wireguard делать что-то при появлении peer

0

1

Хочу на сервере выполнять скрипт при подключении peer к WG, перерыл документацию wg, вроде нет такого параметра.

Но вдруг я плохо смотрю, или поделитесь идеями как можно того-же добиться. До cron к примеру я додумался, может ещё что-то?

Зачем?
Есть у меня N микротиков за серыми IP и VPS. Читая https://programmerall.com/article/58262052453/ и https://github.com/jwhited/wgsd адаптировал эту конструцию для микротиков.

Теперь надо когда на VPS подключается peer(или когда его endpoint меняется) пройтись по всем доступным на момент микротикам и актуализировать их endpoint.

←	XRDP и снятие отключенных сессий

initramfs rebuild

→

Пути 2: колхозить или пинать апстрим на тему поддержки какого-то PostPeerUp колбека. Колхозить: самому запилить демона и парсить выхлоп самого wg, кронить, и т.д.

Anoxemian ★★★★★
(23.10.23 01:40:49 MSK)

Ответ на: комментарий от Anoxemian 23.10.23 01:40:49 MSK

Ну собственно тот-же wgsd клиентская часть по cron и запускается.

Вот только сторона сервера как-то понимает, что клиент появился и создаёт DNS запись, но моих знаний go не хватило чтобы пробежавшись по их коду понять как это происходит.

Если там есть API для такого, то что-то на python я наколхожу…

cron пока единственный вариант из доступных, хотелось бы без него чтобы обновление происходило сразу, а не через когда там cron отработает

Flotsky ★★
(23.10.23 01:47:09 MSK) автор топика

Ответ на: комментарий от Anoxemian 23.10.23 01:40:49 MSK

wg-quick же как-то умеет обновлять конфиг при подключении пира. Должно уже быть

MagicMirror ★★
(23.10.23 02:22:09 MSK)

Ответ на: комментарий от MagicMirror 23.10.23 02:22:09 MSK

Умеет? Не видел, ну если да, то стоит выяснить механизм.

P.S. Так-то wg-quick башпортянка в одну сторону, очень сомнительно.

Anoxemian ★★★★★
(23.10.23 02:25:42 MSK)
Последнее исправление: Anoxemian 23.10.23 02:26:40 MSK (всего исправлений: 1)

Ответ на: комментарий от MagicMirror 23.10.23 02:22:09 MSK

Если вы про SaveConfig, то это не при подключении пира, а «the configuration is saved from the current state of the interface upon shutdown»

Даже проверил. Подключился с телефона, в # wg show инфо о пире обновилось, а вот wg0.conf не поменялся

Увы

Flotsky ★★
(23.10.23 10:13:40 MSK) автор топика

отслеживать изменения сети можно через «ip monitor»

vel ★★★★★
(23.10.23 10:13:50 MSK)

Ответ на: комментарий от vel 23.10.23 10:13:50 MSK

Я что-то делаю не так?

Иду на сервер, запускаю # ip monitor
Иду на клиента(телефон), включаю wg тоннель
???
наверное что-то должно появиться в выхлопе ip monitor, но ничего.

PS. Он же вроде следит за изменениями в маршрутах/интерфейсах/… но при подключении wg peer ничего из этого не меняется.

Flotsky ★★
(23.10.23 10:19:57 MSK) автор топика

Что-то вообще ничего не нахожу близкого к желаемому.

Наткнулся на https://www.kernel.org/doc/html/latest/trace/events.html попробую вечером поковырять, если нет, то останется только cron

Flotsky ★★
(23.10.23 10:48:01 MSK) автор топика

Вы не про PostUp ? Это быстро гугл выдал.

anc ★★★★★
(23.10.23 12:14:12 MSK)

Ответ на: комментарий от anc 23.10.23 12:14:12 MSK

PostUp не то. Интерфейс уже поднят и используется.

Мне надо поймать момент, когда peer подключается к серверу.

Т.е. когда

peer: ...
  endpoint: IP:PORT
  allowed ips: ...

