 dev wg0 table r_AMPR
postDown = ip -4 route del 44.128.0.0/10 via 44.32.32.1 dev wg0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Terminal gems ==

=== history alla BSD ===

Impostazioni da mettere nel proprio .bash_profile
Questa mostra il timestamp della history in classico stile BSD. es:

<code>
export HISTTIMEFORMAT="%d/%m/%y %T "
</code>

=== prompt colorato ===

Impostazioni da mettere nel proprio .bash_profile

root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;31m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

utente_non_root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;32m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server nella rete 44 AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

IW1GEU sandbox

2024-03-18T09:57:01Z

IW1GEU: /* Esempio di elenco risorse */

= IW1GEU MediaWiki sandbox =

== Esempio di elenco risorse ==

{| class="wikitable sortable" style="margin:auto"
|+ RISORSE AMPR
|-
! Categoria !! Gestione !! Indirizzo !! Descrizione !! Note !! Connettività
|-
| RICEVITORE-REMOTO || IQ1GP || http://iq1gp.ampr.ari.it || OpenWebRX+ in sezione IQ1GP || Antenna Diamond V2000, banda limitata a 1M || ItGate VDSL
|-
| RICEVITORE-REMOTO || IW1GEU || http://rem1.iw1geu.ampr.ari.it/ || KiwiSDR remoto IW1GEU || Antenna Wellbrook ALA1530LN || BBBELL FTTH
|-
| ALTRO || IW1GEU || http://iw1geu.ampr.ari.it/ || Testing dashy || in test || Multiwire FTTH
|-
| ALTRO || IW1GEU || http://[0:0:0:0:0:ffff:44.32.33.152]/ || Testing ipv4 mapped ipv6|| in test ||
|-
| ALTRO || IW1GEU || http://vm.iw1geu.ampr.ari.it || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://44.32.33.162 || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://193.70.17.196 || Test routing asimmetrico su VM || ok via internet || OVH
|-
| ALTRO || ??? || http://44.24.135.34 || D-Star HF QSO Finder || anche via internet ||
|-
| DASHBOARD-PONTE || IQ1GP || http://frassinetto.iq1gp.ampr.ari.it || Frassinetto || Ponte FM/D-Star VHF || RL-Net HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://corio.iq1gp.ampr.ari.it || Corio || Ponte D-Star UHF || PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://garne.iq1gp.ampr.ari.it || Monte Garnè || Ponti DMR e D-Star UHF || RL-Net FTTH
|-
| DASHBOARD-PONTE || IQ1GP || http://prarostino.iq1gp.ampr.ari.it || Prarostino || Ponti DMR e D-Star UHF || ElsyNet + PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://penice.iq1gp.ampr.ari.it || Monte Penice || Ponte D-Star UHF || HiperLan
|-
| DX-CLUSTER || IZ3MEZ || telnet://dxc.iz3mez.ampr.org:8000 || IZ3MEZ-8 DX Cluster || ||
|-
| DX-CLUSTER || ON0AN || telnet://on0an.ampr.org:8000 || ON0AN DX Cluster || ||
|-
| DX-CLUSTER || ON0AN || telnet://44.144.11.254:8000 || ON0AN DX Cluster || Old IP address ||
|-
| DX-CLUSTER || ON0AN || telnet://44.11.16.73:8000 || ON0AN DX Cluster || New IP address ||
|-
| DX-CLUSTER || ON0AN || axudp://44.11.16.73:93 || ON0AN DX Cluster || AX-UDP ||
|-
| DNS-RESOLVER || ARI || 44.32.32.1 || 44.32.32.1 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.32.32.2 || 44.32.32.2 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.60.44.3 || 44.60.44.3 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|}

== Idee di sviluppi futuri ==
=== Unico punto di accesso ai propri servizi ===
Avendo a disposizione un ip 44 personale e magari avendo più servizi da pubblicare, questo lo stack della la mia idea per un unico punto di accesso web:
* Pulsantiera, [https://dashy.to/ Dashy] - Pulsantiera con le icone dei propri servizi (web, sdr, meteo, cluster...)
* Reverse proxy e load balancer, [https://caddyserver.com/ Caddy] - Reverse proxy che maschera i servizi (Forse fattibile anche con nginx)
* Entrambi i servizi erogati da docker container che girano sul QNAP di casa o direttamente sulla Mikrotik RB5009

=== WishList di servizi centrali ===
* CA (Certification Authority) AMPR ARI che firma CSR (Client Signing Request) personali per permettere ai radioamatori di avere certificati per servizi SSL e TLS (HTTPS, login automatici etc), oppure trovare modo di automatizzare Letsencrypt in AMPR ARI
* Avere dati dei radioamatori su server centrale e un API server autenticato
* SSO (Single Sign On) sui servizi AMPR ARI
* Alla creazione/assegnazione dell'ip44, creare il record PTR associato, così come viene creato il record A.
* Possibilità di concedere delega DNS del sottodominio di sezione
* Possibilità di aggiornare i propri record A/PTR del DNS ampr.ari.it
* <s>Possibilità di risposte DNS differenziate a seconda della provenienza del client ns. Es. un client 44 tenta di risolvere wiki.ampr.ari.it e gli viene specificato l'ip44, mentre un client internet che chiede la stessa risoluzione gli niene risposto con l'ip internet. DNS split-horizon? DNS views?</s> Idea proposta e già scartata. Ci sono altri modi per raggiungere l'obbiettivo di dirottare il traffico della propria utenza o su internet o su ip 44. Chi ne ha bisogno dovrà escogitare il metodo migliore.
* Possibilità di aggiornare in autonomia i propri dati su ipam (quali ad es: descrizione, uso)
* Permettere di richiedere il reset della password su tt.ari.it
* Un Yahoo/Altavista anni '90 AMPR ARI tipo: [https://www.linkace.org/ LinkAce] ... per meglio far conoscere i servizi AMPR ai radioamatori senza pubblicarlo su internet
* Avere un servizio NTP per tutti gli afferenti al gw ARI
* Avere un centralino VoIP centrale ARI
* Avere un bel web.dx-cluster ARI tipo https://webcluster.ure.es https://dxheat.com/dxc/ o https://web.cluster.iz3mez.it/

=== ip AMPR ARI su VM/VPS ===
* Come aggiungere un ip 44 AMPR ARI su un VPS esistente con stack ipv4?
* Come mantenere il doppio accesso internet e AMPR?
Ho preso appunti per lasciare una traccia di come fare.
Ho dedicato una pagina apposta [[APPPUNTI_VM_internet_e_AMPRNET| VM_internet_e_AMPRNET ]]

