Обновить

Комментарии 15

ЗакрепленныеЗакреплённые комментарии

Спасибо за комментарий. Я доработал скрипт и теперь в v0.2.0: При каждом Install генерируется новый набор параметров AmneziaWG Legacy: JC, JMIN, JMAX, S1, S2, H1–H4.

Docker на vps чтобы поднять серверную часть прокси? куда катиться этот мир...

Да, серверную часть можно поставить и без Docker — для опытного администратора это нормальный вариант. Но цель статьи другая: дать воспроизводимый способ, который не требует вручную разбирать зависимости, версии и порядок запуска сервисов.

Контейнер здесь не проксирует VPN-трафик: он работает в host-сети, а конфигурация и клиентские ключи хранятся на VDS. Зато установка, обновление и перенос получаются предсказуемыми. Для личного VDS это вполне практичный компромисс между «идеологически чисто» и «легко поддерживать».

Есть лайвхак (на самом деле просто реалии жизни) проверенный на практике: даете заранее заготовленный ssh курсору, кодексу или клауду, просите развернуть докер и скиньте ссылку на интересующий вас VPN. Далее за пару итераций он все сделает и вы сможете поменять пароль и спокойно пользоваться.

Да, для чистого VDS это вполне рабочий путь. Я бы даже дал агенту не абстрактную ссылку на VPN, а сразу репозиторий со сценарием установки: https://github.com/chelslava/amneziawg-vds-setup

Тогда задача сводится к: «разверни сервер по README, проверь SSH, healthcheck, HTTP-панель и UDP-порт». Скрипт задаёт повторяемый путь и экономит токены: агенту не нужно с нуля искать совместимый образ, собирать Docker-команду, вспоминать sysctl и придумывать проверки после установки.

Но я бы не передавал агенту постоянный root-пароль от рабочего сервера. Лучше взять свежий VDS, использовать временный доступ или отдельный SSH-ключ, а после установки оставить только ключевой доступ, ограничить firewall и сменить пароль панели. Так это действительно удобно, но без лишнего риска.

Да, тут именно речь под целевой VDS. Прод машину с кучей докеров конечно рискованно давать, если не делать бекапов. Но если есть риски и сложности с этим всегда можно развернуть в тестовой среде, проверить все, сделать скрипт деплоя той же llm и потом 1-2 командами все поднять самостоятельно. Передавать долгоживущие доступы, да еще и root действительно рискованно.

Я, конечно, извиняюсь. Но зачем такие сложности? В моем случае VPN поднялась еще проще

Скачать AmeziaWG, вбить root ssh доступ от сервера

Ну так себе вариант, а если через этот сервер начнут неизвестные личности что-то темное делать? Хорошо, если VPS куплен анонимно за крипту, а если - оплачен вами со своей карточки?

а как эти темные личности узнают креды ?

Руками блэкбокс от амнезии ставить не страшно, а автоматически через клиент страшно? =)

AmneziaWG обфусцирует WireGuard именно набором параметров Jc/Jmin/Jmax/S1/S2/H1–H4, и весь смысл – чтобы они были уникальными для вашего сервера. Если оставить значения по умолчанию из awg-easy, то со временем эта "уникальная" сигнатура становится общеизвестной, и DPI ловит её ровно так же, как чистый WireGuard. Так что первое действие после установки – сгенерировать свой набор параметров и синхронно прописать его и на сервере, и во всех .conf.

Спасибо за комментарий. Я доработал скрипт и теперь в v0.2.0: При каждом Install генерируется новый набор параметров AmneziaWG Legacy: JC, JMIN, JMAX, S1, S2, H1–H4.

Как это применить для Кинетика?

В Кинетиках есть встроенная поддержка AmneziaWG.

А почему выбран форк от YokiToki, а не оригинал от w0rng для wg-easy?

Я выбрал его по причине что он использует более свежую серверную часть amneziavpn/amneziawg-go вместо старого образа amneziavpn/amnezia-wg.

Мне было важнее, чтобы AmneziaWG внутри контейнера был актуальнее. У YokiToki есть и минус: он рассчитан на обычные x86_64 VDS, для ARM-сервера я бы выбрал другое решение.

Вариант w0rng не считаю плохим — особенно если он уже работает и всё устраивает. Здесь просто выбрал вариант, который лучше подошёл под свежий VDS и мой сценарий установки.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации