Comments 130
Что-то я здесь не вижу, чтобы DNS пускался через VPN и на сервере был форвардер DNS. Проверьте вашу конфигурацию каким-нибудь тестом DNS leak. Например, этим.
Спасибо за комментарий.
В качестве DNS сервера используется 8.8.8.8: github.com/drew2a/wireguard/blob/master/wg-genconf.sh#L47.
DNS leak тест проходит успешно.
В качестве DNS сервера используется 8.8.8.8: github.com/drew2a/wireguard/blob/master/wg-genconf.sh#L47.
DNS leak тест проходит успешно.
Те же самые VPN-провайдеры, которым Вы не доверяете, не позволяют себе сливать DNS-запросы пользователей гуглу.
В случае с виндой даже если DNS-сервер будет установлен, но по каким-то причинам не успеет отверить вовремя, то винда может использовать DNS-серверы, назначенные на других интерфейсах (есть отличный комментарий со схемой пользователя chupasaurus про это). Для OpenVPN есть плагин с фиксом этого, но я не уверен, что такое же есть для wireguard. К слову, коммерческие VPN-сервисы имеют клиенты, подавляющие эту уязвимость.
В случае с виндой даже если DNS-сервер будет установлен, но по каким-то причинам не успеет отверить вовремя, то винда может использовать DNS-серверы, назначенные на других интерфейсах (есть отличный комментарий со схемой пользователя chupasaurus про это). Для OpenVPN есть плагин с фиксом этого, но я не уверен, что такое же есть для wireguard. К слову, коммерческие VPN-сервисы имеют клиенты, подавляющие эту уязвимость.
Резонно.
У меня были проблемы при использовании openvpn и проброса DNS в windows 10 (на планшете ipad — все работало корректно при подключении к той же сети).
Я далеко не спец, к сожалению, и решил это путем добавления параметра Blocking outside dns в конфигурацию openvpn (push «block-outside-dns»). Можете подсказать — это та же проблема или нечто другое?
Я далеко не спец, к сожалению, и решил это путем добавления параметра Blocking outside dns в конфигурацию openvpn (push «block-outside-dns»). Можете подсказать — это та же проблема или нечто другое?
А вы попробуйте выполнить команду «nslookup %запрещёнка%»
Где %запрещёнка% — любой ресурс из списка РКН. Мой провайдер выдаёт ip заглушки. Причём не важно вообще, какой ip указан для DNS сервера. Можно даже несуществующий — всё равно всё работает ибо провайдер просто перехватывает нешифрованные DNS-запросы. Помогает только или перенаправление DNS в тот же VPN или всякого рода DNScrypt/DoH/DoT.
Где %запрещёнка% — любой ресурс из списка РКН. Мой провайдер выдаёт ip заглушки. Причём не важно вообще, какой ip указан для DNS сервера. Можно даже несуществующий — всё равно всё работает ибо провайдер просто перехватывает нешифрованные DNS-запросы. Помогает только или перенаправление DNS в тот же VPN или всякого рода DNScrypt/DoH/DoT.
Подскажите, как поможет DNScrypt/DoH/DoT, если у провайдера установлен фильтр по IP-адресу заблокированных ресурсов?
UFO just landed and posted this here
А вот для этого VPN. О чём как раз статья. Но VPN будет бесполезен для такого применения если DNS запросы идут через провайдера. Я, когда баловался подобным на Микротике, ставил специальное правило в файрволе, перенаправляя все обращения по 53 порту в VPN. То, что микротик в стабильных версиях не умеет OVPN через UDP в данном случае не мешало — скорость тут не особо важна. И если OVPN клиент под винду таки исключает утечки DNS, То SoftETHER — нет. И они сами рекомендуют использовать клиента OVPN.
Много, кто в интернете советует использовать гугловские DNS'ы, но мало кто рассказывает, что серверы эти самой Гугл позиционируются как тестовые, и на моей практике довольно часто не работали. Для себя я решил, что мне проще свой DNS поднять, чем надеяться на Гугл.
Спасибо за конструктивную критику, добавил dns forwarding с использованием unbound: github.com/drew2a/wireguard/pull/2
Более того, я даже ISP знаю, что выдают клиентам их и проблем особых замечено не было.