IW1GEU sandbox

2024-03-18T09:47:20Z

IW1GEU: /* Esempio di elenco risorse */

= IW1GEU MediaWiki sandbox =

== Esempio di elenco risorse ==

{| class="wikitable sortable" style="margin:auto"
|+ RISORSE AMPR
|-
! Categoria !! Gestione !! Indirizzo !! Descrizione !! Note !! Connettività
|-
| RICEVITORE-REMOTO || IQ1GP || http://iq1gp.ampr.ari.it || OpenWebRX+ in sezione IQ1GP || Antenna Diamond V2000, banda limitata a 1M || ItGate VDSL
|-
| RICEVITORE-REMOTO || IW1GEU || http://rem1.iw1geu.ampr.ari.it/ || KiwiSDR remoto IW1GEU || Antenna Wellbrook ALA1530LN || BBBELL FTTH
|-
| ALTRO || IW1GEU || http://iw1geu.ampr.ari.it/ || Testing dashy || in test || Multiwire FTTH
|-
| ALTRO || IW1GEU || http://vm.iw1geu.ampr.ari.it || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://44.32.33.162 || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://193.70.17.196 || Test routing asimmetrico su VM || ok via internet || OVH
|-
| ALTRO || ??? || http://44.24.135.34 || D-Star QSO Finder || anche via internet ||
|-
| DASHBOARD-PONTE || IQ1GP || http://frassinetto.iq1gp.ampr.ari.it || Frassinetto || Ponte FM/D-Star VHF || RL-Net HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://corio.iq1gp.ampr.ari.it || Corio || Ponte D-Star UHF || PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://garne.iq1gp.ampr.ari.it || Monte Garnè || Ponti DMR e D-Star UHF || RL-Net FTTH
|-
| DASHBOARD-PONTE || IQ1GP || http://prarostino.iq1gp.ampr.ari.it || Prarostino || Ponti DMR e D-Star UHF || ElsyNet + PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://penice.iq1gp.ampr.ari.it || Monte Penice || Ponte D-Star UHF || HiperLan
|-
| DX-CLUSTER || IZ3MEZ || telnet://dxc.iz3mez.ampr.org:8000 || IZ3MEZ-8 DX Cluster || ||
|-
| DX-CLUSTER || ON0AN || telnet://on0an.ampr.org:8000 || ON0AN DX Cluster || ||
|-
| DX-CLUSTER || ON0AN || telnet://44.144.11.254:8000 || ON0AN DX Cluster || Old IP address ||
|-
| DX-CLUSTER || ON0AN || telnet://44.11.16.73:8000 || ON0AN DX Cluster || New IP address ||
|-
| DX-CLUSTER || ON0AN || axudp://44.11.16.73:93 || ON0AN DX Cluster || AX-UDP ||
|-
| DNS-RESOLVER || ARI || 44.32.32.1 || 44.32.32.1 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.32.32.2 || 44.32.32.2 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.60.44.3 || 44.60.44.3 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|}

== Idee di sviluppi futuri ==
=== Unico punto di accesso ai propri servizi ===
Avendo a disposizione un ip 44 personale e magari avendo più servizi da pubblicare, questo lo stack della la mia idea per un unico punto di accesso web:
* Pulsantiera, [https://dashy.to/ Dashy] - Pulsantiera con le icone dei propri servizi (web, sdr, meteo, cluster...)
* Reverse proxy e load balancer, [https://caddyserver.com/ Caddy] - Reverse proxy che maschera i servizi (Forse fattibile anche con nginx)
* Entrambi i servizi erogati da docker container che girano sul QNAP di casa o direttamente sulla Mikrotik RB5009

=== WishList di servizi centrali ===
* CA (Certification Authority) AMPR ARI che firma CSR (Client Signing Request) personali per permettere ai radioamatori di avere certificati per servizi SSL e TLS (HTTPS, login automatici etc), oppure trovare modo di automatizzare Letsencrypt in AMPR ARI
* Avere dati dei radioamatori su server centrale e un API server autenticato
* SSO (Single Sign On) sui servizi AMPR ARI
* Alla creazione/assegnazione dell'ip44, creare il record PTR associato, così come viene creato il record A.
* Possibilità di concedere delega DNS del sottodominio di sezione
* Possibilità di aggiornare i propri record A/PTR del DNS ampr.ari.it
* <s>Possibilità di risposte DNS differenziate a seconda della provenienza del client ns. Es. un client 44 tenta di risolvere wiki.ampr.ari.it e gli viene specificato l'ip44, mentre un client internet che chiede la stessa risoluzione gli niene risposto con l'ip internet. DNS split-horizon? DNS views?</s> Idea proposta e già scartata. Ci sono altri modi per raggiungere l'obbiettivo di dirottare il traffico della propria utenza o su internet o su ip 44. Chi ne ha bisogno dovrà escogitare il metodo migliore.
* Possibilità di aggiornare in autonomia i propri dati su ipam (quali ad es: descrizione, uso)
* Permettere di richiedere il reset della password su tt.ari.it
* Un Yahoo/Altavista anni '90 AMPR ARI tipo: [https://www.linkace.org/ LinkAce] ... per meglio far conoscere i servizi AMPR ai radioamatori senza pubblicarlo su internet
* Avere un servizio NTP per tutti gli afferenti al gw ARI
* Avere un centralino VoIP centrale ARI
* Avere un bel web.dx-cluster ARI tipo https://webcluster.ure.es https://dxheat.com/dxc/ o https://web.cluster.iz3mez.it/

=== ip AMPR ARI su VM/VPS ===
* Come aggiungere un ip 44 AMPR ARI su un VPS esistente con stack ipv4?
* Come mantenere il doppio accesso internet e AMPR?
Ho preso appunti per lasciare una traccia di come fare.
Ho dedicato una pagina apposta [[APPPUNTI_VM_internet_e_AMPRNET| VM_internet_e_AMPRNET ]]

APPPUNTI VM internet e AMPRNET

2024-03-13T19:58:16Z

IW1GEU: /* history alla BSD */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Terminal gems ==

=== history alla BSD ===

Impostazioni da mettere nel proprio .bash_profile
Questa mostra il timestamp della history in classico stile BSD. es:

<code>
export HISTTIMEFORMAT="%d/%m/%y %T "
</code>

=== prompt colorato ===

Impostazioni da mettere nel proprio .bash_profile

root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;31m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

utente_non_root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;32m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server nella rete 44 AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

Svxlink

2024-03-13T11:21:18Z

IW1GEU:

= SvxLink =

SvxLink e' un progetto di sm0svx nato nel 2003 come sistema flessibile general purpose per servizi digitali per radioamatori.

Grazie ad un progetto di ARI CRER, e' disponibile su AMPR un reflector per sperimentare questa tecnologia.

== Gli obiettivi ==
L'obiettivo principale e' quello di fare rete tra di noi, associazioni sul territorio o singoli radioamatori, per sperimentare questa tecnologia su una piattaforma comune e che possa crescere secondo le nostre esigenze, quelle della comunità stessa degli.

Poter sperimentare all'interno di piattaforma svxlink nazionale con il proprio ripetitore di sezione o costruirsi il proprio hotspot casalingo significa sperimentare una tecnologia digitale che valorizza ancora di più l'aspetto analogico della tradizionale comunicazione FM. Ben consci che esistano più ripetitori che radioamatori, da sempre non si e' voluto alimentare la creazione di nuovi sistemi e nuovi segnali contemporanei in aria, quanto valorizzare l'esistente aggiungendogli nuove funzionalità, come strumento di crescita individuale ma anche collettivo per le nostre sezioni e per la categoria in genere.

L'approccio di base di quanto sviluppato fino ad ora dalla comunità che vi ha aderito rispecchia infatti il principio che un sistema aggiornato con svxlink debba continuare ad operare come prima, e in funzione delle necessita' del territorio possa o meno essere interconnettibile ad altri nodi. Al centro del servizio reso disponibile viene infatti posto l'utente finale, e non la rete di per se: l'utente deve poter usufruire delle funzionalità in modo semplice e comprensibile, comprendendo in qualsiasi momento il funzionamento del sistema automatico. Per questo motivo sono disponibili linee guida e configurazioni di esempio che valorizzino il piu' possibile questa tecnologia senza disorientare o complicare l'utilizzo all'utente.

== Come aderire ==
In attesa di procedure automatiche, e' possibile richiedere accesso al reflector tramite https://tt.ari.it/open.php selezionando la categoria "accesso al reflector".

== Documentazione ==

Svxlink

2024-03-13T11:20:12Z

IW1GEU: /* Gli obiettivi */

SvxLink e' un progetto di sm0svx nato nel 2003 come sistema flessibile general purpose per servizi digitali per radioamatori.

Grazie ad un progetto di ARI CRER, e' disponibile su AMPR un reflector per sperimentare questa tecnologia.

= SvxLink =

== Gli obiettivi ==
L'obiettivo principale e' quello di fare rete tra di noi, associazioni sul territorio o singoli radioamatori, per sperimentare questa tecnologia su una piattaforma comune e che possa crescere secondo le nostre esigenze, quelle della comunità stessa degli.

Poter sperimentare all'interno di piattaforma svxlink nazionale con il proprio ripetitore di sezione o costruirsi il proprio hotspot casalingo significa sperimentare una tecnologia digitale che valorizza ancora di più l'aspetto analogico della tradizionale comunicazione FM. Ben consci che esistano più ripetitori che radioamatori, da sempre non si e' voluto alimentare la creazione di nuovi sistemi e nuovi segnali contemporanei in aria, quanto valorizzare l'esistente aggiungendogli nuove funzionalità, come strumento di crescita individuale ma anche collettivo per le nostre sezioni e per la categoria in genere.

L'approccio di base di quanto sviluppato fino ad ora dalla comunità che vi ha aderito rispecchia infatti il principio che un sistema aggiornato con svxlink debba continuare ad operare come prima, e in funzione delle necessita' del territorio possa o meno essere interconnettibile ad altri nodi. Al centro del servizio reso disponibile viene infatti posto l'utente finale, e non la rete di per se: l'utente deve poter usufruire delle funzionalità in modo semplice e comprensibile, comprendendo in qualsiasi momento il funzionamento del sistema automatico. Per questo motivo sono disponibili linee guida e configurazioni di esempio che valorizzino il piu' possibile questa tecnologia senza disorientare o complicare l'utilizzo all'utente.

== Come aderire ==
In attesa di procedure automatiche, e' possibile richiedere accesso al reflector tramite https://tt.ari.it/open.php selezionando la categoria "accesso al reflector".

== Documentazione ==

Svxlink

2024-03-13T11:18:54Z

IW1GEU:

SvxLink e' un progetto di sm0svx nato nel 2003 come sistema flessibile general purpose per servizi digitali per radioamatori.

Grazie ad un progetto di ARI CRER, e' disponibile su AMPR un reflector per sperimentare questa tecnologia.

== Gli obiettivi ==
L'obiettivo principale e' quello di fare rete tra di noi, associazioni sul territorio o singoli radioamatori, per sperimentare questa tecnologia su una piattaforma comune e che possa crescere secondo le nostre esigenze, quelle della comunità stessa degli.

Poter sperimentare all'interno di piattaforma svxlink nazionale con il proprio ripetitore di sezione o costruirsi il proprio hotspot casalingo significa sperimentare una tecnologia digitale che valorizza ancora di più l'aspetto analogico della tradizionale comunicazione FM. Ben consci che esistano più ripetitori che radioamatori, da sempre non si e' voluto alimentare la creazione di nuovi sistemi e nuovi segnali contemporanei in aria, quanto valorizzare l'esistente aggiungendogli nuove funzionalità, come strumento di crescita individuale ma anche collettivo per le nostre sezioni e per la categoria in genere.

L'approccio di base di quanto sviluppato fino ad ora dalla comunità che vi ha aderito rispecchia infatti il principio che un sistema aggiornato con svxlink debba continuare ad operare come prima, e in funzione delle necessita' del territorio possa o meno essere interconnettibile ad altri nodi. Al centro del servizio reso disponibile viene infatti posto l'utente finale, e non la rete di per se: l'utente deve poter usufruire delle funzionalità in modo semplice e comprensibile, comprendendo in qualsiasi momento il funzionamento del sistema automatico. Per questo motivo sono disponibili linee guida e configurazioni di esempio che valorizzino il piu' possibile questa tecnologia senza disorientare o complicare l'utilizzo all'utente.

== Come aderire ==
In attesa di procedure automatiche, e' possibile richiedere accesso al reflector tramite https://tt.ari.it/open.php selezionando la categoria "accesso al reflector".

== Documentazione ==

APPPUNTI VM internet e AMPRNET

2024-03-13T10:47:25Z

IW1GEU: /* prompt colorato */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Terminal gems ==

=== history alla BSD ===

For the root user:

<code>
export HISTTIMEFORMAT="%d/%m/%y %T "
</code>

La prima assegnazione imposta il timestamp della history in classico stile BSD. es:

<code>
root@geu-ampr history
500 13/03/24 11:30:47 history
501 13/03/24 11:35:34 cat .bash_profile
502 13/03/24 11:36:41 history
</code>

=== prompt colorato ===

Impostazioni da mettere nel proprio .bash_profile

root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;31m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

utente_non_root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;32m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server nella rete 44 AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

APPPUNTI VM internet e AMPRNET

2024-03-13T10:46:07Z

IW1GEU: /* Certificati SSL/TLS - TROVARE SOLUZIONE */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Terminal gems ==

=== history alla BSD ===

For the root user:

<code>
export HISTTIMEFORMAT="%d/%m/%y %T "
</code>

La prima assegnazione imposta il timestamp della history in classico stile BSD. es:

<code>
root@geu-ampr history
500 13/03/24 11:30:47 history
501 13/03/24 11:35:34 cat .bash_profile
502 13/03/24 11:36:41 history
</code>

=== prompt colorato ===

root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;31m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

utente_non_root_in_rosso@hostname_in_azzurro

<code>
export PS1='\[\e[0;32m\]\u\[\e[m\]\[\e[1;29m\]@\[\e[1;34m\]\h \[\e[1;32m\]\w\[\e[m\] \[\e[1;32m\]\$\[\e[m\] \[\e[29m\]'
</code>

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server nella rete 44 AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

IW1GEU sandbox

2024-03-13T09:01:01Z

IW1GEU: /* Esempio di elenco risorse */

= IW1GEU MediaWiki sandbox =

== Esempio di elenco risorse ==

{| class="wikitable sortable" style="margin:auto"
|+ RISORSE AMPR
|-
! Categoria !! Gestione !! Indirizzo !! Descrizione !! Note !! Connettività
|-
| RICEVITORE-REMOTO || IQ1GP || http://iq1gp.ampr.ari.it || OpenWebRX+ in sezione IQ1GP || Antenna Diamond V2000, banda limitata a 1M || ItGate VDSL
|-
| RICEVITORE-REMOTO || IW1GEU || http://rem1.iw1geu.ampr.ari.it/ || KiwiSDR remoto IW1GEU || Antenna Wellbrook ALA1530LN || BBBELL FTTH
|-
| ALTRO || IW1GEU || http://iw1geu.ampr.ari.it/ || Testing dashy || in test || Multiwire FTTH
|-
| ALTRO || IW1GEU || http://vm.iw1geu.ampr.ari.it || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://44.32.33.162 || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://193.70.17.196 || Test routing asimmetrico su VM || ok via internet || OVH
|-
| DASHBOARD-PONTE || IQ1GP || http://frassinetto.iq1gp.ampr.ari.it || Frassinetto || Ponte FM/D-Star VHF || RL-Net HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://corio.iq1gp.ampr.ari.it || Corio || Ponte D-Star UHF || PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://garne.iq1gp.ampr.ari.it || Monte Garnè || Ponti DMR e D-Star UHF || RL-Net FTTH
|-
| DASHBOARD-PONTE || IQ1GP || http://prarostino.iq1gp.ampr.ari.it || Prarostino || Ponti DMR e D-Star UHF || ElsyNet + PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://penice.iq1gp.ampr.ari.it || Monte Penice || Ponte D-Star UHF || HiperLan
|-
| DX-CLUSTER || IZ3MEZ || telnet://dxc.iz3mez.ampr.org:8000 || IZ3MEZ-8 DX Cluster || ||
|-
| DX-CLUSTER || ON0AN || telnet://on0an.ampr.org:8000 || ON0AN DX Cluster || ||
|-
| DX-CLUSTER || ON0AN || telnet://44.144.11.254:8000 || ON0AN DX Cluster || Old IP address ||
|-
| DX-CLUSTER || ON0AN || telnet://44.11.16.73:8000 || ON0AN DX Cluster || New IP address ||
|-
| DX-CLUSTER || ON0AN || axudp://44.11.16.73:93 || ON0AN DX Cluster || AX-UDP ||
|-
| DNS-RESOLVER || ARI || 44.32.32.1 || 44.32.32.1 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.32.32.2 || 44.32.32.2 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.60.44.3 || 44.60.44.3 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|}

