Сразу могу вспомнить кучу дыр в vpn шлюзах cisco и palo alto, про наши гост шлюзы ни кто не напишет. Но и там они есть. Самое надежное это открытое ПО с открытым аудитом. Потому что как показала практика, владельцам закрытого ПО как то все равно на продукт. В лучшем случае обновят, в так себе будут отрицать, потом обновят, в худшем скажут оборудование устарело, купи новое, привет dlink.
Естественно, ни кто не откроет код этого гост vpn, или что там, не разрешат пользоваться в не коммерческих целях, для личного использования бесплатно, есть openvpn с поддержкой гост и не пройденным аудитом, да как и в целом у всех гост vpn.
Vless это не полноценный протокол vpn, это прокси. А у прокси есть нюанс, он не обеспечит клиентов обратной связью или маршрутизацию в локальную сеть без костылей, блокировка протоколов vpn внутри страны нарушит удалённый доступ в локальную сеть, а платить обычные пользователи за гост vpn точно не будут.
Нужно бойкотировать работу ркн и минцифры с такими предложениями, для гос сектора пожалуйста гост vpn, обязательно сделайте. А остальные могут/обязаны пользоваться любым протоколом.
У меня динамический IP дома, ddns для доступа, и что я должен передать им? Или я должен включить статический ip специально для них, подвергнуть себя риску взлома, ddos и бог знает чего, так что ли получается?
Все круто, почему скрипт ? Почему openvpn? Почему не настройка руками? Где tls-crypt-v2?
Openvpn в 2к25? Из за таких вот юзеров могут отлётать в бан ip адреса, а то и подсети. Не надо так делать, если уж хотите околоклассический vpn вам в сторону sstp или лучше openconnect смотреть нужно.
У нас внутри страны с openvpn есть трудности, кто то может подключится, а кто то нет. Awg это как и ss22, зашифрованное нечто, без определённости, такое рубят в каких то регионах уже сейчас. Пока что переход на tls crypt v2 решил проблему, но надолго ли?!
VPN должен быть как https трафик, маскироваться под него, sstp не не пройдёт тест на active probing, openconnect да, но с натяжкой, там дефолтная форма авторизации http.
Сигнал не так плох, у них как то требовали выдать данные и они выдали на сколько помню, а данные не устроили требователей. Плюс пройденный аудит, к телеграму больше вопросов.
Подключите второго провайдера в дом, получите белый ip, зашифруйте сервер и поставьте matrix. И снова нет p2p сеть централизована есть единая точка отказа. Однако все данные зашифрованны логи направьте в dev/null. И отключите федерацию.
Пока Сибирь и ДВ жаловались на проблемы с REALITY, VLESS TLS нужно тестировать.
Создадим скрипт который будет мониторить обновление сертификата через сокет haproxy:
import subprocess
import re
import time
import os
# Путь к файлу для хранения даты сертификата
CERT_DATA_FILE = '/tmp/certdata.txt'
# Путь к сокету HAProxy
SOCKET_PATH = '/var/run/haproxy/admin.sock'
# Команда для получения информации о сертификате
COMMAND = f'echo "show ssl cert /etc/haproxy/certs/$вашдомен.pem" | nc -U {SOCKET_PATH}'
# Период проверки в секундах
CHECK_INTERVAL = 25
def get_cert_not_before():
"""Получает дату 'notBefore' из сертификата."""
try:
result = subprocess.check_output(COMMAND, shell=True, text=True)
match = re.search(r'notBefore:\s*(.*)', result)
if match:
return match.group(1).strip()
except subprocess.CalledProcessError as e:
print(f"Error executing command: {e}")
return None
def read_previous_cert_date():
"""Читает предыдущую дату сертификата из файла."""
if os.path.exists(CERT_DATA_FILE):
with open(CERT_DATA_FILE, 'r') as f:
return f.read().strip()
return None
def write_cert_date(date):
"""Записывает дату сертификата в файл."""
with open(CERT_DATA_FILE, 'w') as f:
f.write(date)
def restart_service():
"""Перезапускает сервис x-ui."""