А я несколько раз натыкался на то, что мне одновременно звонят с нескольких обслуживаемых мною объектов и рассказывают, что интернет не работает. При выяснениях обнаруживается, что гугловские четыре восмёрки либо не отвечают, либо отдают что-то не то. И можно было бы списать это на проблемы связности или ещё что-то, но свой кэширующий DNS как-то надёжнее, да и даёт плюшки вида обращения в локалке по доменным именам, а не по IP.
Попробуйте днс от opennic. Хороший проект, жаль мало кто про него слышал.
Хорошо. Но ведь свой обращается к форвардерам. Что использовать в качестве них?
Вот здесь рассказано, как, настроив Wireguard, поднять еще собственный DNS-резолвер на Unbound еще и блокировкой рекламы.
UFO just landed and posted this here
Иначе несколько клиентов вместе работать не будут.
UFO just landed and posted this here
Нет, не проще. Смысл wireguard в том, что там роутинг связан с ключами. Кроме того он имеет массу других преимуществ: скорость, лёгкое переподключение, трудноузнаваемость трафика с точки зрения DPI. Ну а заводить все девайсы под одним аккаунтом — не совсем грамотно.
трудноузнаваемость трафика с точки зрения DPI
AFAIK, нет. Многие DPI его пока не блокируют, но потому, скорее, что процент его использования пока относительно низкий, в т.ч. в Китае.
На самом деле нет, wg сейчас легко определяется и его сигнатура встроена в большинство проприетарных DPI. SS в этом плане более неуязвим.
Не любить «колхоз» by default — это очень выигрышная стратегия, даже если вы (пока?) не понимаете, зачем усложнять.
Что значит «для себя?» 10 аккаунтов — это явно не для себя любимого — это, очевидно, для родственников, членов семьи и т.д. И есть очень ненулевая вероятность, что какой-то аккаунт утечет на сторону (ребенок поделился с товарищем, скажем). В этом случае нужно будет переконфигурировать одно клиентское устройство, а не 10. Кроме того, при просмотре активных аккаунтов вы всегда будете понимать, чье и какое конкретно устройство вот в этой строке выдачи, и вон в той.
Что значит «для себя?» 10 аккаунтов — это явно не для себя любимого — это, очевидно, для родственников, членов семьи и т.д. И есть очень ненулевая вероятность, что какой-то аккаунт утечет на сторону (ребенок поделился с товарищем, скажем). В этом случае нужно будет переконфигурировать одно клиентское устройство, а не 10. Кроме того, при просмотре активных аккаунтов вы всегда будете понимать, чье и какое конкретно устройство вот в этой строке выдачи, и вон в той.
В статье не хватает обзора для сравнения ещё пары хостингов с ценой один евро в месяц.
Почему не взят для сервера SoftEther VPN, для него даже никаких клиентов не надо ставить.
Почему не взят для сервера SoftEther VPN, для него даже никаких клиентов не надо ставить.
А чем это глобально отличается от OpenVPN или ShadowSocks?
Про ShadowSocks не знаю, а от OpenVPN отличается скоростью.
После года использования самые заметные для меня отличия от OVPN: нативность(модуль ядра), скорость работы, ну и то что это не VPN, а тунель
ShadowSocks еще в очень сыром состоянии, хотя он более перспективен.
В чем главная проблема VPN провайдеров? Вы не знаете что они делают с вашими данными.
А что делают хостеры, особенно VPS, с вашими данными — вы знаете?
openvpn поднимается в 5 ходов, и какие 5 долларов, я плачу 150 р. vps в Германии, третий год работает без проблем и зачем столько конфигов плодить, все работает на одном
Выбор vpn в германии это кактус в профиль. Как только вы попробуете качнуть торрент — к вам придут. Не захотите платить штраф — не получите больше шенген)
чего серьезно что ли? спасибо поржал от души, я три года качаю торренты целыми днями и ночами, за все время только в первый год, меня попросили, удалить два раза раздачу, и то это были фильмы Paramount Pictures(причем вежливо, а то может быть мы вам приостановим услугу, до того момента пока раздача не удалится, я удалил, сказали спасибо, приятного пользования), к слову, потом когда дальше качал, чего то даже не задумывался об этом, а сейчас только вы мне напомнили, так что все нормально, не знаю откуда у вас такая информация, все качается и раздается, причем одно время, полгода был релизером и раздавал круглые сутки, и чего то никто мне не жаловался, а может и впн реально анонимный, что просто прочухать не могут, че за трафик
Вообще-то абюз может прийти только за раздачу, а не за скачивание.
