Pull to refresh
17
0
Send message

А там вроде подумали над этим и добавили LoadCredential как вариант.

Но тут конечно уже слишком усложнять нет смысла, просто тот же systemd по поводу запущенных под nobody процессов будет периодически ругаться в syslog: "Special user nobody configured, this is not safe!".

User=nobody

systemd рекомендует использовать DynamicUser=yes вместо nobody.

Как альтернатива еще есть https://github.com/tnodir/fort

В нем конечно все еще нет режима "Ask to Connect" (есть в simplewall), но так даже немного проще, чем собирать выскакивающие окна на каждый чих.

Да, zerossl или letsencrypt.

Из интересного: разработчики собирают бинарники под довольно большой круг архитектур, в т.ч. и arm, поэтому hysteria2 можно запускать даже на роутерах (на примере OpenWRT):

root@AC2100:/opt/hysteria# ./hysteria-linux-mipsle version

░█░█░█░█░█▀▀░▀█▀░█▀▀░█▀▄░▀█▀░█▀█░░░▀▀▄
░█▀█░░█░░▀▀█░░█░░█▀▀░█▀▄░░█░░█▀█░░░▄▀░
░▀░▀░░▀░░▀▀▀░░▀░░▀▀▀░▀░▀░▀▀▀░▀░▀░░░▀▀▀

a powerful, lightning fast and censorship resistant proxy
Aperture Internet Laboratory <https://github.com/apernet>

Version:        v2.2.2
BuildDate:      2023-11-23T04:58:09Z
BuildType:      release
CommitHash:     f48a5edd39433f51647c3739e8fed3adae21525c
Platform:       linux
Architecture:   mipsle-sf

Но вот как там с QUIC, TLS последних версий, это надо пробовать. В теории должно работать, в моем роутере mbedtls quic не умеет, надо собирать отдельно с явной поддержкой.

Да, только что проверил, работает.

Используется challenge tls-alpn-01.

Еще одно дополнение в конфигурацию:

разработчики рекомендуют запрещать QUIC/HTTP3 внутри прокси, в конфигурации это как раз пример использования ACL:

acl:
  inline:
    - reject(all, udp/443)

После установки вам надо определиться со способом указания сертификата и приватного ключа домена: вы можете указать путь к уже имеющимся у вас файлам сертификата или позволить Hysteria автоматически получить (и продлевать) сертификат с помощью установленного скрипта acme.sh, указав домен и почту в файле конфигурации сервера.

не нужны никакие дополнительные acme.sh, hysteria2 уже имеет в своем составе встроенный ACME клиент (о его конфигурации ниже же и написано), абсолютно нет смысла дублировать функционал.

Все что нужно для получения сертификата, это секция "acme" в конфигурации и открытый порт 443/tcp (дефолтный, изменяемый). Для российских доменов нужно изменить параметр ca на letsencrypt, т.к. zerossl отказывается выдавать сертификаты на российские домены (RU точно).

HTTP-аутентификация задаётся так:

в этом блоке 2 типа аутентификации вообще указаны. command это отдельный 3 тип.

Для port hopping при использовании nftables можно использовать redirect в таблице nat, типа такого (при условии что hysteria2 запущена на дефолтном 443 порту и нет разделения на ip4/ip6):

udp dport 20000-50000 redirect to 443

Вы можете указать, какой DNS-сервер использовать для разрешения доменных имен в клиентских запросах.

судя по вопросам на GitHub, указать можно несколько, но использоваться будет только первый, а в случае его недоступности будет использован системный DNS (также он будет использоваться если не задавать dns в конфигурации вообще).

Ну в итоге Hysteria2 выглядит неплохо, работает тоже неплохо.

Но нужен незаблокированный провайдером QUIC (обходится использованием obfs) и лучше всего свой домен на который можно получать сертификат LE, иначе будут пляски с добавлением самоподписанных в доверенные.

РКН баловался блокировкой QUIC точно, блокировал все по белым спискам (vk.com в нем), дают ли еще где-то бесплатно домены - вопрос открытый.

Вот это неожиданно, обычно разработчикам Telegram глубоко плевать на отзывы пользователей по поводу изменений. Соотвествующий issue вообще был закрыт просто, а в итоге…

Никак: https://github.com/telegramdesktop/tdesktop/issues/26983

Собирать бинарник самому со старыми ресурсами из 4.10.2, скорее всего только это поможет.

Трей весь раскрыт всегда, привычка. То что можно отключить внутри ПО итак отключено.

Спасибо им конечно за новую иконку, но теперь у меня в трее 2 самолетика:

Не вижу возможности старую иконку вернуть :(

В смысле нет? Долгое удержание дефиса что на ios, что в gboard на Android дают на выбор все три варианта.

Можно, конечно, подумать, что гугл не ищет по файлообменникам

https://torrentfreak.com/google-now-censors-the-pirate-bay-isohunt-4shared-and-more-111123

он фильтрует/цензурирует выдачу по нему, еще с 2011 года видимо.

Есть слухи, что свое видение тайлинга присутствует у гнома в свежей версии убунты.

а точно в ubuntu?

Существует pop_os!, основанный на ubuntu, где поверх GNOME как раз навешан тайлинг. Не без проблем конечно, но работает вполне хорошо.

Я бы и сам хотел найти. Logitech взял последний раз только потому что цена была выгодная из всех вариантов (тупо за счет распродажи).

Единственное, что могу сказать по поводу беспроводной связи - она у Logitech действительно на высшем уровне, никаких проблем с беспроводом (рядом bt, wifi 2.4/5).

Logitech сейчас крайне никому не рекомендую, что мыши, что клавиатуры.

Качество у Logitech очень сильно просело в последние лет 5, и это за такую цену.

Конкретно у мышей: проблемы с энкодером мыши (прокрутка), реже с переключателями (кнопки мыши), ужасное покрытие пластика которое начинает стираться меньше чем через полгода использования, экономия на глайдах (ножках). Это все на личном опыте: G403, G PRO Wireless.

Information

Rating
Does not participate
Registered
Activity