Comments 113
Спасибо за статью!!! Собрал gost для Entware - mipsel, aarch64 (хотя, скорее всего и сборки с гитхаба заработают). Поверил в режиме прокси и tun на паре устройств. Заметил одну очепятку в ip (пусть и останется).
Немного дополнил (про маскарад) - https://forum.keenetic.com/topic/17498-сборка-gost-go-simple-tunnel-на-роутере/?do=findComment&comment=177938
И первое, что наверняка сделали много даже еще не прочитав статью - сохранил себе на HDD.
Как сообщает Хабр - с 1 декабря Роскомнадзору разрешено блокировать сайты с информацией о VPN и иных способах обхода блокировок.
Т.е. Хабр теперь подпадает. Читать хабр через VPN будет всё же неудобно.
Может стоит использовать более мягкие формулировки чтобы не дразнить гусей? ИМХО материал статьи и его доступность более ценны нежели акт гражданского неповиновения в выраженный такой форме.
она набрала во много раз больше просмотров, добавлений в закладки
Я перестал такие статьи в закладки добавлять, это бессмысленно, имхо. Сразу на винт теперь сливаю.
К сожалению, есть у меня ощущение, что вас тут скоро забанят. Вы еще где-то пишите? Если да, скажите, плиз, где, я там тоже на вас подпишусь.
Она набрала много просмотров, т.к. это нормальное полноценное технологическое решение. Все эти VLESS, XTLS Reality и прочие сингбоксы с некореями по крайней мере на меня производят впечатление типичных товаров с АлиЭкспресс, к сожалению..
Наверное, потому что "не красиво" и "где-то там на гитхабе лежит, качать и настраивать надо".
Ну мое такое предложение.
Однако, как показывает практика и тенденции - все это плавно перетекает и к "полноценным" впн-сервисам.
Раньше допустим был просто WG у всех, как один из протоколов, а теперь у некоторых не только просто WG предоставляется, но уже и с обфускацией, да еще и с разными ее вариантами. И для опенвпн протокола подобные вещи пошли. А кто-то и socks5 дает свой же, для приложений и браузеров, как дополнительная киллсвитч гарантия.
Называть вендоров я конечно не буду, но конечно это не шляпа всякая с балтийскими регистрациями и возжностями киви оплаты...
Так что это все, конечно, гонка щитов и мечей. И все подобные решения, которые зарекомендуют себя хорошо , довольно скоро перетекут и к впн-сервисам в красивые приложения, совсем ни разу не похожие на "поделки с али экспресса".
Но необходимо понимать, что и ценник там тоже совсем не алиэкспрессовский.
Не созлашусь. "Полноценные" сервисы эксплуатируют ими же и навязываемые страхи "злых хакеров ворующих номера кредиток в отелях" используя довольно простое решение на базе OpenVPN. Буквально несколько лет назад, когда проблема блокировок в Китае была уже довольно острой, только 1 сервис предлагал свои stealth-протоколы. Т.е. у "полноценных" в большинстве своем вообще не стоит задача вкладываться в недетектируемые решения, продолжая стричь на банальном OpenVPN для которого все давно настроено. Даже WG начал появляться как супер-фича, по факту же скорее нужная для экономии ресурсов. У "полноценных" возможно даже нет специалистов, которые могли бы сделать свой протокол и реализовать его поддержку на всех платформах. Почему? Да посмотрите на функциональность клиентов - все максимально тупо. Ни раздельной маршрутизации, ни общих ресурсов. Это ж VPN, кто например в рамках одной учетки позволяет объединять сети?
Может оказаться, что аудитория али-протоколов с гитхаба вполне себе сравнима, а может и больше, аудитории "полноценных", за счет стран, где "полноценными" просто не пользуются.
"Полноценные" конечно так и останутся и за свой "ценник" со скидками в 90% так и будут пасти аудиторию отпускников. В поддержку протоколов уйдут единицы.
Можно подборку статей в виде архива выложить на торренты?
Я просто сохраняю их себе через SingleFile, вместе с комментариями, т.к. в них может содержаться довольно полезная информация.
Кстати да. Спасибо за наводку. Забыл уже, что такое "Сохранить Веб страницу полностью". А тут думаю пригодится. Тем более изучать материал буду не один день.