Не поделитесь ссылкой?
опенвпн не поднимается в 5 ходов, либо вы не в курсе, либо врете. опенвпн крайне узкая труба и вообще юзерленд. Видео в нормальном разрешении вы не посмотрите.
про openvpn чего врать то, у Nyr есть скрипт, купил vps, запустил debian, запустил скрипт, 2 минуты вопросов, сертификат готов, скачал себе, подсунул в openvpn файл, все, какая труба?
пинг 39, скорость не режется вообще, у меня 48 мегабит, чего вдруг я 1080 не смогу посмотреть? сериалы, фильмы, онлайн правда не люблю смотреть, телевидение 400 каналов за 69 р в месяц))) все летает, вы на другой планете что ли живете?
может от того что я не заморачиваюсь, и у меня все работает как часы)))
пинг 39, скорость не режется вообще, у меня 48 мегабит, чего вдруг я 1080 не смогу посмотреть? сериалы, фильмы, онлайн правда не люблю смотреть, телевидение 400 каналов за 69 р в месяц))) все летает, вы на другой планете что ли живете?
может от того что я не заморачиваюсь, и у меня все работает как часы)))
А как вы через OpenVPN протолкнёте хотя бы 100 мегабит, не говоря уж о большем? Даже в нашей провинции 300-мегабитные тарифы хоть и не у всех провайдеров, но есть. У пары провайдеров вообще самый дешевый тариф начинается с 75 мегабит.
OpenVPN столько не вытянет. Вдобавок, Wireguard на Android (при условии, что ядро собрано с его поддержкой) более экономно расходует ресурс аккумулятора.
OpenVPN столько не вытянет. Вдобавок, Wireguard на Android (при условии, что ядро собрано с его поддержкой) более экономно расходует ресурс аккумулятора.
я не знаю о чем разговор, подключал тариф у своего провайдера 100 мегабит, и через германию, где установлен openvpn, замерял, 80 мегабит идет нормально, мы может о разных вещах разговариваем, вообще не пойму чего набросились, есть vps 150 р. поставил debian, поднял openvpn, весь трафик через германию идет круглосуточно, пинг я уже писал какой, на 100 мегабитах у своего провайдера, 80 мегабит получаю
OpenVPN на Celeron J1900 вытягивает 3 канала, каждый по +-150 мегабит. Каждый такой клиент грузил одно ядро на 100%. Процы с aes-ni инструкциями выдать могут и скорости больше и на большем количестве клиентов. Откуда у вас такое убеждение, что openvpn не выдаст сотку?
Я на трёх туннелях в сумме имел более 600 мегабит. И упирался не в скорость туннеля.
Digital Ocean один из лучших, с этим не поспоришь. Но, есть одно маленькое но — часть его ip адресов находится в черном списке Роскомнадзора. И с первого раза может не повезти. Страшного в этом ничего нет. Удаляем дроплет, создаем по новой, и так до тех пор, пока сервер не начнет откликаться. Проблема в другом: вступил в действие, как писали, здесь, на хабре, т.н. закон Яровой, и будет ли у нас завтра доступ к зарубежным серверам, богу весть.
Ценность VPN клиента, который нельзя/сложно установить на роутер равняется нулю.
А вообще — если не хотите морочиться, ставьте StraizendVPN. Там и WireGuard и куча других протоколов из коробки.
PS. Вопрос к экспертам: Подскажите роутер для дома, на который без проблем можно установить какой нибудь современный клиент типа WireGuard или OpenConnect.
А вообще — если не хотите морочиться, ставьте StraizendVPN. Там и WireGuard и куча других протоколов из коробки.
PS. Вопрос к экспертам: Подскажите роутер для дома, на который без проблем можно установить какой нибудь современный клиент типа WireGuard или OpenConnect.
