Comments 130
В качестве DNS сервера используется 8.8.8.8: github.com/drew2a/wireguard/blob/master/wg-genconf.sh#L47.
DNS leak тест проходит успешно.
В случае с виндой даже если DNS-сервер будет установлен, но по каким-то причинам не успеет отверить вовремя, то винда может использовать DNS-серверы, назначенные на других интерфейсах (есть отличный комментарий со схемой пользователя chupasaurus про это). Для OpenVPN есть плагин с фиксом этого, но я не уверен, что такое же есть для wireguard. К слову, коммерческие VPN-сервисы имеют клиенты, подавляющие эту уязвимость.
Я далеко не спец, к сожалению, и решил это путем добавления параметра Blocking outside dns в конфигурацию openvpn (push «block-outside-dns»). Можете подсказать — это та же проблема или нечто другое?
Где %запрещёнка% — любой ресурс из списка РКН. Мой провайдер выдаёт ip заглушки. Причём не важно вообще, какой ip указан для DNS сервера. Можно даже несуществующий — всё равно всё работает ибо провайдер просто перехватывает нешифрованные DNS-запросы. Помогает только или перенаправление DNS в тот же VPN или всякого рода DNScrypt/DoH/DoT.
Много, кто в интернете советует использовать гугловские DNS'ы, но мало кто рассказывает, что серверы эти самой Гугл позиционируются как тестовые, и на моей практике довольно часто не работали. Для себя я решил, что мне проще свой DNS поднять, чем надеяться на Гугл.
А я несколько раз натыкался на то, что мне одновременно звонят с нескольких обслуживаемых мною объектов и рассказывают, что интернет не работает. При выяснениях обнаруживается, что гугловские четыре восмёрки либо не отвечают, либо отдают что-то не то. И можно было бы списать это на проблемы связности или ещё что-то, но свой кэширующий DNS как-то надёжнее, да и даёт плюшки вида обращения в локалке по доменным именам, а не по IP.
трудноузнаваемость трафика с точки зрения DPI
AFAIK, нет. Многие DPI его пока не блокируют, но потому, скорее, что процент его использования пока относительно низкий, в т.ч. в Китае.
Что значит «для себя?» 10 аккаунтов — это явно не для себя любимого — это, очевидно, для родственников, членов семьи и т.д. И есть очень ненулевая вероятность, что какой-то аккаунт утечет на сторону (ребенок поделился с товарищем, скажем). В этом случае нужно будет переконфигурировать одно клиентское устройство, а не 10. Кроме того, при просмотре активных аккаунтов вы всегда будете понимать, чье и какое конкретно устройство вот в этой строке выдачи, и вон в той.
Почему не взят для сервера SoftEther VPN, для него даже никаких клиентов не надо ставить.
После года использования самые заметные для меня отличия от OVPN, что это не VPN, а тунель
А разве нет?
В чем главная проблема VPN провайдеров? Вы не знаете что они делают с вашими данными.
А что делают хостеры, особенно VPS, с вашими данными — вы знаете?
Выбор vpn в германии это кактус в профиль. Как только вы попробуете качнуть торрент — к вам придут. Не захотите платить штраф — не получите больше шенген)
пинг 39, скорость не режется вообще, у меня 48 мегабит, чего вдруг я 1080 не смогу посмотреть? сериалы, фильмы, онлайн правда не люблю смотреть, телевидение 400 каналов за 69 р в месяц))) все летает, вы на другой планете что ли живете?
может от того что я не заморачиваюсь, и у меня все работает как часы)))
OpenVPN столько не вытянет. Вдобавок, Wireguard на Android (при условии, что ядро собрано с его поддержкой) более экономно расходует ресурс аккумулятора.
Я на трёх туннелях в сумме имел более 600 мегабит. И упирался не в скорость туннеля.
А вообще — если не хотите морочиться, ставьте StraizendVPN. Там и WireGuard и куча других протоколов из коробки.
PS. Вопрос к экспертам: Подскажите роутер для дома, на который без проблем можно установить какой нибудь современный клиент типа WireGuard или OpenConnect.
