All perguntas(server)

Estou tentando usar o novo conector S3 no SQL Server 2022 para fazer backup de um banco de dados em um bucket S3. Tenho seguido as instruções aqui:

https://learn.microsoft.com/en-us/sql/relational-databases/backup-restore/sql-server-backup-to-url-s3-compatível-object-storage?view=sql-server-ver16

Criei a credencial e estou tentando executar o seguinte:

BANCO DE DADOS DE BACKUP banco de dados PARA URL = 's3://bucket.s3-us-west-2.amazonaws.com/backups/database.bak' COM FORMATO ,STATS = 10 ,COMPRESSÃO;

Recebo a seguinte mensagem de erro que não consegui descobrir:

Msg 3201, Nível 16, Estado 1, Linha 1 Não é possível abrir o dispositivo de backup 's3://bucket.s3-us-west-2.amazonaws.com/backups/database.bak'. Erro do sistema operacional 87 (O parâmetro está incorreto.). Msg 3013, Nível 16, Estado 1, Linha 1 O BACKUP DATABASE está sendo encerrado de forma anormal.

No lado do S3, tenho usado o mesmo bucket para fazer backup de arquivos de outro servidor usando um programa diferente há vários anos, então tenho certeza de que ele está configurado corretamente.

Estou criando uma VPN para acessar uma VPC, mas quero que o restante do tráfego não passe pela VPN.

Consegui acessar o VPC por meio da VPN, mas quando conectado a ela, perco o acesso à Internet.

Esta é a configuração do meu servidor:

port 1194
proto udp
dev tun
ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn.crt
key /etc/openvpn/server/vpn.key 
dh /etc/openvpn/server/dh.pem
topology subnet
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "route 10.0.0.0 255.255.0.0"
keepalive 10 120
tls-auth /etc/openvpn/server/ta.key 0
cipher AES-256-GCM
user nobody
group nogroup
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305

Adicionei este iptable ao servidor para acessar a VPC:

sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -d 10.0.0.0/8 -j MASQUERADE

E este é meu arquivo .ovpn para o cliente:

client
dev tun
proto udp
remote XXXXXXXXXXXXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
cipher AES-256-GCM
data-ciphers AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305
verb 3
ca [inline]
cert [inline]
key [inline]
tls-auth [inline] 1
pull
<ca>....

Ao conectar na VPN, é adicionada uma rota no cliente com destino 0.0.0.0 e gateway o servidor vpn, acredito que seja esse o problema, mas não sei como evitar que isso aconteça.

~ route -n
Tabla de rutas IP del núcleo
Destino         Pasarela        Genmask         Indic Métric Ref    Uso Interfaz
0.0.0.0         172.16.0.1      0.0.0.0         UG    50     0        0 tun0
0.0.0.0         192.168.1.1     0.0.0.0         UG    100    0        0 eno1
10.0.0.0        172.16.0.1      255.255.0.0     UG    50     0        0 tun0
[**VPN IP**]    192.168.1.1     255.255.255.255 UGH   50     0        0 eno1
172.16.0.0      0.0.0.0         255.255.255.0   U     50     0        0 tun0
192.168.1.0     0.0.0.0         255.255.255.0   U     100    0        0 eno1
192.168.1.1     0.0.0.0         255.255.255.255 UH    50     0        0 eno1

Estou usando o gerenciador de rede padrão do Ubuntu para importar o arquivo .ovpn e conectar à VPN.

Estamos planejando migrar do VMware ESXi para nossos servidores da empresa. Temos MUITAS máquinas virtuais Windows usadas para testes (diferentes configurações, combinações de opções, etc.) em nosso laboratório de testes. Isso inclui VMs do Windows 10 e do Windows Server 2019.

Quero garantir que todas as nossas VMs de teste não acionem a ativação quando o Windows detectar que a assinatura de hardware foi alterada, como suspeito que aconteceria ao migrar para um novo hipervisor.

Estamos considerando qual hipervisor usar em seguida e gostamos do KVM do Red Hat 9.

Alguém tem experiência com essa migração?

Suas VMs do Windows precisam ser ativadas após a movimentação?

Observe que nosso laboratório de testes que contém as VMs é isolado e nunca deve se conectar à Internet.

Então não sugira "apenas reativar"... não é uma opção.