== Idee di sviluppi futuri ==
=== Unico punto di accesso ai propri servizi ===
Avendo a disposizione un ip 44 personale e magari avendo più servizi da pubblicare, questo lo stack della la mia idea per un unico punto di accesso web:
* Pulsantiera, [https://dashy.to/ Dashy] - Pulsantiera con le icone dei propri servizi (web, sdr, meteo, cluster...)
* Reverse proxy e load balancer, [https://caddyserver.com/ Caddy] - Reverse proxy che maschera i servizi (Forse fattibile anche con nginx)
* Entrambi i servizi erogati da docker container che girano sul QNAP di casa o direttamente sulla Mikrotik RB5009

=== WishList di servizi centrali ===
* CA (Certification Authority) AMPR ARI che firma CSR (Client Signing Request) personali per permettere ai radioamatori di avere certificati per servizi SSL e TLS (HTTPS, login automatici etc), oppure trovare modo di automatizzare Letsencrypt in AMPR ARI
* Avere dati dei radioamatori su server centrale e un API server autenticato
* SSO (Single Sign On) sui servizi AMPR ARI
* Alla creazione/assegnazione dell'ip44, creare il record PTR associato, così come viene creato il record A.
* Possibilità di concedere delega DNS del sottodominio di sezione
* Possibilità di aggiornare i propri record A/PTR del DNS ampr.ari.it
* <s>Possibilità di risposte DNS differenziate a seconda della provenienza del client ns. Es. un client 44 tenta di risolvere wiki.ampr.ari.it e gli viene specificato l'ip44, mentre un client internet che chiede la stessa risoluzione gli niene risposto con l'ip internet. DNS split-horizon? DNS views?</s> Idea proposta e già scartata. Ci sono altri modi per raggiungere l'obbiettivo di dirottare il traffico della propria utenza o su internet o su ip 44. Chi ne ha bisogno dovrà escogitare il metodo migliore.
* Possibilità di aggiornare in autonomia i propri dati su ipam (quali ad es: descrizione, uso)
* Permettere di richiedere il reset della password su tt.ari.it
* Un Yahoo/Altavista anni '90 AMPR ARI tipo: [https://www.linkace.org/ LinkAce] ... per meglio far conoscere i servizi AMPR ai radioamatori senza pubblicarlo su internet
* Avere un servizio NTP per tutti gli afferenti al gw ARI
* Avere un centralino VoIP centrale ARI
* Avere un bel web.dx-cluster ARI tipo https://webcluster.ure.es https://dxheat.com/dxc/ o https://web.cluster.iz3mez.it/

=== ip AMPR ARI su VM/VPS ===
* Come aggiungere un ip 44 AMPR ARI su un VPS esistente con stack ipv4?
* Come mantenere il doppio accesso internet e AMPR?
Ho preso appunti per lasciare una traccia di come fare.
Ho dedicato una pagina apposta [[APPPUNTI_VM_internet_e_AMPRNET| VM_internet_e_AMPRNET ]]

APPPUNTI VM internet e AMPRNET

2024-03-07T15:56:19Z

IW1GEU: /* Certificati SSL/TLS - TROVARE SOLUZIONE */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server nella rete 44 AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

APPPUNTI VM internet e AMPRNET

2024-03-07T15:10:12Z

IW1GEU: /* firewall - OK */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

Migliorie:
* aggiungere un drop dei bogons in ingresso
* specificare l'interfaccia

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

IW1GEU sandbox

2024-03-07T14:36:28Z

IW1GEU: /* WishList di servizi centrali */

= IW1GEU MediaWiki sandbox =

== Esempio di elenco risorse ==

{| class="wikitable sortable" style="margin:auto"
|+ RISORSE AMPR
|-
! Categoria !! Gestione !! Indirizzo !! Descrizione !! Note !! Connettività
|-
| RICEVITORE-REMOTO || IQ1GP || http://iq1gp.ampr.ari.it || OpenWebRX+ in sezione IQ1GP || Antenna Diamond V2000, banda limitata a 1M || ItGate VDSL
|-
| RICEVITORE-REMOTO || IW1GEU || http://rem1.iw1geu.ampr.ari.it/ || KiwiSDR remoto IW1GEU || Antenna Wellbrook ALA1530LN || BBBELL FTTH
|-
| ALTRO || IW1GEU || http://iw1geu.ampr.ari.it/ || Testing dashy || in test || Multiwire FTTH
|-
| ALTRO || IW1GEU || http://vm.iw1geu.ampr.ari.it || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://44.32.33.162 || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://193.70.17.196 || Test routing asimmetrico su VM || ok via internet || OVH
|-
| DASHBOARD-PONTE || IQ1GP || http://frassinetto.iq1gp.ampr.ari.it || Frassinetto || Ponte FM/D-Star VHF || RL-Net HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://corio.iq1gp.ampr.ari.it || Corio || Ponte D-Star UHF || PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://garne.iq1gp.ampr.ari.it || Monte Garnè || Ponti DMR e D-Star UHF || RL-Net FTTH
|-
| DASHBOARD-PONTE || IQ1GP || http://prarostino.iq1gp.ampr.ari.it || Prarostino || Ponti DMR e D-Star UHF || ElsyNet + PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://penice.iq1gp.ampr.ari.it || Monte Penice || Ponte D-Star UHF || HiperLan
|-
| DX-CLUSTER || IZ3MEZ || telnet://dxc.iz3mez.ampr.org:8000 || IZ3MEZ-8 DX Cluster || ||
|-
| DNS-RESOLVER || ARI || 44.32.32.1 || 44.32.32.1 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.32.32.2 || 44.32.32.2 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.60.44.3 || 44.60.44.3 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|}

== Idee di sviluppi futuri ==
=== Unico punto di accesso ai propri servizi ===
Avendo a disposizione un ip 44 personale e magari avendo più servizi da pubblicare, questo lo stack della la mia idea per un unico punto di accesso web:
* Pulsantiera, [https://dashy.to/ Dashy] - Pulsantiera con le icone dei propri servizi (web, sdr, meteo, cluster...)
* Reverse proxy e load balancer, [https://caddyserver.com/ Caddy] - Reverse proxy che maschera i servizi (Forse fattibile anche con nginx)
* Entrambi i servizi erogati da docker container che girano sul QNAP di casa o direttamente sulla Mikrotik RB5009

=== WishList di servizi centrali ===
* CA (Certification Authority) AMPR ARI che firma CSR (Client Signing Request) personali per permettere ai radioamatori di avere certificati per servizi SSL e TLS (HTTPS, login automatici etc), oppure trovare modo di automatizzare Letsencrypt in AMPR ARI
* Avere dati dei radioamatori su server centrale e un API server autenticato
* SSO (Single Sign On) sui servizi AMPR ARI
* Alla creazione/assegnazione dell'ip44, creare il record PTR associato, così come viene creato il record A.
* Possibilità di concedere delega DNS del sottodominio di sezione
* Possibilità di aggiornare i propri record A/PTR del DNS ampr.ari.it
* <s>Possibilità di risposte DNS differenziate a seconda della provenienza del client ns. Es. un client 44 tenta di risolvere wiki.ampr.ari.it e gli viene specificato l'ip44, mentre un client internet che chiede la stessa risoluzione gli niene risposto con l'ip internet. DNS split-horizon? DNS views?</s> Idea proposta e già scartata. Ci sono altri modi per raggiungere l'obbiettivo di dirottare il traffico della propria utenza o su internet o su ip 44. Chi ne ha bisogno dovrà escogitare il metodo migliore.
* Possibilità di aggiornare in autonomia i propri dati su ipam (quali ad es: descrizione, uso)
* Permettere di richiedere il reset della password su tt.ari.it
* Un Yahoo/Altavista anni '90 AMPR ARI tipo: [https://www.linkace.org/ LinkAce] ... per meglio far conoscere i servizi AMPR ai radioamatori senza pubblicarlo su internet
* Avere un servizio NTP per tutti gli afferenti al gw ARI
* Avere un centralino VoIP centrale ARI
* Avere un bel web.dx-cluster ARI tipo https://webcluster.ure.es https://dxheat.com/dxc/ o https://web.cluster.iz3mez.it/

