Fără a avea un motiv anume, poate doar din curiozitatea de a afla de ce ocupă primul loc în DistroWatch, am trecut recent la CachyOS, renunțând la Kali Linux (pentru care cumpărasem Dell-ul). Pentru Kali nu am momentan o „gazdă” fizică dedicată, așa că am decis să-l virtualizez cu virt-manager, ca să-l am la îndemână pentru situațiile specifice când voi avea nevoie de el.
„Problema”, dacă îi pot spune așa, e că mi-a plăcut atât de mult CachyOS încât mi-am mutat toate fluxurile de lucru pe el. Asta a inclus, evident, și instalarea aplicațiilor mele esențiale: LocalSend pentru transfer rapid de fișiere și KDE Connect pentru integrarea cu telefonul. Ambele sunt critice pentru stilul meu de lucru. Surpriza neplăcută a fost că, odată instalate pe noul sistem, acestea refuzau să detecteze atât Mac-ul, cât și iPhone-ul din rețea.
Prima suspiciune: Firewall-ul local (UFW)
Primul suspect a fost firewall-ul local. Am oprit temporar UFW (Uncomplicated Firewall) și lucrurile păreau să funcționeze, așa că am trecut la treabă: am rezervat o adresă IP statică telefonului în interfața routerului meu OPNsense și am creat reguli specifice în firewall-ul de pe laptopul cu CachyOS, pentru a permite traficul strict de la acel IP.
Iată regulile adăugate, gândite special pentru rețeaua de acasă (nu folosesc aceste aplicații în rețele publice, deși sincronizarea clipboard-ului ar fi utilă și acolo):
# Permite LocalSend (TCP/UDP) doar de la iPhone sudo ufw allow from 10.20.30.153 to any port 53317 # Permite KDE Connect (UDP) doar de la iPhone sudo ufw allow from 10.20.30.153 to any port 1714:1764 proto udp # Permite KDE Connect (TCP) doar de la iPhone sudo ufw allow from 10.20.30.153 to any port 1714:1764 proto tcp
Totuși, chiar și după aplicarea acestor reguli, conexiunea era instabilă. Transferurile de fișiere între Mac/iPhone și Dell-ul cu CachyOS se întrerupeau aleatoriu, semn că problema era în altă parte.
O setare uitată în OPNsense
Luând-o din aproape în aproape, am ajuns la concluzia că blocajul era acum la nivel de router. Așa că am început să sap în configurația OPNsense și nu am greșit.
La secțiunea Tunables, am găsit o setare „moștenită” din vremuri apuse: net.link.bridge.pfil_bridge = 1 și alta contradictorie, care se băteau cap în cap…ul meu de prost, că altfel nu-mi explic cum am adăugat o regulă fără a verifica mai întâi dacă există.
Varianta activă, adică valoarea 1, ajunsese acolo pe vremea când aveam OPNsense virtualizat în Proxmox și alesesem să izolez rețeaua IoT de cea Home folosind un Transparent Filtering Bridge. Cea nouă a apărut, mai mult ca sigur, când am instalat OPNsense-ul bare metal.
Ce face mai exact această setare?
Comportamentul implicit (fără setare sau valoarea 0): Un bridge software (cum este bridge0 în OPNsense) se comportă ca un switch simplu („dumb switch”). Traficul dintre Portul A (LAN) și Portul B (IoT AP) trece direct, ocolind motorul de firewall (pf).
Cu net.link.bridge.pfil_bridge = 1: Această setare forțează kernel-ul FreeBSD să trimită toate pachetele care traversează bridge-ul către motorul de firewall pentru filtrare.
În scenariul vechi, setarea fusese utilă: îmi permitea să pun reguli de firewall direct pe interfața fizică a IoT-ului, blocând accesul acestora către LAN, chiar dacă erau tehnic în același subnet. În scenariul actual, însă, ea cauza întreruperi și blocaje pentru traficul legitim dintre dispozitivele mele, probabil din cauza unor stări (states) care expirau sau a unor reguli incomplete.
Soluția: Eliminarea regulii cu valoarea 1 a rezolvat problema instantaneu.
Traficul local a început să circule liber, iar LocalSend și KDE Connect au funcționat impecabil.
O notă amară despre iPhone și KDE Connect
Apropo de KDE Connect, de câteva luni țin o listă cu motive pentru care, atunci când va veni momentul să înlocuiesc actualul iPhone, probabil nu voi mai cumpăra tot un telefon de la Apple.
Cel mai recent punct adăugat pe lista respectivă este chiar comportamentul acestei aplicații. Faptul că pe iOS nu pot folosi KDE Connect fără a avea aplicația deschisă în prim-plan și cu ecranul telefonului activ este frustrant. Pentru fluxul meu de lucru, e la fel de important să primesc notificările de pe telefon pe laptop și să sincronizez clipboard-ul, cum e să pot face asta între telefon și desktop. Din păcate, limitările sistemului de operare de la Apple fac această experiență mult inferioară celei de pe Android.
