Comments 180
спасибо за статью и продукт, интересно посмотреть как вы настройку сервера через клиент сделали.
а теперь, к сожалению, и Payoneer
а вот этот момент я не понял, что случилось с Payoneer, что на него через впн нужно?
Но у меня попытка открыть сайт перенаправляет на warning.rt.ru
ну вот у РКС есть про это. просто так странно, я думал, много кто им пользуется в РФ, а на Хабре что-то и новости об этом не пробегало
IP адреса Psiphon не определяются как принадлежащие хостингам и поэтому через него платежи спокойно проходят.
Как реализовано скрытие факта использования vpn от посещаемого сайта, например защита от двухстороннего пинга?
Защита — отключение пинга на сервере, мы это сделали
А на счёт того, что антифрод пионира может блокировать адрес с хостинг провайдера — надо опрос устроить — пока с этим не сталкивался, у меня на самом дешевом vps пионир нормально работает
Я просто несколько раз встречал сообщения о том, что через vpn практически не возможно платить картами и объяснением было как ваз то, что мошенники используют впс-ки с бесплатным пробным периодом и как скажем оприходуют краденные карты потому-то антифроды и не любят всякие хостинги.
Я кстати тоже сталкивался с тем, что интернет именно через Италию работал чуть-чуть быстрее чем напрямую. Не знаю, что там делал Билайн в декабре-январе, но скорость 4ж интернета временами падала практически до 100 килобит. Там где я живу просто нет большого кол-ва людей, чтобы сота была загружена под завязку и параметр сигнала sinr был больше 20-и! А у Билайна есть прямой пиринг с провайдером Телеком Италия — у qrator.net был сервис, на котором можно было посмотреть на bgp маршрутизацию, кстати билайновский гласс лукинг lg.gldn.net у меня почему-то не работает.
Да и вообще купить то легко, можно сказать рисков намного меньше, продавать вот страшнее.
А про магазины — да, согласен, всё таки должно гарантированно работать.
Мне кажется этот вопрос должен решаться с виртуалькой, купленной на каком-нибудь приличном облаке типа гугла, амазона.
Мы себе все на оракле понастраивали бесплатные виртуалки, если укажите на какие заблоченные магазины — мы бы протестили.
Так а зачем вообще платить картой через vpn?
Скажем, есть магазины цифрового контента (музыка, книги), ориентированные на США/Европу, которые из-за требований правторговцев по GeoIP либо вообще отбивают заглушку сразу, либо просто не дают купить.
Там можно найти интересный нишевый материал. И зачастую там без проблем можно оплатить картой РФ.
У некоторых магазинов даже есть автоконвертация в рублевый ценник и подобие русского интерфейса при входе с российского IP, но купить ничего нельзя.
У меня self-hosted VPN в другую страну очень давно, трафик через него ходит весь, проблем с платежами не было вообще никогда. Бывали проблемы с регистрацией мессенджеров вроде, если не путаю, скайпа/вотсапа, когда они категорически хотели номер телефона из той страны, где мой IP — приходилось отключать VPN на момент регистрации, и потом они работали нормально. Но в целом можно уверенно сказать, что проблем без VPN намного больше, чем из-за VPN, так что выбор тут однозначный.
Кстати, очень про пионир интересно — по базе блокировок не пробивается — eais.rkn.gov.ruВы не тот реестр смотрите. Вам нужен 398-fz.rkn.gov.ru
К слову, на eais.rkn.gov.ru прямо написано, что лучше пробивать через blocklist.rkn.gov.ru — там поиск идёт по всем реестрам, а не по конкретному.
Ну судя по прогнозу, впн вне своего основного применения (обеспечения l2|l3 связности у разнесенных физически сетей) вообще большого смысла иметь не будет, если все регуляторы обзарегулируются: ну пробил ты головой камеру, и оказался в соседней, отличающейся лишь цветом стен и тем, что решетка ромбовидная, а не прямоугольного формата.
Есть все-таки надежда, что демократические западные страны не скатятся в такой же трэш и ком-позор, как некоторые не очень демократические страны.
