Comments 15
После установки вам надо определиться со способом указания сертификата и приватного ключа домена: вы можете указать путь к уже имеющимся у вас файлам сертификата или позволить Hysteria автоматически получить (и продлевать) сертификат с помощью установленного скрипта acme.sh, указав домен и почту в файле конфигурации сервера.
не нужны никакие дополнительные acme.sh, hysteria2 уже имеет в своем составе встроенный ACME клиент (о его конфигурации ниже же и написано), абсолютно нет смысла дублировать функционал.
Все что нужно для получения сертификата, это секция "acme" в конфигурации и открытый порт 443/tcp (дефолтный, изменяемый). Для российских доменов нужно изменить параметр ca на letsencrypt, т.к. zerossl отказывается выдавать сертификаты на российские домены (RU точно).
HTTP-аутентификация задаётся так:
в этом блоке 2 типа аутентификации вообще указаны. command это отдельный 3 тип.
Для port hopping при использовании nftables можно использовать redirect в таблице nat, типа такого (при условии что hysteria2 запущена на дефолтном 443 порту и нет разделения на ip4/ip6):
udp dport 20000-50000 redirect to 443
Вы можете указать, какой DNS-сервер использовать для разрешения доменных имен в клиентских запросах.
судя по вопросам на GitHub, указать можно несколько, но использоваться будет только первый, а в случае его недоступности будет использован системный DNS (также он будет использоваться если не задавать dns в конфигурации вообще).
Ну в итоге Hysteria2 выглядит неплохо, работает тоже неплохо.
Но нужен незаблокированный провайдером QUIC (обходится использованием obfs) и лучше всего свой домен на который можно получать сертификат LE, иначе будут пляски с добавлением самоподписанных в доверенные.
РКН баловался блокировкой QUIC точно, блокировал все по белым спискам (vk.com в нем), дают ли еще где-то бесплатно домены - вопрос открытый.
Для Hysteria пока нет никаких панелей...
Иранская панель Hiddify-manager вроде как поддерживает Hysteria2.
(по крайней мере тег `hysteria2` стоит у них на гитхабе)
Интересно
После установки вам надо определиться со способом указания сертификата и приватного ключа домена: вы можете указать путь к уже имеющимся у вас файлам сертификата или позволить Hysteria автоматически получить (и продлевать) сертификат с помощью установленного скрипта acme.sh, указав домен и почту в файле конфигурации сервера.
не нужны никакие дополнительные acme.sh, hysteria2 уже имеет в своем составе встроенный ACME клиент (о его конфигурации ниже же и написано), абсолютно нет смысла дублировать функционал.
Все что нужно для получения сертификата, это секция "acme" в конфигурации и открытый порт 443/tcp (дефолтный, изменяемый). Для российских доменов нужно изменить параметр ca на letsencrypt, т.к. zerossl отказывается выдавать сертификаты на российские домены (RU точно).
HTTP-аутентификация задаётся так:
в этом блоке 2 типа аутентификации вообще указаны. command это отдельный 3 тип.
Для port hopping при использовании nftables можно использовать redirect в таблице nat, типа такого (при условии что hysteria2 запущена на дефолтном 443 порту и нет разделения на ip4/ip6):
udp dport 20000-50000 redirect to 443
Вы можете указать, какой DNS-сервер использовать для разрешения доменных имен в клиентских запросах.
судя по вопросам на GitHub, указать можно несколько, но использоваться будет только первый, а в случае его недоступности будет использован системный DNS (также он будет использоваться если не задавать dns в конфигурации вообще).
Ну в итоге Hysteria2 выглядит неплохо, работает тоже неплохо.
Но нужен незаблокированный провайдером QUIC (обходится использованием obfs) и лучше всего свой домен на который можно получать сертификат LE, иначе будут пляски с добавлением самоподписанных в доверенные.
РКН баловался блокировкой QUIC точно, блокировал все по белым спискам (vk.com в нем), дают ли еще где-то бесплатно домены - вопрос открытый.
