Korhonen.cc Blogi

OpenWRT palomuurisäännöt dynaamisella IPv6-prefixillä

2024-06-10T00:00:00-05:00

Sain äskettäin IPv6-yhteyden kotiini, joten halusin luonnollisesti lisätä IPv6-tuen palvelimelleni. Törmäsin muutamiin ongelmiin, joita en löytänyt dokumentoituna yhdessä paikassa, joten tässä löytämäni ratkaisu.

Ongelma

Huomasin nopeasti, että Internet-palveluntarjoajani ei ole toteuttanut IPv6-tukea "oikein". En saa /56 prefixiä prefix delegoinnilla vaan /64-prefixin, jota ei voi jakaa edelleen aliverkkoihin. Tämä pätee kaikkiin mobiilioperaattoreihin Suomessa, ja koska en voi saada kiinteää yhteyttä nykyiseen osoitteeseeni niin tämän on riitettävä.

Prefix delegoinnin puute tarkoittaa, että minun on asetettava RA ja NDP relay tilaan OpenWRT:ssä, eikä minulla ole kontrollia IPv6-osoitteisiin jotka laitteeni saavat. Tämä puolestaan tarkoittaa, että en voi luoda pysyviä palomuurisääntöjä näiden osoitteiden perusteella, koska ne voivat muuttua milloin tahansa.

Muutaman viikon ajan selvisin manuaalisesti muuttamalla palomuurisääntöjä aina, kun prefix muuttui, mutta se ei ollut riittävän hyvä ratkaisu pitkässä juoksussa, koska minulla on paljon palomuurisääntöjä.

IPv6 SLAAC privacy extension käytöstä poistaminen

Vaikka en saa ennustettavaa prefixiä, voin saada ennustettavan suffixin poistamalla käytöstä IPv6 SLAAC:n Privacy Extensions. Näin suffix (host osa) johdetaan laitteen MAC-osoitteesta ja se pysyy aina samana.

Privacy Extensions on olemassa syystä. Se lisää yksityisyyttä generoimalla osoitteen host osan satunnaisesti ja vaihtamalla osoitetta aika-ajoin. En usko, että tämä on ongelma palvelimellani, koska se on joka tapauksessa avoin julkiverkkoon. Privacy Extensionsin pääasiallinen tarkoitus on se, että mobiililaitteita ei voida seurata verkkojen välillä ja palvelimeni pysyy luonnollisesti aina samassa verkossa. On hyvä tiedostaa, että tämä käytännössä tekee MAC-osoitteestasi julkisen, mutta en henkilökohtaisesti näe siinä ilmeistä riskiä.

Käytän NetworkManageria palvelimellani. Voit poistaa yksityisyyden laajennukset käytöstä etsimällä verkkoyhteytesi asetukset hakemistosta /etc/NetworkManager/system-connections/. Omalla palvelimellani se oli tiedosto Wired connection 1.nmconnection. Lisää/muuta seuraavat rivit [ipv6]-osioon:

[ipv6]
addr-gen-mode=eui64
method=auto
ip6-privacy=0

Tämän jälkeen voit joko käynnistää NetworkManagerin tai koko koneen uudelleen. Sen jälkeen tietokoneellasi pitäisi olla uusi IPv6 osoite.

Logiikkaa, jolla IPv6-osoite nyt lasketaan, kutsutaan EUI-64:ksi. Löysin loistavan työkalun sen testaamiseen ja paremmin ymmärtämiseen: EUI-64 calculator.

Dynaamisen prefixin edelleenlähetys

Löysin, että OpenWRT:ssä voi asettaa osan palomuurisäännön kohdeosoitteesta dynaamiseksi. Tätä tekniikkaa kutsutaan dynaamisen prefixin edelleenlähetykseksi. Käsittääkseni se on OpenWRT spesifinen ominaisuus, joten tämä syntaksi ei siis todennäköisesti toimi muissa palomuureissa. Tämän tekniikan avulla voimme käyttää staattista host osaa palomuurisäännön kohdeosoitteena, jonka asetimme palvelimelle edellisessä osassa.

Palvelimen IPv6-osoite

2001:14bb:8ad:6b:f279:59ff:fe65:f9e4

Palomuurisäännön kohdeosoite

::f279:59ff:fe65:f9e4/-64

Tässä näet palvelimeni nykyisen IPv6-osoitteen ja siitä johdetun palomuurisäännön kohdeosoitteen. /-64 kertoo palomuurille, että se jättää huomioimatta osoitteen ensimmäiset 64 bittiä ja tarkastelee vain osoitteen viimeisiä 64 bittiä, jotka ovat host osa.