На худой конец, если вам хочется почитать блог оппозиционера в стране А, то стране Б смысла его блокировать — нет.
Есть все-таки надежда, что демократические западные страны не скатятся в такой же трэш и ком-позор, как некоторые не очень демократические страны.
Пример уже есть: Великобритания.
И что такого в Великобритании? Там практически все блокировки обходятся штатно — по заявлению провайдеру. Они включены по умолчанию, но от них можно отказаться!
Ну например, коли не отдадите ключики шифрования по запросу органов — можете уехать в места не столь отдаленные.
И какое это имеет отношение к блокировкам интернета?
к блокировкам, может и особо никакого, но на EE2E они смотрят тоже… так себе
https://www.gov.uk/government/publications/international-statement-end-to-end-encryption-and-public-safety
К слову о фригейт — с середины февраля он снова появился в магазине хрома. Удалили ли они из кода загрузку внешних скриптов — не известно.
Mozilla, например, уже предупредила, что в следующей версии манифеста загрузка внешних скриптов станет невозможной («Developers can no longer use CSP directives that enable remotely hosted code»).
Привет из будущего. Сегодня 20 мая, в хроме стоял выключенный Фригейт, иии прилетел пуш что он заблокирован опять за хак код. Большая проблема в том что Фригейт многим въелся в голову как удобное средство обхода блокировок трекеров и многие продолжают пользоваться. Надеюсь в этот раз грохнули с концами.
Некоторые «vpn-протоколы» уже не маскируются, а являются настоящим зашифрованным web-трафиком (см. wstunnel). И их можно разместить на определенном урле вполне легитимного сервиса с котиками.
Большая часть трафика идёт обычным маршрутом, а выход на заблокированный сайт — через маскированный VPN. Сможет ли какой фаервол понять, что это трафик на заблокированный сайт, а не на фейковый сайт, поднятый на VPN сервере?
Работаешь со стораджем — на тебе бан. Смотришь фильм — на тебе бан =)
Это всё с умом делать нужно — на правильно выглядящем ресурсе поднимать WSS. Да и не нужно гонять весь трафик через VPN, сейчас достаточно туда весь DNS завернуть и http(s). И чтобы внимания не привлекать особенного — на трафикогенераторы из VPN лучше не ходить (всякие vk, fb, youtube и тыды).
было бы удобно, если бы можно было бы как-то все автоматизировать для тех, кто в этом не имеет времени разобраться.
Вот мы хотим, чтобы этим VPS провайдеры и занялись этим — это вообще в их интересах!
А про телеграм бота — непонял, зачем его то использовать для добавление сайтов?
И чем тогда это будет принципиально отличаться от VPN провайдеров?
Если VPS нужен только для VPN — то проще не воротить огород с докером и прочим оверхедом а создать минимальный специализированный контейнер под него — использование ресурсов (CPU/RAM) минимальное, диск почти не нужен (там минимум инфы нужно хранить) — остальное траффик.
Про безопасность — VPS и так под полным контролем провайдера, если вдруг что, слижет всё что нужно с хоста (или добавит туда чего) и никто не заметит (особенно если речь про чайников).
И чем тогда это будет принципиально отличаться от VPN провайдеров?
Думаю разница есть как минимум в уровне гимороя для стороны, которая пытается получить доступ к ресурсам. VPN провайдер может в какой-то момент например прогнуться под каким-нибудь условным фбр, и начать отдавать ключи шифрования трафика, и всё, трафик легко вскрывается. А в случае, если нужно непрерывно читать и ram и файловую систему VPS, куда-то всё это дело сохранять, как-то искать в памяти эти ключи — уже на порядок сложнее и ресурсозатратнее. И кстати, можно ведь «задосить» такие попытки слежки, надо будет подумать как это реализовать. Чтобы контейнер непрерывно писал в оперативку паттерны, похожие на ключи, или даже создавал на loopback тоннами фейковые соединения.