try:
subprocess.run(['systemctl', 'restart', 'x-ui'], check=True)
print("Сервис x-ui перезапущен.")
except subprocess.CalledProcessError as e:
print(f"Ошибка при перезапуске сервиса: {e}")
def main():
"""Основная функция для мониторинга сертификата."""
while True:
current_cert_date = get_cert_not_before()
if current_cert_date:
previous_cert_date = read_previous_cert_date()
if current_cert_date != previous_cert_date:
print(f"Дата сертификата изменилась: {previous_cert_date} -> {current_cert_date}")
write_cert_date(current_cert_date)
restart_service()
else:
print("Дата сертификата не изменилась.")
time.sleep(CHECK_INTERVAL)
if __name__ == "__main__":
main()
Теперь сделаем его исполняем chmod 700 certmon.py
Разместим в systemd nano /etc/systemd/system/certmon.service
Подождем и зайдем в панель, и настроим vless tls Обязательно указываем в inbound, мониторинг IP /var/lib/haproxy/xui/vlesstls.sock,0660 Proxy Protocol = true Sockopt = true TCP Fast Open = true Multipath TCP = true External Proxy = true Тот же / cloud.вашдомен / 443 Безопасность TLS SNI cloud.вашдомен uTLS на ваш выбор ALPN h2 http/1.1 И укажем путь к сертификату Публичный ключ: /etc/x-ui/ssl/cert.pem Закрытый ключ: /etc/x-ui/ssl/cert.key. Теперь обязательно создадим fallback для маскировки, В настройках inbound VLESS TLS добавляем fallback, sni alpn path оставляем пустыми, в Dest указываем /var/lib/haproxy/fakevless1.sock и xVer устанавливаем в 1.
Теперь настроим haproxy, настроим фронтенд tcp для отправки трафика на x-ui:
use_backend tcp_to_vlesstls if { req.ssl_sni -i cloud.вашдомен }
Сомнительно, запускать подобные скрипты, ну либо панель ставить нормальную либо руками настроить xray, и у меня для вас новости плохие, доходят 'слухи' что reality ркн научился ломать, полагаю из за дыры в хэндшейке, чутка тут там сломать и все, сайты работают а vless reality нет....
Переходим на vless tcp tls, vless ws, vless xhttp, за обратным прокси, и маскировкой под nextcloud там или minio, что угодно.
Прочитал несколько раз некоторые моменты. Из за зависимости внешнего сервиса, и возможной неработоспособности, продолжаем для этой цели использовать xray с псевдовпн, ocserv так же могут забанить, развернуть шустрый wg поверх websocket не удалось, rdp глючит, с openvpn такая же история, для ws использовался, wstunnel от erebe и gost от китайцев, терминация ws была на обратном прокси по итогу качество соединения не удовлетворяет.
Технология не нова как говорится, давно используемая для подписи файлов, и шифрование, можно отправить открытый ключ другу а он вам, и так общаться, для удобства есть плагин для thunderbird, но если потерять закрытый ключ... разработчики kali linux недавно потеряли такой ключ, система осталась без обновлений.
Под Windows пользовался kleopatra для шифрования архивов с бекапом, потерял ключ потерял архивы, и по глючное однако было
В случае stateless режима acme и например haproxy, то ни чего не создаётся, не обязательно иметь даже веб сервер за обратным прокси для получения сертификатов
Достаточно просто разместить txt запись без .well-known для wildcard
Метод называется dns challenge, а ещё есть dns alias mode когда для проверки используется другой домен, тогда в случае слива токена ни чего не произойдёт с основным доменом.
IDE у меня нет давно, у меня много старых sata которые ещё cmr им хоть бы хны, не перегревай, при работе охлаждай и главное не трясти, все они по smart идеальны почти, есть и пострадавший, его я перегрел как то при работе и появились переназначенные сектора. Размер конечно не большой у них, от 320 есть samsung на 1тб но это я бы сказал везение что он ещё cmr и не страдал.
С bd и DVD у меня пока проблем нет, чтоб покрытие слёзно такого не встречал.
