dobré dopoledne já vás tady vítám
moje nenechala lenka a nachystal jsem si pro vás
přednášku o ten krade začátek se tam viděl někdo tady přednášku na letošních linux this
výborně nikdo protože to bude úplně to samý
_e
najdete mě ve společnostech koje se o případně části druhý pes který dělal to systém
arduina a přišel jsem díky tomu do styku
se zajímavým software který jsme ten klepe
a kdo tady nechcete nechá
dobře takže jsem rád že sem se to nachystaná dostatečně technické úrovni
takže tady jo taky odborný diagram nebo rozsekáme pekla vypadá
todle je jste si asi všimli zjednodušený model a konkrétně zjednodušit tam že tam jsou
jenom dva módy
jak určitě vidíte konfigurace je velice
přímočará
a vytváří si vytváříte si vlastně jako virtuální síť vlastními pravidly nemusíte tady nějak zákeřně
řešit row ty k
forvard bych a tak dál prostě máte dva módy propojíte a většinou vám to funguje
a smyslem repent které potom nějaké obsah šifrované autentizovala a o tom si povíme na
problém se kterým se každý dostane do styku velmi brzy je když těch na dvou
začne být trošku víc
a samozřejmě každýmu je nejbližší jeho srdci nejbližší síťová topologie hvězda
která potom funguje
docela dobře ještě chvilku ještě pár
nicméně tři více účastnících ústavě se víc takový trošku komplikovanější a ne vždycky to funguje
na
a hlavně jak si všimnete tak na ten centrální uzel jsou kladeny docela velký nároky
a když teď odbočím moc tady toho tematického popisu funkce a vrátím se k nám
i v realizaci
tak existuje ale když se chce vše vlastně nějaká implementace trenky která ale umí bohužel
jenom tunel
to znamená tam ten více no dobrý režim nepoužijete a nebo to musíte nakonfigurovat jako
sadu více tu no
pak existuje to potopil protokol ten teda podle názvu bohužel je taky point oponent standardy
a následně tady máme velmi známou implementaci otce open letem
a ta ušní nějakým způsobem propojeni point to multipóly
nicméně proto abyste si na konfigurovali nějakou složitější síť ne v režimu hvězda ale režimu
každý s každým který jak asi každý vnitřně chápe a nejefektivnější
tak potřebujete pro ten node un plus jedna konfiguraci
co dělat ručně není úplně to pravé ořechové a s automatizaci je to jenom o
chloupek lepší
a pak se může televizi s tou ještě nějaký další proprietární technologie nejznámější je o
to a matčiny knihovny která umí sama vyřeší full máš
případně tři skore těmi perry který jsou jako šesticiferných částkách tak taky mají protokoly který
to nějakým způsobem vyřešit
a za tady zmínil funguje s tak jenom pro úplnost doplním že to znamená že
vlastně propojeny každý s každým a ta hlavní výhoda by tam měla být stát že
pokud by třeba site jedna a site dva byla evropě
a site tři jásající čtyři americe
tak site jedna a dva si může povídat na přímo bez toho aniž by to
šlo přes nsa a tak dál
a
samozřejmě když začnete přidávat ty sanity nebo do divadla tomu chcete říkat tak vám to
s potraty s tou složitosti roste takže ten počet spojení který jsou potřeba
sou tenkrát ten mínus jedna děleno dvěma
a takže pro nějaký padesát bodů už je to trošku
ku moc konfigurací
no a tudle chvíli přichází něco co se menuje drink vpn vyšlo to někdy v
roce devadesát osum kde to byl spíš takový proof of konce postupně se to
zdokonalovalo
na připomínám že tady budu chtít mluvit o poslední stabilní verzi
co šije verze jedna tečka nula takže když byste se na to potom dívali tak
na webových stránkách najdete verzi jedna nula jedna