Любой, на котором OpenWRT хорошо работает. Посмотреть на каких лучше можно на сайте openwrt в таблице.
Xiaomi Mi Router 3G. Абсолютный SOHO-убийца по соотношению цена\качество (в московскую розницу порядка 2.2-2.5 тысяч). 256 мегабайт оперативной памяти, 128 мегабайт флэша, и даже (зачем-то) дуалкор. Такого железа за такие деньги я нигде за последние два года не видел.
Нюанса два: его нужно сразу же перепрошивать на OpenWRT (штатная китайская прошивка абсолютно бесполезна, хоть и основана на OpenWRT сама по себе), что потребует или 20 минут танцев (мануал), или пайки — и его становится всё сложнее и сложнее найти, что на Али, что в рознице.
Железа спокойно хватает, чтобы держать 250-350 мегабит на WG. С OpenVPN сложнее, максимум, что я выжал на 128-битном шифровании — около 30 мегабит.
Нюанса два: его нужно сразу же перепрошивать на OpenWRT (штатная китайская прошивка абсолютно бесполезна, хоть и основана на OpenWRT сама по себе), что потребует или 20 минут танцев (мануал), или пайки — и его становится всё сложнее и сложнее найти, что на Али, что в рознице.
Железа спокойно хватает, чтобы держать 250-350 мегабит на WG. С OpenVPN сложнее, максимум, что я выжал на 128-битном шифровании — около 30 мегабит.
О, благодарю. У меня домашний роутер на Tplink WR1043N уже не справляется, три VPN туннеля, один из которых OpenVPN и приличный трафик.
Из существенных для кого-то минусов следует упомянуть ещё тот факт, что езернет-портов там ровно два, не считая аплинка. Впрочем, я просто поставил рядом свитч гигабитный, который у меня стоял без дела, и никак этого не замечаю.
Двух — достаточно, у меня и так стоит свитч рядом, не хватает.На али есть, закажу пожалуй.
Не нарвитесь на вторую ревизию (V2), которая представляет собой перемаркированную «четвёрку». Она иная по железу и никакого OpenWrt на неё нет.
Самый верный признак — наличие синего USB-порта. Если он чёрный — перед вами «трёшка» (без гигабитных портов и без официальных сборок OpenWrt), если его нет — «четвёрка». Синий (USB 3.0) только у 3G.
И ещё посмотрите коммент ниже, возможно, захотите взять Newifi на Ebay. Тем более, там сейчас дают 5 баксовую скидку.
Самый верный признак — наличие синего USB-порта. Если он чёрный — перед вами «трёшка» (без гигабитных портов и без официальных сборок OpenWrt), если его нет — «четвёрка». Синий (USB 3.0) только у 3G.
И ещё посмотрите коммент ниже, возможно, захотите взять Newifi на Ebay. Тем более, там сейчас дают 5 баксовую скидку.
Поэтому лучше взять Lenovo Newifi 3 D2. Цена сопоставимая, портов — 4, оперативки вдвое больше, а вместо NAND старый добрый SPI-флеш.
Любители KeeneticOS могут посмотреть на Xiaomi R3P, который после определённых программных манипуляций превращается в Keenetic Ultra KN-1810.
Любители KeeneticOS могут посмотреть на Xiaomi R3P, который после определённых программных манипуляций превращается в Keenetic Ultra KN-1810.
Респект! Особенно за spi. Скорее всего на этом варианте и остановлюсь, а то иногда накатывает желание поэкспериментировать. Прищепкой прицепился — и сливай/заливай как хочешь.
Там UART есть для экспериментов. Плюс сторонний загрузчик от китайцев, который позволяет менять прошивки как перчатки. Но SPI ещё лучше тем, что надёжнее, чем NAND.
А если покрутить исходники, то даже Wive-NG можно натянуть. Wireguard там нет, но прошивку хвалят.
А если покрутить исходники, то даже Wive-NG можно натянуть. Wireguard там нет, но прошивку хвалят.
Да.отличный роутер.правда я шил на padavan. Второй год держит vpn подключение к zaborona.help как клиент.так же великолепно проявляет себя как vpn сервер.только 2 порта на корпусе немного огорчали, но дешевый свитч решил проблему
Падаван все же проприетарен, и в нем до сих пор нет поддержки Wireguard. Тикет второй год висит.
