Как стать автором
Обновить

Создаем свой VPN с защищенным от блокировок протоколом AmneziaWG, или WireGuard на максималках

Время на прочтение5 мин
Количество просмотров176K
Всего голосов 91: ↑89 и ↓2+111
Комментарии123

Комментарии 123

 Важно чтобы была операционная система Ubuntu (официально поддерживаемая версия - 22.04), или Debian 11. 

Это имеется в виду - минимум, или ТОЛЬКО ?

на Deb12 полёт нормальный

Самое интересное не упомянули - что протокол можно и без всего "комбайна" от Amnezia использовать, собрав из их репозиториев ровно два бинарника - wireguard-go отсюда и wg отсюда. Я потестировал немного - скорость впечатляет, если оно будет достаточно долго оставаться неблокируемым - это прямо спасение для тех случаев, где нужно быстро.

А как же мобильные девайсы?

Ну на мобильных ставьте весь "комбайн" :)

Лично меня это решение интересует именно для связи между серверами и роутерами, для конечных пользователей с моими потребностями голый Wireguard в любом случае не очень применим (SSO нет, 2FA нет, маршрутизация примитивная). Вот ещё собрать его под Микротик попробую (контейнер), если взлетит (пока собралось, но что-то не работает, надо время выделить)... Так что эта информация полезна для тех, у кого такие же потребности.

Если таки получится - опубликуйте контейнер, для связи между роутерами будет какой-никакой вариант.

Контейнер точно не опубликую, т.к. если у Микротика нет внешней памяти (USB-флэшки, например), а у меня нет, - то подмонтировать volume к контейнеру там физически нельзя. Поэтому я все конфиги буду зашивать внутрь контейнера, и под каждый роутер собирать его индивидуально. Но инструкцию опубликую, если взлетит.

Cloak до этого собрал и заработало, amnezia-wg пока по непонятным причинам молча вылетает сразу после старта. На микроте много не надиагностируешь, так что надо сделать виртуалку под armv7 (с моим Proxmox тот ещё секс) и позапускать на ней сначала. На днях соберусь точно, больно уж скорость понравилась. Cloak я после тестов не стал сразу внедрять, ибо пока не особо блокируют обычный WG, резать себе скорость добровольно не хочется. А тут можно и заранее подстраховаться.

P.S. Взлетело! Ну точнее wireguard-go взлетел, а wg не хочет, видимо я её кросс-компиляцией под armv7 какие-то косяки у меня (там gcc, а не go). Но раз wireguard-go заработал - то с wg точно разберусь, теоретически и без wg можно.

Можно поподробнее? В современных же микротах давно выпилен metarouter и что-то подцепить туда не получится. Или я отстал от жизни? Можно такое развернуть на hAP ac2?

Metarouter выпилен, зато завезли (несколько своеобычный, но почти полноценный) docker. См. документацию на эту фичу.

На hAP AC2, по идее, должно взлететь, т.к. ARM32, но требует USB-флэшку для хранения контейнеров (что логично, на встроенные 16 Мб не особо что влезло бы в любом случае). А вот насколько хватит RAM - другой вопрос. Я погоняю у себя, напишу, как оно с ресурсоёмкостью. У меня RB3011, гиг RAM и 128 Мб встроенного флэша, так что я без USB обхожусь (контейнер с amnezia-wg на базе Alpine - 9 Мб). Пока не могу понять, от добавления и старта контейнера объём использованной RAM, который показывает микрот, вообще никак не изменяется, что-то тут неладно.

P.S. Первые результаты - на RB3011 (2 ядра arm32 по 1,4 ГГц) при загрузке канала 30 Мбит/с использование CPU - 75-85%. Грустновато. В следующий раз соберу на роутере, у которого канал во внешний мир потолще, проверю, на какой скорости упрётся в потолок по CPU - но это явно будет даже не 100 Мбит/с, увы.

Пусть хоть так, все равно как резерв полезно. Смысл хотя бы в том, что на удаленных локациях использовать как резервный vpn для админов, на случай если постоянные линки на стандартных протоколах будут банить. Можно инструкцию for dummies? и для Cloak тоже было бы интересно. Si vis pacem, para bellum.

Грустновато, встроенный wireguard выдаёт сильно больше.

На hAP AC2 при нагрузке в 50 мегабит (в одну сторону) CPU загрузился на +20%, можно ожидать, что 200+ мегабит встроенный WG сможет выдать.

С другой стороны - как средство резервного доступа даже 10 мегабит хватит с запасом.

Попробовал на другом роутере, там 300 Мбит/с честных. Поднимаю amnezia-wg до сервера, с которым уже есть канал по обычному WG. В том же контейнере устанавливаю iperf и тестирую скорость к этому серверу в трёх вариантах:

  • напрямую по публичному IP без VPN - 195 Мбит/с, упирается в канал, CPU меньше 50%

  • через встроенный WG микротика - 85 Мбит/с, упирается, похоже, тоже в CPU, т.к. в пике подскакивает до 80%

  • через amnezia-wg - 32 Мбит/с, упирается в CPU практически сразу, больше 90%

Возможно, если iperf не с роутера запускать (он тоже нагружает), будет чуть лучше, это только в выходные смогу проверить. Но вряд ли сильно.

В общем, не тянет мой микрот эту вундервафлю никак :( У меня за этим VPNом частное файловое облако на много терабайт, которое могут несколько пользователей одновременно использовать, с 30 Мбит/с это печаль и страдания.

И что ещё плохо, что в микроте контейнеры можно ограничить по использованию памяти, но не по использованию CPU. Т.е. трафик идёт, использование CPU взлетает под 100%, и на микроте начинает тормозить (хорошо, если не вылетать), вообще всё, а не только amnezia-vpn. Тут разве что как-то шейпить трафик так, чтобы CPU гарантированно не перегружать, но это ещё ухудшит скорость.

А просто TLS между датацентрами не будет работать? VPN может иметь смысл для разного типа трафика, но, в основном , нешифрованного (включая SNI в TLS). Если все Ваше, то Вы можете напрямую использовать SSH и TLS (можно с ECH). Такая схема сейчас считается более современной учитывая большие скорости и ограничения оборудования VPN. (Естественно, все остальные предосторожности должны быть тоже, Zero Trust ).

Частично так и сделано, там, где какой-то софт на самом сервере общается с каким-то другим софтом на другом сервере (ну, скажем, зарубежный Proxmox бекапит свои виртуалки на российский и наоборот - там и HTTPS, и сами бекапы зашифрованы).

Но когда софт с компьютера пользователя, сидящего в офисе, обращается к сервису на моей зарубежной виртуалке, - сейчас это соединение маршрутизируется последовательно через офисный роутер, сервер в российском датацентре, сервер в зарубежном датацентре и ту самую виртуалку с нужным сервисом. При этом там таких виртуалок и серверов дюжина. Тут надо изрядно извратиться, чтобы всё это организовать без VPN.

Опять же, сейчас есть две точки входа во внутреннюю сеть - VPN для мобильных пользователей и офисный / домашний Wi-Fi, - каждую из которых достаточно просто настроить использовать LDAP/Radius, 2FA, обеспечить мониторинг и т.п. Отдельные сервисы с этим всем работать или в принципе не могут, или настройка нетривиальная, да и поверхность для атаки расширяется.

Можно, конечно, заставить пользователей и в офисе/дома подключаться через VPN, сняв нагрузку с роутера. Но как пользователь из дома будет, скажем, на офисный принтер документы на печать отправлять без VPN на роутере? Никак. Так что какое-то стойкое к блокировке решение для роутерного VPN всё равно нужно. Хотя если совсем прижмёт, то максимум трафика придётся отправлять в обход него, да.

А есть какой-то мануал? На 4011 накатить попробовать

а разве переменными нельзя передавать в контейнер у микротика ?