Для собственного vpn — есть ведь ещё вариант железного сервера, или покупки vps за крипту, или т.д. — в зависимости от уровня паранойи, но это уже вне нашей зоны ответственности )
Есть только одна маленькая проблемка — VPN не скрывает траффик после провайдера. То есть любой провайдер, будь то VPS или VPN, может отдавать траффик как есть условному фбр даже не влезая в сервер, а коррелируя входящий и исходящий уже можно строить догадки и искать клиента — или строить цепочку VPN через разных провайдеров — а это уже сложно автоматизируется для непосвящённых.
Минусы у любого же провайдера тоже довольно одинаковые — и тот и другой сдадут всё о клиенте что им известно — то есть как минимум способы и даты оплаты (все легальные компании просто обязаны хранить эти данные хотя бы для бухгалтерии, причём независимо от юрисдикции), а дальше уже дело техники и нужности конкретного клиента условному фбр.
Действительно, выходит вскрывать виртуалку вообще нет смысла то
Не назовёте парочку? Что-то меня терзают смутные сомнения. Битки и прочую крипту берут, но всё равно требуют имя указывать (которое, конечно же, можно выдумать).
С другой стороны, в мире полно анонимных кредиток, да и Google Pay с кредитом который можно купить в магазине за наличные тоже вроде ещё работает, правда в последнем случае останется цифровой след.
На самом деле, если вы покупаете VPN не для планирования покушения на президента могущественной державы (или чего-то подобного), то очень маловероятно что вас сдадут кому-то вне юрисдикции самого провайдера, и уж почти невероятно что сдадут если там вообще не будет криминала.
Если же кто-то на вас устроит охоту по всем правилам из трёхбуквенной конторы (или наркокартеля) то никакой VPN не спасёт, в лучшем случае просто больше времени уйдёт на поиски — результат немножко предсказуем.
How to send your cash payment
1. Print out or write down this payment token: xxx-xxx-xxx
2. Put the token in an envelope together with your cash payment (bills only – no coins).
3. Send the envelope to our address: xxx
Интересно… вопрос в том, что будет если вдруг такой анонимный VPN окажется вовлечен во что-то весьма неприятное — кто-то за это явно будет отвечать, и есть большие сомнения что законы Швеции позволяют этого избежать — это ж таки ЕС. Там конечно зело уважают приватность, но всему есть пределы.
К тому же, это великолепная возможность для отмыва денег — а Швеция не та страна где такое сойдёт с рук, так что вариантов два — либо у них ещё не было случаев когда доходило до ответственности, либо они вешают такие анонимные покупки на выдуманных лиц из Нигерии или ещё каких-то непрозрачных стран. Впрочем, во втором случае это тоже ненадолго — пару раз прокатит, но как только станет системой то лавочку прикроют, из чего можно сделать только один логичный вывод — ещё не было прецедентов.
Я думаю что там кэш шлют пара параноиков а не наркокартель килограммами поэтому проблем у них не будет.
За правонарушение будет отвечать преступник
Угу, а ВПН сервис (его владельцы и руководство) пойдет как соучастник, если не убедит дознание/следствие что он не при делах.
Ну как бы совсем немного. Если это случится раз, ну два — могут и поверить что "так случилось", но при систематическом повторении начнут копать и обяжут устанавливать личность покупателей, со всеми вытекающими.
Пример из чуть другой области — в Германии за нарушение ПДД отвечает водитель (а не владелец), но водителя могут и не найти, типа владелец скажет "а хз кто там был за рулём" (это не запрещено — давать машину кому попало), первый раз простят, второй — может быть, но потом обяжут вести журнал кого он пускает за руль — и если в очередной раз "не знаю" — всё, попадалово.
Для меня наличие такого способа оплаты просто сильно укрепляет веру в то, что этот ВПН действительно заботится о приватности. Вероятно зря, конечно.
Есть такое, на digitalocean можно выбрать предустановленный droplet и с минимальной конфигурацией (у меня это заняло около 5 минут) запусть VPN. Стоит 5$ в месяц и 1тб траффика. Можно менять эти VPN как пирожки, каждые несколько дней.