И не будет, ядро слишком старое. А развитие прошивки прекращено, энтузиасты только отдельные компоненты обновляют. Из проприетарного, если мне не изменяет память, там NTFS-драйвер, который вообще не нужен, пока есть NTFS-3G. Остальное свободное.
Возможно, что-то можно завести на портированной с асусовских роутеров прошивке (там ядро 3.10), но я не заморачивался, потому что OpenWrt с каждым релизом работает всё лучше (свободный драйвер mt76 в транке вообще изумительно), а при желании можно и проприетарные дрова прикрутить.
Возможно, что-то можно завести на портированной с асусовских роутеров прошивке (там ядро 3.10), но я не заморачивался, потому что OpenWrt с каждым релизом работает всё лучше (свободный драйвер mt76 в транке вообще изумительно), а при желании можно и проприетарные дрова прикрутить.
GL.iNet имеет несколько моделей с нативной (из коробки) поддержкой WireGuard.
Памяти и флеша тем не очень много (хотя и хватает для фич типа прокси и прочего), но по скорости всё ок — как SOHO рутер очень даже. Цены тоже вполне демократичные.
Памяти и флеша тем не очень много (хотя и хватает для фич типа прокси и прочего), но по скорости всё ок — как SOHO рутер очень даже. Цены тоже вполне демократичные.
Keenetic начал получать поддержку Wireguard. А IPSec давно из коробки с хардварным ускорением. OpenVPN давно тоже есть.
Лучше Outline (по простоте установки, распространению и клиентским приложениям) еще ничего не придумали. Кстати на DO ставится в 1 клик, без консоли :)
Для россиян уже довольно давно самый простой тариф DigitalOcean стоит $6 в месяц. Кроме того, едва ли не все IP данного хостинга заблокированы РКН, и таким образом, для соединения с VPN вам понадобится еще один VPN.
Hetzner самый дешевый стоит 2.99 евро.
Лучший костыль для генерации конфига github.com/burghardt/easy-wg-quick скачать скрипт можно прямо в
/etc/wireguard/
+1
И на винду рекомендую такой клиент tunsafe.com
И на винду рекомендую такой клиент tunsafe.com
Ну уж нет. Он не развивается. www.wireguard.com/install
UFO just landed and posted this here
Пока что этот недостаток не перевешивает его достоинства: мгновенное переподключение (даже под NAT при условии включенным KeepAlive раз в 20 секунд), в несколько раз ниже нагрузка на CPU в юзерспейсной реализации, лучшие показатели по энергопотреблению, в разы легче конфигурация серверов и клиентов.
Но сабж не создавался для этих ваших VPN, в самом начале, это средство создания тунелей.
Он реализует на столько простую основу что для «коммерческих» VPN'ов нужно писать и управление клиентами на сервере и фирменный клиент для Windows.
Но сабж не создавался для этих ваших VPN, в самом начале, это средство создания тунелей.
Он реализует на столько простую основу что для «коммерческих» VPN'ов нужно писать и управление клиентами на сервере и фирменный клиент для Windows.
его пакеты со стороны выглядят как непонятное нечто.
С чего вы решили?
UFO just landed and posted this here
А вот так его определяет DPI
Почему то мало кто смотрит в сторону ipsec IKEv2, да, настраивать его на сервере сложнее, но гораздо легче для клиентов, имеет кучу плюсов:
— добавлен в ядро почти всех ОС, поэтому один из самых быстрых VPN (что так же позволяет часто настраивать без прав админа или рута).
— нативные клиенты почти во всех ОС (windows, macos, blackberry, у Андроида только IKEv1 вроде), не надо ничего устанавливать, 2 скриншота с настройкой — и сможет настроить любой пользователь. Если использовать сертификаты к примеру от LetsEncrypt, то и передевать какие либо файлы клиентам не надо, только логин пароль.
— настраивается почти на всех роутерах (IKEv1 ISAKMP в крайнем случае).
— поддержка MOBIKE IKEv2, для незаметного быстрого переподключения в случае смены ip клиента, очень помогает на телефонах, когда вы к примеру переподключаетесь с wifi на мобильную связь из-за выхода за радиус работы wifi.
— нормальная поддержка ipv6, все по стандартам (у openVPN были проблемы пару лет назад, сейчас не знаю).
Да он легко детектится, но Wireguard тоже, от детекта я паралельно на том же сервер настраиваю SSTP на 443 порту, с тем же сертификатом LetsEncrypt, т.е. передавать клиентам опять же не надо ничего. SSTP не отличим от обычного HTTPs, может работать через прокси, даже с аутентификацией (к примеру корпоративные где все закрыто), может работать через hotspot отелей, где работают только 443 и 80 после авторизации, очень сложно заблокировать. Единственный минус — нативный клиент только под винду.
— добавлен в ядро почти всех ОС, поэтому один из самых быстрых VPN (что так же позволяет часто настраивать без прав админа или рута).
— нативные клиенты почти во всех ОС (windows, macos, blackberry, у Андроида только IKEv1 вроде), не надо ничего устанавливать, 2 скриншота с настройкой — и сможет настроить любой пользователь. Если использовать сертификаты к примеру от LetsEncrypt, то и передевать какие либо файлы клиентам не надо, только логин пароль.
— настраивается почти на всех роутерах (IKEv1 ISAKMP в крайнем случае).
— поддержка MOBIKE IKEv2, для незаметного быстрого переподключения в случае смены ip клиента, очень помогает на телефонах, когда вы к примеру переподключаетесь с wifi на мобильную связь из-за выхода за радиус работы wifi.
— нормальная поддержка ipv6, все по стандартам (у openVPN были проблемы пару лет назад, сейчас не знаю).
Да он легко детектится, но Wireguard тоже, от детекта я паралельно на том же сервер настраиваю SSTP на 443 порту, с тем же сертификатом LetsEncrypt, т.е. передавать клиентам опять же не надо ничего. SSTP не отличим от обычного HTTPs, может работать через прокси, даже с аутентификацией (к примеру корпоративные где все закрыто), может работать через hotspot отелей, где работают только 443 и 80 после авторизации, очень сложно заблокировать. Единственный минус — нативный клиент только под винду.
Почему ж никто? Я использую, например. Раз настроил и доволен.
Справедливости ради я написал «мало кто», статью про ipsec я разве что одну помню на хабре среди десятка про другие впн, даже подумываю свою попробовать написать, если время появится.
Я решал задачу наладить работу с bot-API Telegram из софта, который находится в РФ.
На DO взял дроплет, поставил Debian 10 и настроил ipsec ikev2. Но проблемы это не решило, т.е. запосы к bot-API уходят через VPN, а webhook'и от bot-API сервера пытаются идти напрямую в РФ и как их замаршрутизировать в vpn я не понимаю, поскольку ikev2 не является dev'айсом ...
UFO just landed and posted this here
Действительный. IPv4-адрес.
Поэтому задам вопрос иначе: если сервер телеграм шлет сообщения на вебхук-IP-адрес моего сервера IPSEC IKEV2 VPN в Европе, то как настроить этот VPN-сервер так, чтобы полученное сообщение получал мой веб-сервер в РФ?
Поэтому задам вопрос иначе: если сервер телеграм шлет сообщения на вебхук-IP-адрес моего сервера IPSEC IKEV2 VPN в Европе, то как настроить этот VPN-сервер так, чтобы полученное сообщение получал мой веб-сервер в РФ?
UFO just landed and posted this here
Да. Но как это сделать если туннель IPSEC IKEV2? даже интерфейса нет, чтобы route сделать
Там в IPsec не совсем маршруты, а селекторы трафика. Они могут указывать и определённые протоколы и порты. Посмотрите «left|rightsubnet» тут.
Если я правильно понял, тут проще вынести сервер с ботом за РФ, другие впн тоже не должны работать, если не с policy based vpn работает, то тут надо подумать над маршрутами, должно быть решаемо, как и сказал loki82, перенаправить нужный трафик в тунель.
да, настраивать его на сервере сложнееДля случая выделенного VPN-сервера есть готовый вариант — Algo. Сразу настраивается IKEv2 и WireGuard. Странно, что в комментариях вспомнили про Streisand, а про него нет.
Единственный минус — нативный клиент только под винду.Из роутеров — Mikrotik умеет SSTP из коробки.