Eu defini e apliquei um ServiceAccount "service-account-token" : Vault-Config/service-account-token.yaml:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: service-account-token
automountServiceAccountToken: false

root@k8s-eu-1-control-plane-node-1:~# kubectl apply -f Vault-Config/service-account- 
token.yaml 
serviceaccount/service-account-token created

root@k8s-eu-1-control-plane-node-1:~# kubectl get ServiceAccount
NAME                       SECRETS   AGE
default                    0         10d
issuer                     0         20h
secrets-store-csi-driver   0         2d9h
service-account-token      0         22s   // <----------------------
webapp-sa                  0         2d1h

Eu defini e apliquei um segredo do emissor do cofre:

root@k8s-eu-1-control-plane-node-1:~# nano Vault-Config/cert-manager-vault-issuer-
secret.yaml
apiVersion: v1
kind: Secret
metadata:
  name: issuer-token-abcde
  #namespace: nats
  annotations:
    kubernetes.io/service-account.name: issuer
type: kubernetes.io/service-account-token # https://developer.hashicorp.com/vault
/docs/auth/kubernetes#continue-using-long-lived-tokens

->

root@k8s-eu-1-control-plane-node-1:~# kubectl apply -f Vault-Config/cert-manager-vault-
issuer-secret.yaml 
secret/issuer-token-abcde created

->

root@k8s-eu-1-control-plane-node-1:~# kubectl get secrets
NAME                         TYPE                                  DATA   AGE
issuer-token-abcde           kubernetes.io/service-account-token   3      8s  // <------------
nats-box-contexts            Opaque                                1      6d
sh.helm.release.v1.csi.v1    helm.sh/release.v1                    1      2d9h
sh.helm.release.v1.nats.v1   helm.sh/release.v1                    1      6d

Quando aplico este vault-issuer : Vault-Config/vault-issuer-cert-manager.yaml:

# https://developer.hashicorp.com/vault/tutorials/archive/kubernetes-cert-   
manager#configure-an-issuer-and-generate-a-certificate

    apiVersion: cert-manager.io/v1
    kind: Issuer
    metadata:
      name: vault-issuer
      #namespace: nats
    spec:
      vault:
        server: http://vault.default // <---- as suggested here: https://cert-manager.io/docs/configuration/vault/#deployment
        path: pki_int/sign/nats
        auth:
          kubernetes:
            mountPath: /v1/auth/kubernetes
            role: issuer
            secretRef:
              name: issuer-token-abcde
              #key: token

-> :

root@k8s-eu-1-control-plane-node-1:~# kubectl apply -f Vault-Config/vault-issuer-cert-
manager.yaml 
issuer.cert-manager.io/vault-issuer created

Recebo este erro:

root@k8s-eu-1-control-plane-node-1:~# kubectl describe issuer vault-issue
Failed to initialize Vault client: while requesting a Vault token using the Kubernetes auth:
error calling Vault server: Post "https://vault.default/v1/auth/kubernetes/login": dial tcp: 
lookup vault.default on 10.96.0.10:53: no such host

Para a configuração do Vault apliquei através do helm estes valores:

root@k8s-eu-1-control-plane-node-1:~# nano Vault-Config/overrides.yaml :

global:
   enabled: true
   tlsDisable: false
injector:
   enabled: true
server:
   extraEnvironmentVars:
      VAULT_CACERT: /vault/userconfig/vault-ha-tls/vault.ca
      VAULT_TLSCERT: /vault/userconfig/vault-ha-tls/vault.crt
      VAULT_TLSKEY: /vault/userconfig/vault-ha-tls/vault.key
   dataStorage:
       enabled: true
   volumes:
      - name: userconfig-vault-ha-tls
        secret:
         defaultMode: 420
         secretName: vault-ha-tls
   volumeMounts:
      - mountPath: /vault/userconfig/vault-ha-tls
        name: userconfig-vault-ha-tls
        readOnly: true
   standalone:
      enabled: false
   affinity: ""
   readinessProbe:
     enabled: true
     path: "/v1/sys/health?standbyok=true&sealedcode=204&uninitcode=204"
   ha:
      enabled: true
      replicas: 3
      raft:
         enabled: true
         setNodeId: true
         config: |
            cluster_name = "vault-integrated-storage"
            ui = true
            listener "tcp" {
               tls_disable = 0
               address = "[::]:8200"
               cluster_address = "[::]:8201"
               tls_cert_file = "/vault/userconfig/vault-ha-tls/vault.crt"
               tls_key_file  = "/vault/userconfig/vault-ha-tls/vault.key"
               tls_client_ca_file = "/vault/userconfig/vault-ha-tls/vault.ca"
            }