Нюанса два: его нужно сразу же перепрошивать на OpenWRT (штатная китайская прошивка абсолютно бесполезна, хоть и основана на OpenWRT сама по себе), что потребует или 20 минут танцев (мануал), или пайки — и его становится всё сложнее и сложнее найти, что на Али, что в рознице.
Железа спокойно хватает, чтобы держать 250-350 мегабит на WG. С OpenVPN сложнее, максимум, что я выжал на 128-битном шифровании — около 30 мегабит.
Из существенных для кого-то минусов следует упомянуть ещё тот факт, что езернет-портов там ровно два, не считая аплинка. Впрочем, я просто поставил рядом свитч гигабитный, который у меня стоял без дела, и никак этого не замечаю.
Самый верный признак — наличие синего USB-порта. Если он чёрный — перед вами «трёшка» (без гигабитных портов и без официальных сборок OpenWrt), если его нет — «четвёрка». Синий (USB 3.0) только у 3G.
И ещё посмотрите коммент ниже, возможно, захотите взять Newifi на Ebay. Тем более, там сейчас дают 5 баксовую скидку.
Любители KeeneticOS могут посмотреть на Xiaomi R3P, который после определённых программных манипуляций превращается в Keenetic Ultra KN-1810.
А если покрутить исходники, то даже Wive-NG можно натянуть. Wireguard там нет, но прошивку хвалят.
Да.отличный роутер.правда я шил на padavan. Второй год держит vpn подключение к zaborona.help как клиент.так же великолепно проявляет себя как vpn сервер.только 2 порта на корпусе немного огорчали, но дешевый свитч решил проблему
Падаван все же проприетарен, и в нем до сих пор нет поддержки Wireguard. Тикет второй год висит.
Возможно, что-то можно завести на портированной с асусовских роутеров прошивке (там ядро 3.10), но я не заморачивался, потому что OpenWrt с каждым релизом работает всё лучше (свободный драйвер mt76 в транке вообще изумительно), а при желании можно и проприетарные дрова прикрутить.
Там сама лицензия рома проприетарна по своей сути. Я не рассматривал его именно по этой причине в первую очередь.
/etc/wireguard/
И на винду рекомендую такой клиент tunsafe.com
Но сабж не создавался для этих ваших VPN, в самом начале, это средство создания тунелей.
Он реализует на столько простую основу что для «коммерческих» VPN'ов нужно писать и управление клиентами на сервере и фирменный клиент для Windows.
его пакеты со стороны выглядят как непонятное нечто.
С чего вы решили?
— добавлен в ядро почти всех ОС, поэтому один из самых быстрых VPN (что так же позволяет часто настраивать без прав админа или рута).
— нативные клиенты почти во всех ОС (windows, macos, blackberry, у Андроида только IKEv1 вроде), не надо ничего устанавливать, 2 скриншота с настройкой — и сможет настроить любой пользователь. Если использовать сертификаты к примеру от LetsEncrypt, то и передевать какие либо файлы клиентам не надо, только логин пароль.
— настраивается почти на всех роутерах (IKEv1 ISAKMP в крайнем случае).
— поддержка MOBIKE IKEv2, для незаметного быстрого переподключения в случае смены ip клиента, очень помогает на телефонах, когда вы к примеру переподключаетесь с wifi на мобильную связь из-за выхода за радиус работы wifi.
— нормальная поддержка ipv6, все по стандартам (у openVPN были проблемы пару лет назад, сейчас не знаю).
Да он легко детектится, но Wireguard тоже, от детекта я паралельно на том же сервер настраиваю SSTP на 443 порту, с тем же сертификатом LetsEncrypt, т.е. передавать клиентам опять же не надо ничего. SSTP не отличим от обычного HTTPs, может работать через прокси, даже с аутентификацией (к примеру корпоративные где все закрыто), может работать через hotspot отелей, где работают только 443 и 80 после авторизации, очень сложно заблокировать. Единственный минус — нативный клиент только под винду.
Я решал задачу наладить работу с bot-API Telegram из софта, который находится в РФ.