té verzi jedna je několik novinek které
dost mění způsob jakým se to konfiguruje tak dále začne zatím je to pořád označeny
za nestabilní
takže zůstává jedna nula
narozdíl od spousty webový to tam ten klepe se rozhodlo vsadit na osvědčený šifrování bych
že používat knihovny je nepíše se mi z vlastního
najdete tam teda se vším dobrý špatný co to přináší knihovnu jako je open ssl
případně libra ssl začli lze o pro kompresi a tak dál
díky tomu máte vlastně podporu ve všech jestli systémech na obr to existuje aplikace pro
android a us
solarix na architektuře spala
darwin
a pro ty největší exotiky tady máme ryby
a ping letenkami fungovat dva nebo tři režimu má podporují bere šestky umí řešit více
ten sítí je decentralizovaná a to nejkrásnější na tom je že vám vlastně stačí na
konfigurace jeden spoj ty
a ty k pušku dělá ten zbytek takže vy nemusíte procházet tu složitou konfiguraci trochu
mashe ale jenom
řeknete kde sou které uzel kde sou které no dyž
případně na drese jsou dostupné pokud jsou dostupné zvenku a ten ty nějakým svým termín
protokolem u se postará o to aby sestavil pokud možno o funguješ
a
umí to nějakým způsobem scházet na ty a to se podíváme dyžtak dál
letenka jako taková jak bývá dobrým zvykem tak se potom řeší prostřednictvím budete komunikace je
tam nějaký von back na tcp pokud budete z nějakého důvodu blokované plus tam jede
ještě nějaká signalizace nebo meta data proto
řízení toho rutin ku a nastavování spojení a ta je krásná přes samostatně tisíc
co se týká to překračování na tu které jsem zmiňoval tak
u té lepenky rating lepenky lze měnit source adresy a porty a
řešit
nebo takle
když máte na a chcete se nějakým způsobem dostat skrz něj tak máte několik možností
máte možnost to routovat úplně mimo ale to je neefektivní máte možnost nastal odpor forward
link nebo použít univerza plug and play ale na to potřebujete podporu na tom zařízení
přes které to jde
a musíte na to nějakým způsobem šahat
pink lepenka svým způsobem využívá něco jako stan technologie se si půl nebo z že
budu kdy se vlastně
podvrh nenavázané spojení mezi no ty které jsou oba dva za na ten každý za
jiným obvinění si díky tomu informaci to destination portu nějaký mě to tcp seš na
navázána a pak se vlastně takle spadne do toho režimu kdy ty dvě zařízení každý
za na ten jsou schopny se spolu bavit
já jsem si tady nachystal za neživé demo ale jenom takou krátkou ukázku i jak
se nakonfiguruje taková velmi jednoduchá náhrada
a koupili letenky
je to celý řešeny na debian to znamená potom co napíšete obligátní ad install ty
nich
tak si můžete založit svoji první síť
první krok že jsou ty první dva řádky
tak je vlastně přidání nějaké nové trenky která bude splňovat nějaké stroje můžete si nějak
pojmenovat já jsem zvolil tady to hrozně subjektivní pojmenování pak následně té vpnce vytvoříte složku
to znamená to je to moje vpn na řádku tři lidé nastavíte nějakou základní konfiguraci
a do té vidíte tak spadá jenom jak je to interfejs jaký síťový protokol se
má používat znali pět čtyři jak se má jmenovat tendle no na kterém to konfiguruju
a pak další vrat linku oproti openwrt než nepotřebuje žádný složitý certifikát vile používá obyčejný
ris _e klíče tak jak je znáte se z áčka to znamená pomocí toho ty
lidé a na konci čtyry tisíce devadesát šest
pomocí tady toho řádku
vlastně vygenerujete dva soubory jeden zpívá tím další veřejným klíčem veřejný klíč potom dopraví ten
a
nebo ne všichni ostatní nudy ještě dobre do