Регистрирую новый акк на digitalocean, кидаю 5$ через paypal — в результате — ваш аккаунт заблокирован.
хорошо что хоть 5$ возвращают
А так же все таки список VPS заруежных, которые вы сами протестировали и оно работает.
Минимальных требований — фактически нет, на самом дешевом тарифе будет работатьОчень смелое утверждение с учётом
Клиент подключается к вашему серверу по SSH, устанавливает Docker, если он ещё не установлен,который на самых дешёвых тарифах не устанавливается в принципе.
Больше никаких пакетов или библиотек не нужно, не устанавливается — просто запускаются наши контейнеры.
Минимальные конфигурации vps, которые сейчас массово продают — от 512 RAM, этого гарантировано хватает на запуск и работу наших контейнеров.
Виртуализация openvz — на ней провайдеры уже по умолчанию включают поддержку этого tap драйвера, или разрешают включить самостоятельно через личный кабинет. Если поддержка драйвер включена, то клиент сам всё настраивает.
Ребят, а почему никто не использует в качестве траспорта websocket? Он уже просто часть интернета, он секурный, в него можно заернуиь любое трафло. Зачем избретать всякие шадоусоксы если можно взять, создать вебсокет конекшн и всё туда запихать?
Меня не устраивает источник финансирования тора и то что более половины выходных нод в германии созданы и финансируются силовиками.
Никаких требований к vps-ке, любая OS, любой способ виртуализации (openvz/lxc ок), пофиг на наличие входящих портов (достаточно что ssh работает), любое количество памяти (хоть 128мб ram, можете найти такую vps-ку за пару баксов в год, понятно скорость сети у таких никакая).
Ставите любимый ssh клиент (хоть putty хоть консольный ssh), в настройках добавляете туннель, опцию -D1080 (в putty это тип туннеля Dynamic), порт 1080 прописываете в браузере как localhost socks proxy и включаете Proxy dns using socks или dns over https
Все пойдет из браузера на этот порт.
А потом расскажите мне, который умеет в туннели, но хочет нормальное окошко с кнопкой и чтобы работало само(как warp)
VPN. Это в любом случае стоит сделать для защиты от перехвата WiFi-трафика.
На мобильниках красиво проблему универсально не решить красиво, для всех задачи использования, даже vpn там по умолчанию коряво реализован (при включении vpn не активен, трафик идет напрямую, так же vpn может кратковременно переподключаться, что так же пропускает трафик мимо).
Все упомянутые проблемы лечит AFWall+ (но для него нужен root).
Почему? На мой взгляд рут нужен в первую очередь потому, что это единственный способ стать владельцем собственного устройства, а не его арендатором. Во вторую очередь он нужен потому, что без него не будет ни AFWall+, ни AdAway, ни Titanium Backup — а на мой взгляд это довольно критичные инструменты для комфортного использования устройства.
Сложность сильно преувеличена — читаете инструкцию к Magisk и делаете по ней. Я допускаю, что разлоченный загрузчик создаёт какие-то риски. Но, будем откровенны, эти риски ничтожны по сравнению с альтернативой — использованием родной прошивки, которые все как одна нашпигованы spyware одновременно от производителя прошивки и гугла. Поэтому родную прошивку надо в любом случае всегда менять на что-то вроде LineageOS, а к ней рута добавить вообще не проблема.
· Local, Remote, and Dynamic port forwarding
Сам им пользуюсь в личных целях, не нарадуюсь скорости и простоте настройки.
Но если нужно будет обойти какие-то ограничения, то скорее воспользуюсь ssh-туннелем.
Wireguard насколько я знаю легко детектитсяпо сигнатуре.
Да пусть детектиться. Зато быстрее подключается и быстрее работает.
А что OpenVPN, что не Wireguard? Я не знаю, конечно, технических подробностей в вашем случае, но он лучше по пропускной способности и в целом меньше нагружает систему.
Кажется, детектится, да. Но пока вроде скрываться и не обязательно.