Уважаемое сообщество, а посоветуйте VPS, находящиеся вне российской юрисдикции и принимающие оплату через российские банки. Где-то читал, что вроде бы в странах Балтии такие услуги возникли на фоне всего происходящего... Вообще интересны отзывы и советы тех кто имеет в этом опыт, потому что все нестандартные обходы блокировок так или иначе сводятся к наличию своего сервера за границей.
А без крипты?
Тут дело не в паранойи уже
http://publication.pravo.gov.ru/document/0001202311290042?index=2
Паранойя есть, но только в отношении РФ. Ничего незаконного с точки зрения той же Европы я делать не собираюсь. Все же, неужели сейчас вообще никакие банковские платежи не проходят, и осталась только крипта?
Ну тут большинство ничего незаконного делать не собираются, но, почему-то наказаны.
Если не криптой, то можно воспользоваться сервисом https://www.pyypl.com/, пополнять с qiwi. Да, сервис берёт комиссию за каждую транзакцию, но если оплачиваете хостинг на год - не так уж и заметно.
Долго на него смотрел, в итоге решил оформить, но как на зло то, для чего я оформлял эту карту, никак не получается оплатить: к PlayStation аккаунту не привязывается (хотя регион аккаунта соответствует bin карты). К PayPal сначала выдавал ошибку "отклонено банком" (оказалось, пару дней карты не работали), потом транзакции будто начали запрашиваться и отображаться в приложении pyypl, но банк их отклонял, сейчас просто ошибка, мол не получилось привязать. Хотел к апи гугл карт подвязать, чтобы доступ к ним получить - тоже не получилось (( Наверняка, много где эта карта проканает, особенно за хостинг заплатить, но для моих хотелок мне пока не повезло. Ещë как вариант оформить Ininal, но сам я пока что не пробовал их карту. А вы не пробовали карту pyypl к PayPal или аккаунту PlayStation привязать?
Нет, я использую Pyypl для Patreon, хостинга.
Знаю, что PayPal с большим подозрением относится к пользователям, чьи паспортные данные, место жительства и место оплаты различаются. Возможно, для использования Pyypl с PayPal нужны дополнительные документы в виде выписок со счетов в зарубежных банках, счета на оплату коммунальных услуг на Ваше имя.
Так ить Пэйпэл россиян давно всех забанил - с паспортом РФ (в т.ч. загран.) там ловить нечего. А Пиплы вполне на загран подвязываются. Но, увы, с их виртуалки - только оплата. Пополнение - исключительно со своих карт (или пиплового кошелька другого их юзера) - невозможно с любой банковской карты перечислить на любую пипловую виртуалку. Кстати, у Пиплов в конце 2023-го был какой-то масштабный передел технички - раньше к ним без ВПН зайти нельзя было, а сейчас - ок. Раньше из виртуалка светилась как финская, а сейчас новые - как японские (что отдельно создаёт проблемы - оказывается , что "Виза - она и в Африке Виза" - не правда.)
Да тут дело даже не в приватности. К сожалению, забор активно возводится с обеих сторон. Мне свой VPN сервер в Европе нужен чтобы обходить ограничения, накладываемые не только с нашей (rutracker и иже с ними), но и с той стороны (Привет, ChatGPT !).
Остаётся надеяться что рано или поздно всё устаканится, и радоваться, что когда-то давно, когда никаких блокировок еще в помине не было, начал активно изучать opensource технологии и продукты.
ЗЫ Где на просторах Инета встречал мнение, что айтишники либо всех погубят, либо всех спасут. Поэтому, коллеги, призываю всех - давайте жить дружно, нам еще мир спасать !
Может Казахстан попробовать? Туда пока достаточно легко рубли закидывать. Хоть через Киви рубли в тенге кошелек. И с хостером с него расплачиваться.
Казахстан - в целом, неплохая идея. У меня есть VPS в Казахстане. Использую его в качестве основного VPN на сервисах, в которых я "переехала" в Казахстан, и в качестве резервного VPN для остальных ресурсов. Можно оплачивать через Киви или картой Мир несанкционного банка.
Однако следует учитывать, что в Казахстане тоже есть блокировка сайтов (хотя и в гораздо более легкой версии, чем в России), и некоторые сайты (например, рутрекер) через казахстанский VPN работать не будут.
У меня VPS в штатах без ограничения по трафику, оплатил российской картой по акции 1000 рублей за год. Только платил не напрямую, а через криптообменник. Не нужно бояться крипты.
https://omro.host/ русскоязычный реселлер для забыл_название_хостера. Принимают рубли.
