А остальные проги, которые через HTTP-прокси работают, работают именно через steady-tun? Не совсем понимаю, зачем имя и пароль, если вы авторизуетесь по клиентским сертификатам? В каком режиме auth на dumbproxy настроен?
Да, но не все могут арендовать сервер по каким-то причинам. Да и платное с бесплатным несравнимо - на своей VPS что угодно накрутить можно.
Затем, что пропускается внутрь REPL только трафик по вебсокетам. Поэтому используется плагин, который работает с трафиком по вебсокетам. Про блокировку этого в Китае источником не поделитесь?
Если вы его подняли в режиме HTTPS (как в статье), то телеграм с ним работать не сможет. Но можно использовать адаптер steady-tun на клиентской стороне, чтобы телеграм подключался к нему по HTTP, а он дальше уже взаимодействовал по HTTPS.
Да, это как раз моя статья. Этот метод полностью перестанет работать в 28 ноября, потому что Heroku закрывает бесплатные продукты.
Надо заметить, что упомянутую возню с доменами и сертификатами берёт на себя PaaS - а так они всё равно требуются. В статье выше описано как всё проделать за минуты, при том без завязки на какой-то конкретный PaaS.
На любой домен, который у вас привязан к виртуалке и через который вы запросили соединение. В руководстве как одна из возможностей используется домен, полученный через freemyip.
Можно поменять на другой, за это отвечает опция -bind-address. По умолчанию выпуск серта идёт через валидацию домена по "tls-alpn-01", для чего нужно отвечать на порту 443. Если это не возможно, то можно валидироваться по "http-01" и тогда нужно, отвечая на запросы на порту 80. Для этого укажите опцию -autocert-http :80, и тогда демон будет слушать ещё порт 80 для ответа на челленджи на нём. Если и это не подходит и этот порт тоже занят, тогда выпускайте сертификаты как-то по-своему и указывайте путь к fullchain через опции -cert и -key.
Если в браузере, или на всю систему, то в браузере всплывёт запрос логина и пароля. Если расширение для браузера, то в нём. Если Android, то в настройках прокси в адгарде.
Надо наверное сделать чтобы, коннектиться можно было на один домен, отправлять в SNI другой, а ожидать в сертификате третий. Добавлю себе заметку, чтобы сделать.
так а сертификат тоже должен соответствовать, иначе смысл теряется - в Client Hello поменяли, а в Server Hello будет как есть. как вы хотите, чтобы было по итогу?
Вышло продолжение цикла, теперь развёртывание на replit.com: https://habr.com/ru/post/692172/
Подозреваю, что телега ломается из-за hidden_domain - видимо она всё-таки хочет 407 ответ, прежде чем пароль пошлёт.
А остальные проги, которые через HTTP-прокси работают, работают именно через steady-tun? Не совсем понимаю, зачем имя и пароль, если вы авторизуетесь по клиентским сертификатам? В каком режиме auth на dumbproxy настроен?
Добавил универсальную инструкцию для консольного клиента на Linux и MacOS.
Добавил универсальную инструкцию для консольного клиента на Linux и MacOS. Смотря что считать полнофункциональным.
А с какими параметрами steady-tun запускаете?
Здравствуйте!
Да, но не все могут арендовать сервер по каким-то причинам. Да и платное с бесплатным несравнимо - на своей VPS что угодно накрутить можно.
Затем, что пропускается внутрь REPL только трафик по вебсокетам. Поэтому используется плагин, который работает с трафиком по вебсокетам. Про блокировку этого в Китае источником не поделитесь?
Если вы его подняли в режиме HTTPS (как в статье), то телеграм с ним работать не сможет. Но можно использовать адаптер steady-tun на клиентской стороне, чтобы телеграм подключался к нему по HTTP, а он дальше уже взаимодействовал по HTTPS.
Тут пользователь @DigiOcean сообщил - смотреть, сколько ресурсов осталось, тут: https://dashboard.heroku.com/account/billing
Наверное через DNS-01 челлендж разве что провалидировать домен и выпустить серт.
В целом будет на другом порту, но сертификат автоматически выпустить не получится - придётся как-то иначе придумывать.
Да, это как раз моя статья. Этот метод полностью перестанет работать в 28 ноября, потому что Heroku закрывает бесплатные продукты.
Надо заметить, что упомянутую возню с доменами и сертификатами берёт на себя PaaS - а так они всё равно требуются. В статье выше описано как всё проделать за минуты, при том без завязки на какой-то конкретный PaaS.
Разумная жизнь вышла из воды, в неё и вернётся...
На любой домен, который у вас привязан к виртуалке и через который вы запросили соединение. В руководстве как одна из возможностей используется домен, полученный через freemyip.
Можно поменять на другой, за это отвечает опция
-bind-address. По умолчанию выпуск серта идёт через валидацию домена по "tls-alpn-01", для чего нужно отвечать на порту 443. Если это не возможно, то можно валидироваться по "http-01" и тогда нужно, отвечая на запросы на порту 80. Для этого укажите опцию-autocert-http :80, и тогда демон будет слушать ещё порт 80 для ответа на челленджи на нём. Если и это не подходит и этот порт тоже занят, тогда выпускайте сертификаты как-то по-своему и указывайте путь к fullchain через опции-certи-key.Если в браузере, или на всю систему, то в браузере всплывёт запрос логина и пароля. Если расширение для браузера, то в нём. Если Android, то в настройках прокси в адгарде.
Надо наверное сделать чтобы, коннектиться можно было на один домен, отправлять в SNI другой, а ожидать в сертификате третий. Добавлю себе заметку, чтобы сделать.
Получится, так как другие проги априори отправляют логин и пароль, если заданы - им не нужно триггерить 407 ответ, чтобы понять, что "пора".
так а сертификат тоже должен соответствовать, иначе смысл теряется - в Client Hello поменяли, а в Server Hello будет как есть. как вы хотите, чтобы было по итогу?
Здравствуйте! Опция
-tls-servernameзадаёт то, что будет отправлено в SNI.Для голого SSH, кстати, у меня тоже был rsp, который много параллельных SSH-сессий держит и в целом работает намного быстрее, чем обычный
ssh -D