Pull to refresh

Comments 50

1) зависит от хостера
2) а не пофиг ли?

Брал у рег.ру и ещё нескольких. Ничего не спросили.

Спасибо за материал!

А кто-то понимает, белый список протоколов там используется или чёрный? Если "испортить" (например, XOR-нуть) payload Ethernet-фрейма, пропустят или заблокируется?

У меня у самого так давно уже настроено (VPN-сервер в РФ отдельно, каналы за рубеж отдельно), и пока, тьфу-тьфу-тьфу, работает, но вот только новости про учения по блокировке VPN как-то не позволяют разделить Ваш оптимизм, что блокироваться будет только на зарубежные адреса. Были отчёты, что и внутри России блокировалось. Понимаю, что это бред полный и, возможно, не желаемый эффект, а побочные последствия реализации задачи отдельными провайдерами, - но от этого не легче.

А менять софт пользователям, учитывая что они удалённые и технически не продвинутые, и правда, сильно не хотелось бы, это да.

Внутри РФ... у меня внутри пары BRAS, стоящих в одной серверной, отваливался IPsec, а уж внутри РФ регулярно, благо эти эксперименты с ТСПУ на выходных проводят

Я задавал вопрос РКН и получил оф. ответ, что внутри страны wg не блокируется и таких планов нет.

Тем не менее, у мтс подключение не проходит. Но не на всех тарифах…

Сохраняю в PDF пока можно. Если будет нужно - пишите, пришлю на почту.

P.S. Вообще шучу, но не смешно.

Коллега, как Вы планируете из pdf выполнять команды apt install shadowsocks-libev или go install github.com/xjasonlyu/tun2socks/v2@latest?

Это тоже шутка, но не шутка)

Коллега, также как и вы планируете это делать из статьи на Хабре) Речь шла про сохранение статьи в PDF в связи с грядущими изменениями в полномочиях некоторых исполнительных органов, которые позволят этим органам блокировать сайты или отдельные ресурсы, содержащие информацию, как в этой статье)

Это я к тому, что современный подход в unix мире строится на инструкциях с использованием репозиториев. Если github будет недоступен или репозитории дистрибутивов, то эта инструкция становится тыквой для человека неподготовленного

Про запрет GitHub думать не хочется, но при таком подходе когда-то может и дойти.

У меня на работе обращались сотрудники, у которых проводной российский провайдер блочил openvpn пакеты до российского сервера. Пришлось через мобильный интернет временно им работать.

При недавних блокировках замечал, что до адресов внутри РФ тоже блокировали WG и openvpn. Сервер в квартире в РФ (Билайн +статический IP), клиент в РФ (ростелеком), пару раз падало, но по sstp работало (резервный). Клиент андроид тоже в РФ - через билайн не подключался, через теле2 работало. С ноутбука поднимался sstp через тот же самой андроид в роли точки доступа на обоих операторах. Мне показалось, что там от балды блокируют и не смотрят принадлежность адреса к РФ или вне РФ.

начале августа некоторые интернет операторы и провайдеры начали блокировку протокола WireGuard в РФ по его рукопожатию.

Какая блять брехня. Город Горловка, Донецкая область — у нас не то что ваер гуард не работает, у нас провайдеры гугл поиск блочат.
Вот минусуйте сколько влезет, но это факт.
Давайте Роскомнадзор, скажи почему у меня гулы заблокированы, в нарушение всех законов РФ???

Кто-то вспомнил о законах...

Да вспомнил, а какие есть варианты? Уехать в Ужгород или Краков? Не все тут наносеки по пятьсот тысяч, кто то просто не имеет средств все бросить и начать все заново. Отличный вариант любить родину из-за границы, но у меня такого варианта нет.
Нужно жить дальше, именно жить, а не просто уехать лес валить. Можно заткнуть рот человеку, но сломать дух уже сложней.

Да я ничего против не имею, не сужу, и советов не даю — у всех разные обстоятельства, всё понятно. Просто апеллировать к законам там, где это кандидат в кунсткамеру — это если и не смешно, то, как минимум, наивно. Как говорила мадемуазель Бриссар из фильма Ищите женщину, «если к Вам не прижимаются в метро, то это вовсе не означает, что метро в Париже не существует» — если Вы не можете все бросить и уехать в Краков, это не означает, что альтернатива — это полагаться на пребывающие в летаргическом сне институты (скажем так мягко).

а что такое наносеки? Я без подколов, правда не знаю.

то такое наносеки?

Айтишников называют так, типо нано рубль/доллар в секунду зарабатывают.