Смотрите, какое дело — я проводил нагрузочное тестирование и того, и другого. OpenVPN на двух ядрах впски тянет что-то около 200 мегабит максимум, загрузка ЦП на 100%. Wireguard на том же сетапе выдал 1.5 гигабит при загрузке 77% — больше уже сеть не смогла.
Я думаю, пока VPN-трафик не блокируют, для людей с быстрым соединением будет актуально. Ну и в целом, если на сервере что-то ещё крутится, лучше не нагружать излишне.
Кажется, детектится, да. Но пока вроде скрываться и не обязательно.
Цель проекта — сразу делать VPN который не детектится, мы к этому двигаемся, в следующих релизах это уже будет. Если будет востребованно — мы можем добавить какой нибудь режим расширенных настроек, в котором можно будет самому выбрать протоколы.
А пока — пытаемся перестраховаться от возможных шатдаунов
Ну если есть такая цель, то конечно, лучше сначала сделать так.
Но вообще сама идея self-hosted VPN, который сам разворачивается на сервере, актуальна и не только для этого, мне кажется. Пользователям в других странах может быть интересно, например. А для их целей сейчас Wireguard более актуален, конечно.
А для Windows планируете сервер делать?
Но это задача с очень низким приоритетом — так как для линуксоиды обычно сами себе настраивают, и спрос совсем малый. Но если найдутся энтузиасты, готовые помочь с билдом для линукса — сможем думаю быстро зарелизить.
А есть helm-chart или что-нибудь такое, чтобы без геморроя поставить в k8s? У меня есть кластер...
У нас есть образы на докерхабе hub.docker.com/repository/docker/amneziavpn/shadowsocks
Но клиент то всё равно будет ломиться по ip/login/pass и всё настраивать сам, предустановлен там контейнер или нет
Уже выпущена версия 1.5.1 — github.com/amnezia-vpn/desktop-client/releases, возможно она устранит проблему, если нет — присылайте лог в телеграм или личным сообщением
Могу предположить что сейчас большинство частных VPN серверов как раз работают через подход с контейнерами docker и настройкой через ansible, но вот чтобы это делалось прямо через мобильное приложение — такого я ещё ни разу не видел.
Хотел уточнить пару моментов:
- Можно ли прописать кастомные маршруты? Дело в том, что если ресурс хостится на каком-нибудь Cloudflare, а по моим наблюдениям большинство ресурсов сейчас находятся у подобных провайдеров, то адреса на который указывают его домены могут часто меняться в пределах доступных провайдеру блоков. Я пользуюсь похожим на ваш подходом, только у меня домашний роутер на OpenWrt автоматически маршрутизирует трафик на определённые адреса (которые заблокированы в РФ или о посещении которых я не желаю докладывать российскому интернет провайдеру) в VPN-туннель. Поскольку адреса постоянно переключаются, то нужно каждый раз их подтягивать заново, а это неудобно. Лично я в какой-то момент просто решил отправлять в туннель всё что идёт в клаудфлэровские блоки 104.0.0.0/8 и 172.64.0.0/13. Есть ли подобная возможность в вашем клиенте?
- Происходит ли перенастройка sshd на отключение авторизации по паролю и включения авторизации по ключам при первичном запуске ansible? В чистой системе нет средств которые из коробки ограничивают брутфорс ssh, а злоумышленники и боты из братского Китая не дремлют. Как бы не вышло так что на всех инстансах амнезии будет видимый порт ssh да ещё и с пользователем root и входом по паролю, и на них обрушится поток ненужного трафика, а то и что похуже может случиться. Было бы неплохо если бы были хотя бы какие-то контрмеры от подобного. Перекинуть sshd на какой-нибудь нестандартный порт, ограничить входные адреса, сделать авторизацию по ключам и т.д.
- Скорее пожелание — как насчёт добавить ещё некоторые протоколы, например Wireguard? Да, он легко обнаруживатся DPI, но пока что, к счастью, VPN у нас не по белым спискам, и я не видел чтобы Wireguard где-то специально ограничивался. Всё таки скорость работы — штука важная, а Wireguard сильно шустрее и менее затратен по ресурсам для клиента чем тот же OpenVPN, что как раз в ежедневном использовании даст куда более приятный опыт пользователю.