            # https://developer.hashicorp.com/vault/tutorials/kubernetes/kubernetes-raft-deployment-guide#vault-storage-configuration

            storage "raft" {
               path = "/vault/data"

               retry_join {
                 leader_api_addr = "https://vault-0.vault-internal:8200"
                 leader_ca_cert_file = "/vault/userconfig/tls-ca/ca.crt"
                 leader_client_cert_file = "/vault/userconfig/tls-server/tls.crt"
                 leader_client_key_file = "/vault/userconfig/tls-server/tls.key"
               }

               retry_join {
                 leader_api_addr = "https://vault-1.vault-internal:8200"
                 leader_ca_cert_file = "/vault/userconfig/tls-ca/ca.crt"
                 leader_client_cert_file = "/vault/userconfig/tls-server/tls.crt"
                 leader_client_key_file = "/vault/userconfig/tls-server/tls.key"
               }

               retry_join {
                 leader_api_addr = "https://vault-2.vault-internal:8200"
                 leader_ca_cert_file = "/vault/userconfig/tls-ca/ca.crt"
                 leader_client_cert_file = "/vault/userconfig/tls-server/tls.crt"
                 leader_client_key_file = "/vault/userconfig/tls-server/tls.key"
               }

               retry_join {
                 leader_api_addr = "https://vault-3.vault-internal:8200"
                 leader_ca_cert_file = "/vault/userconfig/tls-ca/ca.crt"
                 leader_client_cert_file = "/vault/userconfig/tls-server/tls.crt"
                 leader_client_key_file = "/vault/userconfig/tls-server/tls.key"
               }

               retry_join {
                 leader_api_addr = "https://vault-4.vault-internal:8200"
                 leader_ca_cert_file = "/vault/userconfig/tls-ca/ca.crt"
                 leader_client_cert_file = "/vault/userconfig/tls-server/tls.crt"
                 leader_client_key_file = "/vault/userconfig/tls-server/tls.key"
               }

               autopilot {
                 server_stabilization_time = "10s"
                 last_contact_threshold = "10s"
                 min_quorum = 5
                 cleanup_dead_servers = false
                 dead_server_last_contact_threshold = "10m"
                 max_trailing_logs = 1000
                 disable_upgrade_migration = false
               }


            }
            disable_mlock = true
            service_registration "kubernetes" {}

Qual endereço de servidor devo colocar no arquivo de configuração do vault-issuer : Vault-Config/vault-issuer-cert-manager.yaml:

# https://developer.hashicorp.com/vault/tutorials/archive/kubernetes-cert-manager#configure-an-issuer-and-generate-a-certificate

apiVersion: cert-manager.io/v1
kind: Issuer
metadata:
  name: vault-issuer
  #namespace: nats
spec:
  vault:
    server: https://vault-0.vault-internal:8200/    // <----------------- ????????
    path: pki_int/sign/nats
    auth:
      kubernetes:
        mountPath: /v1/auth/kubernetes
        role: issuer
        secretRef:
          name: issuer-token-abcde
          key: token

--> :

root@k8s-eu-1-control-plane-node-1:~# kubectl describe issuer     vault-issue

Message:               Failed to initialize Vault client: while  
requesting a Vault token using the Kubernetes auth: error calling 
Vault server: Post "http://vault.default:8200/v1/auth/kubernetes
/login": dial tcp: lookup vault.default on 10.96.0.10:53: no such 
host

?

Criei um site e usei o certbot para criar certificados SSL.

A página carrega bem em todos os sistemas que testei, exceto no Chrome do meu telefone.

No Chrome, no telefone (Android), recebo NET::ERR_CERT_AUTHORITY_INVALID

No FF no telefone ele carrega bem. No Chrome ou FF no meu tablet ele carrega bem. No Chrome ou FF no laptop e/ou no desktop ele carrega bem.

O que há de errado com o Chrome?

Tenho um servidor OpenVPN em execução no Ubuntu 22.04.

Tudo está funcionando bem, mas quero registrar mais informações sobre dispositivos conectados ao meu servidor. Preciso enviar algumas informações personalizadas sobre o dispositivo usando meus servidores.

Eu integrei client-connect/ client-disconnectscripts com sucesso, mas quero ter mais variáveis ​​de ambiente sobre o dispositivo do cliente para usar nesses scripts.

Tentei enviar essas variáveis ​​do arquivo de configuração do cliente assim:

push-peer-info
setenv IV_TEST="test1"
setenv UV_TEST="test2"

Mas não consigo recuperar essas variáveis ​​do script. Nos logs, consigo ver algumas variáveis ​​sendo transmitidas:

2024-09-11 07:31:09 us=326572 192.168.175.1:49395 peer info: IV_VER=3.8.2connect3
2024-09-11 07:31:09 us=326583 192.168.175.1:49395 peer info: IV_PLAT=win
2024-09-11 07:31:09 us=326588 192.168.175.1:49395 peer info: IV_NCP=2
2024-09-11 07:31:09 us=326593 192.168.175.1:49395 peer info: IV_TCPNL=1
2024-09-11 07:31:09 us=326597 192.168.175.1:49395 peer info: IV_PROTO=990
2024-09-11 07:31:09 us=326601 192.168.175.1:49395 peer info: IV_MTU=1600
2024-09-11 07:31:09 us=326605 192.168.175.1:49395 peer info: IV_CIPHERS=xxxxxxxx
2024-09-11 07:31:09 us=326609 192.168.175.1:49395 peer info: UV_ASCLI_VER=3.4.4-3412
2024-09-11 07:31:09 us=326614 192.168.175.1:49395 peer info: UV_PLAT_REL= xxxxxx
2024-09-11 07:31:09 us=326618 192.168.175.1:49395 peer info: UV_UUID=xxxxxxxxxxx
2024-09-11 07:31:09 us=326635 192.168.175.1:49395 peer info: IV_GUI_VER=OCWindows_3.4.4-3412
2024-09-11 07:31:09 us=326638 192.168.175.1:49395 peer info: IV_SSO=webauth,crtext
2024-09-11 07:31:09 us=326641 192.168.175.1:49395 peer info: IV_HWADDR=xxxxxxxxxxx
2024-09-11 07:31:09 us=326645 192.168.175.1:49395 peer info: IV_SSL=OpenSSL_3.1.4_24_Oct_2023

Mas não as variáveis ​​que defini.

Verificando a documentação podemos ver isso:

EDITAR1:

--push-peer-info : Envie informações adicionais sobre o cliente para o servidor. Os seguintes dados são sempre enviados para o servidor:

Isso implica que, usando --push-peer-info, podemos permitir que o cliente envie variáveis ​​personalizadas adicionais, além das padrões, mas como fazer isso?

EDIT2: Eu até tentei substituir as variáveis ​​padrão e alterar a ordem, sem sorte:

setenv IV_HWADDR="test1"
push-peer-info

Qualquer ajuda é muito apreciada.

Tenho tentado fazer o nginx fazer o proxy reverso gacamole, mas não tive muito sucesso. Para isso, nos últimos dias, tenho seguido vários howto's descrevendo como instalar o nginx, o guacamole e configurar o nginx para fazer o proxy da porta Tomcat 8080. Tenho a sensação de que estou quase lá, mas simplesmente não consigo fazer o último passo...

Em uma máquina Ubuntu 22.04.05 LTS, instalei o nginx e o Tomcat9 prontos para uso. Em seguida, apaguei o arquivo /etc/nginx/sites-available/default, removi o symlink para esse arquivo em /etc/nginx/sites-enabled e reiniciei o nginx.

Então eu instalei o guacamole (1.55, guacd e o webapp no ​​tomcat). Depois de ter feito isso, eu posso chegar ao webapp de outra máquina usando http://nginx-handbook.test:8080/guacamole . Então, o guacamole funciona.