Lisätietoja palomuurin asetuksista löydät OpenWRT wikistä.

Misskeyn root-tilin migraatio

2023-12-10T11:41:08+02:00

Vaihdoin äskettäin yhden käyttäjän Fediverse-palvelimeni Misskeystä Firefishiin. Kohtasin ongelman, jota en löytänyt dokumentoituna muualla. Päätin jakaa löytämäni ratkaisun, jos joku muu hyötyisi siitä ja säästäisi aikaansa tulevaisuudessa.

Päätin samalla siirtyä uuteen verkkotunnukseen, joten helpoin tapa oli luoda uusi palvelin ja migratoida käyttäjätili sen sijaan, että vaivautuisin migratoimaan koko Misskey-instanssia.

Koska kyseessä oli yhden käyttäjän instanssi, tili oli myös Misskeyn "root" tili. Misskey ei salli root-tilin siirtämistä, ja jos yrität, saat virheen "root cannot migrate" tai jotain sinne päin.

Ratkaisu

Menin tietokantaan selvittääkseni, mitä voisin tehdä ohittamalla käyttöliittymän, ja kas, löysin isRoot-sarakkeen user-taulusta. En kuitenkaan halunnut jäädä ilman root-tiliä vanhassa instanssissani, joten menin Misskeyn hallintapaneeliin ja loin uuden tilin, yksinkertaisesti nimeltään "root".

Misskey näyttää tallentavan kaikki tunnetut käyttäjät user-tauluun, ei vain varsinaisia paikallia käyttäjätilejä. Paikallisten tilien löytämiseksi voit käyttää seuraavaa kyselyä

misskey=# SELECT id, username, "isRoot" from "user" WHERE host IS NULL;
     id     |  username   | isRoot 
------------+-------------+--------
 98wzsyrur6 | relay.actor | f
 9n1njqolcd | root        | f
 9n342nasd3 | marko       | t

Nyt voit yksinkertaisesti asettaa uuden root-tilin isRoot-sarakkeen arvoksi true ja oman käyttäjätilin arvoksi false. Sen jälkeen migraation pitäisi toimia.

misskey=# BEGIN;
UPDATE "user" SET "isRoot" = true WHERE id = '9n1njqolcd';
UPDATE "user" SET "isRoot" = false WHERE id = '9n342nasd3';
COMMIT;

Kannattaa varmistaa, että muutit vain 2 riviä ennen kuin kommitoit transaktion.

Olettaisin, että tämä ratkaisu toimii myös Misskey forkeissa, mutta en ole testannut.

Jos tästä postauksesta oli sinulle hyötyä, muista jakaa, twiitata, tuutata ja piippailla se haluamassasi sosiaalisen median palvelussa. Jos sinulla on ongelmia tässä prosessissa, voit myös jättää kommentin alapuolelle niin voin yrittää auttaa.

Tämän sivun luominen

2022-09-14T00:00:00-05:00

Kuten teknologiaan liittyvissä blogeissa näyttää olevan tapana, ensimmäinen postaus on itse blogin luomisesta. Joten tässä olemme, tämä on ensimmäinen kirjoitus blogissani, joka kuvaa vaiheet jotka johtivat tähän pisteeseen.

Vaihtoehtojen arviointi

Kiinnostuin ensimmäisen kerran staattisista sivugeneraattoreista vuosia sitten, kun ystäväni Fatih rakensi oman sivunsa käyttäen Jekylliä. Se tuntui erittäin virkistävältä tuolloin, koska siihen aikaan kotisivuni olivat WordPressissä, mikä tuntui aina hieman liian ylimitoitetulta ja raskaalta tarpeisiini nähden.

Jekyll

Yritin asentaa Jekylliä useita kertoja vuonna 2021, mutta menetin mielenkiinnon monimutkaisen build-prosessin takia, joka vaati kaikenlaisten bundlejen ja gemien määrittämistä (en koskaan ollut erityisen kiinnostunut Rubysta alun perinkään). Minun piti myös debuggata kaikenlaisia ongelmia, jotka johtuivat blogilleni asettamistani vaatimuksista. Lisäsin useita liitännäisiä, jotka eivät toimineet kovin hyvin yhdessä. Suurin haaste oli se, että halusin käyttää sivun kirjoittamiseen AsciiDocia. Jekyll tue tätä oletuksena, joten minun piti käyttää pluginia. Tämä plugin ei näyttänyt toimivan kovin hyvin muiden tarvitsemieni pluginien ja teeman kanssa.

