Problem s Gitom/SSH

[lepermessiah]

Ahojte,

mam gitea (forgejo) na NASku a na to napojeny drone. Aby mi tie 2 veci spolu komunikovali a ja si nevytrhal vlasy kvoli SSL, lokalne mi to ide bez SSL, teda mam url git.nas.local a ci.nas.local bez https. Medzi sebou funguju bez problemov. VSCode mi normalne funguje a pushujem do gitu bez problemov ..iba zeby nie.

Mam problem, ze mi git po case vyhodi hlasku "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!" a vtedy musim otvorit known_hosts, vymazat odtial referencie na moje NAS a nasledne aj zmazat moj public kluc z gitea a pridat ho znova (ten isty!) inak mi to napise "Permission denied (publickey)".

Skusil som pouzivat na git IPcku s vlastnym portom, skusil som v NAS nastavit reverse proxy z portu 22 na vlastny port a ist cez hostname. Hostname som skusal davat do lokalneho DNS (unbound) aj do hosts a vysledok rovnaky. Mam pocit, ze sa mi staci raz pripojit na moje NAS zvonku a uz mi to lokalne vyhodi chybu.

Nejake napady, co kde nastavit, nech ma to nebuzeruje dokolecka?

[Hexaris]

Neviem nepoznam to nejak toto riesenie, ale jedna sa o docker verziu? Lebo pri update, pull novej zrejme dojde k regeneracii klucov, co je samozrejme v poriadku. Jedina moznost je si spravit compose file a tam zadefinovat persistent volume pre ssh kluce. Otazka je, preco ked zmazes zaznam v know hosts tak to nejde bez zmazania v giteii ... dost divne no.

[lepermessiah]

Vidis ani mi nenapadlo, ze tie kluce mam mimo volume .. vyborny postreh, dakujem! Nastavil som si dalsi volume na .ssh a uvidime co bude. predpokladam, ze minimalne sa vyriesi problem s tym, ze musim nanovo pridavat kluc cez web (ktory sa pri ulozeni prepise do authorized_keys). Uvidim, ci mi to pomoze aj na to zabudanie, parkrat sa prepnem na VPN ci to funguje, pockam na dalsi maly release a dam vediet, asi to bude na par mesiacov skumania

[lepermessiah]

Vratim sa k mojmu problemu a prichadzam s niecim dalsim ...

@Hexaris dakujem za nasmerovanie, odkedy som pridal /data/ssh do volumes tak mam klud. Mal som tam /data/git/.ssh ale to zjavne nebol spravny folder

Od update Synology na 7.2 mam ale iny problem - kontajnery uz akosi nevedia spolu komunikovat. Konkretne teda vo forgejo aj drone som mal pridane v docker-compose.yml DNS a tam IPcku NAS, kde bezi pihole a v nom mam tieto ci.nas.local, git.nas.local atd. cize fungovali a funguju. Evidentne to asi nebolo ani potrebne pridavat, lebo to funguje stale. Lenze drone runner sa mi uz nevie spojit s drone serverom, klasicky host not found.
Samozrejme mozem runneru tiez pridat DNS a najde co hlada. Ale prvy krok kazdej pipeline je clone, co je tiez len docker kontajner, ktory si urobi git clone z git.nas.local - lenze ten uz nenajde. Kedze je to dynamicky spustany kontajner, neviem mu pridat DNS. Na to som robil v praci workaround, lebo v praci mame Telekom router a tam nejde vobec rozbehat vlastny DNS, takze mam custom clone kontajner kde sa pri vytvarani pridavaju hosts. Tomuto sa ale u mna predsa musi dat vyhnut, ked mi to donedavna fungovalo, nie?

Dalsi problem co som zistil je, ze mi forgejo pise do logu celkom dost zablokovanych pokusov o prihlasenie alebo zablokovanie komunikacie. Som rad ze blokuje ale v prvom rade nechapem ako sa ta komunikacia dostava na tento kontajner. Na routri mam presmerovane len porty 5510 - QuickConnect a 55555 - WireGuard. Kedze sa na vsetko pripajam cez VPN a port scan na moju IPcku zvonku mi fakt hadze len tieto 2 porty, ako sa moze niekto dostat na Syno a dokonca na nom zistit konkretny port, ktory pouziva Forgejo?

[lepermessiah]

Tak clone step som nakoniec dal custom, je to easy a nemal som chut stracat hodiny casu s tym, aj tak to vyzera, ze prejdem z Drone priamo na Gitea Actions..

Trapi ma ale ta druha vec, nechapem ako v lokalnej sieti mi moze kazdu minutu niekolko pokusov na pripojenie vyskocit, ked nemam priamo pristupne ani 443 ani 22, ktore su v kontajneri dostupne.

[steel]

Lenze drone runner sa mi uz nevie spojit s drone serverom, klasicky host not found.

Len napad, nemas ich zrazu v inych networkoch priradenych?

[lepermessiah]

Praveze nemam, vsetko mam v docker-compose, cez GUI nerobim nikdy nic.. Asi to bude nejaka zmena zo strany Synology, ze uz na seba nevidia "naokolo", kedze v ich privatnej sieti cez nazov kontajnera sa pripojim, ale na lokalnej sieti sa nenajdu, aj ked moj router ma DNS do pihole nastavene a fungovalo mi to viac ako rok bez problemov