Можно, я уже подумал. Там оно несколько своеобычно реализовано, переменные, которые задаются в конфиге микрота, доступны только для команд RUN в Dockerfile, но не в environment запущенного контейнера. Но можно в Dockerfile сформировать длиннющую строчку конфигурации, которую через RUN отправить в сокет, созданный wireguard-go. В общем, реально, буду делать.

где-то будет публикация ?

Сначала надо бы доделать :) Потом постараюсь собрать все мысли в кучку и хотя бы здесь в комментариях отметиться, ну или пост сделать, если потянет на пост.

так если у вас есть прокс, не проще ли поднять на нем полноценную виртуалку для этих экспериментов?

я раньше до выхода ros7 так поступал с обычным ваергардом:

2 сетевые на вм (по одной прилетает то что проброшено с мира, а вторая обратно на крота тип локалка)

и на кроте кнал на вм как второй провайдер настраивал

как мне кажется скорость будет сильно приятней чем контейнеры даже на самых жирных микротах

Так ведь вопрос, на чём реализовать канал от микрота до этой самой виртуалки. Сейчас и так российские пользователи коннектятся к российскому серверу, а тот уже к нероссийскому, между серверами проще протокол менять хоть раз в неделю. Но внутрироссийские VPN, судя по отчётам, тоже блокируют прекрасно, и от этого риска надо как-то страховаться. Или SSTP (тормоза), или что-то в контейнере (пока что тоже тормоза, продолжаю эксперименты), или Raspberry Pi какой-нибудь на двусторонний скотч к этому микроту приклеить и через него VPN гонять (но тут неплохо бы рядом с тем микротом физически находиться, чтобы это сделать, а у меня их 4 штуки в разных городах и странах, в некоторых из которых я точно не планирую появляться в обозримом будущем).

У вас в гитхаб название Mikrotik с ошибками

Спасибо, поправлю. Дислексия, штука веселая

С обычным WG сервером может работать конфигурация AmneziaWG в которой установлены Jc, Jmin, Jmax, а остальные поля нулевые. Таким образом клиент AWG будет просто посылать мусорные пакеты перед init пакетами, что абсолютно не влияет на работу протокола WG, но может сбить с толку DPI.

Вот такое пишут.

Ага да, с рекламой на хабре оно будет ооочень долго оставаться неблокируемым

НЛО прилетело и опубликовало эту надпись здесь

не знаю, ибо не пробовал, но хочется ляпнуть:
- возможно очепятка, и поздразумевался относительный путь `./amnezia-wg`
- либо, может быть бинарь должен был появиться в `GOPATH/bin`, который не присутствует в PATH

НЛО прилетело и опубликовало эту надпись здесь

Вообще там бинарник wireguard-go собирается, а не amnezia-wg. Но после вот этого "simply run" как раз и начинаются главные пляски с бубном :)

На мой взгляд, вы используете не самый удачный подход. Вы обфусцируете данные, чтобы трафик выглядел как случайный набор чисел. И это плохо, потому что это вас выделяет на фоне других пользователей, у которых 99% трафика это HTTPS к вконтакте, пикабу, ютубу и другим популярным сайтам. У них HTTPS, а у вас какой-то обфусцированный трафик.

Мне кажется, лучше максировать трафик, чтобы он был неотличим (без тщательного ручного анализа) от HTTPS, который передает Chrome. Сделайте заголовки как у HTTPS 2.0 или 3.0, но после установки SSL передавайте внутри свои данные. Чтобы меньше выделяться, также шлите запросы на топ-100 популярных сайтов. Или маскируйтесь под трафик от приложений, от популярных игр вроде Counter Strike.

Еще под Телеграм хорошо максироваться, потому что он использует свое кастомное шифрование и использует (в отличие от других) IP из сторонних сетей.

Что скажете?