не люблю готовые варианты, чтобы настроить что-то правильно и безотказно — все равно придется разбираться, а в случае ipsec я уверен на 99% что где то вылезет косяк в «готовых вариантах», лучше уж 1 раз разобраться с ipsec и самому настраивать готовые варианты под все случаи. Полистал гитхаб и, если я правильно помню, на 7ке не взлетит, будут проблемы с согласованием шифрования на нативном клиенте (а вот с 10кой скорее всего проблем не будет).
Но если нет времени или другие причины — попробовать конечно же стоит.
Да на микротике есть SSTP, вот бы еще на линукс и телефонах добавили нативную поддержку и можно было бы переходить на него.
Но если нет времени или другие причины — попробовать конечно же стоит.
Да на микротике есть SSTP, вот бы еще на линукс и телефонах добавили нативную поддержку и можно было бы переходить на него.
А кто-то практикует промышленное прокидывание портов через SSH?
del (не туда)
с DO есть ещё одна фишка, если вам сервер не нужен постоянно.
По дефолту за дроплет списывается бабло даже тогда, когда он выключен. Но если сделать снапшот дроплета, а сам дроплет удалить, то платить уже надо только копейки за хранение снапшота, а когда сервер снова понадобится — создать из снапшота новый дроплет.
Подскажите, есть ли готовое решение под Windows для обхода казахстанских блокировок?
Суть в том, что в КЗ провайдеры заглушками не заморачиваются. На заблокированный ресурс просто не проходит соединение. Сервер пингуется нормально, но http(s) соединение отваливается по таймауту. И списков тоже нет. Сегодня одно заблокировано, завтра другое, послезавтра опять первое.
Пока в голову приходит только отслеживание коннекта на каждый вебсайт. Если соединение не устанавливается в течении 3-7 секунд — пробовать соединиться через ВПН.
Можно ли сделать такое без пота и крови?
Суть в том, что в КЗ провайдеры заглушками не заморачиваются. На заблокированный ресурс просто не проходит соединение. Сервер пингуется нормально, но http(s) соединение отваливается по таймауту. И списков тоже нет. Сегодня одно заблокировано, завтра другое, послезавтра опять первое.
Пока в голову приходит только отслеживание коннекта на каждый вебсайт. Если соединение не устанавливается в течении 3-7 секунд — пробовать соединиться через ВПН.
Можно ли сделать такое без пота и крови?
Именно на сетевом уровне это сделать довольно трудно, потому что при таком избирательном переключении каналов попытка установления соединения напрямую уже начата.
Проще всего тогда в браузере всё через прокси пустить. Если сервер не слишком далеко, то это даже не будет заметно.
Если Вы всё же хотите идти таким путём селективного проксирования, то можно адаптировать мою вариацию SOCKS прокси через SSH, чтобы по возможности она использовала прямое соединение. Для этого буквально будет достаточно попытаться установить соединение напрямую и при ошибке/таймауте уже перейти к установлению соединения через удалённый сервер.
Проще всего тогда в браузере всё через прокси пустить. Если сервер не слишком далеко, то это даже не будет заметно.
Если Вы всё же хотите идти таким путём селективного проксирования, то можно адаптировать мою вариацию SOCKS прокси через SSH, чтобы по возможности она использовала прямое соединение. Для этого буквально будет достаточно попытаться установить соединение напрямую и при ошибке/таймауте уже перейти к установлению соединения через удалённый сервер.
Да проще всего пустить вообще всё, с помощью Wireguard или SoftEther.
Но есть одно огромное «но». Обычные диапазоны ВПСов как правило загажены по самую маковку. А это означает прохождение капчи на каждый чих; блокировка захода на сайт, с предложением послать админам сайта имэйл, и они тогда, возможно, разблокируют; или просто 403 Forbidden и пшёл вон отсюда.
Меня то это не напрягает особо, всегда найду способ. Но сделать обход блокировок надо для девушки, которая от IT очень далека.
Вот и ищу способы.
Но есть одно огромное «но». Обычные диапазоны ВПСов как правило загажены по самую маковку. А это означает прохождение капчи на каждый чих; блокировка захода на сайт, с предложением послать админам сайта имэйл, и они тогда, возможно, разблокируют; или просто 403 Forbidden и пшёл вон отсюда.