Пользуюсь phq полгода, виртуалка в Нидерландах, оплачиваю с тинька. Если хочется поразвлекаться на выходных - можно поднять виртуалку с астрой :D
(Не совсем в тему) А они торренты разрешают? А то на мой вопрос просто к правилам отослали, но у них правила как и у всех.
Попробовал я этот PQhosting. В принципе по началу все неплохо, IP чистый, всеми ресурсами определяется как Нидерландский (ChatGPT, ti.com все работает). Но, по ходу они делают большой оверселлинг. Сетка перегружена, скорость через WireGuard даже сотки не дотягивает. Пинг прыгает от 70 до 100мсек.
Может конечно площадка такая перегруженная попалась и в других странах ситуация будет получше.
Не советую. Они постоянно обманывают о доступности локаций - деньги ты закинешь, а сервер не получишь.
Плюс, у них пробанены 25й tcp (эт ещё ладно) и 123й upd (на кой чёрт банить ntp?), из-за чего часть чувствительных к таймингам протоколов обхода блокировок просто разваливаются.
может быть потому что например первая ссылка в гугле объясняет зачем это делать
https://ddos-guard.net/ru/terms/ddos-attack-types/ntp-amplification
и как правило, если хостер банит что то наружу - то он обеспечивает это своим сервисом, к сожалению не все способны найти это в документации ну и не все хостеры обеспечивают, чего уж тут.
Llhost принимает российские карты, раньше было румынским юрлицом, сейчас, кажется, эстонское.
пользуюсь услугами ihor уже 6 месяцев. Нидерланды, KVM SSD Start (1 СPU/768 MB RAM/7 GB SSD vm6 EU1) 240р/мес., канал 200мб/с, оплата картой через юmoney
Пользуюсь HostSailor, через Qiwi via Payssion можно оплачивать в пару кликов. Компания — ОАЭ, сервера в Европе.
Cishost
Болгария, оплату берут в рублях без проблем
Inferno Solutions
русскоязычная поддержка, британская юрисдикция, оплата чем угодно (крипта, иностранные карты, российские карты), ноль проблем за последние пять лет кроме двух даунтаймов по полчаса о которых предупредлили за две недели заранее
Раз уж зашëл разговор о том, где арендовать VPS, посоветую то, чем пользуюсь сам уже 4 месяца. Racknerd, вот ссылка реферальная (при регистрации по ней мне что-то перепадëт) и обычная (если не хотите, чтобы мне что-нибудь перепало, ахах). Из доступных способов оплаты есть крипта (я платил через неë), карты иностранных банков. Вроде доступны карты UnionPay (на странице оплаты этот способ подписан иероглифами), но не знаю, сработают ли выпущенные в России. Я для впн арендовал самый дешёвый тариф (в год что-то около 10 баксов плюс 6 баксов, если сервер нужен в Амстердаме или Страсбурге - я брал в Страсбурге). Эти дешëвые тарифы можно найти, если вверху кликнуть по розовой плашке - раньше была акция к новому году (по которой я арендовал сервер в августе), сейчас там чëрная пятница. Единственное предупреждение: такие низкие цены обусловлены полным отсутствием поддержки: при моëм первом и единственном обращении мне сказали что-то вроде "иди погугли, в интернете полно информации" - благо, смог разобраться. После этого проблем не возникало)
Union Pay от Тинькова declined.
А в целом впечатления действительно приятные. Пинг до Европы 50мс, норм. Не то, что 200+ до US (хоть за Европейский IP и нужно доплатить). Ребут практически мгновенный, есть VNC консоль (должна помочь, если сам напортачу и отрежу себе сетку).
Union Pay от Тинькова declined.
В целом, определить на стороне эквайринга страну карты и фильтровать - по идее должно быть не сложно. Но если конкретно про Юнион пей - там вообще такая проблема, что если сайт его принимает - то он принимает китайский, и возможно (но не гарантировано) международный. А реально проверить только тестом, по сути это отдельные платежное системы
От тинька у меня карта есть (оформил, и не успел воспользоваться, как тинëк под санкции попал), но они только внутри РФ работают. Может есть банки, карты которых ещё работают, но это надо искать
Firstbyte - юрисдикция британская, оплата с коммисией через российское ип, идентификация клиента по email. Идентификация плательщика в биллинге символическая. Т. о. подходит под ваши критерии.
