Aktualizace (květen 2026): Původní postup z dubna 2026 přestal fungovat po Windows Update. Při ladění se ukázaly dvě příčiny — Windows Update tiše deaktivuje Bluetooth event log, a novější verze Voicemeeteru ignorují parametr -r způsobem, který původní skript předpokládal. Postup byl upraven tak, aby byl odolnější vůči oběma problémům. Změny jsou popsány v každém dotčeném kroku.

Předpoklady

• Windows 11 s povoleným Bluetooth
• Voicemeeter Potato nainstalovaný v C:\Program Files (x86)\VB\Voicemeeter\
• Povolený log Microsoft-Windows-Bluetooth-Policy/Operational v Event Vieweru

1. Povolení Bluetooth Event Logu

Ve výchozím stavu je log vypnutý. Spusť PowerShell jako Administrator:

wevtutil sl Microsoft-Windows-Bluetooth-Policy/Operational /e:true

Ověření:

wevtutil gl "Microsoft-Windows-Bluetooth-Policy/Operational"

V výstupu hledej enabled: true.

1a. Zabránění opětovného vypnutí logu po Windows Update (nový krok)

Windows Update tento log po aktualizaci tiše deaktivuje — to byl hlavní důvod, proč původní postup přestal fungovat. Aby se to neopakovalo, vytvoř startup úlohu, která log při každém startu systému znovu zapne:

$action    = New-ScheduledTaskAction -Execute "wevtutil.exe" -Argument 'sl "Microsoft-Windows-Bluetooth-Policy/Operational" /e:true'
$trigger   = New-ScheduledTaskTrigger -AtStartup
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest
$settings  = New-ScheduledTaskSettingsSet -ExecutionTimeLimit (New-TimeSpan -Minutes 1)
Register-ScheduledTask -TaskName "Enable-BT-Log" -Action $action -Trigger $trigger -Principal $principal -Settings $settings -Description "Zapne Bluetooth event log po startu - potrebne pro automaticky restart Voicemeeteru"

Úloha se spustí jako SYSTEM s administrátorskými právy, takže nevyžaduje přihlášeného uživatele.

2. Zjištění adresy Bluetooth zařízení

Připoj cílové BT zařízení a spusť:

Get-WinEvent -LogName "Microsoft-Windows-Bluetooth-Policy/Operational" -MaxEvents 10 |
  Format-Table TimeCreated, Id, Message -Wrap

Hledej řádek s Event ID 9 (úspěšné připojení) a poznamenej si adresu zařízení (např. A00CE238FE34).

3. Vytvoření spouštěcího skriptu

Vytvoř soubor C:\Scripts\voicemeeter-bt.bata ihned nastav správná oprávnění na složku — Task Scheduler skript spouští automaticky, takže zápis do C:\Scripts\ by měl mít jen administrátor:

@echo off
timeout /t 3 /nobreak >nul
taskkill /F /IM voicemeeter8x64.exe /T 2>nul
taskkill /F /IM VoicemeeterMacroButtons.exe /T 2>nul
timeout /t 1 /nobreak >nul
start "" "C:\Program Files (x86)\VB\Voicemeeter\voicemeeter8x64.exe"

Změna oproti původnímu postupu: Původní skript spouštěl Voicemeeter s parametrem -r, který dříve fungoval správně — nová instance poslala existujícímu Voicemeeteru příkaz k restartu audio enginu a sama se ukončila. Někdy po dubnu 2026 toto chování přestalo fungovat (pravděpodobně aktualizací Voicemeeteru) — parametr -r nově otevírá druhou plnou instanci, která zůstane běžet. Skript proto nyní nejprve všechny instance ukončí (taskkill) a pak spustí čistou novou.

timeout /t 3 na začátku dává BT zařízení čas se plně inicializovat před tím, než Voicemeeter nastartuje.

Nastav oprávnění složky (spusť jako Administrator):

icacls "C:\Scripts" /inheritance:r /grant:r "BUILTIN\Administrators:(OI)(CI)(F)" "NT AUTHORITY\SYSTEM:(OI)(CI)(F)" "BUILTIN\Users:(OI)(CI)(RX)"

4. Nastavení úlohy v Task Scheduleru

4.1 Otevření Task Scheduleru

• Win+R → taskschd.msc → Enter

4.2 Vytvoření úlohy

• V pravém panelu klikni na Create Task (ne “Create Basic Task”)

4.3 Záložka General

• Name: Voicemeeter BT Auto-Start
• Description: Spustí Voicemeeter Potato po připojení BT zařízení
• Security options: zaškrtni Run only when user is logged on