На DO взял дроплет, поставил Debian 10 и настроил ipsec ikev2. Но проблемы это не решило, т.е. запосы к bot-API уходят через VPN, а webhook'и от bot-API сервера пытаются идти напрямую в РФ и как их замаршрутизировать в vpn я не понимаю, поскольку ikev2 не является dev'айсом ...
да, настраивать его на сервере сложнееДля случая выделенного VPN-сервера есть готовый вариант — Algo. Сразу настраивается IKEv2 и WireGuard. Странно, что в комментариях вспомнили про Streisand, а про него нет.
Единственный минус — нативный клиент только под винду.Из роутеров — Mikrotik умеет SSTP из коробки.
Но если нет времени или другие причины — попробовать конечно же стоит.
Да на микротике есть SSTP, вот бы еще на линукс и телефонах добавили нативную поддержку и можно было бы переходить на него.
с DO есть ещё одна фишка, если вам сервер не нужен постоянно.
По дефолту за дроплет списывается бабло даже тогда, когда он выключен. Но если сделать снапшот дроплета, а сам дроплет удалить, то платить уже надо только копейки за хранение снапшота, а когда сервер снова понадобится — создать из снапшота новый дроплет.
Суть в том, что в КЗ провайдеры заглушками не заморачиваются. На заблокированный ресурс просто не проходит соединение. Сервер пингуется нормально, но http(s) соединение отваливается по таймауту. И списков тоже нет. Сегодня одно заблокировано, завтра другое, послезавтра опять первое.
Пока в голову приходит только отслеживание коннекта на каждый вебсайт. Если соединение не устанавливается в течении 3-7 секунд — пробовать соединиться через ВПН.
Можно ли сделать такое без пота и крови?
Проще всего тогда в браузере всё через прокси пустить. Если сервер не слишком далеко, то это даже не будет заметно.
Если Вы всё же хотите идти таким путём селективного проксирования, то можно адаптировать мою вариацию SOCKS прокси через SSH, чтобы по возможности она использовала прямое соединение. Для этого буквально будет достаточно попытаться установить соединение напрямую и при ошибке/таймауте уже перейти к установлению соединения через удалённый сервер.
Но есть одно огромное «но». Обычные диапазоны ВПСов как правило загажены по самую маковку. А это означает прохождение капчи на каждый чих; блокировка захода на сайт, с предложением послать админам сайта имэйл, и они тогда, возможно, разблокируют; или просто 403 Forbidden и пшёл вон отсюда.
Меня то это не напрягает особо, всегда найду способ. Но сделать обход блокировок надо для девушки, которая от IT очень далека.
Вот и ищу способы.
Либо попробуйте Firefox Private Network, для ваших целей скорее всего хорошо подойдёт. Трафик идёт через серверы Cloudflare Warp (но не через wireguard, как в Warp, а обычный HTTP-прокси через TLS 1.3). В Firefox устанавливается простым расширением. С остальными браузерами и приложениями можно подружить, если сделать прокси, который получает и подставляет авторизационный токен в хедер авторизации прокси. У меня есть такое готовое решение.
К чему эти статьи каждый год? Outline ставится одной строчкой. Хватает 45 рублевого vps. При этом даже в Китае работает, так как все эти обычные необсфуцированные впн сразу же блочатся.
Endpoint = ;; Connection to 2620:119:35::35#53(2620:119:35::35) for myip.opendns.com failed: network unreachable.:51820
На другом конфе Endpoint вроде правильный, но всё равно соединения нет.
Что это значит? Поясните пожалуйста, я vps только только изучаю.
Верно ли я понимаю: в данном примере TCP 51820 и порт, который я выберу для SSH?
То есть, хочется добиться следующей цепочки клиент-VPS1-VPS2-интернет.
VPS1 и VPS2 настроены по данной инструкции, к каждому отдельно подключаться могу, но никак не могу настроить VPS1 чтобы весь его трафик шёл через VPS2.
- qna.habr.com/q/912233
- там ссылочка на этот репозиторий github.com/shvchk/chained-wireguard-ansible
- который форк репы автора этой статьи www.ckn.io/blog/2017/12/28/wireguard-vpn-chained-setup
VPN в каждый дом или как приручить Дракона