Понятно, что для паранойика вариант слабоват.
Российское юрлицо в используемой связке - это ИП-шник, который рубли за комиссию переводит в UK. Мне кажется они грамотно соблюли первое правило ведения бизнеса в России, оставив только локальный приём платежей.
Идентификация в биллинге, насколько могу судить, стандартная isp-овская, и судя по всему британским требованиям соответвует - типа город-индекс-адрес, которые никто конечно не проверяет.
Это пока они ещё не начали следовать недавно принятому в РФ закону.
Интересный вопрос. Насколько понимаю, большинство полноценных зарубежных хостеров для физиков отвалились вместе с платёжными системами, а для юриков договоры перестали продлевать по происхождению юр.лица. Как поведёт себя firstbyte будем наблюдать.
Inferno solutions, PQhosting?
IP Hoster ( Эстония) - широкий выбор оплаты. Можно с Юмани оплатить... Дружелюбная техподдержка, от 5 баксов аренда...
Напоминает DELEGATE
:) Ни чуть не удивился, что на гитхабе (по ссылке на проект скачивания) присутствует большое количество китайских иероглифов, чем английских фраз.
Похоже это они и писали для себя. Для обхода великого китайского файрвола. И основываясь на этом можно предположить что проект только будет развиваться!
Скажите пожалуйста, тут есть проблема "TLS inside TLS"? Т.е. снаружи можно будет посмотреть и понять "ага, это на самом деле не обычный HTTPS-трафик, а TLS-туннель, внутри которого кто-то TLS (то бишь HTTPS) гоняет; да и энтропия у него необычная, соотношение единиц к нулям очень близко к 1:1 - в общем, кто-то прокси/VPN поднял, рубим"? Или же эти проблемы, как у XTLS-reality, решены?
Кстати, в статье по Вашей ссылке говорится, что мультиплексирование более эффективно против детектирования TLS-in-TLS, чем паддинг, который используется в XTLS-Vision, а мультиплексирование в GOST есть. Непонятно только, как у авторов статьи образовался TLS-in-TLS через XTLS-Vision, если последний не должен допускать такого по определению.
Вопрос не по теме, но может кто уже пробовал ShadowTLS v3?
https://github.com/ihciah/shadow-tls/blob/master/docs/protocol-v3-en.md
В sing-box поддержка есть - https://sing-box.sagernet.org/configuration/outbound/shadowtls/
Интересует прежде всего стабильность работы и поддержка со стороны клиентов (из коробки завести в связке с SS2022 пока не удалось, но подробно еще не успел мануал прочитать).
Да, хочется именно как альтернативу рассмотреть. Там принцип разработки интересен - постепенно но достаточно быстро разрабатывают новые версии исходя из практических векторов атак и готовы рассматривать допфишки на будущее. Учитывая участившиеся блокировки Realty в Иране (пока есть подозрение что по аномальным объемам трафика либо количеству коннектов вычисляют подозрительные узлы, а далее эктив пробингом что-то делают, что грузит CPU на 100%) особенно интересно.
P.S. Как обстоят дела с мультиплексированием в Sing-box и если ли смысл переходить на это ядро на сервере (учитывая использование клиентов в основном на этом ядре)? С точки зрения скорости разницы с Xray не заметил вообще, но на достаточно мощном железе тестировал, возможно на слабых машинах дело обстоит иначе.
И еще может кто в курсе, у Hetzner все сети имеют плохую репутацию в Google и как следствие капчу в 10 итераций почти на любой запрос или только на конкретные IP-адреса? Проверил на парочке случайных, все печально, но выводы делать рано, т.к. не повезло и оба па базам как открытые прокси детектятся (вероятно что-то там когда-то было на них у предыдущих арендаторов).
А что конкретно интересует? Для Reality (и вообще чего угодно использующего Vision) мультиплексирование обычно не применяют. А вообще в Sing-box с мульиплексированием все очень неплохо, есть несколько вариантов (smux, h2mux, и т.д.), одно НО - его алгоритмы мультиплексирования не совместимы с алгоритмом из XRay, так что если у вас на сервере sing-box, то для рабочего мултиплексирования на клиенте тоже должен быть sing-box.
Не то что б что-то конкретное, скорее рассматриваю возможность (на будущее), и сам смысл. Например если много знакомых на один сервер закинуть.