Пользуюсь, полёт нормальный (выбрал форк X-UI). От ПК на любой системе до мобилок. Сотня своих абонентов. Сервер крутится в контейнере на VPS у Hukot в Чехии. На ПК настройка слегка нетривиальная для домохозяйки на каноничном клиенте, поэтому записал видеоинструкции, для мобилок на всякий случай тоже. Вопросов не было, скорость улёт. Торренты и реклама блокирутся, поэтому шанс получить бан на VPS нулёвый. Эксплуатирую прям с момента публикации статьи - очень стабильно работает. В общем, искал костыльное подвальное дерьмо, а нашёл очень крепкий и неотличимый от HTTPS алмаз!

А можно "улёт" конкретизировать в цифрах? Описываемый в посте amnezia-wg у меня в тестах выдал 600 Мбит/с (между серверами 40 мс, без любого VPN скорость незначительно больше). В целом, 200-300 я бы пережил, меньше уже печаль.

У меня с домашнего интернета (сервер на самый дешёвый digital ocean тариф поставил) 600 мегабит спидтест показывает. Пинг 30-40.

Это про какой сейчас протокол? X-Ray? И через TCP так летает? Поразительно...

НЛО прилетело и опубликовало эту надпись здесь

Выше 100 Мбит/сек не выдавал, потому что у меня был провайдер на 100 Мбит/сек. Как только подключат 500 Мбит/сек, проверю ещё раз.

Ну если 100 Мбит/с вытягивает без видимого падения скорости - это уже прекрасно, значит с 500 тоже если и упадёт, то не в разы. Надо тоже протестировать, спасибо.

НЛО прилетело и опубликовало эту надпись здесь

Мельком что-то видел про них - статьи писал кто-то, ага.

К сожалению, база пользователей (родственники, друзья, знакомые) уже давно набрана, и они совершенно не готовы проходить процесс добавления нового VPN.

Уверен, эти Hiddify и прочие проекты не имеют механизмов бесшовной миграции юзеров какого-нибудь X-UI, чтобы у конечного юзера вообще ничего не отвалилось.

Так что сидим на том, на что подсели впервые. Пока довольны. Если гром грянет - разверну что-то более однокнопочное. Пусть будет Hiddify.

НЛО прилетело и опубликовало эту надпись здесь

Понял. Спасибо. Обновлю инструкции для юзеров, добавлю вариант Hiddify

Так это же разные задачи. Туннель через TCP, да ещё и со всеми этими реверансами, безумно медленный по определению. Как уже отметили, таких решений тоже хватает, и для конечного пользователя, которому через VPN только в инсту заглянуть, они вполне ОК.

А вот ниша решений для обеспечения неблокируемой и при этом быстрой связи со своими зарубежными серверами пока была пуста, этот протокол внушает надежду. Да, его наверняка можно научиться блокировать, но пока и обычные-то VPN в массе своей работают, так что пока до таких извращений руки доберутся... а там, глядишь, то ли осёл, то ли падишах... :)

P.S. Да, забыл, ещё же какой плюс в этом протоколе. WG - это mesh, где можно десять пиров объединить в сеть "каждый к каждому". На основе китайских TCP туннелей такое построить вообще никак не получится. Опять же, для сценария "конечные пользователи ходят к запрещённому через один сервер" оно не очень полезно, а вот для сценария "объединить в сеть несколько площадок одной организации в России и несколько за границей" - очень даже.

HTTPS - это TCP. Маскироваться надо под WebRTC (DTLS + SRTP + STUN).

А его не блокируют? Мне кажется, что в любой непонятной ситуации блокировать будут все, кроме HTTPS.

А как же QUIC

HTTP/3 это и есть UDP+QUIC

Точнее, не забанен только для белых

НЛО прилетело и опубликовало эту надпись здесь

Это вы описали протоколы VLESS и Cloak. Последняя, кстати, есть в Амнезии.

Мне кажется, лучше максировать трафик, чтобы он был неотличим (без тщательного ручного анализа) от HTTPS, который передает Chrome.

Есть готовое решение naiveproxy, писал здесь https://habr.com/ru/articles/764812/

Да, Вы правы. У всех этих "неблокируемых" протоколов есть общая проблема, они не шифруются под обычный HTTPS.