=== ip AMPR ARI su VM/VPS ===
* Come aggiungere un ip 44 AMPR ARI su un VPS esistente con stack ipv4?
* Come mantenere il doppio accesso internet e AMPR?
Ho preso appunti per lasciare una traccia di come fare.
Ho dedicato una pagina apposta [[APPPUNTI_VM_internet_e_AMPRNET| VM_internet_e_AMPRNET ]]

IW1GEU sandbox

2024-03-07T14:36:05Z

IW1GEU: /* WishList di servizi centrali */

= IW1GEU MediaWiki sandbox =

== Esempio di elenco risorse ==

{| class="wikitable sortable" style="margin:auto"
|+ RISORSE AMPR
|-
! Categoria !! Gestione !! Indirizzo !! Descrizione !! Note !! Connettività
|-
| RICEVITORE-REMOTO || IQ1GP || http://iq1gp.ampr.ari.it || OpenWebRX+ in sezione IQ1GP || Antenna Diamond V2000, banda limitata a 1M || ItGate VDSL
|-
| RICEVITORE-REMOTO || IW1GEU || http://rem1.iw1geu.ampr.ari.it/ || KiwiSDR remoto IW1GEU || Antenna Wellbrook ALA1530LN || BBBELL FTTH
|-
| ALTRO || IW1GEU || http://iw1geu.ampr.ari.it/ || Testing dashy || in test || Multiwire FTTH
|-
| ALTRO || IW1GEU || http://vm.iw1geu.ampr.ari.it || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://44.32.33.162 || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://193.70.17.196 || Test routing asimmetrico su VM || ok via internet || OVH
|-
| DASHBOARD-PONTE || IQ1GP || http://frassinetto.iq1gp.ampr.ari.it || Frassinetto || Ponte FM/D-Star VHF || RL-Net HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://corio.iq1gp.ampr.ari.it || Corio || Ponte D-Star UHF || PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://garne.iq1gp.ampr.ari.it || Monte Garnè || Ponti DMR e D-Star UHF || RL-Net FTTH
|-
| DASHBOARD-PONTE || IQ1GP || http://prarostino.iq1gp.ampr.ari.it || Prarostino || Ponti DMR e D-Star UHF || ElsyNet + PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://penice.iq1gp.ampr.ari.it || Monte Penice || Ponte D-Star UHF || HiperLan
|-
| DX-CLUSTER || IZ3MEZ || telnet://dxc.iz3mez.ampr.org:8000 || IZ3MEZ-8 DX Cluster || ||
|-
| DNS-RESOLVER || ARI || 44.32.32.1 || 44.32.32.1 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.32.32.2 || 44.32.32.2 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.60.44.3 || 44.60.44.3 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|}

== Idee di sviluppi futuri ==
=== Unico punto di accesso ai propri servizi ===
Avendo a disposizione un ip 44 personale e magari avendo più servizi da pubblicare, questo lo stack della la mia idea per un unico punto di accesso web:
* Pulsantiera, [https://dashy.to/ Dashy] - Pulsantiera con le icone dei propri servizi (web, sdr, meteo, cluster...)
* Reverse proxy e load balancer, [https://caddyserver.com/ Caddy] - Reverse proxy che maschera i servizi (Forse fattibile anche con nginx)
* Entrambi i servizi erogati da docker container che girano sul QNAP di casa o direttamente sulla Mikrotik RB5009

=== WishList di servizi centrali ===
* CA (Certification Authority) AMPR ARI che firma CSR (Client Signing Request) personali per permettere ai radioamatori di avere certificati per servizi SSL e TLS (HTTPS, login automatici etc), oppure trovare modo di automatizzare Letsencrypt in AMPR ARI
* Avere dati dei radioamatori su server centrale e un API server autenticato
* SSO (Single Sign On) sui servizi AMPR ARI
* Alla creazione/assegnazione dell'ip44, creare il record PTR associato, così come viene creato il record A.
* Possibilità di concedere delega DNS del sottodominio di sezione
* Possibilità di aggiornare i propri record A/PTR del DNS ampr.ari.it
* <s>Possibilità di risposte DNS differenziate a seconda della provenienza del client ns. Es. un client 44 tenta di risolvere wiki.ampr.ari.it e gli viene specificato l'ip44, mentre un client internet che chiede la stessa risoluzione gli niene risposto con l'ip internet. DNS split-horizon? DNS views?</s> Idea proposta scartata. Ci sono altri modi per raggiungere l'obbiettivo di dirottare il traffico della propria utenza o su internet o su ip 44. Chi ne ha bisogno dovrà escogitare il metodo migliore.
* Possibilità di aggiornare in autonomia i propri dati su ipam (quali ad es: descrizione, uso)
* Permettere di richiedere il reset della password su tt.ari.it
* Un Yahoo/Altavista anni '90 AMPR ARI tipo: [https://www.linkace.org/ LinkAce] ... per meglio far conoscere i servizi AMPR ai radioamatori senza pubblicarlo su internet
* Avere un servizio NTP per tutti gli afferenti al gw ARI
* Avere un centralino VoIP centrale ARI
* Avere un bel web.dx-cluster ARI tipo https://webcluster.ure.es https://dxheat.com/dxc/ o https://web.cluster.iz3mez.it/

=== ip AMPR ARI su VM/VPS ===
* Come aggiungere un ip 44 AMPR ARI su un VPS esistente con stack ipv4?
* Come mantenere il doppio accesso internet e AMPR?
Ho preso appunti per lasciare una traccia di come fare.
Ho dedicato una pagina apposta [[APPPUNTI_VM_internet_e_AMPRNET| VM_internet_e_AMPRNET ]]

APPPUNTI VM internet e AMPRNET

2024-03-07T14:19:17Z

IW1GEU: /* Traffic shaping - DA RAGIONARCI ANCORA */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

Su una VM che non fa routing, questo approccio funziona in egress, cioè solo in uscita.
<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

Influenzare un pochino la banda in ingresso sarebbe possibili tramite ifb. Non sa quanto sia efficace. Da provare...
<pre>
ip link add name ifb0 type ifb
ip link set dev ifb0 up
tc qdisc add dev wg_ampr_ari0 handle ffff: ingress
tc filter add dev wg_ampr_ari0 parent ffff: protocol ip u32 match u32 0 0 action mirred egress redirect dev ifb0
tc qdisc add dev ifb0 root handle 1: htb default 11
</pre>

E' possibile anche limitare il numero di pacchetti UDP in ingresso tramite iptables ma questo potrebbe danneggiare traffico legittimo e bisognerà creare eccezzioni.
Se la limitazione impatta sul VoIP o altri stream che non devono avere limitazione, si dovrà andare a creare una eccezzione a monte con un ACCEPT.
<pre>
iptables -A INPUT -p udp -m limit --limit 10/sec --limit-burst 20 -j ACCEPT
iptables -A INPUT -p udp -j DROP
</pre>

Pericoloso ma fattibile sarebbe far loggare ad iptables il blocco UDP e far anallizare il log a fail2ban per procedere di conseguenza.