Отдельное спасибо за то что описываете реальные сценарии использования туннелей, в отличие от продаванов платных VPN сервисов которые поголовно обещают людям чёрт знает что, и анонимность, и масочку Гая Фокса в придачу
1. Да, в клиенте сейчас можно добавить ip адреса. Насчёт добавления целых подсетей — да, нужно бы сделать, добавлю в следующих релизах.
2. У нас запускаются только docker контейнеры, мы сам сервер вообще не трогаем (пинг только отключаем, роутинг включаем). На счёт брутфорса — не считаю это вектором атаки для свежекупленных VPS — пароль генерируется вполне стойкий к брутфорсу — 10 латинских символов это уже 10^56, по сети такое очень долго ломается. Но использование клиента по ключу мы обязательно сдлеаем уже в ближайших релизах, уже стало ясно за эти пару дней, что продвинутые пользователи уже натягивают Амнезию на бесплатный Оракл, и на другие VPS, где по умолчанию вход по ключу. Более глубоко конфигурировать сервер, менять на нём порты для ssh и т д — я уверен что мы точно не будем.
3. Мы думаем добавить поддержу других протоколов, сделать в клиенте выбор протокола для подключения. Для десктопных систем производительность не так актуальна, поэтому этот вопрос сейчас не в самом приоритете первым делом сделаем маскировку под веб трафик.
Присоединяйтесь к нашем каналам в Телеграме за новостями!
github.com/StreisandEffect/streisand
github.com/trailofbits/algo
Расскажите про отличия от существующих решений.
Я так понял целевая аудитория и маскировка VPN трафика?
Вариант 2 — сколько бы вы не купили серверов в цепочку по своей банковской карте — это не усилит безопасность. Нам кажется это довольно редкий сценарий, когда действительно могут понадобиться несколько серверов в цепочке
Ну посудите, зачем «все эти навороты в зоопарке», если цена — необходимость устанавливать спец. приложение? Сила того же IKEv2 в том, что его поддержка встроена в ОС — в Windows, в MacOS, в iOS. Пользователь скачал файлик *.mobileconfig, ввёл один раз пароль — и всё заработало (и никаких «установи сертификаты», упаси бог).
Инновации должны быть на сервере — в противостоянии прощупыванию, в выстраивании цепочек серверов, чтобы входной и выходной IP хотя бы отличались, и так далее. Можно тот же ShadowSocks переписать заново начисто, вылечив от детских ошибок, и сделать модулем для StrongSwan. Не надо повышать требования к клиенту — они должны быть минимальными, только тогда VPN останется массовым.
А если у них нет даже представительства в стране, откуда вы подключаетесь — то без тонн юридических документов, без взаимодействия между правоохранительными органами этих стран — невозможно.
Эти логи могут точно также запросить заинтересованные органы.
Заинтересованным органам придётся мириться с законодательством страны, в которой используется VPS.
У меня вопрос про DNS. Я прописал свои DNS-ки (nextdns.io), но они не работают. Тестировался этот функционал? Как заставить работать? Последняя версия на Макоси, сервер с Ubuntu 18.04 на борту. Спасибо.
Я перепроверю, спасибо за интерес!
getoutline.org
github.com/Jigsaw-Code/?q=outline
Тоже докер на хосте и shadowsocks.
Но это хорошо, чем больше опенсорсного софта тем лучше.
Вы можете у них подсмотреть работу с популярными облачными провайдерами, которые как раз упрощают установку без необходимости настраивать VPS.
То что он делает — ну как бы сказать, это неприлично — он создаёт две свзяки — (ваш uid, ваш IP без VPN) и (ваш uid, ваш VPN IP) и отправляет их куда-то там себе. Outline не воспринимается в серьёз, вот честно.
Расскажите, чем это сильно лучше tailscale?