В ЛНР таже фигня, но хуже. Местный пчеловод обрубил мобильный интернет, из-за этого такси не может по нормальному работать. VPN работает через туннелирование. При этом обычный SOCKS не блочат.

Сделал по вашей инструкции, при запуске получаю ошибку, systemctl status tun2socks.service показывает:

failed to start: parse "ss://chacha20-ietf-poly1305:xYzAbCqwerty123456789=@99.99.99.99:9999": invalid port ":xYzAbCqwert" after host"

Я могу ошибаться, т.к. в этом почти ноль, но думаю, что неверно написана строка ExecStart в юните. Подскажите, пожалуйста, как это исправить.

Я по правде не смог это воспроизвести, попытался на Ubuntu 18 даже.

tun2socks использует стандартную библиотеку "url" (url.Parse) для разбора этой строки
"ss://chacha20-ietf-poly1305:xYzAbCqwerty123456789=@99.99.99.99:9999"

и ошибку "invalid port" отдаёт именно эта библиотека.

Попробую еще поэксперементировать

Похоже дело было в спецсимволах, содержащихся в пароле shadowsocks. Убрал их. Теперь при запуске tun2socks отваливается ssh, и чёрт знает что там дальше происходит, но и клиент wireguard не может установить связь со своим сервером на этом vps. Помогает перезагрузка vps из панели хостера. Благо я не добавил службу tun2socks в автозапуск.

В принципе я не удивлён, что ssh отваливается. Но как его вернуть, не перезагружая сервер, или как сделать чтобы он не отваливался и всё работало? Может у меня в Ubuntu 20.04 чего-то не хватает?

И вопрос вдогонку: а в postup и postdown скриптах в конфиге wireguard сервера ничего менять не надо? Например интерфейс ens3 на tun0?

VPS не боевой, резервный, экспериментировать не боюсь.

На wireguard менять не нужно ничего. Он работает как и прежде.
ssh отваливаться не должен, поскольку на главном интерфейсе с внешнем IP (ens0) должен присутствовать обычный сетевой маршрут до этого IP (или подсети) через этот интерфейс. Что-то вроде
33.33.33.111/24 dev ens0
Рекомендую проверить его.
Это может отличаться, если непосредственно на сервере нет внешнего IP-адреса на интерфейсе.

Вот весь вывод команды ip r, с подставленным внешним ip из вашего примера, вместо реального

default via 33.33.33.1 dev ens3 onlink
10.73.105.0/24 dev wg0 proto kernel scope link src 10.73.105.0
33.33.33.0/24 dev ens3 proto kernel scope link src 33.33.33.111

И отваливается не только ssh, также перестают проходить хэндшейки wg.

Отвал, очевидно происходит при выполнении строки

ExecStartPost=bash -c 'MIP=$(ip r l |grep "default via" | cut -f3 -d" "); ip r del default dev ens3; ip r add default via $MIP dev ens3 metric 200'

когда удаляется маршрут по умолчанию (ip r del default dev ens3)

да, выглядит верно. А что у вас за провайдер vps, если не секрет?

Предположу, что, возможно, блокируется по reverse-path
Попробуйте поставить
sysctl net.ipv4.conf.all.rp_filter=0
sysctl net.ipv4.conf.ens0.rp_filter=0

хостер pq.hosting. Вообще боевой сервер у меня пару месяцев уже на другом хостинге, а этот был предоплачен до конца этого года, вот и гоняю на нём эксперименты.

sysctl net.ipv4.conf.all.rp_filter=0

sysctl net.ipv4.conf.ens0.rp_filter=0

Это в /etc/sysctl.conf добавить?

Добавил:

net.ipv4.conf.all.rp_filter=0

net.ipv4.conf.ens3.rp_filter=0

Применил изменения. ssh и wg так же отваливаются при запуске службы tun2socks.

Взял на час vps у aeza, установил и настроил там всё на Ubuntu 20.04 по вашей инструкции, результат тот же- при старте службы tun2socks отваливается ssh и прекращаются хэндшейки wireguard.

Спасибо, по обновлённой инструкции всё заработало.

У меня стоит в Питере wireguard, для тех целей чтобы из-за границы попадать на сервисы которые закрыты для внешней сети, например госуслуги или оплата коммуналки (зачем закрывать непонятно), так вот через него тоже не получилось зайти, я так понял они блокируют или детектируют хендшейки с вг и не важно где он, сервер, находится

Поскольку в протоколе Wireguard нет разницы между клиентом и сервером, то невозможно блокировать соединения из России за границу, не блокируя соединения из-за границы в Россию.