Незнаю как они и что тестировали в туркменистане, но при массовом исопльзовании это всё вычисляется и банится.

Так что пока реально спасает только xray vless

Спасибо и за нужный людям проект, и за статью. Но у меня есть пара замечаний к Амнезии. Зачем такой комбайн протоколов, большинство из которых легко и непринужденно блокируется с минимальными усилиями (а некоторые уже заведомо давно заблокированы в ряде стран)? Раз задача проекта - обход цензуры, то можно было не распылять усилия и сразу сосредоточиться на предназначенных для этого инструментах.

Бегло поглядел инструкцию по установке - напрягает необходимость вводить куда-то логин и пароль к серверу. У конкурентов на букву "O" всё ставится одной командой из консоли без каких-либо паролей. Пока мне их подход кажется более логичным. Они базируются на одном только Shadowsocks, но всячески дорабатывают свою реализацию, как только её где-то удаётся заблокировать.

У конкурентов на букву O всё ещё трекинг юзеров и глубокая гугловская аналитика - https://habrastorage.org/r/w1560/webt/ja/cv/qn/jacvqnbw6tqnqc16kyjyqqlcrzo.png

Зачем кучу протоколов - в 4й версии технически два протокола - AWG и OpenVPN. AWG дает в режиме совместимости WG, а OpenVPN в режиме Pluggable Transport даёт связку с Cloak.

По вводу пароля - был аудит от 7ASecurity - не доверяете - форкните на гитхабе репу, запустите actions - и у вас будет своя сборка.

Да вообще, а в чем разница по секурности между вбить креденшелсы сервера в ui клиента, или запустить непонятный скрипт установки сразу на сервере? Видимо только в бренде ))

дело может быть не в доверии и не в секурности (решается просто сменой пароля/ключа на временные)
Не хватает прозрачности что ваш деплоймент скрипт конкретно делает
Просто есть опасение, что ваш сценарий установки что-то нужное работающее поломает

Скажем, есть у меня уже VPS с давно настроенными работающими полезными мне и друзьям-знакомым сервисами включая тот же WG кстати и теперь я хочу попробовать ваш чудо-проект поставить потестировать
И нет у меня уверенности что мой работающий WG работать перестанет и конфиги с ключами всех акков не исчезнут

Могу, конечно, чистую VPS-ку под это дело выпустить за условные $5,
но я б лучше эту денежку вам задонатил

И кстати, которую репу предлагаете форкать? Откуда там у вас деплоймент деплоится?

Только что поставил себе вайргуард через амнезию на сервер, где уже был вйргаурд. Работает и тот и тот)

Порт просто другой выбрал да и все.

спасибо

Вообще, для меня логин пароли от серверов это как пин код от банковской карты. Я привык вводить только в консоль для подключения по ssh. Даже ssh клиентам не очень доверяю.

И если все равно придется возиться с консолью, для установки сервера, то почему не сделать простое консольное меню и гайд как им пользоваться, чем требовать пароли доступа к серверу.

НЛО прилетело и опубликовало эту надпись здесь

Для неопытных (которые купили новый дешевый VPS который им ценен как 5 баксов) это хорошо. Для опытных, это что-то вроде "суньте яйца в наш безопасный яйцеприемник, чтобы мы идентифицировали вас и дали вам скидку на поездку в метро".

То, что команда амнезии борется с РКН и старается - молодцы. Но я бы скорее по простой хаутушке сделал 3-4 команды, или подключил APT репозиторий и ввел apt-get, чем "сунь яйца, нажми кнопку и доверься, что мы нигде не накосячили, а сервер полностью соответствует нашим ожиданиям".

в чем разница по секурности между вбить креденшелсы сервера в ui клиента, или запустить непонятный скрипт установки сразу на сервере

Если credentials не давать, то они никуда не утекут. Но да, в обоих случаях на сервере может появиться дыра (а сам сервер встать в стройные ряды ботнета), вот тут разницы нет.