Переходит в состояние

peer: ...
  endpoint: IP:PORT
  allowed ips: ...
  latest handshake: ...
  transfer: 19.53 KiB received, 56.89 KiB sent

И вот в этот момент мне надо пройти по всем остальным доступным peer и актуализировать их параметры

Flotsky ★★
(23.10.23 12:34:17 MSK) автор топика

Ответ на: комментарий от Flotsky 23.10.23 10:19:57 MSK

Значит нужно искать средства внутри WG.

PS К счастью, меня пока эта поделка миновала.

vel ★★★★★
(23.10.23 12:42:53 MSK)

Ответ на: комментарий от Flotsky 23.10.23 10:48:01 MSK

kernel trace - это из пушки по воробьям.

vel ★★★★★
(23.10.23 12:44:17 MSK)

ssh mikrotik /usr/local/sbin/script с vps по микротикам. Или использовать ddns.

bcon
(23.10.23 12:56:07 MSK)

Ответ на: комментарий от vel 23.10.23 12:44:17 MSK

Ну, у меня из вариантов осталось это или cron.

Я бегло пробежался по исходникам wireguard-tools и wireguard, нет там ничего, в направлении моих хотелок. Все сторонние проекты cron используют.

Ну наверное я могу вместо cron повесить netwatch какой(ждать пока внутренний IP пира станет отвечать на ping), но чем это лучше cron?

Про из пушки по воробьям может быть, может по итогу откажусь и сделаю cron, пока интересно, покопаюсь…

Flotsky ★★
(23.10.23 12:58:25 MSK) автор топика

Ответ на: комментарий от bcon 23.10.23 12:56:07 MSK

То Есть что там в консоли микротика runscript наверное.

bcon
(23.10.23 12:59:10 MSK)

Ответ на: комментарий от bcon 23.10.23 12:56:07 MSK

Post up получается

bcon
(23.10.23 12:59:54 MSK)

Ответ на: комментарий от bcon 23.10.23 12:59:54 MSK

Вы предлагаете, чтобы микротик после подключения сам сообщал о себе?

Не вижу у микротика этого функционала. Да и что поменяется? Там же та-же структура. wireguard интерфейс, который просто «активен», и peers.

Разве что тот-же netwatch повесить, но я так и на VPS могу, в чём разница?

Flotsky ★★
(23.10.23 13:08:17 MSK) автор топика

Ответ на: комментарий от Flotsky 23.10.23 12:58:25 MSK

А WG в логи пишет момент подключения?

vel ★★★★★
(23.10.23 15:27:44 MSK)

Ответ на: комментарий от Flotsky 23.10.23 13:08:17 MSK

У микрота netcat доступен? Если да, то на сервере nc -l в PostUp, на «клиенте» echo hello | nc

Anoxemian ★★★★★
(23.10.23 15:44:56 MSK)

Ответ на: комментарий от vel 23.10.23 15:27:44 MSK

О логах я кстати не подумал.

Беглый гугл советует развлекаются с

# echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

или

PostUp = iptables -A FORWARD -i wg0 -j LOG --log-prefix "WireGuard: "

На серверной стороне и смотреть что упадёт в dmesg/journalctl

Flotsky ★★
(23.10.23 15:50:54 MSK) автор топика

Ответ на: комментарий от Anoxemian 23.10.23 15:44:56 MSK

Нету у микротика PostUp, или я упорно его не замечаю

Flotsky ★★
(23.10.23 15:53:01 MSK) автор топика

https://www.kernel.org/doc/html/latest/trace/events.html

Ниасилил, возможно оно не умеет что мне надо.

Зато доковырял # echo module wireguard +p > /sys/kernel/debug/dynamic_debug/control

Силами # cat /sys/kernel/debug/dynamic_debug/control | grep wireguard нашёл что за сообщения вообще могут быть и включил точечно только нужный вот так # echo module wireguard line 158 +p > /sys/kernel/debug/dynamic_debug/control

Теперь в journalctl падает «wireguard: wg0: Receiving handshake initiation from peer 30 (IP:PORT)» при подключении клиента.

Как закрепить это при загрузке читать https://docs.kernel.org/admin-guide/dynamic-debug-howto.html#debug-messages-at-module-initialization-time

Далее с навесить на логи какой-то watch я справлюсь.

Flotsky ★★
(23.10.23 22:09:01 MSK) автор топика

←	XRDP и снятие отключенных сессий

Admin

initramfs rebuild

→

Похожие темы