4.4 Záložka Triggers

1. Klikni New…
2. Begin the task: On an event
3. Přepni na Custom
4. Klikni New Event Filter… → záložka XML → zaškrtni Edit query manually
5. Vlož následující XML (uprav A00CE238FE34 na adresu svého zařízení):

<QueryList>
  <Query Id="0" Path="Microsoft-Windows-Bluetooth-Policy/Operational">
    <Select Path="Microsoft-Windows-Bluetooth-Policy/Operational">
      *[System[EventID=9] and EventData[Data and contains(.,'A00CE238FE34')]]
    </Select>
  </Query>
</QueryList>

6. Potvrď OK

4.5 Záložka Actions

1. Klikni New…
2. Action: Start a program
3. Program/script: C:\Scripts\voicemeeter-bt.bat
4. Potvrď OK

4.6 Záložka Conditions

• Odškrtni “Start the task only if the computer is on AC power” (pokud chceš spouštět i na baterii)

4.7 Záložka Settings

• Zaškrtni Allow task to be run on demand (pro ruční testování)
• Zaškrtni If the task is already running, then do not start a new instance
• Potvrď OK

5. Testování

1. Odpoj BT zařízení
2. Znovu ho připoj
3. Po 2 sekundách by se měl spustit Voicemeeter Potato

Pro diagnostiku zkontroluj:

Get-WinEvent -LogName "Microsoft-Windows-Bluetooth-Policy/Operational" -MaxEvents 5 |
  Format-Table TimeCreated, Id, Message -Wrap

Historii spouštění úlohy najdeš v Task Scheduleru pod Task Scheduler Library → pravý klik na úlohu → Properties → záložka History.

Řešení problémů

Poznámky

• Pokud chceš reagovat na jakékoli BT zařízení (ne jen jedno), odstraň z XML podmínku and EventData[...] a ponechej pouze *[System[EventID=9]].
• Skript ukončuje i VoicemeeterMacroButtons.exe — pokud Macro Buttons nepoužíváš, řádek s ním můžeš vynechat. Pokud ho používáš, po restartu se spustí automaticky jako závislý proces Voicemeeteru.
• Po aktualizaci Windows ověř, že je log stále aktivní (wevtutil gl ...) a že startup úloha Enable-BT-Log existuje a je ve stavu Ready.

Cílem je z menu mít relativně rychle dostupné jednotné prostředí s předpřipraveným VPN přístupem k různým zákazníkům.

• Jedna AppVM work, která drží persistentní konfiguraci v /home/ adresáři.
• pro každého zákazníka
  • work-zákazníkX disposable pro práci u konkrétního zákazníka
  • vpn-zákazníkX s VPN klientem k zákazníkX

Architektura

[work-zákazník1] ──► [vpn-zákazník1] ──► [sys-firewall] ──► [sys-net]
[work-zákazník2] ──► [vpn-zákazník2] ──► [sys-firewall] ──► [sys-net]

Každý Named DispVM se při startu vytvoří čistý z šablony, má vlastní VPN tunel a po zavření se smaže.

1. Připrav base AppVM jako DispVM šablonu

Máš AppVM (řekněme work), kde máš nainstalované SSH klienty, nástroje atd. Tu nastavíš jako šablonu pro disposable:

# v dom0
qvm-prefs work template_for_dispvms True

AppVM work můžeš normálně používat a pokud budeš potřebovat nové work prostředí s VPN ke konkrétnímu zákazníkovi spustíš odpovídající work disposable.

Networking u work samotné můžeš nastavit na none, pokud budeš používat jen disposable. Síť se řeší až na úrovni Named DispVMs:

qvm-prefs work netvm none

Veškerý software (SSH klient, wireshark, nmap…) instaluješ do TemplateVM, ze které work vychází (např. debian-13). Samotná work AppVM pak slouží jako DispVM šablona — přizpůsobení (dotfiles, SSH config) dáváš do /home/user/ v work.

Nezapomeň, že v disposable se nic persistentně na disk neukládá.

2. Vytvoř VPN ProxyVM pro každého zákazníka

Pro každého zákazníka potřebuješ samostatnou VM, která poběží jako VPN gateway.

# v dom0
qvm-create vpn-zákazník1 --class AppVM --template debian-13 --label orange
qvm-prefs vpn-zákazník1 netvm sys-firewall
qvm-prefs vpn-zákazník1 provides_network True

qvm-create vpn-zákazník2 --class AppVM --template debian-13 --label orange
qvm-prefs vpn-zákazník2 netvm sys-firewall
qvm-prefs vpn-zákazník2 provides_network True

provides_network True je klíčové — díky tomu se VM chová jako ProxyVM a ostatní VM ji můžou použít jako svůj netvm.