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

APPPUNTI VM internet e AMPRNET

2024-03-07T14:08:18Z

IW1GEU: /* LetsEncrypt - TROVARE SOLUZIONE */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

== Certificati SSL/TLS - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

APPPUNTI VM internet e AMPRNET

2024-03-07T14:07:53Z

IW1GEU: /* LetsEncrypt - TROVARE SOLUZIONE */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

== LetsEncrypt - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server AMPR ARI

; LetsEncrypt https://letsencrypt.org/docs/challenge-types/
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet (HTTP-01 challenge)
: * Metodo riconoscimento via DNS necessità di un DNS aggiornabile via API (DNS-01 challenge)

APPPUNTI VM internet e AMPRNET

2024-03-07T14:05:24Z

IW1GEU: /* NS resolver selettivo - NON OK - DA RIVEDERE */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

== LetsEncrypt - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server AMPR ARI

; LetsEncrypt
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet
: * Metodo riconoscimento via DNS necessità della possibilità di creare record DNS

APPPUNTI VM internet e AMPRNET

2024-03-07T10:29:03Z

IW1GEU: /* Traffic shaping - DA RAGIONARCI ANCORA */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo - NON OK - DA RIVEDERE ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

== LetsEncrypt - TROVARE SOLUZIONE ==

Trovare soluzione per poter avere automatismi gratuiti di emissione/aggiornamento di certificati per SSL/TLS dei server AMPR ARI

; LetsEncrypt
: * Metodo riconoscimento via WEB necessità il raggiungimento del ip 44 da LetsEncrypt/internet
: * Metodo riconoscimento via DNS necessità della possibilità di creare record DNS

APPPUNTI VM internet e AMPRNET

2024-03-07T09:44:39Z

IW1GEU: /* Raggiungibilità servizi - OK */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo - NON OK - DA RIVEDERE ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

== Traffic shaping - DA RAGIONARCI ANCORA ==

<pre>
# Impostazione generale di shaping
tc qdisc add dev wg_ampr_ari0 root handle 1: htb default 11

# massimo bitrate totale per interfaccia
tc class add dev wg_ampr_ari0 parent 1: classid 1:1 htb rate 5000kbps

# definizione classe limitata a 1000kpbs
tc class add dev wg_ampr_ari0 parent 1:1 classid 1:10 htb rate 1000kbps

# Limita traffico UDP (protocollo 17) ridirigendolo alla classe limitante
tc filter add dev wg_ampr_ari0 protocol ip parent 1:0 prio 1 u32 match ip protocol 17 0xff flowid 1:10

</pre>

APPPUNTI VM internet e AMPRNET

2024-03-07T09:36:36Z

IW1GEU: /* Raggiungibilità servizi */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo - NON OK - DA RIVEDERE ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi - OK ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:36:22Z

IW1GEU: /* NS resolver selettivo */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo - NON OK - DA RIVEDERE ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:35:22Z

IW1GEU: /* firewall */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall - OK ==

Il firewall è molto personale e va implementato secondo le proprie esigenze. Questo vuole solo essere un punto di partenza.

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -m comment --comment "servizio WEB HTTP"
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -m comment --comment "servizio WEB HTTPS"
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:32:56Z

IW1GEU: /* Test instradamento */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento - OK ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:32:45Z

IW1GEU: /* tunnel wireguard */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard - OK ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:32:36Z

IW1GEU: /* interfacce */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce - OK ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:32:03Z

IW1GEU: /* reverse proxy */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== Raggiungibilità servizi ==

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:10:54Z

IW1GEU: /* reverse proxy */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
:80 {
root * /var/www/default
php_fastcgi unix//run/php/php-fpm.sock
file_server
encode zstd gzip
log {
output file /var/log/caddy/default.access.log
format console
}
}
</pre>

Test raggiungibilità
* su ip numerico internet http://193.70.17.196 '''OK''' da internet
* su dominio internet http://vm.iw1geu.audric.it '''OK''' da internet
* su ip numerico AMPR ARI http://44.32.33.162 '''OK''' da AMPR ARI
* su dominio AMPR ARI http://vm.iw1geu.ampr.ari.it '''OK''' da AMPR ARI mentre da AMPR fuori ARI è da testare

APPPUNTI VM internet e AMPRNET

2024-03-07T09:04:20Z

IW1GEU: /* reverse proxy */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
:80 {
root * /var/www/default
php_fastcgi unix//run/php/php-fpm.sock
file_server
encode zstd gzip
log {
output file /var/log/caddy/default.access.log
format console
}
}
</pre>

;Test risposte da:
* da internet su ip numerico http://193.70.17.196 '''OK'''
* da internet su dominio http://vm.iw1geu.audric.it '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-07T09:02:48Z

IW1GEU: /* Test instradamento */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test delle rotte '''OK'''

<pre>
root@geu-ampr:~# ip ro get 8.8.8.8
8.8.8.8 via 51.75.243.254 dev ens18 src 193.70.17.196
cache
root@geu-ampr:~# ip ro get 44.32.32.2
44.32.32.2 dev wg_ampr_ari src 44.32.33.162
cache
root@geu-ampr:~# ip ro get 44.88.0.1
44.88.0.1 via 44.32.32.1 dev wg_ampr_ari src 44.32.33.162
cache
</pre>

Test instradamento verso internet '''OK'''

<pre>
root@geu-ampr:~# traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.32.32.2
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''OK'''

<pre>
root@geu-ampr:~# traceroute 44.88.0.1
traceroute to 44.88.0.1 (44.88.0.1), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.710 ms 25.698 ms 25.683 ms
2 gw.hamgatect.ampr.org (44.88.0.1) 145.807 ms 145.784 ms *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
:80 {
root * /var/www/default
php_fastcgi unix//run/php/php-fpm.sock
file_server
encode zstd gzip
log {
output file /var/log/caddy/default.access.log
format console
}
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T22:32:20Z

IW1GEU: /* reverse proxy */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
:80 {
root * /var/www/default
php_fastcgi unix//run/php/php-fpm.sock
file_server
encode zstd gzip
log {
output file /var/log/caddy/default.access.log
format console
}
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T22:26:19Z

IW1GEU: /* reverse proxy */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
:80 {
root * /var/www/default
php_fastcgi unix//run/php/php-fpm.sock
file_server

log {
output file /var/log/caddy/default.access.log
format console
}

encode zstd gzip

# Prevent access to dot-files, except .well-known
@dotFiles {
path */.*
not path /.well-known/*
}
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T18:48:44Z

IW1GEU: /* reverse proxy */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Nessuno dovrebbe arriva qui"
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T18:30:01Z

IW1GEU: /* NS resolver selettivo */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==

''' DA RIVEDERE '''

Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T18:28:41Z

IW1GEU: /* Vm di base */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables iptables-persistent systemd-resolved wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==
Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T18:23:35Z

IW1GEU: /* Appunti di viaggio per gli addetti ai lavori */

= Appunti di viaggio per gli addetti ai lavori =

''' WORK IN PROGRESS - DA TESTARE '''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables ipset wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==
Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T17:57:20Z

IW1GEU: /* reverse proxy */

= Appunti di viaggio per gli addetti ai lavori =

'''WORK IN PROGRESS'''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables ipset wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==
Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

Test configurazione '''da rivedere'''
<pre>
root@geu-ampr:~# resolvectl status
</pre>
<pre>
Global
Protocols: +LLMNR +mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub
Current DNS Server: 8.8.8.8
DNS Servers 44.32.32.2 44.60.44.3 44.32.32.1 8.8.8.8
DNS Domain ampr.ari.it ~.

Link 2 (ens18)
Current Scopes: LLMNR/IPv4 LLMNR/IPv6
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
DNS Domain: DOMAINS

Link 3 (wg_ampr_ari)
Current Scopes: none
Protocols: -DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>

;Test risposte da:
* da internet http://193.70.17.196 '''OK'''
* da AMPR ARI su ip numerico http://44.32.33.162 '''OK'''
* da AMPR ARI su dominio http://vm.iw1geu.ampr.ari.it '''OK'''
* da AMPR fuori ARI su ip numerico http://44.32.33.162 '''??? boh!? chi mi dice se funziona?'''

APPPUNTI VM internet e AMPRNET

2024-03-06T17:54:20Z

IW1GEU: /* NS resolver selettivo */

APPPUNTI VM internet e AMPRNET

2024-03-06T17:46:55Z

IW1GEU: /* test instradamento */

= Appunti di viaggio per gli addetti ai lavori =

'''WORK IN PROGRESS'''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables ipset wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== Test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==
Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>

APPPUNTI VM internet e AMPRNET

2024-03-06T17:46:24Z

IW1GEU: /* firewall */

= Appunti di viaggio per gli addetti ai lavori =

'''WORK IN PROGRESS'''

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.
Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

La VM nasce con connettività internet del provider di hosting.
Si vuole ottenere che un servizio di rete venga erogato verso internet se richiesto da internet e verso la 44 se richiesto da AMPR.