Joka tapauksessa en koskaan päässyt pidemmälle sivuston asentamisessa, joten laitoin projektin taka-alalle. Alusta lähtien nykyisen domainini korhonen.cc perustamisesta joulukuussa 2020 aina kesään 2022 asti domainin juuri näytti vain 404-virheen. Minulla oli paljon itse hostattuja sovelluksia asennettuna vain subdomaineissa.

Hugo

Löydettyäni Hugon innostuin heti. Se näytti olevan vastaus kaikkiin ongelmiini. Päälimmäiset edut olivat

Staattinen binääri
Suora tuki AsciiDocille

Tämän ansiosta sain perussivuston käyttöön muutamassa minuutissa. Ei enää sotkemista bundlejen ja gemien kanssa. Minun ei myöskään tarvinnut käyttää mitään plugineita, koska Hugo näytti tukevan oletuksena kaikkea mitä tarvitsin.

Konfigurointi

Päätin käyttää Hugo Toha -teemaa sivustollani, koska se näytti tekevän hyvin kaikki asiat, jotka halusin saavuttaa tällä sivustolla

Verkkosivusto, johon voin lisätä helposti haluamani määrän staattisia sivuja (ei blogikirjoituksia)
- Sivu tietoja PGP-avaimestani
- Sivu tietoja Arch Linux -varastostani
Esittely ja portfolio
Blogi

Hugon ja teeman konfigurointi kesti aikansa, mutta oli sen arvoista. Minulla on nyt kaunis ja monipuolinen sivusto, jota on helppo ylläpitää ja laajentaa.

Kommentointijärjestelmä

Halusin lisätä mahdollisuuden käyttäjille kommentoida blogiani. Vaikka yleensä hostaan itse kaiken mahdollisen, tällä kertaa päädyin Giscus-palveluun. Se käyttää GitHub Discussions alustaa backendinään, joten minun tarvitsi vain luoda repo GitHubissa jossa on tämä ominaisuus päällä ja konfiguroida se Tohaan (valitsemaani Hugon teemaan).

Kävin läpi kaikki Tohan tuetut vaihtoehdot, mutta mikään niistä ei ollut itse hostattavissa. En halunnut myöskään toteuttaa tukea uudelle kommenttialustalle itse. Tämä voisi olla kuitenkin hauska projekti tulevaisuudessa.

Build prosessin automatisointi

Päivitys 2022-12-17: Olen vaihtanut Drone CI:stä Woodpecker CI:hin. Woodpecker on avoimen lähdekoodin fork Dronesta, koska Drone siirtyi suljettuun lisenssiin.

Päivitys 2022-12-17 osa 2: Olen vaihtanut Giteasta Forgejoon. Forgejo on avoimen lähdekoodin fork Gitesta, koska Gitea näyttää siirtyvän suljettuun liiketoimintamalliin.

Päivitys 2025-08-15: Olen vaihtanut Woodpecker CI:n Forgejo Actionsiin. Itse asiassa vaihdoin jo aiemmin, mutta vasta nyt ajattelin päivittää tämän sivuston.

Vuosien varrella olen siirtynyt eri CI-järjestelmiin. Nykyinen järjestelmä on Forgejo Actions. Se on käytännössä avoimen lähdekoodin vastine GitHub Actionsille, ja nautin sen käytöstä todella paljon.

Relevantit konfiguraatiotiedostot

Tulevaisuuden suunnitelmat

En aio tulla säännölliseksi bloggaajaksi lähiaikoina. Jos löydän jotain, mikä voisi olla arvokasta muille, kirjoitan siitä täällä, jos vaan löydän siihen aikaa ja energiaa.

Nautin paljon Linuxin näpräämisestä ja sovellusten itse hostaamisesta palvelimellani, joten saatan kirjoittaa joitain ohjeita näistä aiheista tulevaisuudessa. Olen myös NeoVim-käyttäjä, joten saatan kirjoittaa postauksen asetuksistani jossakin vaiheessa.

Tässä on kuvankaappaus minusta kirjoittamassa tätä blogikirjoitusta. Aika meta 😃

Figure 1. Kuvankaappaus minusta kirjoittamassa blogikirjoitusta tästä blogista