linux-nerds.org

Your browser does not seem to support JavaScript. As a result, your viewing experience will be diminished, and you have been placed in read-only mode.

Please download a browser that supports JavaScript, or enable it if it's disabled (i.e. NoScript).

ROCKPro64 - Kernel 5.6 und Wireguard 1.0

ROCKPro64

1 Beiträge 1 Kommentatoren 354 Aufrufe

FrankM

schrieb am

Nachdem ich ja jetzt den Release 0.9.16 mit Kernel 5.6 auf einer PCIe NVMe SSD am Laufen habe, geht es ans Testen von Wireguard. Den Server setze ich voraus.

Kernel

root@rockpro64:~# uname -a
Linux rockpro64 5.6.0-1127-ayufan-g1bd266cae93f #ayufan SMP PREEMPT Sat Apr 4 11:14:08 UTC 2020 aarch64 GNU/Linux

Wireguard installieren

Users with Debian releases older than Bullseye should enable backports.

Wir öffnen /etc/apt/sources.list

nano /etc/apt/sources.list

Ans Ende fügen wir folgende Zeile ein

deb http://deb.debian.org/debian buster-backports main

Das dann bitte speichern. Danach

apt update

Und jetzt installieren wir

apt install wireguard

Das hier ist interessant

Setting up wireguard-dkms (0.0.20200318-1~bpo10+1) ...
Loading new wireguard-0.0.20200318 DKMS files...
Building for 5.6.0-1127-ayufan-g1bd266cae93f
Building initial module for 5.6.0-1127-ayufan-g1bd266cae93f
Error!  The dkms.conf for this module includes a BUILD_EXCLUSIVE directive which
does not match this kernel/arch.  This indicates that it should not be built.
Skipped.

Er baut kein Kernelmodul mehr, weil es ja seit 5.6 im Kernel drin ist.

Nach der Konfiguration und dem Aufruf von wg-quick kommt das hier.

root@rockpro64:/etc/wireguard# wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 10.10.1.13 dev wg0
[#] ip -6 address add XXXXXXXXX:100::13 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a tun.wg0 -m 0 -x
/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /etc/resolvconf/run/resolv.conf
[#] wg set wg0 fwmark 51820
[#] ip -6 route add ::/0 dev wg0 table 51820
[#] ip -6 rule add not fwmark 51820 table 51820
[#] ip -6 rule add table main suppress_prefixlength 0
[#] ip6tables-restore -n
[#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] iptables-restore -n

Das hier scheint ein Problem zu sein, weil ich auch keine Verbindung hin bekomme.

/etc/resolvconf/update.d/libc: Warning: /etc/resolv.conf is not a symbolic link to /etc/resolvconf/run/resolv.conf

Ok, googlen. Und dann folgendes eingeben.

 dpkg-reconfigure resolvconf

Und jetzt aber....

root@rockpro64:/etc/wireguard# wg-quick up wg0
   [#] ip link add wg0 type wireguard
   [#] wg setconf wg0 /dev/fd/63
   [#] ip -4 address add 10.10.1.13 dev wg0
   [#] ip -6 address add XXXXXXXXXXX:100::13 dev wg0
   [#] ip link set mtu 1420 up dev wg0
   [#] resolvconf -a tun.wg0 -m 0 -x
   [#] wg set wg0 fwmark 51820
   [#] ip -6 route add ::/0 dev wg0 table 51820
   [#] ip -6 rule add not fwmark 51820 table 51820
   [#] ip -6 rule add table main suppress_prefixlength 0
   [#] ip6tables-restore -n
   [#] ip -4 route add 0.0.0.0/0 dev wg0 table 51820
   [#] ip -4 rule add not fwmark 51820 table 51820
   [#] ip -4 rule add table main suppress_prefixlength 0
   [#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
   [#] iptables-restore -n

Danach neustarten und dann steht die Verbindung.

root@rockpro64:~# wg
interface: wg0
  public key: gGBgs+jwmHYDNY8/JWARQ2Iu1TiYCH7vAozYoEexnhs=
  private key: (hidden)
  listening port: 51820
  fwmark: 0xca6c

peer: Bda7jOcCqXKQerSJ5OkV/rM0cveqdo7kgPlUu2ow6mo=
  preshared key: (hidden)
  endpoint: 88.198.154.143:51820
  allowed ips: 0.0.0.0/0, ::/0
  latest handshake: 3 seconds ago
  transfer: 92 B received, 324 B sent

Fertig!!

Kamil will das mit resolvconf im nächsten Release ändern.

(21:08:50) ayufanWithPM: OK, I changed how I handle /etc/resolv.conf

Anmelden zum Antworten

F

OpenCloud - Docker Compose Hetzner VM
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben OpenCloud opencloud linux docker
2