Pacchetti base installalti: iptables ipset wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

'''Abilitazione del servizio per l'avvio automatico:'''
<pre>
systemctl enable wg-quick@wg_ampr_ari0.service
systemctl start wg-quick@wg_ampr_ari0
</pre>

== test instradamento ==

Test instradamento verso internet '''OK'''

<pre>
traceroute 8.8.8.8
</pre>
<pre>
traceroute to 8.8.8.8 (8.8.8.8), 30 hops max, 60 byte packets
1 551.255.69.252 (551.255.69.252) 0.505 ms 0.508 ms 0.669 ms
2 510.17.50.50 (510.17.50.50) 0.521 ms 0.618 ms 0.697 ms
3 510.73.17.66 (510.73.17.66) 0.199 ms
4 510.95.64.136 (510.95.64.136) 0.574 ms
5 * * *
6 510.200.2.69 (10.200.2.69) 3.965 ms 3.929 ms
7 * * *
8 * * *
9 66.249.94.133 (66.249.94.133) 4.942 ms dns.google (8.8.8.8) 4.100 ms 142.250.234.43 (142.250.234.43) 4.897 ms
</pre>

Test instradamento verso AMPR ARI '''OK'''

<pre>
traceroute 44.32.32.2
</pre>
<pre>
traceroute to 44.32.32.2 (44.32.32.2), 30 hops max, 60 byte packets
1 44.32.32.1 (44.32.32.1) 25.891 ms 25.864 ms 25.882 ms
2 44.32.32.2 (44.32.32.2) 28.531 ms 28.537 ms 28.528 ms
</pre>

Test instradamento verso AMPR fuori da AMR ARI '''FALLITO rivedere perchè'''

<pre>
traceroute 44.88.0.9
</pre>
<pre>
traceroute to 44.88.0.9 (44.88.0.9), 30 hops max, 60 byte packets
1 51.255.69.252 (51.255.69.252) 0.573 ms 0.635 ms 0.829 ms
2 10.17.50.58 (10.17.50.58) 0.420 ms 10.17.50.50 (10.17.50.50) 0.496 ms 10.17.50.56 (10.17.50.56) 0.414 ms
3 10.73.16.112 (10.73.16.112) 0.242 ms 10.73.16.114 (10.73.16.114) 0.206 ms 10.73.17.64 (10.73.17.64) 0.185 ms
4 10.95.64.158 (10.95.64.158) 0.663 ms 0.416 ms 10.95.64.156 (10.95.64.156) 0.522 ms
5 lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.296 ms 4.535 ms 4.240 ms
6 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 82.450 ms nyc-ny1-sbb2-8k.nj.us (192.99.146.133) 73.537 ms lon-thw-sbb1-nc5.uk.eu (54.36.50.240) 4.281 ms
7 nyc-ny1-sbb1-8k.nj.us (192.99.146.127) 77.398 ms be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.989 ms 81.534 ms
8 be102.bhs-g1-nc5.qc.ca (198.27.73.204) 83.947 ms be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 101.642 ms be101.chi-ch2-sbb2-8k.il.us (192.99.146.141) 94.279 ms
9 be101.chi-ch2-sbb1-8k.il.us (198.27.73.207) 99.965 ms 10.200.4.208 (10.200.4.208) 94.478 ms *
10 * * 10.200.3.193 (10.200.3.193) 153.552 ms
11 eqix-sv5.cenic.com (206.223.117.118) 144.400 ms 152.549 ms 10.200.3.193 (10.200.3.193) 149.355 ms
12 eqix-sv5.cenic.com (206.223.117.118) 147.728 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 162.321 ms *
13 * dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 152.430 ms dc-svl-agg8--svl-agg10-300g.cenic.net (137.164.11.81) 163.969 ms
14 dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 157.846 ms dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.862 ms dc-lax-agg8--svl-agg8--100ge--2.cenic.net (137.164.11.20) 158.459 ms
15 dc-tus-agg8--lax-agg8-300g.cenic.net (137.164.11.83) 154.960 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 159.300 ms 154.293 ms
16 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 162.148 ms sand1-agg-01--tus-agg8--300g--01.cenic.net (137.164.11.85) 153.691 ms 153.621 ms
17 ucsd--sand1-agg-01--100g--01.cenic.net (137.164.23.177) 157.586 ms * 160.222 ms
18 * * *
19 sdsc-7710-7--mcore-vl2995-p2p.ucsd.edu (132.239.255.50) 152.531 ms 152.202 ms *
20 * * *
21 * * *
</pre>

== firewall ==

'''Oltre ad iptables viene usato il pacchetto iptables-persistnet che salva in /etc/iptables le regole e le attiva all'avvio.'''

<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

'''Attivazione/ripristino delle regole di firewall'''
<pre>
iptables-restore </etc/iptables/rules.v4
</pre>

'''Salvataggio delle regole di firewall'''

Se si fanno dei cambiamenti a mano da riga di comando direttamente con iptables, occorre salvarle per ritrovarsele attive dopo un riavvio.
<pre>
iptables-save >/etc/iptables/rules.v4
</pre>

== NS resolver selettivo ==
Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>

APPPUNTI VM internet e AMPRNET

2024-03-06T17:36:48Z

IW1GEU: /* firewall */

APPPUNTI VM internet e AMPRNET

2024-03-06T17:32:43Z

IW1GEU: /* tunnel wireguard */

APPPUNTI VM internet e AMPRNET

2024-03-06T16:47:50Z

IW1GEU: /* interfacce */

APPPUNTI VM internet e AMPRNET

2024-03-06T16:46:42Z

IW1GEU: /* Appunti di viaggio per gli addetti ai lavori */

IW1GEU sandbox

2024-03-06T16:13:50Z

IW1GEU: /* WishList di servizi centrali */

= IW1GEU MediaWiki sandbox =

== Esempio di elenco risorse ==

{| class="wikitable sortable" style="margin:auto"
|+ RISORSE AMPR
|-
! Categoria !! Gestione !! Indirizzo !! Descrizione !! Note !! Connettività
|-
| RICEVITORE-REMOTO || IQ1GP || http://iq1gp.ampr.ari.it || OpenWebRX+ in sezione IQ1GP || Antenna Diamond V2000, banda limitata a 1M || ItGate VDSL
|-
| RICEVITORE-REMOTO || IW1GEU || http://rem1.iw1geu.ampr.ari.it/ || KiwiSDR remoto IW1GEU || Antenna Wellbrook ALA1530LN || BBBELL FTTH
|-
| ALTRO || IW1GEU || http://iw1geu.ampr.ari.it/ || Testing dashy || in test || Multiwire FTTH
|-
| ALTRO || IW1GEU || http://vm.iw1geu.ampr.ari.it || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://44.32.33.162 || Test routing asimmetrico su VM || ok via AMPR || OVH
|-
| ALTRO || IW1GEU || http://193.70.17.196 || Test routing asimmetrico su VM || ok via internet || OVH
|-
| DASHBOARD-PONTE || IQ1GP || http://frassinetto.iq1gp.ampr.ari.it || Frassinetto || Ponte FM/D-Star VHF || RL-Net HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://corio.iq1gp.ampr.ari.it || Corio || Ponte D-Star UHF || PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://garne.iq1gp.ampr.ari.it || Monte Garnè || Ponti DMR e D-Star UHF || RL-Net FTTH
|-
| DASHBOARD-PONTE || IQ1GP || http://prarostino.iq1gp.ampr.ari.it || Prarostino || Ponti DMR e D-Star UHF || ElsyNet + PSA HiperLan
|-
| DASHBOARD-PONTE || IQ1GP || http://penice.iq1gp.ampr.ari.it || Monte Penice || Ponte D-Star UHF || HiperLan
|-
| DX-CLUSTER || IZ3MEZ || telnet://dxc.iz3mez.ampr.org:8000 || IZ3MEZ-8 DX Cluster || ||
|-
| DNS-RESOLVER || ARI || 44.32.32.1 || 44.32.32.1 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.32.32.2 || 44.32.32.2 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|-
| DNS-RESOLVER || ARI || 44.60.44.3 || 44.60.44.3 || Dominio *.ampr.ari.it risolvibili anche da internet || Aruba
|}

