Comments 15
Docker на vps чтобы поднять серверную часть прокси? куда катиться этот мир...
Да, серверную часть можно поставить и без Docker — для опытного администратора это нормальный вариант. Но цель статьи другая: дать воспроизводимый способ, который не требует вручную разбирать зависимости, версии и порядок запуска сервисов.
Контейнер здесь не проксирует VPN-трафик: он работает в host-сети, а конфигурация и клиентские ключи хранятся на VDS. Зато установка, обновление и перенос получаются предсказуемыми. Для личного VDS это вполне практичный компромисс между «идеологически чисто» и «легко поддерживать».
Есть лайвхак (на самом деле просто реалии жизни) проверенный на практике: даете заранее заготовленный ssh курсору, кодексу или клауду, просите развернуть докер и скиньте ссылку на интересующий вас VPN. Далее за пару итераций он все сделает и вы сможете поменять пароль и спокойно пользоваться.
Да, для чистого VDS это вполне рабочий путь. Я бы даже дал агенту не абстрактную ссылку на VPN, а сразу репозиторий со сценарием установки: https://github.com/chelslava/amneziawg-vds-setup
Тогда задача сводится к: «разверни сервер по README, проверь SSH, healthcheck, HTTP-панель и UDP-порт». Скрипт задаёт повторяемый путь и экономит токены: агенту не нужно с нуля искать совместимый образ, собирать Docker-команду, вспоминать sysctl и придумывать проверки после установки.
Но я бы не передавал агенту постоянный root-пароль от рабочего сервера. Лучше взять свежий VDS, использовать временный доступ или отдельный SSH-ключ, а после установки оставить только ключевой доступ, ограничить firewall и сменить пароль панели. Так это действительно удобно, но без лишнего риска.
Да, тут именно речь под целевой VDS. Прод машину с кучей докеров конечно рискованно давать, если не делать бекапов. Но если есть риски и сложности с этим всегда можно развернуть в тестовой среде, проверить все, сделать скрипт деплоя той же llm и потом 1-2 командами все поднять самостоятельно. Передавать долгоживущие доступы, да еще и root действительно рискованно.
Я, конечно, извиняюсь. Но зачем такие сложности? В моем случае VPN поднялась еще проще
Скачать AmeziaWG, вбить root ssh доступ от сервера
AmneziaWG обфусцирует WireGuard именно набором параметров Jc/Jmin/Jmax/S1/S2/H1–H4, и весь смысл – чтобы они были уникальными для вашего сервера. Если оставить значения по умолчанию из awg-easy, то со временем эта "уникальная" сигнатура становится общеизвестной, и DPI ловит её ровно так же, как чистый WireGuard. Так что первое действие после установки – сгенерировать свой набор параметров и синхронно прописать его и на сервере, и во всех .conf.
Как это применить для Кинетика?
А почему выбран форк от YokiToki, а не оригинал от w0rng для wg-easy?
Я выбрал его по причине что он использует более свежую серверную часть amneziavpn/amneziawg-go вместо старого образа amneziavpn/amnezia-wg.
Мне было важнее, чтобы AmneziaWG внутри контейнера был актуальнее. У YokiToki есть и минус: он рассчитан на обычные x86_64 VDS, для ARM-сервера я бы выбрал другое решение.
Вариант w0rng не считаю плохим — особенно если он уже работает и всё устраивает. Здесь просто выбрал вариант, который лучше подошёл под свежий VDS и мой сценарий установки.
Свой AmneziaWG VPN на VDS за вечер: от аренды сервера до подключения в WireSock Secure Connect