Хорошее решение для домашнего юзера, жаль только, что сейчас в большинстве случаев, каждый сайт — это набор микросервисов, часть из которых запрашивается после подгрузки всяких js на комп "жертвы", и тут же "палят" и реальный айпи, и все куки и историю посещений других сайтов, если такой же js трекер стоит на хотя бы двух сайтах, которые юзер посещал без Впн и с ним. Поэтому выбор конкретных узлов на которые ходить с ВПН, для обычного юзера не имеет смысла. Только 0.0.0.0/0 спасет. Также, надо озаботиться маршрутами к днс серверам, а то у большинства днс сервер — это адрес их же роутера, а на роутере, дай бог, восьмёрки, а так провайдерские узлы очень часто. И весь их ВПН будет тут же сливаться провайдеру и дальше по списку, поскольку у адреса роутера маршрут с меньшей дистанцией и этот трафик в ВПН не пойдет ).
Если вы заходите на какой-то сайт, и он подгружает какие-либо js, которые способны вас трекать — то VPN тут вообще не поможет. Паранойики 80 левела имеют 2 браузера, один запускают только из-под VPN, второй только без него, и, имхо, не факт, что это помогает обеспечить анонимность. Я в статье поэтому и высказал своё мнение про анонимность — это очень сложно, и вряд ли вам не нужно. А открыть заблокированные сайты- тут главное чтобы работало, и на то, что гугл спалит что вы зашли на линкедин из под впн — пользователям грубо говоря не важно.
Данные получил и вот такая ошибка: Internal Error при подключении
Всё началось с того, что мы выиграли хакатон и получили гранты от буткемпа и теплицы, и прошли через акселератор. Была идея написать статью, как один просмотр анонса о хакатоне может повернуть жизнь на целый год, но это не очень вписывается в тематику хабра))
А скорость работы OpenVPN у Вас какая получается?
Были ли оптимизации самого OpenVPN для поддержки более быстрых скоростей?
Походу это так и должно быть?
у меня проблема, МГТС начал блочить инстаграм и твитер (до вчера 24.03 работало без VPN), у меня свой VPS в Нидерландах - Там Винсервер, на нем поднят Wingate, настроен HTTP прокси, до вчера так же все работало нормально, но вчера как провайдер включил у себя что то, при работе через этот прокси инстаграмм все равно не грузит картинки... т.е интерфейс открывается, подгружаются записи, можно чатится и ставить лайки но сами картинки не прогружаются...
При этом если использовать другие VPN то инстаграм нормально работет. На самом VPS если зайти по RDP тоже инстграм работает нормально...
вероятно МГТС уже на уровне своего DPI режет
Собственно вопрос, как настроить шифрование при использовании прокси? Какие вообще есть варианты кроме замены Wingate на что то другое?
Похоже, что развитие продукта остановилось. Жаль, а ведь сейчас он нужен как никогда :(
Знает кто нибудь аналоги?
Del
Что-то ни черта оно у вас не работает. Попытки поставить ваши пакеты (Ubuntu 20.04) кончаются ошибкой, что не найдены исходники ядра. А нахрена вам исходники ядра, если у вас хедеры есть?!
А зачем использовать такие древнекаменные версии? 4 года уже Вашей версии, она отстала на 8 релизов, скоро уже 9 будет.
Ну и не исходники нужны, а заголовки ядра. Не знаю, как называется соответствующий пакет в Ubuntu, а в Fedora это либо kernel-headers, либо kernel-devel. Давно ничего такого не собирал, поэтому не могу сказать точно
Это позапрошлый LTS, а использовать на серверах не LTS, это такое. Поэтому вовсе не на 8 версий.
Сервер настроен, работает, делает разное и его апгрейд, это целое дело. Которое будет выполнено, но тогда, когда будет такая возможность, ибо это сервер, который делом занят.
Проблема решена и заключалсь в неправильных настройках APT (которые никто не трогал, но версия довольно старая и, возможно, там какой-то баг был).
И я вас не одобряю. Явно не пытались их модуль ставить, а рассказываете про хедеры и всякое. Так я и сам могу.