А так да, становится все сложнее хранить важную информацию дома на цифровых носителях. Не то что фото плёнка до сих есть реактивы и сама плёнка.
А так я бы выбрал не nas на das с парочкой дисков корп уровня cmr, без raid 1 и тд. Всё это не надёжно, самые надёжные бекапы просто копирование, создание контрольньй суммы и последующие холодное хранение, диски можно разложить в разные геоточки.
А шейперы, не вносят снижение скорости?
Сомневаюсь что следует обсуждать в подобном месенджере планы по страйкболу или что нибудь о политике и каких нибудь новостях нежелательного контекста.
Вспоминаем шифрофоны с приложением Anom от ФБР...
Сразу могу вспомнить кучу дыр в vpn шлюзах cisco и palo alto, про наши гост шлюзы ни кто не напишет. Но и там они есть. Самое надежное это открытое ПО с открытым аудитом. Потому что как показала практика, владельцам закрытого ПО как то все равно на продукт. В лучшем случае обновят, в так себе будут отрицать, потом обновят, в худшем скажут оборудование устарело, купи новое, привет dlink.
Vpn перестал быть точкой безопасного входа. В нем так же есть уязвимости.
Естественно, ни кто не откроет код этого гост vpn, или что там, не разрешат пользоваться в не коммерческих целях, для личного использования бесплатно, есть openvpn с поддержкой гост и не пройденным аудитом, да как и в целом у всех гост vpn.
Vless это не полноценный протокол vpn, это прокси. А у прокси есть нюанс, он не обеспечит клиентов обратной связью или маршрутизацию в локальную сеть без костылей, блокировка протоколов vpn внутри страны нарушит удалённый доступ в локальную сеть, а платить обычные пользователи за гост vpn точно не будут.
Нужно бойкотировать работу ркн и минцифры с такими предложениями, для гос сектора пожалуйста гост vpn, обязательно сделайте. А остальные могут/обязаны пользоваться любым протоколом.
У меня динамический IP дома, ddns для доступа, и что я должен передать им? Или я должен включить статический ip специально для них, подвергнуть себя риску взлома, ddos и бог знает чего, так что ли получается?
При желании можно настроить модуль с apparmor, в текущей реализации не предусматривается такая защита.
Все круто, почему скрипт ? Почему openvpn? Почему не настройка руками? Где tls-crypt-v2?
Openvpn в 2к25? Из за таких вот юзеров могут отлётать в бан ip адреса, а то и подсети. Не надо так делать, если уж хотите околоклассический vpn вам в сторону sstp или лучше openconnect смотреть нужно.
У нас внутри страны с openvpn есть трудности, кто то может подключится, а кто то нет. Awg это как и ss22, зашифрованное нечто, без определённости, такое рубят в каких то регионах уже сейчас. Пока что переход на tls crypt v2 решил проблему, но надолго ли?!
VPN должен быть как https трафик, маскироваться под него, sstp не не пройдёт тест на active probing, openconnect да, но с натяжкой, там дефолтная форма авторизации http.
Сигнал не так плох, у них как то требовали выдать данные и они выдали на сколько помню, а данные не устроили требователей. Плюс пройденный аудит, к телеграму больше вопросов.
Подключите второго провайдера в дом, получите белый ip, зашифруйте сервер и поставьте matrix. И снова нет p2p сеть централизована есть единая точка отказа. Однако все данные зашифрованны логи направьте в dev/null. И отключите федерацию.
Дополнение к статье
VLESS TCP TLS
РКН начали ломать TLS, что бы обойти можно открыть диапазон портов, пример для секции f_tcp:
Пока Сибирь и ДВ жаловались на проблемы с REALITY, VLESS TLS нужно тестировать.