Ну мне, скажем, идеологически что Amnezia, что Outline не заходят вообще никак, потому что не люблю чёрные ящики, которые что-то там делают за меня и выдают в итоге типовой сетап, который для меня совершенно непригоден. Ну так я и не есть ЦА данных проектов - они для обеспечения массового доступа к VPN тем, кто собрать его из кирпичиков сам не может / не хочет.

Но главное-то, что в данном случае Amnezia как раз сделала совсем другую штуку - выпустила новый протокол (ну ОК, новую реализацию протокола), который в качестве того самого кирпичика можно взять у них отдельно и использовать для себя как угодно, ни разу не сталкиваясь со всеми этими комбайнами, требующими что-то куда-то вбивать. За что им безграничный респект.

ну ящик то не черный
зайдете потом на свою VPS-ку и все увидите какие контейнеры с какмими параметрами запущены
поэтому тем более непонятно почему не предоставить инструкцию для самостоятельного деплоя

и реализация нового протокола тоже никуда не прячется - исходники открыты

Скажите, автоматизация в Командах поддерживается для iOS приложения?

Я же правильно понимаю что если на сервере - обычный wireguard то работать это уже не будет? И работает это даже на Linux - через tun-адаптеры а не ядерный модуль?

в их телеге нашел скрин
там запускается 4 докер-контейнера
и контейнер amnezia-wg запускается на стандартном порту 51820
не знаю учитывает ли скрипт деплоя такой сценарий что WG на хосте уже есть чтоб сменить порт контейнера, но если нет, то их контейнер просто не запустится, а ваш WG продолжит работать

Порт рандомный при установке предлагается

Выше в комментариях писали, с какими параметрами оно работает с обычным WG, за счёт снижения шансов, что такой совсем немного изменённый протокол не будет заблокирован.

Но смысл? Как раз на сервере, в отличие от клиентских устройств и роутеров, собрать amnezia-wg не составляет проблем. Но да, работать будет в userspace. По моим тестам (см. ветку комментариев выше), это имеет значимое влияние только на дохлых роутерных 32-битных CPU.

Спасибо за труды =)
Было бы круто, если бы под openWrt завезли пакетик...

Спасибо за продукт! Вы делаете очень важное дело. Пара моментов: новое приложение не позволяет добавить сервер, зависает на после выбора способа. Откатился на старое...

Из хотелок: v2ray в shadowsocks, поддержка pac-листов (или иная синхронизация с роскомсвободой), туннелирование для отдельных приложений. Из-за последних моментов пока использую приложение shadow socks через сервер на amnezia.

А так - очень здорово, еще раз большое спасибо!

Мобильные клиенты сделаны на основе официальных опенсорсных клиентов Wireguard?

В двух словах... есть ли смысл вообще вникать мне?

Linux роутер подключается к нескольким хостам через wireguard (На конечных клиентах ничего нет, только на роутере разруливается кого куда пускать - кого напрямую, кого через какой из vpn туннелей). После начала блокировок добавил прослойку в виде cloak. С тех пор все просто работает себе...

Но тут говорят про какие-то мегаскорости. Не пойму, будет еще быстрей чем сейчас wireguard+cloak? Или также +/-?

Смотря какие у Вас сейчас скорости с Cloak, какие хочется и какой роутер.

У меня Cloak приводил к серьёзному замедлению, amnezia-wg почти нативную скорость выдаёт. Но это между серверами. На роутере можно упереться не в механику протокола, а в CPU роутера, и разницы не будет.

Вот это и хотел уточнить... т.е. cloak всеж медленней. Придется пробовать :(

Не обращал особо внимания т.к. через vpn идут единичные маршруты, основной траффик напрямую. И интернет канал сейчас не очень в целом чтоб что-либо замерять.

Роутер более-менее вроде:

Но в том и проблема - увидеть на нем cpu нагрузку от vpn'ов нереально, на нуле все время :)

Замерил только что по-быстрому:

Напрямую 90/90 https://www.speedtest.net/result/15430950708

Через vpn 60/80 https://www.speedtest.net/result/15430973121

Т.е. скорость всеж не дотягивает до полной ширины канала. Но при этом процессоры на обоих концах точно не причина.