у меня все работало при подключение на сервер в Россию из ЕС. Провайдер Билайн (кабель)

Так у меня тоже работает и mesh-сеть на WG, в которой 4 российских узла и 2 зарубежных, и доступ из-за рубежа к OpenVPN в России. Но пока же только точечные учения в каких-то случайных местах, а готовиться надо к тому, что это станет общей практикой везде. Понять бы ещё точно, что именно "это" :)

Автор, а что, собственно, НЕ детектируется GWF? Это к вопросу что наши учатся у китайцев, следовательно надо ждать блокировку shadowsocks и у нас.

Кому-нибудь удалось заставить это реально работать, как задумано, по данной инструкции, ну или по другой? Поделитесь опытом, пожалуйста?

По обновлённой инструкции всё заработало. Спасибо.

Спасибо за пост.

Пользователь → Wireguard РФ → обфускатор в РФ → обфускатор в EU → Internet

Правильно я понимаю что нужно 3 сервера между пользователем и интернетом?

Нужно два сервера: внутри страны (на нём wireguard + обфускатор) и вне страны (на нём вторая часть обфускатора)

блочат сам протокол вг

зачем его использовать?

На домашнем сервере, например, можно это поднять, вместе с wg сервером, а дальше отправлять на vps уже по shadowsocks. Мне например надо для роутера, т.к. он никаких прокси клиентов не имеет, но имеет клиент wg, и там настроено подоменное туннелирование в wg, удобно.

помогите пожалууйста бьюсь головой о стену уже боле 6 часов
ситуация следующая на ЕС сервере работает SS (не стал убирать вовзможность подключаться из вне это позволило мне проверить работу SS)
на РФ сервере работал WG ровно до того момента как мной был установлен tun2cocks также пробовал с сервера рф пинговать гугл получаю такой ответ
:~# ping google.com
ping: google.com: Temporary failure in name resolution

делаю вывод о том = что что то не так с днс но что конкретно понять не могу

У меня похожая проблема на серверах, которые стоят за натамо (у которых в ip address указан локальный адрес, вместо публичного).

Пока не поборол проблему, не знаю куда копать.

Спасибо за статью, всё получилось! Поставил wireguard на QNAP NAS, на виртуалке Ubuntu Server 20 и пробросил порт через роутер. Правда так и не понял, почему после активации tun2socks ubuntu перестает быть доступной из внутренней сети 192.168.1.0: достучаться до wg и ssh можно только через внешний IP с переадресацией портов. Видимо нужно добавить какую-то запись в таблицы маршрутизации, но знаний не хватает :(

Автор спасибо большое, всё завелось, конечно правда спустя около 5 часов мучений. Геморой был с двумя моментами:

  • Для работы tun2socks требуется go >= 1.20, в debian и ubuntu в оф. репо он <1.20. Пришлось вручную устанавливать через архив, но это ладно, возможно это и не было бы проблемой. Главный гемор был в том что tun2socks недостаточно просто собрать, еще нужно после go install скопировать бинарник в /usr/local/bin. Ни разу не собирал таким образом программы поэтому для меня это было не так очевидно и в гайде на гите это не написано. Из-за за этого собственно не запускался tun2socks.

  • В статье у автора в /etc/nftables.conf и /etc/default/tun2socks ip почти одинаковые это немного сбило с толку, я только сейчас увидел что они различаются одной цифрой. Сначала добавил в конфиги один и тот же ip ru-сервера, потом допёр что логичнее в /etc/default/tun2socks использовать ip eu-сервера. Было бы понятнее если бы в статье было просто написано что-то типа eu-ip, ru-ip.
    И еще было бы удообно в статье видеть ссылку к этому конфигу /etc/nftables.conf. Для недевопсов тоже неочевидный момент имхо.

Теперь когда есть второй вариант VPN с двухступенчатым обходом, можно будет протестировать при блокировке обычного способа, обязательно отпишусь.

Кстати, а есть ли возможность маршрутизировать запрос на российские сервера помимо тунеля ss? Это было бы вообще бомбово. Знаю что такое можно реализовать посредством двух серверов просто с wg без ss, это описано тут:
https://habr.com/ru/companies/xakep/articles/699000/

Удалось кому-то победить wireguard, который запускается в докере?

Если настраиваю wireguard на хостовой тачке - работает.

Если поднимаю в докере, получаю где-то кривые роуты. Хочется поставить firezone и не парится с конфигурацие ваергарда и роутов вручную..

Only those users with full accounts are able to leave comments. Log in, please.

Articles