Создадим скрипт который будет мониторить обновление сертификата через сокет haproxy:
Теперь сделаем его исполняем chmod 700 certmon.py
Разместим в systemd
nano /etc/systemd/system/certmon.service
Для VLESS TLS необходимо настроить хранилище сертификатов таким же путем как и с haproxy, в директорию /etc/x-ui/ssl
После получим сертификат:
Подождем и зайдем в панель, и настроим vless tls
Обязательно указываем в inbound, мониторинг IP
/var/lib/haproxy/xui/vlesstls.sock,0660Proxy Protocol = true
Sockopt = true
TCP Fast Open = true
Multipath TCP = true
External Proxy = true
Тот же / cloud.вашдомен / 443
Безопасность TLS
SNI cloud.вашдомен
uTLS на ваш выбор
ALPN h2 http/1.1
И укажем путь к сертификату
Публичный ключ: /etc/x-ui/ssl/cert.pem
Закрытый ключ: /etc/x-ui/ssl/cert.key.
Теперь обязательно создадим fallback для маскировки,
В настройках inbound VLESS TLS добавляем fallback, sni alpn path оставляем пустыми, в Dest указываем /var/lib/haproxy/fakevless1.sock и xVer устанавливаем в 1.
Теперь настроим haproxy, настроим фронтенд tcp для отправки трафика на x-ui:
Теперь настроим backend:
Теперь создадим фейковый сервис:
Однако, можно провернуть все тоже самое без дополнительного frontend'а добавив необходимое в основной frontend, приме:
Сомнительно, запускать подобные скрипты, ну либо панель ставить нормальную либо руками настроить xray, и у меня для вас новости плохие, доходят 'слухи' что reality ркн научился ломать, полагаю из за дыры в хэндшейке, чутка тут там сломать и все, сайты работают а vless reality нет....
Переходим на vless tcp tls, vless ws, vless xhttp, за обратным прокси, и маскировкой под nextcloud там или minio, что угодно.
Прочитал несколько раз некоторые моменты. Из за зависимости внешнего сервиса, и возможной неработоспособности, продолжаем для этой цели использовать xray с псевдовпн, ocserv так же могут забанить, развернуть шустрый wg поверх websocket не удалось, rdp глючит, с openvpn такая же история, для ws использовался, wstunnel от erebe и gost от китайцев, терминация ws была на обратном прокси по итогу качество соединения не удовлетворяет.
Haproxy
Технология не нова как говорится, давно используемая для подписи файлов, и шифрование, можно отправить открытый ключ другу а он вам, и так общаться, для удобства есть плагин для thunderbird, но если потерять закрытый ключ... разработчики kali linux недавно потеряли такой ключ, система осталась без обновлений.
Под Windows пользовался kleopatra для шифрования архивов с бекапом, потерял ключ потерял архивы, и по глючное однако было
В случае stateless режима acme и например haproxy, то ни чего не создаётся, не обязательно иметь даже веб сервер за обратным прокси для получения сертификатов
Достаточно просто разместить txt запись без .well-known для wildcard
Метод называется dns challenge, а ещё есть dns alias mode когда для проверки используется другой домен, тогда в случае слива токена ни чего не произойдёт с основным доменом.
Есть acme.sh и выдача сертификатов без перезагрузки сервиса.
Давно перестал использовать nginx как обратный прокси.
А он типо будет работать у нас? Есть подозрения что всю зарубежную инфраструктуру ждёт коллапс...
IDE у меня нет давно, у меня много старых sata которые ещё cmr им хоть бы хны, не перегревай, при работе охлаждай и главное не трясти, все они по smart идеальны почти, есть и пострадавший, его я перегрел как то при работе и появились переназначенные сектора. Размер конечно не большой у них, от 320 есть samsung на 1тб но это я бы сказал везение что он ещё cmr и не страдал.
С bd и DVD у меня пока проблем нет, чтоб покрытие слёзно такого не встречал.
А так да, становится все сложнее хранить важную информацию дома на цифровых носителях. Не то что фото плёнка до сих есть реактивы и сама плёнка.
А так я бы выбрал не nas на das с парочкой дисков корп уровня cmr, без raid 1 и тд. Всё это не надёжно, самые надёжные бекапы просто копирование, создание контрольньй суммы и последующие холодное хранение, диски можно разложить в разные геоточки.