Konfigurace VPN uvnitř každé proxy VM

Spusť vpn-zákazník1 a nastav VPN. Příklad s WireGuard:

# uvnitř vpn-zákazník1
sudo nano /rw/config/vpn/wg0.conf
# vlož WireGuard config zákazníka 1

Aby se VPN spustila automaticky při startu, přidej do /rw/config/rc.local:

#!/bin/bash
cp /rw/config/vpn/wg0.conf /etc/wireguard/wg0.conf
systemctl start wg-quick@wg0

# Povolit forwarding (nutné pro ProxyVM funkci)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o wg0 -j MASQUERADE
iptables -A FORWARD -i eth0 -o wg0 -j ACCEPT
iptables -A FORWARD -i wg0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

# Volitelně: blokuj traffic mimo tunel (kill switch)
iptables -A OUTPUT -o wg0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -d 10.137.0.0/16 -j ACCEPT  # Qubes interní síť
iptables -A OUTPUT -p udp --dport 51820 -j ACCEPT  # WG endpoint
iptables -A OUTPUT -j DROP

Pro OpenVPN je postup analogický — místo WireGuard spustíš openvpn --config /rw/config/vpn/client.ovpn --daemon.

Totéž provedeš pro vpn-zákazník2 s konfigurací druhého zákazníka.

3. Vytvoř Named Disposables

# v dom0
qvm-create work-zákazník1 --class DispVM --template work --label green
qvm-prefs work-zákazník1 netvm vpn-zákazník1

qvm-create work-zákazník2 --class DispVM --template work --label blue
qvm-prefs work-zákazník2 netvm vpn-zákazník2

Tím vzniknou pojmenované DispVM, které se zobrazí v App menu a můžeš je spouštět opakovaně, pokaždé čisté, ale vždy s přiřazenou VPN.

Vytvoření skriptem

#!/bin/bash                                                                                                                           
ZAKAZNIK="${1}"

# Kontrola, zda je promenna ZAKAZNIK nastavena                                                                                        
if [ -z "${ZAKAZNIK}" ]; then
    # Pokud neni nastavena, zkontroluj prvni parametr                                                                                 
    if [ $# -eq 0 ] || [ -z "$1" ]; then
        echo "Chyba: Promenna ZAKAZNIK neni nastavena a nebyl poskytnut prvni parametr."
        echo "Zadejte hodnotu pro ZAKAZNIK:"
        read -r ZAKAZNIK
        if [ -z "${ZAKAZNIK}" ]; then
            echo "Chyba: ZAKAZNIK neni zadan. Skript konci."
            exit 1
        fi
    else
        ZAKAZNIK="$1"
    fi
fi

echo "Vytvorim: work-${ZAKAZNIK} jako NamedDispVM.."

qvm-create work-${ZAKAZNIK} --class DispVM --template work --label blue
qvm-prefs work-${ZAKAZNIK} netvm vpn-${ZAKAZNIK}

4. Ověření

# Spusť Named DispVM
qvm-run work-zákazník1 --auto gnome-terminal

# Uvnitř DispVM ověř IP
curl ifconfig.me
# Měla by se zobrazit VPN IP zákazníka 1

Shrnutí struktury

Tipy

Přidání dalšího zákazníka je vždy jen 3 příkazy v dom0 — vytvoř VPN proxy, nakonfiguruj VPN uvnitř, vytvoř Named DispVM s příslušným netvm.

SSH klíče — pokud používáš split-GPG/split-SSH, klíče zůstávají ve vault-net a DispVM si je vyžádá přes Qubes RPC. Nemusíš je kopírovat do každé disposable.

Persistentní SSH config — /home/user/.ssh/config v work AppVM se propaguje do každého DispVM, takže aliasy, proxy jumpy atd. stačí nastavit jednou.

Co se změnilo

• dark mode s volitelným light mode přes prefers-color-scheme
• socialní odkazy v karetním gridu s pořádnými SVG ikonkami
• GPG fingerprint s copy-to-clipboard funkcí
• sekce writing s odkazy na články
• tři nejnovější Mastodon posty načítané přes veřejné API
• všechny stránky sdílí jediný /style.css

Markdown pipeline

Místo psaní HTML ručně teď mám build script build.py, který bere Markdown soubor s YAML frontmatter a generuje finální HTML. Proces:

1. Napíšu článek v Obsidianu jako .md
2. Spustím python3 build.py articles/src/
3. Hotovo — vygeneruje se jak jednotlivý článek, tak aktualizovaný seznam

Citace

Dobré rozhraní je jako vtip. Když ho musíte vysvětlovat, není moc dobré. — Martin LeBlanc