На черта Amnezia требует исходников ядра в дополнение к заголовкам, я вообще ни разу не понял. Они требуют не просто "header" или "devel", они требуют подключения репозиториев с исходниками, откуда тянут зависимость "image-src" (точное имя зависит от конкретного используемого ядра), что как бы дичь какая-то. Даже VirtualBox и всякие NVIDIA своё монстрическое всё собирают только по заголовкам, а тут довольно простой модуль ядра и вдруг нужны исходники. Собирается их модуль, соответственно, тоже весьма приличное время. И он же гад, теперь будет столько под каждое новое ядро пересобираться и тянуть новые исходники. Сколько там ядер Ubuntu держит? 6 из трёх разных веток? Прискорбно...
Я со старыми LTS сталкивался и потому отказался от их использования на серверах: начинаешь что-то делать, долго копаешься в документации, а потом оказывается, что то, что пытаешься использовать, на сервере в каком-то зачаточном состоянии, давно не соответствует документации, а новую версию ставить - половину софта на сервере надо пересобрать. Ну его на фиг. Актуальная версия дистрибутива оказалась куда удобнее, а обновление, если всё делать вовремя, занимает очень немного времени. Но тут, возможно, зависит от задач конкретного сервера. Но даже если речь идёт о Python, то за пару лет могут накопиться расхождения в версиях, съедающие больше времени, чем обновления. Тем более, что обновления предсказуемы, потому что запланированы, а тут вылезает в самый неожиданный момент и "радует" своей заковыристостью.
Что касается сборки, то я собирал WireGuard для сервера с каким-то древним ядром и вполне собралось. Года два назад, наверное, было дело. И как раз пакетов headers и devel хватило. Но именно Amnezia не собирал, это да. Очень жаль, если этот проект хочет именно исходники и привязываются к конкретной сборке: какое-то время назад использовал видеокарту от Nvidia и замаялся собирать драйвер после каждого обновления ядра. После этого отправил Nvidia в чёрный список и больше не рассматриваю как вариант.
Вообще проекты вроде Amnezia (я про то, что такие проекты заточены под максимально простую установку обычными юзерами, и у этого есть своя цена) лучше выкатывать на отдельный сервер, специально выделенный для этой задачи. Учитывая что ресурсов этому серверу много не нужно и обычно достаточно самого дешёвого - это тупо проще и дешевле, чем пытаться совмещать с существующим софтом на нестандартно настроенном и/или устаревшем сервере.
А если вам нужно соединить через VPN два находящихся в РФ сервера, на которых всякое крутится?
Ну, если вопрос как бы сделал лично я, то у меня квалификация заметно выше, чем у целевой аудитории Amnezia. Поэтому я бы тупо пропатчил исходники wireguard на обоих серверах, скомпилировал и поднял модифицированную версию wireguard обычным штатным образом.
Ну, хотелось более-менее повторяемое решение, а аменезия близка к этому. К ней в случае чего можно и мобильных клиентов подключить и десктопы и прочее.
Нормального решения всех возможных задач быть не может. Задача сделать VPN для тьмы разных ОС и клиентов - это одна задача и её неплохо решает установка Amnezia на отдельный сервер. Задача связать два сервера - совершенно другая, и её отлично решает обычный и патченный WireGuard.
Как бы да, но нет. Например, по той причине, что на сервере может быть нужен одновременно и патченный WG и "обычный". Собственно, мой случай, так как один из серверов выступает в роли сетевого хаба для другой инфраструктры. Из-за РКН там такого городить пришлось, что ой-ой-ой.
Иногда просто не надо "городить". Можно разделить ответственности, сделать 2-3 сервера вместо одного, и всё сильно упростится.
А по сути - на первый взгляд ничего не мешает иметь на одном сервере два варианта wireguard-tools установленные одновременно - либо в докере, либо просто сделать копии бинарников/сервисов systemd с разными именами.
А в системах GNU/Linux не планируются клиентские приложения
Никогда такого не было и вот опять. Почему нужно использовать self-hosted VPN. Релиз Amnezia