А про ядро, вижу что большинство серверное XRay используют, но Sing-box клиентское больше нравиться, есть мысли на него и на сервере перейти. Пока минусов не нашел. Или есть они?
Как вариант, если включен IPv6 - выключить IPv6 в прокси, или наоборот, попробовать его использовать. Второй вариант - заворачивать весь трафик с прокси на Cloudflare Warp - гугл и прочие OpenAI будут очень довольны.
Спасибо, IPv6 пробовал - проблемы не решило. Скорее сервер с чистыми возьму. Хотя скорость на Hetzner хорошая.
WARP-модуль в 3X-UP видел, но разраб X-UI вроде напротив писал, что у него не будет, т.к. больше проблем с ним. Или есть смысл на клиенте домены туда заворачивать (NekoBox вроде профиля в один клик поддерживает, но роутинг самому нужно настраивать)?
Давайте разберемся с терминологией. Мультиплексирование - это когда клиент группирует несколько потоков в один TCP-коннект - в итоге немного падает максимальная скорость передачи (если канал плохой, то может и сильно упасть), но ускоряется установление новых соединений.иЯ как-то слабо вижу, как оно может коррелировать с количеством людей на сервере
Я скорее про усложнение детектирования инкапсулирования. Да, понимаю, что скорее всего если детектирование такое будет реализовано, то это не сильно поможет. Но принципиально хочется шифровать все (рассматривается модель угроз с раскрытием ключей серверов популярных ресурсов, хотя и не знаю, насколько эта обязанность выполняется на практике популярными ресурсами).
С точки зрения ускорения установления соединений, и снижения скорости - потестирую позже, но есть сомнения что серьезная разница будет (для Realty на серверах c хорошими каналами после выбора правильного фейкового сайта (на сервере условно в соседней стойке).
Кстати, про выбор сайта, под который маскируемся, пришлось много времени потратить (об автоматических сканерах тогда не знал), но это стоило того.
и ещё если у вас на сервере Sing-box, а на клиенте XRay, то не будет работать XUDP (могут быть проблемы со звонками в месседжерах).
С обратной ситуацией (Xray сервер, Sing-box клиент) такой же расклад?
С одной стороны, заголовок кликбейт, дабы привлечь внимание к проблеме. Ограничения доступа к информации - это проблема.
Но подобный инструмент, это же обычный (может не совсем обычный) инструмент. И создаются такие технологии не для того, чтобы что-то нарушать.
Ну и если есть навыки, помогли бы родному государству. Нашли бы способ перехвата и расшифровки трафика старлинков. Вам бы многие спасибо сказали.
Я про сам туннелинг - это лишь инструмент. Всякие эксрэи и госты лишь производная. Так сказать, для выполнения специфических задач.
А вот со старлинками зря. Тем более много ваших коллег помогают родному государству. И я не про тех, кто ограничения информации создаёт. Осинт специалисты, информационная и экономическая разведка. Всякие дистанционно управляемые штуки чуть меньше, чем полностью на плечах энтузиастов.
Неужели все умом тронулись?
Ну Сахаров создал бомбу. И уже после этого выказывал свой протест.
Вы не подумайте, я не троллю. Мне действительно интересно о чем думают люди.
Горшочек не вари.
Я конечно понимаю, что мир айти это про особые струны души. Но хватит ущемляться от обычного комментария.
Автор, не в ваш адрес. Это насчёт дизлайков. Такими темпами придётся новую учетку делать.
Подскажите, пожалуйста, что из инструментов вы бы использовали для суммирования трафика трех ненадежных интернет каналов (3g, lte) с шифрованием трафика.
Я так понимаю gost с стратегией rand может помочь? Например настроив три ip на сервере и настроив маршрутизацию через разные модемы + 3 прокси можно этого добиться?
Или попробовать что-то подобное найти в sing box?
Жаль, что нет полноценных клиентов. Появятся ли?
Сохранил статью в локальный файл. Ну, мало ли...
А каким образом лучше сохранять? У меня никак не выходит сохранить со всеми линками, в pdf они не активны. Неужели старые, добрые грабберы?
Сохраняет все что можно (настраивается) по умолчанию встроенные видео не сохраняет.
Можно как целиком страницу сохранить, так и выделенный фрагмент.
Если будете сохранять статьи с комментами, то прокрутите все комменты чтобы все прогрузились, аддон хоть и подзагружает все что можно перед сохранением, но в длинных ветках может не успеть подзагрузить некоторые ветки комментариев оставив их пустыми.