Еще одно дополнение в конфигурацию:
разработчики рекомендуют запрещать QUIC/HTTP3 внутри прокси, в конфигурации это как раз пример использования ACL:
acl:
inline:
- reject(all, udp/443)Из интересного: разработчики собирают бинарники под довольно большой круг архитектур, в т.ч. и arm, поэтому hysteria2 можно запускать даже на роутерах (на примере OpenWRT):
root@AC2100:/opt/hysteria# ./hysteria-linux-mipsle version
░█░█░█░█░█▀▀░▀█▀░█▀▀░█▀▄░▀█▀░█▀█░░░▀▀▄
░█▀█░░█░░▀▀█░░█░░█▀▀░█▀▄░░█░░█▀█░░░▄▀░
░▀░▀░░▀░░▀▀▀░░▀░░▀▀▀░▀░▀░▀▀▀░▀░▀░░░▀▀▀
a powerful, lightning fast and censorship resistant proxy
Aperture Internet Laboratory <https://github.com/apernet>
Version: v2.2.2
BuildDate: 2023-11-23T04:58:09Z
BuildType: release
CommitHash: f48a5edd39433f51647c3739e8fed3adae21525c
Platform: linux
Architecture: mipsle-sfНо вот как там с QUIC, TLS последних версий, это надо пробовать. В теории должно работать, в моем роутере mbedtls quic не умеет, надо собирать отдельно с явной поддержкой.
Спасибо за статью, как раз в дополнение с 3X-UI c Shadowsocks-2022 и VLESS-Realty (боевая система) и X-UI/Marzban (там все остальное для тестов всякие Trojan, VMESS и пр. с gRPC / Websockets / mKCP транспортами) хотел поиграться c Hiddify-Manager и Hysteria2.
Но какие плюсы по сравнению с SS-2022 в РФ?
QUIC массово блокируется, а с доп. обфускацией OBFS теряется сам смысл - выглядит так же, шифрованный поток данных, непохожий ни на что.
И недавние события в Дагестане, показали, что такое полностью блокируют (там блокировали только TCP, но и с UDP провернуть это несложно).
По скорости / загрузке на слабом железе есть приемущества?
Пока остановился на XRay с SS-2022 и Realty для боевого применения, в планах еще вебсокеты через CDN добавить.
UPD. С сертификатами у них очень удобно сделано из коробки, в 3X-UI хотели подобное сделать, но там свой путь.
А домены можно по 0.55 в regway брать в неограниченных количествах (и крипту и карты РФ и ЯД принимают), дешевле нигде не видел.
@Stanner это тонкий намек, что странно бороться с блокировками в РФ, но советовать покупать домены в РегРу.
В компании, которая:
с некоторых пор принадлежит специально назначенному порулить доменами Рунета самизнаетекем человеку;
всячески поддерживает "суверенитезацию" интернета, обязательный СОРМ для РФ хостеров с 1 декабря (а другой рукой рассылает им предложения купить их бизнес за копейки, пока не поздно) и пр.;
успех бизнеса которой и при старых владельцах напрямую был связан с ЕР и которая использовала админресурс в бизнесе.
QUICK у меня cейчас чаще всего работает (проверяю на https://quic.nginx.org/quic.html, например)
Будут блокировки QUICK - включим обфускацию и проброс портов (port hopping) с большим диапазоном.
Ну и другие протоколы нам в помощь, не будем держать все яйца в одной корзине ;)
По регистрации - подправил, когда разбираться начал с Hysteria - зарегистрировал по быстрому просто для тестов. Если делать по правильному - то нужно и VPS, и домен офорлять анонимно на зарубежных сайтах.
подскажите, на дефолтном конфиге, поменял только порт, при подключении клиента начинают сыпаться ошибки типа, через какое-то время истерия перестает работать. клиент Shadowrocket
TCP error {"addr": "***:51636", "id": "ipad", "reqAddr": "***:8080", "error": "readfrom tcp4 "my__ip":58424->***:8080: stream 188 canceled by remote with error code 0"}
Установка и настройка Hysteria