Agora, para a parte do proxy: criei um arquivo guacamole.conf em /etc/nginx/conf.d com o seguinte conteúdo:

server {

  listen 80;
  server_name nginx-handbook.test;

  access_log /var/log/nginx/guac_access.log;
  error_log /var/log/nginx/guac_error.log;

  location = / {
    proxy_pass http://127.0.0.1:8080/guacamole;
    proxy_buffering off;
    proxy_http_version 1.1;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $http_connection;
    client_max_body_size 1g;
    access_log off;
  } 

}

Reiniciei o nginx e tentei acessar o guacamole de outro servidor usando http://nginx-handbook.test/ , mas estou recebendo um erro 404.

Eu sei que o proxy funciona (mais ou menos), porque minhas ações estão sendo registradas nos logs do proxy:

(guac_access.log)

192.168.56.1 - - [11/Sep/2024:16:07:38 +0000] "GET /guacamole/ HTTP/1.1" 404 197 "-" 
"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome/128.0.0.0 Safari/537.36"
192.168.56.1 - - [11/Sep/2024:16:07:40 +0000] "GET /guacamole/ HTTP/1.1" 404 197 "-" 
"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome/128.0.0.0 Safari/537.36"

(guac_error.log)

2024/09/11 16:07:38 [error] 29619#29619: *1 
"/usr/share/nginx/html/guacamole/index.html" is not found (2: No such file or 
directory), client: 192.168.56.1, server: nginx-handbook.test, request: "GET 
/guacamole/ HTTP/1.1", host: "nginx-handbook.test"
2024/09/11 16:07:40 [error] 29619#29619: *1 
"/usr/share/nginx/html/guacamole/index.html" is not found (2: No such file or 
directory), client: 192.168.56.1, server: nginx-handbook.test, request: "GET 
/guacamole/ HTTP/1.1", host: "nginx-handbook.test"

Embora o erro seja bem claro (nginx está procurando por guacamole em /usr/share/nginx/html), não entendi muito bem. Esperava redirecionar para a porta 8080 e deixar o Tomcat fazer o resto.

A raiz /usr/share/nginx/html não está definida em nenhum dos outros arquivos de configuração do nginx.

Devo definir a diretiva root para apontar para /var/lib/tomcat/webapps ? Isso não foi documentado em nenhum lugar nos howto's que vi.

Qualquer ajuda seria muito apreciada.

TL;DR: Não consigo entender como telegraf@sha256:05cbea951c5cf9da6c663321b32848c1b6ffdfa877563237838efa21b508b079e telegraf@sha256:848201b0601513122f567a6b690b5ef84abbb38e78ca461d1c1d3d7465691d39são a mesma imagem para telegraf:1.31, enquanto o primeiro não é mencionado em lugar nenhum. Tenho quase certeza de que são completamente as mesmas imagens, mas estou tentando entender de onde sha256:05cbea9vem o desconhecido.

Estou trabalhando em um host e notei que a imagem do Docker para o Telegraf tem dois resumos de repositório, o que gerou alguma curiosidade porque eu esperaria ver apenas o resumo do índice ou o resumo do índice e o resumo para Linux/AMD64, já que a imagem é multiarquitetura e o host é Linux/AMD64.

Quando eu corro:

docker inspect 4fffb7e682428f97779fdee3f4c44d062de6da9ba4a754a0f3b3f0ecaf87052eno servidor, recebo a seguinte saída:

        "RepoDigests": [
            "telegraf@sha256:05cbea951c5cf9da6c663321b32848c1b6ffdfa877563237838efa21b508b079",
            "telegraf@sha256:6b0d623c54754958fed356d2af239de21dcf7c95d63b76298d0cd70df79cc719"
        ],

O segundo digest parece bom, pois representa o digest do índice. No entanto, quando verifico a API do Docker Hub, o primeiro digest (05cbea...) não é mencionado de forma alguma:

curl -s https://hub.docker.com/v2/namespaces/library/repositories/telegraf/tags/1.31 | jq '.images[] | "\(.architecture) \(.digest)"' | grep 05cbea951c5cf9da6c663321b32848c1b6ffdfa877563237838efa21b508b079
# Grep returns an empty result here

curl -s https://hub.docker.com/v2/namespaces/library/repositories/telegraf/tags/1.31 | jq '.images[] | "\(.architecture) \(.digest)"' | grep amd64
"amd64 sha256:848201b0601513122f567a6b690b5ef84abbb38e78ca461d1c1d3d7465691d39"

No entanto, elas ainda são a mesma imagem. Aqui está como eu verifiquei:

Primeiro hash;

docker pull telegraf@sha256:05cbea951c5cf9da6c663321b32848c1b6ffdfa877563237838efa21b508b079

docker images|grep telegraf
telegraf                                                                  <none>      4fffb7e68242   4 weeks ago     472MB

docker inspect 4fffb7e68242 --format='{{json .}}'| jq '"\(.Created) \(.Config.Env[1]) \(.RepoDigests)"'
"2024-08-12T15:27:35Z TELEGRAF_VERSION=1.31.3 [\"telegraf@sha256:05cbea951c5cf9da6c663321b32848c1b6ffdfa877563237838efa21b508b079\"]"

Segundo hash;

docker pull telegraf@sha256:848201b0601513122f567a6b690b5ef84abbb38e78ca461d1c1d3d7465691d39
docker images|grep telegraf
telegraf                                                                  <none>      4fffb7e68242   4 weeks ago     472MB

docker inspect 4fffb7e68242 --format='{{json .}}'| jq '"\(.Created) \(.Config.Env[1]) \(.RepoDigests)"'
"2024-08-12T15:27:35Z TELEGRAF_VERSION=1.31.3 [\"telegraf@sha256:848201b0601513122f567a6b690b5ef84abbb38e78ca461d1c1d3d7465691d39\"]"

Gostaria de saber o que estou perdendo aqui. Agradeceria qualquer dica.

Editar; A única coisa que esqueci de mencionar é que o contêiner telegraf é executado por uma pilha docker swarm. Acho que isso faria diferença em como as imagens são extraídas.

Estou tentando configurar duas (ou mais) interfaces WireGuard em um servidor com a mesma porta, mas intervalos de IP diferentes (não sobrepostos).

O motivo da porta idêntica é porque a conexão está sendo encaminhada para a porta 51820 no servidor Wireguard, e queremos evitar alterar detalhes fora do servidor Wireguard.

Minha ideia seria mudar a porta do endereço local do atual 0.0.0.0:51820 para, por exemplo, 10.0.0.0/24:51820 para wg0, e 10.0.1.0/24:51820 para wg1. Isso é possível ou estou latindo para a árvore errada com essa solução?

ip address show wg0 me dá o endereço IP correto: (10.0.0.1/24 e 10.0.1.1/24 para wg1), mas ss -tuln mostra que a porta do endereço local é 0.0.0.0:51820.

Gostaria também de descartar todas as mensagens fora dos intervalos de IP correspondentes a wg0 e wg1 na porta 51820.

O servidor roda no Ubuntu 22.04.4 LTS.

Esclarecimento:

O problema é que não consigo adicionar uma segunda interface que tenha a mesma porta de escuta, mas um intervalo de IP diferente.

Exemplo: wgX.conf é:
[Interface]
PrivateKey = chave-única-para-cada-X
ListenPort = 51820

Comandos: ip link add dev wg0 type wireguard
ip address add dev wg0 10.40. 0 .1/24
wg setconf wg0.conf
ip link set up dev wg0

isso funciona bem, mas quando adiciono a segunda interface em um intervalo diferente, mas com listenPort idêntico:

ip link add dev wg1 type wireguard
ip address add dev wg1 10.40. 1 .1/24
wg setconf wg1.conf
ip link set up dev wg1

retorna o erro "Falha ao configurar a interface wg1: RTNETLINK responde: Endereço já em uso"
ip address show wg0 retorna
wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
link/none
inet 10.40.0.1/24

ss -tuln retorna
udp ... 0.0.0.0:51820 ...

Tenho a seguinte configuração nginx:

server {
    location ~ ^/(\d+)/(\d+)/(\d+)\.png$ {
        alias /mount/cache/c/$1/$2/$3.png;
        try_files $uri @proxy;
        add_header x-source file;
    }

    location @proxy {
        proxy_pass http://127.0.0.1:28000;
        add_header x-source proxy;
    }
}

O que estou tentando fazer é tentar carregar os arquivos do disco e, se eles não forem encontrados, solicitá-los ao upstream.

Meu problema é que isso try_filesnão parece funcionar, ele sempre solicita @proxy (o cabeçalho x-source é sempre proxy). Se eu comentar, try_filesele carrega os arquivos do disco corretamente, mas a parte do proxy não funciona.