PS Нашел почему он не сохраняет видео:
"For security reasons, SingleFile is sometimes unable to save the image representation of canvas and snapshots of video elements."
Кроме много раз упомянутого "SingleFile" давно существует похожее расширение браузера "Save Page WE" (автор DW-dev). Можно попробовать оба и выбрать. Я сохранил пару страниц, изучил diff и результат Save Page понравился больше. Ещё от того же автора есть "Print Edit WE" - перед сохранением страницы можно заморочиться и поудалять лишние (тяжёлые) блоки.
Здравствуйте! Очень нравятся ваши статьи, но честно говоря многое в них остаëтся для меня непонятным: видимо сказывается отсутствие базовых знаний. Посоветуйте, пожалуйста, что почитать, чтобы лучше понимать, как это всë работает?
Пробовать лучше. Купите любой самый дешевый VPS сервер. Можно в России даже, вам поиграть. На него дефолт Убунта, обычно можно просто галочкой выбрать. Это стоит совершенные копейки. И просто попробуйте на нем сделать то что написано. Что непонятно - гуглить конкретные фразы или ошибки. Непонятные слова тоже гуглить. Все гуглится замечательно.
Спасибо за совет, но как раз-таки настроить впн по гайдам у меня получается: настраивал оутлайн, амнезию, через x-ui настраивал VLESS с XTLS-Reality, сейчас роутер купил с поддержкой openWRT, хочу на нëм настроить впн клиента. Но ощущение, что не хватает каких-то базовых знаний о том, как всë это работает, меня не покидает)
Огромное спасибо за вашу работу, все сохраняю и планирую настроить себе некоторую часть инструментов, что вы рассматриваете, за границей, а то чувствую 24й год будет нести с собой кучу бедствий и интернет может сказать пока-пока... Также, если есть какие-нибудь наработки по части использования этих инструментов с Mesh сетями, думаю будет не лишним эту тему раскрыть, и есть ли решения работающие альтернативными путями, вроде i2p. А то однажды можем проснуться просто нафиг с полным блоком внешней сети (а проверки этого велись уже неоднократно), в которую можно будет попасть только чинушам по VPN, едва ли этих гениев будут заботить последствия, население все больше и больше переходит на отечественные VK (Clips etc)/Яндекс и прочую хрень, срощенную с гос-вом с прицелом на отключение ютуба, гугла, что народ упорно не понимает (и это не только РФ касается, общемировая тенденция контроля)... Слухи о прокси интерфейсах к ютубу уже были, хотелось бы узнать ваше мнение на этот счет, реально ли сделать такую маршрутизацию, чтобы ютуб не мог их блокнуть легко со своей стороны или они могут что-то из арсенала обхода использовать...
Миру мир!
После "возгорания стула" стал вчитываться с особым вниманием: давно исследую тему добычи топлива из жидкого стула...
Полтора часа (1+1/2) читал статью, много думал...
Конец статьи всё разрешил:
Остерегайтесь мошенников
Похоже придётся вернуться к нетскейпу со своими настройками проксей, туннелей и вот-это-всё-- что в статье...
Как же всё это досадно...
MiraclePtr, ничуть не умаляю пользу статьи, с интересом прочёл, внимательно.
От того и досада взяла (стул подгорел): приходится изучать "компьютерные сети" заново.
Несколько раз книга переиздавалась, и каждый раз нахожу что-то новое именно в статьях на "hr-br-hr"... Оттого и грустно, что для "улучшения" всё усложняется...
Где можно почитать подробнее про блоки VPS серверов на которых был wireguard? Не слышал о таком, и как это происходит. И, теперь, что-то стремно им пользоваться, хотя очень даже удобно..
А что с мобильными клиентами... с ними пока не очень.
Есть собранный бинарник для arm. Попробовал, нормально работает в Termux.
И существуют пакеты для OpenWRT, но они, кажется, сделаны для v2:
Попробовал запустить бинарник под mips на TP-Link с OpenWRT. Вроде, тоже все заработало.
Мало кто помнит, но tun-туннели можно строить без дополнительного софта, всего лишь на базе ssh-sshd, см. параметр -w (справедливо для OpenSSH). Включаем ip_forward в sysctl.conf, добавляем маршруты и вперед.
Интересна именно настройка GOST за Nginx, c проксированием wss на GOST.