Ну Xeon шестиядерный и 64 Гб RAM - это уже не роутер :) Я про еле живые 32-битные ARMы говорил (а то и MIPSы под какой-нибудь OpenWRT). На даже старых, но полноценных Xeon'ах у меня на скорости 500-600 Мбит/с загрузка в пределах единиц процентов.

Надо погонять тесты ещё на разных каналах, т.к. с Cloak падение скорости там точно нелинейное, если с 90 падает до 60, не факт, что с гига упадёт пропорционально до 666, скорее всего гораздо хуже. И я предпочитаю iperf, т.к. со спидтестом часто провайдеры мутят (приоретизируют трафик к своим тестовым серверам для своих пользователей, режут для чужих), данные непоказательные. Я на выходных попробую на двух серверах при прочих равных условиях сравнить варианты напрямую/обычный WG/amnezia-wg/Cloak/может быть, ещё Xray какой-нибудь. И то же самое, но когда с одной стороны Микротик (тут уже и на CPU надо смотреть, не только на скорость).

Сгенерить конфиг для подключения к имеющемуся серверу можно?
А то есть сервер openvpn + cloak и было бы неплохо к нему ещё и мобильных клиентов подключить, дабы, к примеру, пустить к внутренней телефонии.

У меня отключен доступ по паролю. Будет ли работать, если я включу доступ по паролю, а после установки отключу? Есть ли более подробная инструкция, как подключить к своему серверу других людей?

По ssh ключу тоже должно работать

Кроме нового протокола, Amnezia 4 версии кардинально отличается от предыдущих версий дизайном. 

jfyi - https://amnezia-web.vercel.app/ru/downloads здесь в ссылках на загрузку win/linux/macos/github идёт версия 3, 4-ку нашёл только на https://github.com/amnezia-vpn/amnezia-client/releases

Зачем вы ходите на бета версию сайта? Она в индекс чтоли попала?

amnezia.org

Ошибка, заменил ссылки. Спасибо что написали.

Сколько еще статей будет написано про Outline'ноподобные ВПН? Какой в них смысл?

НЛО прилетело и опубликовало эту надпись здесь

Смысл что есть потребность в таком. Даже для тех кто может если потребуется и более сложное что-то настроить. Как просто и массовое решение. Тем более - решение на базе wireguard с почти-родной производительностью.

Смысл - сохранить как можно больше статей, пока их не потерли.

Мне интересно, с точки зрения безопасности, как можно вводить пароль root от сервера в каком-то непроверенном приложении?

Или, может быть, есть какие-то альтернативные способы установки сего чудесного vpn сервера?

НЛО прилетело и опубликовало эту надпись здесь

Да вообще, а в чем разница по секурности между вбить креденшелсы сервера в ui клиента, или запустить непонятный скрипт установки сразу на сервере? 

Никакой разницы. Вот и боязно.

Ну вот для кого я выше в комментариях уже целый роман написал о том, как без всяких паролей рута и пр. собрать из исходников один (!) бинарник wireguard-go хоть для сервера, хоть вообще для роутера, и дальше настраивать подключения штатным для wireguard способом :)

"Как без всяких" я и так знаю. Интересен именно этот подход.

Ну если Вы знаете (и я знаю), как сделать без всяких, то, очевидно, что этот подход не для Вас (и не для меня) :)

Вам по сути вопроса есть что сказать?

Этот подход для тех, кому либо абсолютно пофигу на "безопасность" убогой впски за 5 баксов в месяц, или для тех, кто доверяет открытому коду (и может быть даже его посмотрел).

Спасибо за ваш проект, развернул предыдущий вариант рядом с обычным ваергардом. Может и этот опробуем. Нестандартный вопрос - нет ли простого варианта как установить клиент на андроид телик (обычная hdmi флешка). Wireguard так из магазина вполне встал, а вот любые клиенты под андроид от вас уже нет

с интересом наблюдаю за поиском технических способов обойти ограничения РКН и удивляюсь наивности граждан РФ. вопрос с VPN будет решен на законодательном уровне, а не техническом. сделают статью 123 со сроком заключения от 10 лет и все. дальше вы сами решаете - играть в эту рулетку со своей жизню и судьбыми своих близких или нет...

НЛО прилетело и опубликовало эту надпись здесь
  1. Если могут сделать (и ничего не мешает) - почему не сделали раньше?

  2. Если что-то мешает - может оно и дальше будет мешать?

  3. Если сделают - вот тогда и будем тонуть, а пока поплаваем.

Превентивно сдаваться из-за выдуманных гипотетических проблем, которые может быть случатся, а может не случатся - нерационально.

НЛО прилетело и опубликовало эту надпись здесь

Был бы человек, а статья найдется!

На пк amnezia вылетает при установке любого протокола, хз что делать с этим

Добрый день, в статье вы указали, что покупать VPS можно у любого провайдера. Соответственно, если купить сервер в РФ, он будет работать? По логике нет, а если вы изобрели такой протокол, который перемещает сервер физически, то аплодирую стоя.

НЛО прилетело и опубликовало эту надпись здесь

Я указал на неточность текста в статье

По логике как раз будет. Будет вполне нормальный VPN с сервером в РФ. Иногда такие даже нужны, чтобы заходить на российские сайты из-за границы.

Ну мы же с вами все понимаем, что VPN в наши времена используется по большей части для обхода блокировок.


...ведь понимаем же?

Я указал на неточность

вашего замечания о неточности.

При включении ВПН большой кнопкой, полностью отрубается доступ в локальную сеть. Не похоже на ВПН для чайников. Разбираться теперь с маршрутизацией и приоритетами, что ли?

НЛО прилетело и опубликовало эту надпись здесь

Покупаем любой VPS у любого хостинг провайдера. Важно чтобы была операционная система Ubuntu (официально поддерживаемая версия — 22.04), или Debian 11. Вот тут есть пошаговые инструкции в качестве примера, но вы можете выбрать любой другой.

Прохожу по ссылке "тут" и получаю ошибку:
404: NOT_FOUND Code: DEPLOYMENT_NOT_FOUND ID: fra1::glxw4-1698589174999-e242efd92cc2
This deployment cannot be found. For more information and troubleshooting, see our documentation.

У приложения wg (и не только) на андроиде можно добавить значок wg в шторку.
По тапу на него подключается/отключается последнее впн соединение.
Вы не представляете как это удобно и как этого у вас не хватает)

Мне кажется, что чеклист в РКН (+прочих спец.служб) выглядит примерно так:
1. Вводим блокировки. Заставляем людей массово перейти на VPN.
2. Блокируем частично разные VPN. Заставляем людей искать альтернативные решения.
3. Выпускаем свое универсальное приложение по обходу всех блокировок. Все под колпаком. Профит.

*опционально: собираем инфу о vps-хостингах (с дата-центрами не из РФ) для возможности дальнейшей тотальной блокировки при необходимости.

Может кому-то пригодится. Запилил Add on для HomeAssistant на базе стандартного аддона WireGuard но с Amnesia WG

https://github.com/yury-sannikov/addon-amnezia-wireguard

Так-же поднял у себя на Микротике контейнер с Амнезией

https://github.com/yury-sannikov/amnezia-wg-docker

Сейчас работает в связке как резерв для IPSec для соединения домашних сетей в разных странах.

Не понимаю, почему до сих пор нет клиента для OpenWRT? Очевидно же, что вам критически важно поддерживать работу клиентов на самой популярной прошивке для роутеров!

Не думаю, что команде, разрабатывающей бесплатный продукт это критически важно. Если есть желание, можно попробовать сделать пакет вместе.

Верным путем идете, товарищи ))

Еще бы поддержку роутеров добавить и килл-свитч, и стало бы вообще хорошо.

Не могу найти как поднять прокси через http или socks, чтобы не гонять весь трафик через сервер

Докер контейнер делать?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий