Комментарии 84
Жесть.
https://amnezia.org/ru От сервера требуется только ssh. От клиента смартфон.
От сервера требуется либо иметь докер в стандартной конфигурации, либо быть одного из нескольких дистрибутивов, для которых в программе есть сценарий, как его поставить.
А вот смартфон совсем не обязателен.
Поддерживаю. Плюс при использовании протокола amnezia wg скорость быстрее чем у outline
А ещё логи outline засрали систему полностью...
Долой outline
Так это не беда конкретного приложения. Грамотно настроенный logrotate решит проблему нехватки дискового пространства из-за логов не только outline, но и nginx, apache, и множества других приложений, включая даже syslog. Что-то из этого включено в дефолтный конфиг, а что-то придется добавить вручную. А насчет долой - это надо смотреть насколько легко outline блокируется на уровне протокола в сравнении с конкурирующими решениями.
Ну outline в любом случае ставится проще
Вопросы:
Поддерживает ли IPv6? Если поддерживает, то через NAT или напрямую?
Чем он лучше того же WireGuard кроме как настройки? Я имею в виду, есть ли у него обфускация трафика, которая затруднит определение трафика: ВПН/неВПН.
Есть ли клиент для серверной Ubuntu?
Это вроде голый OpenVPN.
Погуглил, пишут, что на основе Shadowsocks.
Тьфу, извините, с другим таким же попутал, ибо имя им - легион.
Еще больше погуглил. Кратко говоря, Outline мимикрирует под обычный HTTPS трафик.
IPv6 родной клиент вроде как не поддерживает. Но можно подключаться через Shadowsocks клиент, который умеет в IPv6. Получается, подключаться можно и через консольный Shadowsocks клиент с Ubuntu.
Нужно пробовать на практике.
И еще, кто пользуется клиентом для Андроида. У него есть исключения для определенных приложений, как в клиенте WireGuard?
Нет, но можно использовать обычный клиент для SS, там есть https://play.google.com/store/apps/details?id=com.github.shadowsocks
я не очень понял, а что за Outline? ну т.е. Ригу брал, Казань брал... OpenVPN знаю, WireGuard, XTLS знаю. Про Outline первый раз слышу. Что у него под капотом? Если уже рассказывали, то может стоило бы дать ссылку на материал в начале, чтобы понять о чём собственно речь.
Пока выглядит так, будто есть внешний центр сертификации, через который вы управляете выдачей ключей, и который при желании / наличии злой воли сможет в любую минуту их отозвать или выпустить свои. И всё это, вместо того, чтобы развернуть свой локальный ЦА, для полного контроля над сервером.
Использую Outline как Gui клиент под Линуксом для соединения с сервером Shadowsocks. Что он ещё умеет не в курсе, но с вышеупомянутым работает нормально.
Да, оказывается, год назад они починили (сломанный два года назад) клиент под Линукс (выпустили новый) :)
Насколько я помню, основная аудитория у Аутлайн это журналисты и прочие не сильно продвинутые технически личности, которым важна приватность. Аутлайн легко развернуть в публичных облаках и VPS (сайт даже даёт шорткаты на покупку виртуальной машины у разных провайдеров) и потом удобно шарить и отзывать ключи доступа. Под капотом там Shadowsocks. Разработка под крылом Google. После установки сервис становится полностью автономным и ни от каких внешних центров не зависит.
Насколько такая штука безопасна? (Вопрос от дилетанта экспертам)
На примере openVPN - ты разворачиваешь open source проект самостоятельно, сам сертификаты выпускаешь и т.д. Как бы есть небольшая уверенность в том, что твои данные не утекут.
В случае outline, ты пользуешься тёмной коробочкой от Google. Тут тоже вроде open source, но слишком всё просто без твоего участия настраивается. Смущает))
Увы, Shadowsocks сейчас крайне легко блокируется ISP, поэтому подойдёт только для временной замены.
Да и цена сервера в 400р примерно равна цене за платный впн.
у платного впн есть как плюсы: всё настроят за тебя, плюс (по хорошему) сделают несколько серверов в разных локациях, так и минусы: активные игроки привлекают к себе внимание и становятся мишенью для блокировок.
Частный сервер - конечно может попасть под тотальную блокировку "по протоколу", но вероятность, что будут бездоказательно блокировать впн к какому-то серверу не слишком велика, пока не ввели одобрительный порядок создания впн.
VPS - это на перспективу скорее. На него можно не только VPN поставить, но и, например, тот же FastApi или бота повесить. Есть свои плюсы и минусы
В 2 раза выше цены за платный VPN.
Я арендую за 1300 в год, так что с ценами всё по разному
Где сейчас "с порога" такая цена?
aeza.net
У них были промо-тарифы в Стокгольме. Брал себе в марте, пару недель назад он еще был активен. Сейчас проверил - активация такого тарифа уже приостановлена. Продление вроде бы по той же цене.
Есть еще weasel.cloud - там получается 240 р. в месяц, при оплате на год вперед.
Пока пользуемся SS, намеков на блоки нет даже в то время когда WG отваливался по всей России. Как залочат, будем решать.
Пока пользуемся SS
А что это, можно подробнее?
У вас ошибка выжившего. SS уже блокируется всеми мобильными операторами РФ. Правда, выборочно - по какой-то причине, не все подпадают под блокировку. Но от этого не легче.
У вас может ошибка выжившего, а 85 человек из пяти регионов РФ сидят на моих SS серверах и не имеют никаких проблем. Домашние, сотовые операторы, все разное
Вам не страшно раздавать доступ незнакомым людям со своего сервера?
Я понимаю ваш вопрос. Лично я не переживаю потому что:
Это не незнакомые люди
Я жестко ограничил маршрутизацию. Там только то что «популярно» у многих. Вот эта история с впн в обход всего - не ко мне. Как показала практика людям нужен тикток, еще кое что популярное, чатгпт и не тормозящие картинки на ютубчике + всякие фильмопомойки + нетфликс
В мае активно блокировали с мобильного провайдера Еле-2 (к VPN подключение шло, но интернет не работал).
С домашнего блокировок пока не замечал. Сейчас блокировку с еле-2 сняли, но нет гарантий, что не возобновят.
Пользуюсь outline давно, также пользовался purevpn платным. Последний частенько умирает,т.к. попадает в баны какие-то. А аутлайн как работал, так и работает. Скорость медленная, это да. Но как правило достаточно с ним пройти какой-то барьер, а потом отключать и все будет качаться/смотреться/играться без него.
Ну и при выборе хостера учитывайте, что некоторые провайдеры уже в бане у многих приложений. Например, aws - с его виртуалок, например, чатгпт или эпик стор вас не пустят - будут просить выключить впн
Работает на DigitalOcean уже 3й год без перерыва.
ssh usernamen@host (ip адресс сервера)
yes
Вот так слепо yes и всё? Live dangerous?
В данном контексте yes - это разрешение на сохранение SSH ключа на компьютере. Решил не тратить на это время, так как там понятно будет из контекста (в командной строке будет все написано)
Если вы не проверили серверный ключ ssh перед тем, как нажимать этот вот yes, то вы открыли возможность для выполнения MitM атаки, что естественным образом делает всю затею с ssh бесполезной фигнёй. Успешно внедрившийся к вам MitM root может делать с вашей машиной всё, то захочет, в том числе может сделать вам любые блокировки чего угодно, сдампить ваш трафик, подсунуть вам в трафик разные прикольные штуки, да и вообще всё.
Любое первое подключение по SSH будет спрашивать об этом. Каким образом пойдет MitM при условии что подключение идет к своему собственному VPS?
Как вы предлагаете проверить ключ у только что созданной VPS к которой впервые подключаетесь? Напомню, что если у злоумышленника нет публичного ключа вашего SSH key, то изобразить сервер он не сможет (почему и не стоит этим ключом где попало разбрасываться, и надо иметь разные ключи для ценных машин и одноразовых VPSок)
Как вы предлагаете проверить ключ у только что созданной VPS к которой впервые подключаетесь?
Обычно хостер дает возможность зайти на сервер не только через ssh но и через VNC. Заходите через VNC, логинитесь, делаете ssh-keygen -l -f /etc/ssh/ssh_host_ed25519_key, получаете слепок. Некоторые хостеры после развертывания виртуалки автоматически делают это за вас и потом пишут полученный слепок в панели управления виртуалкой.
если у злоумышленника нет публичного ключа вашего SSH key, то изобразить сервер он не сможет
Если вы не проверяете ключ своего сервера, то злоумышленнику он и не нужен вообще.
А если не предоставляет - то никак. Из вашего получается, что большинство VPSок давно взломаны.
Большинство провайдеров VPSок как раз дают юзеру консоль сервера. Я за 15 лет наадминил несколько сотен серверов у разных провайдеров, у меня вообще все 100% позволяли получить слепок так или иначе, и у меня эти слепки потом хранятся наравне с паролями и клиентскими ключами на моей стороне.
Вообще если проводить параллели, то работа по ssh без проверки ключа это все равно что работа с вебсайтом, который защищен самоподписанным сертификатом. Это не очень хорошая идея если вам есть что терять.
VPS может быть в РФ?
Вот тут тоже самое только за 1.5$. оплата РФ картами есть.
поздравляю, следующим шагом для вас будет открытие того факта, что а) есть бесплатный протон б) доступ к первому, пока не блокируется с любого российского хостера в) следствием из а) и б) будет что никакие xray, outline,... для этого не нужны
К сожалению, на данный момент нет ничего лучше, чем WireGuard. Скорость, производительность, простота настройки - на высоком уровне. Да и 400р/месяц звучит дорого для прокладки между устройством и свободным интернетом. Говорю как владелец VPN на WireGuard.
К сожалению, на данный момент нет ничего лучше, чем WireGuard.
Он уже блокировался, его можно не заморачиваться поднимать: когда понадобится - не поможет.
Оу, извиняюсь за то, что не уточнил, конечно, же я имею ввиду модифицированый WireGuard с защитой от DPI, а не чистый WireGuard.
Уступает.
Я лично тестил этот вопрос. Более того скажу что Vless + Reality уступает классическому SS
Если взять спидтестом прогнать трафик, то цифры очень похожие. Ну к примеру у вас 200мбит на впс, что WG, что Vless будет показывать скорость близкую к максимуму если сама VPS тянет.
Но стоит все таки внимательно смотреть не на макс скорость, а на Jitter и скорость пинга через эти протоколы…и вот тут самое интересное. Jitter на Vless - американские горки с запредельными значениями
Второе, что тоже важно - WG это все таки туннель. А это значит вы можете получить чистый HTTP/3 который улучшить комфорт и скорость доступа, особенно на мобильных операторах.
Как сказали выше, есть модифицированный против DPI. Вообще, насколько мне известно WG в РФ не блокируется. Т.е блокируют только тот который зарубеж уходит. Видимо после ковровых блокировок, решили подойти с головой чтобы не обрушить все нафиг.
Отсюда появляются интересные варианты - а именно WG туннель к себе в рф, там роутить трафик. А чтобы зарубеж еще один туннель с модификацией если нужно из первой точки
Это все очень сложно за сомнительный выхлоп. Полноценный VMESS/VLESS уже проще становится, не совсем понятно, зачем тогда городить огород.
Я чуть выше написал в чем суть. Я вот по своему опыту скажу, что маршрут LTE > WG Москва > еще один туннель WG Финляндия > нельзяграмм работает быстрее раза в 2 чем VMESS напрямую на финку с телефона. Просто из-за наличия HTTP/3 полноценного
При этом пинг с моего телефона в один момент времени до инсты через WG выше на 4-5мс чем через VMESS
Я говорю именно об ощущения, как лента грузиться и тд.
Но настройка всего этого - отдельная песня. Безусловно vless настроиьь быстрее чем различные таблицы маршрутизации + dnsmasq
После входа вас поприветствует ваш Linux.
Ага, пользователем root через SSH. Я только что с аналогичной дичью столкнулся. VPS в Нидерландах. Посмотрел на .ssh/authorized_keys. А там куча публичных ключей, видимо, сотрудников тех.поддержки. Причем, е-mail'ы, такие, русскоязычные. Думаю.
Действуете по инструкции, и получаете майнер работающий на вашем хостинге, буквально через несколько минут. Так что добавьте пару строчек про запрет подключений извне к докеру, а лучше на запрет всех подключений, кроме ssh (который хорошо бы ещё на нестандартный порт перенести) и самого ВПН сервера.
PS один ключ отлично может использоваться для нескольких одновременных подключений, это вам не WireGuard.
Здравствуйте!
Спасибо за вашу статью о создании собственного VPN. Информация действительно полезная, и я уверен, что многим читателям она пригодится.
Однако хочу обратить ваше внимание на возможное нарушение закона 149-ФЗ. В статье описывается способ обхода блокировок интернет-ресурсов, доступ к которым ограничен на территории Российской Федерации. Это может быть расценено как нарушение законодательства.
Закон 149-ФЗ, статья 15.1, пункт 5(1), предусматривает включение в реестр запрещённых ресурсов информации о способах обхода блокировок. Публикация такой информации может привести к юридическим последствиям как для автора, так и для платформы, на которой размещена статья.
Рекомендую проконсультироваться с юристом и рассмотреть возможность удаления или изменения статьи, чтобы избежать возможных проблем.
Благодарю за понимание и желаю успехов в вашей деятельности!
Благодарю за отзыв. Нужно задуматься)
Роскомнадзор, разлогинься.
Чем эта статья отличается от кучи других инструкций? Ну, даже на том же Дзене море статей на эту тематику.
Публикация такой информации может привести к юридическим последствиям как для автора
А можно вопрос: Каким образом это относится к автору? Его включат в реестр запрещённых ресурсов информации?
Изыди, нечисть.
>Одновременно один ключ можно использовать на одном устройстве!
Это неправда.
Outline спокойно детектируется и блокируется. Хотя ещё полгода назад такой проблемы не было.
Сервак в Эстонии, всё идеально. VLESS REALITY - маленький пинг и 550 руб/мес.
Спасибо автору. Всё оказалось гораздо проще чем казалось
Но есть вопрос:
Можно ли Outline настроить на ipv6 чтоб на каждый ключ выдавался свой айпишник?
Свой VPN за 5 минут (Outline)