Здесь китайский гайд по установке GOST и wss туннелей: https://www.youtube.com/watch?v=cxpsEP5TS78 (скрипт сам всё развёртывает на сервере)
Здесь текстовый гайд: https://appscross.com/2023/12/auto-setup-4-wss-https-proxy-nodes/ Возможно будет интересно!
Проблема только с настройкой nginx. Поможите, пожалуйста, разобраться с конфигом nginx.conf (не силён в этом)?! )
Доброго дня всем и мирного неба.
Я в ИТ сфере и сетях много лет, но вот такого рода действия, как упаковка одного протокола в другой и т.д. для меня полностью "первый раз в первый класс". Поэтому мой вопрос примерно такого же уровня.
Итак, у меня есть (ну, не прямо у меня, но под моим управлением, то есть, я могу туда поставить роутер с OpenWRT и всяческими настройками, какие он умеет) офис в РФ со своим белым IP-адресом и доменом (есть сайт - у рос.хостера). Мне надо поднять канал в соседнее государство, скажем, Казахстан, где тоже есть свой белый адрес со своими доменами (и куда я так же могу поставить что угодно - роутер, сервер - с любыми настройками). И содержать этот канал в рабочем состоянии максимально долго (в плане того, что некая организация будет постоянно придумывать разные каверзы дабы закрыть мой канал (не потому что он мой, а потому что по нему ходит нечто, что нельзя вот так взять и прочитать, и вообще нефиг трафик скрывать и всякие каналы поднимать вообще)).
Зачем мне нужен этот канал:
офис в [условном] Казахстане должен ходить в РФ с адресами российского офиса - всякие гос. и прочие услуги, кто работает только с российскими IP-адресами, то есть, офис прикидывается полностью российским
российские клиенты обращаются к ресурсу по IP-адресу российского офиса и перенаправляются сразу на IP-адрес офиса в [условном] Казахстане, где фактически этот ресурс и находится, то есть ресурс прикидывается полностью российским
В итоге имеем
Я прочел и, в меру своего понимания, принял к сведению статьи от MiraclePtr и его коллег. (Да, вынужден признать, бОльшая часть прочитанного для меня осталась непонятной - ну не приходилось мне до того иметь дело)
В итоге у меня возникла пара вопросов:
Что из многочисленных технологий мне стОит применить, чтобы канал жил максимально долго в условиях борьбы с впн иже с ним?
Насколько неподозрительно для провайдера, который подает интернет в рос.офис (вроде мтс) будет постоянный, но непонятный трафик на особо никому не нужный [условно] казахстанский сайт (обычная визитка, никакого криминала в любом понимании) или IP-адрес? Не решит ли он тупо заблочить его "на всякий случай"?
советую поднимать туннель из KZ в RU, а не наоборот
А это мысль! Возможно, направление установки соединения тоже сказывается на детектировании.
ТСПУ, конечно, не фаервол, вряд ли stateful. Но когда WG линк умрет, попробую сперва в обратную сторону его инициировать.
Интересно, как со всякими Zerotier ТСПУ обходится...
Не могу старые статьи комментировать, к сожалению. Потому приходится сюда писать.
Вопрос про OpenConnect.
Я согласно статье все сделал, настроил, и оно даже работало (Windows подключается к удаленному серверу через AnyConnect-овский протокол и цискиного клиента). Но через неделю примерно перестало. В подключении к ВПН (Настройки -> Сеть и Интернет > VPN) пропала возможость ввода логина с паролем. То есть, после кнопки "Подключиться" он не дает ввести логин-пароль, а сразу начинает подключаться (логина с паролем там не сохранено, где-то ожидается ввод, но окна этого я не вижу. В итоге от таймауту соединение отключается - я же не ввел логин-пароль). Куда делся ввод логина-пароля и, главное, как его вернуть? Интернет ничего умного не предлагает, либо я искал плохо.
Может кто знает как побороть эту напасть? Где это чертово окно для ввода логина с паролем?
Спасибо за статью!!! Собрал gost для Entware - mipsel, aarch64 (хотя, скорее всего и сборки с гитхаба заработают). Поверил в режиме прокси и tun на паре устройств. Заметил одну очепятку в ip (пусть и останется).
Немного дополнил (про маскарад) - https://forum.keenetic.com/topic/17498-сборка-gost-go-simple-tunnel-на-роутере/?do=findComment&comment=177938
GOST: швейцарский нож для туннелирования и обхода блокировок