Cílem je z menu mít relativně rychle dostupné jednotné prostředí s předpřipraveným VPN přístupem k různým zákazníkům.

• Jedna AppVM work, která drží persistentní konfiguraci v /home/ adresáři.
• pro každého zákazníka
  • work-zákazníkX disposable pro práci u konkrétního zákazníka
  • vpn-zákazníkX s VPN klientem k zákazníkX

Architektura

[work-zákazník1] ──► [vpn-zákazník1] ──► [sys-firewall] ──► [sys-net]
[work-zákazník2] ──► [vpn-zákazník2] ──► [sys-firewall] ──► [sys-net]

Každý Named DispVM se při startu vytvoří čistý z šablony, má vlastní VPN tunel a po zavření se smaže.

1. Připrav base AppVM jako DispVM šablonu

Máš AppVM (řekněme work), kde máš nainstalované SSH klienty, nástroje atd. Tu nastavíš jako šablonu pro disposable:

# v dom0
qvm-prefs work template_for_dispvms True

AppVM work můžeš normálně používat a pokud budeš potřebovat nové work prostředí s VPN ke konkrétnímu zákazníkovi spustíš odpovídající work disposable.

Networking u work samotné můžeš nastavit na none, pokud budeš používat jen disposable. Síť se řeší až na úrovni Named DispVMs:

qvm-prefs work netvm none

Veškerý software (SSH klient, wireshark, nmap…) instaluješ do TemplateVM, ze které work vychází (např. debian-13). Samotná work AppVM pak slouží jako DispVM šablona — přizpůsobení (dotfiles, SSH config) dáváš do /home/user/ v work.

Nezapomeň, že v disposable se nic persistentně na disk neukládá.

2. Vytvoř VPN ProxyVM pro každého zákazníka

Pro každého zákazníka potřebuješ samostatnou VM, která poběží jako VPN gateway.

# v dom0
qvm-create vpn-zákazník1 --class AppVM --template debian-13 --label orange
qvm-prefs vpn-zákazník1 netvm sys-firewall
qvm-prefs vpn-zákazník1 provides_network True

qvm-create vpn-zákazník2 --class AppVM --template debian-13 --label orange
qvm-prefs vpn-zákazník2 netvm sys-firewall
qvm-prefs vpn-zákazník2 provides_network True

provides_network True je klíčové — díky tomu se VM chová jako ProxyVM a ostatní VM ji můžou použít jako svůj netvm.

Konfigurace VPN uvnitř každé proxy VM

Spusť vpn-zákazník1 a nastav VPN. Příklad s WireGuard:

# uvnitř vpn-zákazník1
sudo nano /rw/config/vpn/wg0.conf
# vlož WireGuard config zákazníka 1

Aby se VPN spustila automaticky při startu, přidej do /rw/config/rc.local:

#!/bin/bash
cp /rw/config/vpn/wg0.conf /etc/wireguard/wg0.conf
systemctl start wg-quick@wg0

# Povolit forwarding (nutné pro ProxyVM funkci)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT
iptables -A FORWARD -i wg0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Volitelně: blokuj traffic mimo tunel (kill switch)
iptables -A OUTPUT -o wg0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -d 10.137.0.0/16 -j ACCEPT  # Qubes interní síť
iptables -A OUTPUT -p udp --dport 51820 -j ACCEPT  # WG endpoint
iptables -A OUTPUT -j DROP

Pro OpenVPN je postup analogický — místo WireGuard spustíš openvpn --config /rw/config/vpn/client.ovpn --daemon.

Totéž provedeš pro vpn-zákazník2 s konfigurací druhého zákazníka.

3. Vytvoř Named Disposables

# v dom0
qvm-create work-zákazník1 --class DispVM --template work --label green
qvm-prefs work-zákazník1 netvm vpn-zákazník1

qvm-create work-zákazník2 --class DispVM --template work --label blue
qvm-prefs work-zákazník2 netvm vpn-zákazník2

Tím vzniknou pojmenované DispVM, které se zobrazí v App menu a můžeš je spouštět opakovaně, pokaždé čisté, ale vždy s přiřazenou VPN.

Vytvoření skriptem

#!/bin/bash                                                                                                                           
ZAKAZNIK="${1}"

# Kontrola, zda je promenna ZAKAZNIK nastavena                                                                                        
if [ -z "${ZAKAZNIK}" ]; then
    # Pokud neni nastavena, zkontroluj prvni parametr                                                                                 
    if [ $# -eq 0 ] || [ -z "$1" ]; then
        echo "Chyba: Promenna ZAKAZNIK neni nastavena a nebyl poskytnut prvni parametr."
        echo "Zadejte hodnotu pro ZAKAZNIK:"
        read -r ZAKAZNIK
        if [ -z "${ZAKAZNIK}" ]; then
            echo "Chyba: ZAKAZNIK neni zadan. Skript konci."
            exit 1
        fi
    else
        ZAKAZNIK="$1"
    fi
fi

echo "Vytvorim: work-${ZAKAZNIK} jako NamedDispVM.."

qvm-create work-${ZAKAZNIK} --class DispVM --template work --label blue
qvm-prefs work-${ZAKAZNIK} netvm vpn-${ZAKAZNIK}

4. Ověření

# Spusť Named DispVM
qvm-run work-zákazník1 --auto gnome-terminal

# Uvnitř DispVM ověř IP
curl ifconfig.me
# Měla by se zobrazit VPN IP zákazníka 1

Shrnutí struktury

Tipy

Přidání dalšího zákazníka je vždy jen 3 příkazy v dom0 — vytvoř VPN proxy, nakonfiguruj VPN uvnitř, vytvoř Named DispVM s příslušným netvm.

SSH klíče — pokud používáš split-GPG/split-SSH, klíče zůstávají ve vault-net a DispVM si je vyžádá přes Qubes RPC. Nemusíš je kopírovat do každé disposable.

Persistentní SSH config — /home/user/.ssh/config v work AppVM se propaguje do každého DispVM, takže aliasy, proxy jumpy atd. stačí nastavit jednou.

Předpoklady

• Windows 11 s povoleným Bluetooth
• Voicemeeter Potato nainstalovaný v C:\Program Files (x86)\VB\Voicemeeter\
• Povolený log Microsoft-Windows-Bluetooth-Policy/Operational v Event Vieweru

1. Povolení Bluetooth Event Logu

Ve výchozím stavu je log vypnutý. Spusť PowerShell jako Administrator:

wevtutil sl Microsoft-Windows-Bluetooth-Policy/Operational /e:true

Ověření:

wevtutil gl "Microsoft-Windows-Bluetooth-Policy/Operational"

V výstupu hledej enabled: true.

2. Zjištění adresy Bluetooth zařízení

Připoj cílové BT zařízení a spusť:

Get-WinEvent -LogName "Microsoft-Windows-Bluetooth-Policy/Operational" -MaxEvents 10 |
  Format-Table TimeCreated, Id, Message -Wrap

Hledej řádek s Event ID 9 (úspěšné připojení) a poznamenej si adresu zařízení (např. A00CE238FE34).

3. Vytvoření spouštěcího skriptu

Vytvoř soubor C:\Scripts\voicemeeter-bt.bat:

@echo off
timeout /t 2 /nobreak >nul
start "" "C:\Program Files (x86)\VB\Voicemeeter\voicemeeter8x64.exe" -r

timeout /t 2 zajistí 2sekundové zpoždění, než se Voicemeeter spustí.

4. Nastavení úlohy v Task Scheduleru

4.1 Otevření Task Scheduleru

• Win+R → taskschd.msc → Enter

4.2 Vytvoření úlohy

• V pravém panelu klikni na Create Task (ne “Create Basic Task”)

4.3 Záložka General

• Name: Voicemeeter BT Auto-Start
• Description: Spustí Voicemeeter Potato po připojení BT zařízení
• Security options: zaškrtni Run only when user is logged on

4.4 Záložka Triggers

1. Klikni New…
2. Begin the task: On an event
3. Přepni na Custom
4. Klikni New Event Filter… → záložka XML → zaškrtni Edit query manually
5. Vlož následující XML (uprav A00CE238FE34 na adresu svého zařízení):

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Bluetooth-Policy/Operational">
    <Select Path="Microsoft-Windows-Bluetooth-Policy/Operational">
      *[System[EventID=9] and EventData[Data and contains(.,'A00CE238FE34')]]
    </Select>
  </Query>
</QueryList>

6. Potvrď OK

4.5 Záložka Actions

1. Klikni New…
2. Action: Start a program
3. Program/script: C:\Scripts\voicemeeter-bt.bat
4. Potvrď OK

4.6 Záložka Conditions

• Odškrtni “Start the task only if the computer is on AC power” (pokud chceš spouštět i na baterii)

4.7 Záložka Settings

• Zaškrtni Allow task to be run on demand (pro ruční testování)
• Zaškrtni If the task is already running, then do not start a new instance
• Potvrď OK

5. Testování

1. Odpoj BT zařízení
2. Znovu ho připoj
3. Po 2 sekundách by se měl spustit Voicemeeter Potato

Pro diagnostiku zkontroluj:

Get-WinEvent -LogName "Microsoft-Windows-Bluetooth-Policy/Operational" -MaxEvents 5 |
  Format-Table TimeCreated, Id, Message -Wrap

Historii spouštění úlohy najdeš v Task Scheduleru pod Task Scheduler Library → pravý klik na úlohu → Properties → záložka History.

Řešení problémů

Poznámky

• Parametr -r zajistí restart audio engine Voicemeeter, což je užitečné pro reinicializaci BT audio zařízení.
• Pokud chceš reagovat na jakékoli BT zařízení (ne jen jedno), odstraň z XML podmínku and EventData[...] a ponechej pouze *[System[EventID=9]].
• Po aktualizaci Windows může dojít ke změně struktury Event Logu – v takovém případě ověř event ID znovu.

Co se změnilo

• dark mode s volitelným light mode přes prefers-color-scheme
• socialní odkazy v karetním gridu s pořádnými SVG ikonkami
• GPG fingerprint s copy-to-clipboard funkcí
• sekce writing s odkazy na články
• tři nejnovější Mastodon posty načítané přes veřejné API
• všechny stránky sdílí jediný /style.css

Markdown pipeline

Místo psaní HTML ručně teď mám build script build.py, který bere Markdown soubor s YAML frontmatter a generuje finální HTML. Proces:

1. Napíšu článek v Obsidianu jako .md
2. Spustím python3 build.py articles/src/
3. Hotovo — vygeneruje se jak jednotlivý článek, tak aktualizovaný seznam

Citace

Dobré rozhraní je jako vtip. Když ho musíte vysvětlovat, není moc dobré. — Martin LeBlanc