2

0 Stimmen

2 Beiträge

348 Aufrufe

F

Ich habe mich nochmal mit verschiedenen Aspekten der produktiven Installation beschäftigt. Auch ein wenig die KI befragt und dann ein paar Änderungen vorgenommen. Was hatte mich gestört? Traefik lief als root. Um das zu ändern, habe ich das docker-compose.yml angepasst. Ich habe auch gleich mal auf die aktuelle Version angepasst. services: traefik: image: traefik:v3.4.1 #3.3.1 container_name: traefik user: "1000:1001" # 1000 = dockeruser, 1001=docker group cap_add: - NET_BIND_SERVICE # erlaubt Ports <1024 restart: always networks: - opencloud-net ports: - "80:80" - "443:443" volumes: - ./certs:/certs # bind-mount acme.json - /var/run/docker.sock:/var/run/docker.sock:ro command: - "--log.level=${TRAEFIK_LOG_LEVEL:-ERROR}" # Let's Encrypt HTTP-01 Challenge - "--certificatesResolvers.http.acme.email=${TRAEFIK_ACME_MAIL:-example@example.org}" - "--certificatesResolvers.http.acme.storage=/certs/acme.json" - "--certificatesResolvers.http.acme.httpChallenge.entryPoint=http" - "--certificatesResolvers.http.acme.caserver=${TRAEFIK_ACME_CASERVER:-https://acme-v02.api.letsencrypt.org/directory}" # Dashboard - "--api.dashboard=true" # Entrypoints - "--entryPoints.http.address=:80" - "--entryPoints.http.http.redirections.entryPoint.to=https" - "--entryPoints.http.http.redirections.entryPoint.scheme=https" - "--entryPoints.https.address=:443" - "--entryPoints.https.transport.respondingTimeouts.readTimeout=12h" - "--entryPoints.https.transport.respondingTimeouts.writeTimeout=12h" - "--entryPoints.https.transport.respondingTimeouts.idleTimeout=3m" # Docker Provider - "--providers.docker.endpoint=unix:///var/run/docker.sock" - "--providers.docker.exposedByDefault=false" # Access Log - "--accessLog=true" - "--accessLog.format=json" - "--accessLog.fields.headers.names.X-Request-Id=keep" labels: - "traefik.enable=${TRAEFIK_DASHBOARD:-false}" - "traefik.http.middlewares.traefik-auth.basicauth.users=${TRAEFIK_BASIC_AUTH_USERS:-admin:$$apr1$$4vqie50r$$YQAmQdtmz5n9rEALhxJ4l.}" - "traefik.http.routers.traefik.entrypoints=https" - "traefik.http.routers.traefik.rule=Host(`${TRAEFIK_DOMAIN:-traefik.opencloud.test}`)" - "traefik.http.routers.traefik.middlewares=traefik-auth" - "traefik.http.routers.traefik.tls.certresolver=http" - "traefik.http.routers.traefik.service=api@internal" networks: opencloud-net: volumes: {} Und hierzu - ./certs:/certs # bind-mount acme.json brauch es noch ein paar Anpassungen auf dem Host, also im Verzeichnis von wo wir deployen mit dem dockeruser! mkdir -p ./certs touch ./certs/acme.json chmod 600 ./certs/acme.json chown 1000:1000 ./certs/acme.json # UID muss mit docker-compose user übereinstimmen Das klappt jetzt hier einwandfrei. dockeruser@opencloud:~/opencloud/deployments/examples/opencloud_full$ docker exec -it traefik id uid=1000 gid=1001 groups=1001 Sieht soweit gut aus Die KI meint noch das hier Wenn du maximale Sicherheit willst, kannst du langfristig docker-socket-proxy einsetzen. Er erlaubt Traefik nur lesenden Zugriff auf die Container-API: → Projektseite: Tecnativa/docker-socket-proxy Das muss ich aber erst noch sacken lassen und mich etwas zu einlesen.
F

Minio - Objektspeicher selbst gehostet
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Linux minio linux restic
1

1

0 Stimmen

1 Beiträge

228 Aufrufe

Niemand hat geantwortet
F

Nextcloud - Update auf 30.0.1
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Nextcloud nextcloud linux
1

0 Stimmen

1 Beiträge

245 Aufrufe

Niemand hat geantwortet
F

Raspberry Pi5 - Netzteil
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben RaspberryPi raspberrypi linux
1

0 Stimmen

1 Beiträge

574 Aufrufe

Niemand hat geantwortet
F

Images 0.9.x
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Images rockpro64
13

0 Stimmen

13 Beiträge

1k Aufrufe

F

0.9.16: gitlab-ci-linux-build-163 released 0.9.x 0.9.16: Bump kernel to 4.4.197, 0.9.15: Bump kernel to 4.4.193, 0.9.14: Bump kernel to 4.4.190, 0.9.14: Fix Firefox video playback, 0.9.13: Bump sound volume for Pinebook Pro, 0.9.12: Fix LXDE for Rock64, 0.9.10: Fix support for power/standby LEDs for all boards,
F

ROCKPro64 - USB-OTG funktioniert!
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben ROCKPro64 rockpro64
1

0 Stimmen

1 Beiträge

586 Aufrufe

Niemand hat geantwortet
F

Benchmark
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben ROCKPro64 rockpro64
1

0 Stimmen

1 Beiträge

480 Aufrufe

Niemand hat geantwortet
F

Release Empfehlung für Einsteiger
Beobachtet Ignoriert Geplant Angeheftet Gesperrt Verschoben Archiv rockpro64
2

0 Stimmen

2 Beiträge

1k Aufrufe

F

Sieht so aus, als wenn wir ein neues Traumpaar haben. 0.7.7 und rock64@rockpro64:/mnt$ uname -a Linux rockpro64 4.18.0-rc3-1046-ayufan-ge76778b6aa4b #1 SMP PREEMPT Thu Jul 19 14:10:17 UTC 2018 aarch64 aarch64 aarch64 GNU/Linux