těchdle souboru do psát kde vlastně
a ten server bude dostupný to znáte tady to vře na adresa
a adresa podporu má vystupovat ten spencer to je deset nula osum
například a doplní teda skripty který budou příslušný síťový rozhraní nahazovat a shazovat to je
na tom stroj veškerá konfigurace nemusíte řešit žádné certifikáty
nemusíte to ani přidávat žádným způsobem do jiných systému protože finici stejný uši strčenej nastrčená
služba která projde tady ten soubor neco a nastartuje všechny letenky které tam jsou viry
určitě vidíte že díky tomu textovým charakteru se to ulici krásně dá automatizovat
ve výsledku potom vypadne vlastně taková nějaká adresářová struktura
kde jsou konec bootuje seznam lepenek každá letenka potom má svůj složku
jste složce když to vezmu vodspoda tak je
skript pro za podělit loď interfaceů konfigurák který říká že to má vidíte ve štyři
a který ten interfejs to bude
a jak se jmenuje lokální holt
privátní klíč
a potom složka host ve které jsou jak vzdálené hosty taky ten hosta kterém jsem
to
na kterém se to nachází
a v nich je vlastně veřejný klíč a případně veřejná adresa
pokud to ten stroj nějakou má
a tady to složka hosts by tím pádem měla být stejná na všech strojích které
jste vpnce sou
a ty stroje potom už se připojí aspoň na jeden ten stroj na který do
šáhnou a z ní začnou cestovat dál vyšší moci pomocí těch metadat kam se mají
připojovat až to postupně dokonverguje velmi rychle do souvislého graf
tak
to je
všechno
jako na nějaký otázky může se tohle to trošku rychle ale
do sem to znervózňuje tím že tady kolega natáhne přede mnou
ano
no to ten ke konci koncipovaný takže seznam nepřipojí uživatele ale stroje
a tím pádem ní pokud budu mít někde
řeší se tam přihlašování pomocí toho klíče to znamená veřejný a soukromý a pokud ten
veřejný klíč dostanu nástroj ke kterému se mám připojovat
nebo se kterými má navazovat spojení tak to bude fungovat
no ale jinak jako typicky uživatelská lepenka to toho moc není
odpověděl jsem nové jo
tady se nepřihlásil
jsme si že se dá použít existující ale musí se zkomprimovat
zkonvertovat ten formát
dobře mám zato že
já jsem zrovna podívat
tak
tady vidíte jak
_e vypadat adresářová struktura
když si zkusím
to co je teda jste veřejné části
tak tam je ten public tý který vypadá takhle to znamená pravděpodobně se z áčka
a pak teda to co je na konci to je přípěs potomků šrote novější verze
takže to teď se mi moc open brát v potaz na začátku je adresa kterou
mám mít vlastně chci v tom sametu
řidič tady s dovolením promítat nebo která soukromý bez dovolení promítat nebo
si
tom nejzákladnějším režimů se to dá řešit tak ve staticky to znamená tady vtom konfiguráku
ten stroj má přímo napsaný jako adresování
ale jsou tam nějaké složitější režimy
a obecně celej ten drink má krásnou dokumentaci vygenerovaných pdf kůli to asi deset stránek
a velmi přímý se to čte takže asi odkazu tady s těmi složitější mužskej si
na tu ruku
vy můžete čko se tam určitě dá udělat vím že je to psaný i s
ohledem na tý ten _e šest znamená router advertisments se tam na nějakým způsobem řešit
a _e za to že se tam snažej implementovat i nějakou obdobu
a dh center tak aby ten dát sebe se nemusel být nikde spuštěný ale řešil
to přímo ten tenhleten
tě nějaké otázky
ale ze všech stran
já to použil já to používám proto když mám hodně strojů který hodně cestují všude
možně
a máma
nasazuju to ansi plen
takže tím pádem ta konfigurace taková poměrně jednoduchá automatizovaná mně stačí přidat