Меня то это не напрягает особо, всегда найду способ. Но сделать обход блокировок надо для девушки, которая от IT очень далека.
Вот и ищу способы.
Можно просто найти адрес из свежего диапазона, который не загажен, поперебирав адреса на каком-нибудь Digital Ocean. Там попадаются диапазоны адресов, которые только недавно куплены у нормальных владельцев. У меня сейчас как раз такой, вроде бы капчи не докучают.
Либо попробуйте Firefox Private Network, для ваших целей скорее всего хорошо подойдёт. Трафик идёт через серверы Cloudflare Warp (но не через wireguard, как в Warp, а обычный HTTP-прокси через TLS 1.3). В Firefox устанавливается простым расширением. С остальными браузерами и приложениями можно подружить, если сделать прокси, который получает и подставляет авторизационный токен в хедер авторизации прокси. У меня есть такое готовое решение.
Либо попробуйте Firefox Private Network, для ваших целей скорее всего хорошо подойдёт. Трафик идёт через серверы Cloudflare Warp (но не через wireguard, как в Warp, а обычный HTTP-прокси через TLS 1.3). В Firefox устанавливается простым расширением. С остальными браузерами и приложениями можно подружить, если сделать прокси, который получает и подставляет авторизационный токен в хедер авторизации прокси. У меня есть такое готовое решение.
К чему эти статьи каждый год? Outline ставится одной строчкой. Хватает 45 рублевого vps. При этом даже в Китае работает, так как все эти обычные необсфуцированные впн сразу же блочатся.
Что-то не сходится, установил WG по указаниям автора, сгенерировалось 10 конфигов, пытался установить на смартфон и ноут. Со смартфона не читается, а при сканировании qr WG вылетает. С ноута пытался импортировать, пишет на английском, что невозможно импортировать конфигурацию. Заглянул в один конф файл и увидел следующее:
Endpoint = ;; Connection to 2620:119:35::35#53(2620:119:35::35) for myip.opendns.com failed: network unreachable.:51820
На другом конфе Endpoint вроде правильный, но всё равно соединения нет.
Что это значит? Поясните пожалуйста, я vps только только изучаю.
Endpoint = ;; Connection to 2620:119:35::35#53(2620:119:35::35) for myip.opendns.com failed: network unreachable.:51820
На другом конфе Endpoint вроде правильный, но всё равно соединения нет.
Что это значит? Поясните пожалуйста, я vps только только изучаю.
Ответил в личном сообщении.
Лучше не полагаться на такие скрипты, т.к. везде есть свои нюансы. Вот подробная инструкция, где все разжевано, и где ты все сам делаешь своими руками.
Подскажите теперь как настроит файрвол, какие порты оставить открытыми?
Верно ли я понимаю: в данном примере TCP 51820 и порт, который я выберу для SSH?
Верно ли я понимаю: в данном примере TCP 51820 и порт, который я выберу для SSH?
А подскажите, может кто сталкивался, как настроить двойной VPN. Точнее интересует, как настроить VPS, который уже является сервером, на подключение к другому серверу?
То есть, хочется добиться следующей цепочки клиент-VPS1-VPS2-интернет.
VPS1 и VPS2 настроены по данной инструкции, к каждому отдельно подключаться могу, но никак не могу настроить VPS1 чтобы весь его трафик шёл через VPS2.
То есть, хочется добиться следующей цепочки клиент-VPS1-VPS2-интернет.
VPS1 и VPS2 настроены по данной инструкции, к каждому отдельно подключаться могу, но никак не могу настроить VPS1 чтобы весь его трафик шёл через VPS2.
Нашёл ответы на свой вопрос здесь, выглядит как 100% рецепт, но плюс-минус таким не является (что-то устарело, где-то подправить), но реализовать задуманное вышло:
- qna.habr.com/q/912233
- там ссылочка на этот репозиторий github.com/shvchk/chained-wireguard-ansible
- который форк репы автора этой статьи www.ckn.io/blog/2017/12/28/wireguard-vpn-chained-setup
Sign up to leave a comment.
VPN в каждый дом или как приручить Дракона