== Idee di sviluppi futuri ==
=== Unico punto di accesso ai propri servizi ===
Avendo a disposizione un ip 44 personale e magari avendo più servizi da pubblicare, questo lo stack della la mia idea per un unico punto di accesso web:
* Pulsantiera, [https://dashy.to/ Dashy] - Pulsantiera con le icone dei propri servizi (web, sdr, meteo, cluster...)
* Reverse proxy e load balancer, [https://caddyserver.com/ Caddy] - Reverse proxy che maschera i servizi (Forse fattibile anche con nginx)
* Entrambi i servizi erogati da docker container che girano sul QNAP di casa o direttamente sulla Mikrotik RB5009

=== WishList di servizi centrali ===
* CA (Certification Authority) AMPR ARI che firma CSR (Client Signing Request) personali per permettere ai radioamatori di avere certificati per servizi SSL e TLS (HTTPS, login automatici etc), oppure trovare modo di automatizzare Letsencrypt in AMPR ARI
* SSO (Single Sign On) sui servizi AMPR ARI
* Un Yahoo/Altavista anni '90 AMPR ARI tipo: [https://github.com/sissbruecker/linkding linkding], [https://www.linkace.org/ LinkAce] ... per meglio far conoscere i servizi AMPR ai radioamatori senza per forza farlo sapere ad internet/google/bing...
* Alla creazione/assegnazione dell'ip44, creare il record PTR associato, così come viene creato il record A.
* Possibilità di concedere delega DNS del sottodominio di sezione
* Possibilità di aggiornare i propri record A/PTR del DNS ampr.ari.it
* Possibilità di risposte DNS differenziate a seconda della provenienza del client ns. Es. un client 44 tenta di risolvere wiki.ampr.ari.it e gli viene specificato l'ip44, mentre un client internet che chiede la stessa risoluzione gli niene risposto con l'ip internet. DNS split-horizon? DNS views?
* Possibilità di aggiornare in autonomia i propri dati su ipam (quali ad es: descrizione, uso)
* Permettere di richiedere il reset della password su tt.ari.it
* Avere un servizio NTP per tutti gli afferenti al gw ARI
* Avere un centralino VoIP centrale ARI

=== ip AMPR ARI su VM/VPS ===
* Come aggiungere un ip 44 AMPR ARI su un VPS esistente con stack ipv4?
* Come mantenere il doppio accesso internet e AMPR?
Ho preso appunti per lasciare una traccia di come fare.
Ho dedicato una pagina apposta [[APPPUNTI_VM_internet_e_AMPRNET| VM_internet_e_AMPRNET ]]

APPPUNTI VM internet e AMPRNET

2024-03-06T15:57:42Z

IW1GEU: /* firewall */

= Appunti di viaggio per gli addetti ai lavori =

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.

Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

Pacchetti base installalti: iptables ipset wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
dns-nameservers 8.8.8.8
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

== firewall ==
<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type destination-unreachable/source-quench -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 10 -j ACCEPT -m comment --comment "ping si ma non troppo"
-A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/m --limit-burst 1 -j LOG --log-prefix "ICMP flood scampato: "
-A INPUT -p icmp --icmp-type echo-request -j DROP
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

== NS resolver selettivo ==
Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>

APPPUNTI VM internet e AMPRNET

2024-03-06T15:13:34Z

IW1GEU: /* firewall */

= Appunti di viaggio per gli addetti ai lavori =

== Vm di base ==
Questa è una VM debian minimal su OVH che ha una configurazione di rete MOLTO particolare.

Se funziona qui, ci sono altissime probabilità che funioni anche da voi.

Pacchetti base installalti: iptables ipset wireguard ssh caddy

== interfacce ==
<pre>root@geu-ampr:/etc/network# cat interfaces
</pre>
<pre>source /etc/network/interfaces.d/*
auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
address ip.in.ter.net/32
post-up ip route add gw.in.ter.net dev eth0
post-up ip route add default via gw.in.ter.net dev eth0
pre-down ip route del default via gw.in.ter.net dev eth0
pre-down ip route del gw.in.ter.net dev eth0
dns-nameservers 8.8.8.8
</pre>

== tunnel wireguard ==
<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0.conf
</pre>
<pre>[Peer]
PublicKey = PUBLICKEY
AllowedIPs = 44.0.0.0/9, 44.128.0.0/10
Endpoint = 5.144.187.34:13236
PresharedKey = PRESHAREDKEY

[Interface]
ListenPort = 51820
PrivateKey = PRIVATEKEY
Address = 44.32.33.xxx/21
# Se si usa questa riga DNS, tutte le richieste dns verranno dirottate li. Usare systemd-resolved per avere un risolutore specifico per dominio
#DNS = 44.32.32.2, 44.60.44.3, 44.32.32.1

# Creare riga "585 r_AMPR" in /etc/iproute2/rt_tables
Table = r_AMPR

PostUp = /etc/wireguard/wg_ampr_ari-up0.sh
</pre>

<pre>root@geu-ampr:/etc/wireguard# cat wg_ampr_ari0-up.sh
</pre>
<pre>#!/bin/bash

ip route del 44.0.0.0/9 via 44.32.32.1 >/dev/null ||true
ip route del 44.128.0.0/10 via 44.32.32.1 >/dev/null ||true
ip route add 44.0.0.0/9 via 44.32.32.1
ip route add 44.128.0.0/10 via 44.32.32.1

ip route del 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route del 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR >/dev/null |true
ip route add 44.0.0.0/9 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR
ip route add 44.128.0.0/10 via 44.32.32.1 dev wg_ampr_ari0 table r_AMPR

</pre>

== firewall ==
<pre>root@geu-ampr:/etc/iptables# cat rules.v4
</pre>
<pre># Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
# Generated by iptables-save v1.8.9 (nf_tables) on Wed Mar 6 14:11:24 2024
*filter
:INPUT DROP [79:8052]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [118:18860]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT -m comment --comment "WireGuard"
-A INPUT -p icmp --icmp-type 3/4 -j ACCEPT -m comment --comment "PMTU Discovery"
-A INPUT -p icmp --icmp-type 8 -s 44.0.0.0/9 -j ACCEPT -m comment --comment "ping solo da AMPR"
-A INPUT -p icmp --icmp-type 8 -s 44.128.0.0/10 -j ACCEPT -m comment --comment "ping solo da AMPR"
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s ip.qth -m comment --comment "Casa" -j ACCEPT
COMMIT
# Completed on Wed Mar 6 14:11:24 2024
</pre>

== NS resolver selettivo ==
Resolver di default e resolver specifico per dominio e sottodomini di ampr.ari.it
<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat ampr.ari.it.conf
</pre>
<pre>
[Resolve]
Domains=ampr.ari.it
DNS=44.32.32.2 44.60.44.3 44.32.32.1
</pre>

<pre>root@geu-ampr:/etc/systemd/resolved.conf.d# cat dns_servers.conf
</pre>
<pre>
[Resolve]
DNS=8.8.8.8
Domains=~.
</pre>

== reverse proxy ==
<pre>root@geu-ampr:/etc/caddy# cat Caddyfile
</pre>
<pre>
vm.iw1geu.ampr.ari.it:80 {
root * /var/www/vm.iw1geu.ampr.ari.it
file_server
}
my.ip.ampr.net:80 {
root * /var/www/my.ip.ampr.net
file_server
}
ip.in.ter.net:80 {
root * /var/www/ip.in.ter.net
file_server
}
:80 {
respond "Makkè quarzo vuoi!??"
}
</pre>