stroj označit si mě jestli má být zveřejní nebo ne
jestli to mám mít tom záznam i nevím jako sme máte čitelný a tady by
měl fungovat i
tady je rozdíl potom ten že tady je ta veřejná že se na které to
najdete
a tady to už není špatná šest
a takže to je vlastně ten jedinej rozdíl mezi stroje ktery
má veřejného hesla nemá veřejnou adresou a potom všechny ty další stroje hopsej já se
starám jakoby linuxový desktop i nebo noutbúky tak se k tomu průběžně jak připojí ale
sou schopny se připojit i ke mně a
když jsem někde je na tom doma nebo mac donaldu nebo prostě někde za wifi
a ten strejda mám u sebe tak jsem schopen se na něj takle dostat protože
je lokální síti
a ne o tom to přes ten přes ten server někde v datacentru
já to za nás o tom ty výhody toho té prvků
já to používám třeba tomuhle ale
jsou další ruskej si to si asi ne nebo
rámci nástroje jako u alessandrou jen zkouška
malý bez rizika
zatim ne
ale mělo by to fungovat i tomuhle
ten software není moc rozšířené takže já nevím jak moc se vyzkoušeny a zatím teda
používám jenom proto
tímto na další je se za áčko
ale myslím si že tím jak si to pořád rozvíjí po té době
aha tím že to staví na osvědčené knihovnách tak je to docela dobrý základ k
tomu by se to používalo i pro jo jakoby náročnější a skoro náš produkční myslím
si
nějaký otázky ano
no to co sem tady ukazoval tak to by měl být o postup proto je
to celý nasadit to znamená pustí do těch souborů napsat tady ty tady ty věci
protože souboru ten tudle věc to todle souboru tydle věci
pustit generování klíče nakopírovat tam
ty adresy přidat skripty pro navození interfejsu rozkopírovat to na server
a to je vlastně všechno a dá se to automatizovat rámci byl _e úplně krásně
přes nějaké synkovi modul nebo něco takovýho na se to dělat ručně kdy člověk si
prostě widgetu je ty věci a nakopíruje všechny k sobě a pak ten obsah toho
adresáře rozkopíruje všude stejně přes nějaký flastr ssh nebo přes
skripty opakuje no ty samý příkazy není cílovej host
dá se to krásně nasazovat oproti tomu když já
ne ta výměna není řešena jste jedna jedničce něco podobnýho chystají mají tam mít dokonce
i no white link do té lepenky že člověk by vygeneruje té vpnce
url kterou když člověk otevře na jiným no du tak by mu to mělo samu
poskytnout nějaký další věci potřebný pro připojení do té sítě
ale já jsem zůstal to jedna desítky protože sem chtěl ukázat bojuje nanuky zase tě
ukázat ten koncept tofu mashe a jaké jednoduchýho nasadit že vlastně člověk nemusí konfigurovat každou
tu ruku zvlášť navíc ten systém je poměrně hodně robustní a
okamžiku kdy tomu se s teď třeba se měl jednoduchou a sto jenom jeden do
centrální takže to defakto fungovalo jako lepenka a dyž sem ten centrální sestřelil
tak ty dva který byli spolu v lokální síti o sobě věděli tak si povídali
dál
a byl jsem na _e dvě tři hodinky později ten centrální zase nahodil
tak oni zvládli to komunikaci do navázat zase fungovat dál nemůže natýct na tydlety zástrčí
situace je to krásný je to prostě zvyklí na to že s to prostředí mění
je schopný to na to reagovat
reaguje to fakt bleskově já jsem nástroj nahodil a do dvou tří sekund push jsi
pink dali všechny stroje
dokonce ten ping daemoni když pustíte nějakým neblokovacím režimu a ještě s nějakým parametrem tak
vám do souboru bude vyplývá ten graf krizovým formátů ten graf té sítě co je
co je proto vám nič
tak ještě nějaké dotazy
tak já vám děkuju za pozornost a skončili jsme která tak nějak
máte