- Почему именно Shadowsocks?
0. Во время событий в Беларуси успешно работали Shadowsocks с плагинами simple-obfs, v2ray-http, а так же cloak (v1.x.x), чего не скажешь про множество других VPN сервисов (как платных, так и бесплатных).
Поправка: во время блокировок также работал Psiphon, Tachyon VPN и X-VPN.
1. Быстрее OpenVPN (даже без обфускации и через UDP) и немного быстрее WireGuard.
2. С обфускацией которая ставится в 5 ПРОСТЫХ ШАГОВ К СВОБОДЕ™ дает за щеку всем.
3. Позволяет пускать трафик через сервера CloudFlare используя их охуенные роутинги, и обоссывая все DPI, т.к. трафик к CF детектится просто как трафик браузера.
4. Позволяет разделять входную и выходную ноды, делая подобие ТОРа для нищих/дабл-трипл VPN для адекватных.
5. Кроссплатформенный, есть клиенты для Android/iOS/MacOS/*nix/Windows.
- Почему не любой VPN?
1. Трафик VPN очень легко отследить для провайдеров, некоторые провайдеры намеренно замедляют VPN подключение.
1.1. (актуальность информации?) Yota троттлит shadowsocks без обфускации (вероятно просто потому что не может определить че это за трафик).
2. VPN провайдеры идут на поводу у роскомнадзора.
3. VPN провайдеры ограничивают трафик/количество устройств и как правило используют стоковый OpenVPN или немного модифицированный.
- Ответы на распространенные вопросы:
1. Это модифицированный прокси.
2. Это бесплтано (Oracle Cloud)
3. Все шифруется (c TLS даже два раза).
4. 80 и 443 порты, как в гайде, безопасны для сканов РосПравдНадзора - если начнут банить 443 нам пизда в любом случае.
5. Чтобы завернуть трафик одной программы, игнорирующей настройки прокси можно поставить на выбор: proxycap (shareware, 30-day trial), sstap (нет обновлений с 2017), или sockscap64 (нет обновлений с 2017).
5.1. Чтобы завернуть весь трафик: OutlineVPN (не работает с обфускацией), badvpn-tun2socks (нет обновлений с 2015).
6. Нормально настроенный Shadowsocks умеет в UDP - торренты будут работать нормально.
7. Даже с обфускаторами и mode: "tcp_only" все DNS запросы идут через туннель, DNSCrypt и прочие утилиты не нужны.
Для самых домохозяистых домохозяек уровня /b/ рекомендуется использовать OutlineVPN: https://getoutline.org
OutlineVPN построен активистами Google на базе shadowsocks-libev и максимально адаптирован для быстрой и простой установки.
NB! Голый shadowsocks, как и Outline, теперь детектится даже в Wireshark, что в принципе было давно ожидаемо.
- Исследования
1. Исследование блокировок GFW: https://gfw.report/blog/gfw_shadowsocks/
2. Исследование производительности проксей, VPN и обфускаторов: https://habr.com/ru/post/479146/
TL;DR: Shadowsocks > WireGuard > SSH > tunsafe > OutlineVPN > StrongSwan > OpenVPN (UDP) > OpenVPN (TCP) > всё остальное
- Немного важной инфы из прошлых тредов:
1. shadowsocks-libev перешел в режим обслуживания, активная разработка прекращена.
2. Актуальные версии:
• shadowsocks-go (гайд ниже)
• shadowsocks-rust (официальная версия, гайда нет, но конфиг схож с shadowsocks-libev).
- Гайды:
1. Основной гайд по shadowsocks-go: https://medium.com/p/beda4352b52f
2. Обфускаторы https://medium.com/p/1d173b3d5513
3. Ещё больше разных гайдов для тех, кому не хватило: https://github.com/freedom-thread/2ch/blob/main/more-guides.md
- Оптимизации и пердолинг:
1. Shadowsocks over Cloudflare: http://telegra.ph/shadowsocks-over-cloudflare-05-17
2. tcp-bbr, доступ только через CF, наеб даблпинга: https://medium.com/p/b8938a61d38/
P.S.
В этом треде тебе помогут настроить прокси с шифрованием и обфускацией трафика, получить доступ к тopу и многое другое.
Если хочется простого решения, устанавливаемого в два клика мышкой, чтобы ходить на заблокированные сайты, то советую сначала заглянуть в соседний тред:
>>3093801 (OP) /nkvd/
Эта шапка для переката: https://github.com/freedom-thread/2ch/blob/main/head.txt
01. https://arhivach.ng/thread/302847/
02. https://arhivach.ng/thread/305585/
03. https://arhivach.ng/thread/311743/
04. https://arhivach.ng/thread/313885/
05. https://arhivach.ng/thread/316302/
06. https://arhivach.ng/thread/342518/
07. https://arhivach.ng/thread/343484/
08. https://arhivach.ng/thread/354345/
09. https://arhivach.ng/thread/356677/
10. https://arhivach.ng/thread/357411/
11. https://arhivach.ng/thread/358606/
12. https://arhivach.ng/thread/360685/
13. https://arhivach.ng/thread/360686/
14. https://arhivach.ng/thread/362459/
15. https://arhivach.ng/thread/366070/
16. https://arhivach.ng/thread/370112/
17. https://arhivach.ng/thread/371223/
18. https://arhivach.ng/thread/380172/
19. https://arhivach.ng/thread/393533/
20. https://arhivach.ng/thread/396501/
21. https://arhivach.ng/thread/399784/
22. https://arhivach.ng/thread/417764/
23. https://arhivach.ng/thread/421670/
24. https://arhivach.ng/thread/427032/
25. https://arhivach.ng/thread/429883/
26. https://arhivach.ng/thread/431232/
27. https://arhivach.ng/thread/435971/
28. https://arhivach.ng/thread/436582/
29. https://arhivach.ng/thread/437351/
30. https://arhivach.ng/thread/438521/
31. https://arhivach.ng/thread/440432/
32. https://arhivach.ng/thread/442337/
33. https://arhivach.ng/thread/443043/
34. https://arhivach.ng/thread/446719/
35. https://arhivach.ng/thread/448448/
36. https://arhivach.ng/thread/455565/
37. https://arhivach.ng/thread/468123/
38. https://arhivach.ng/thread/470518/
39. https://arhivach.ng/thread/478710/
40. https://arhivach.ng/thread/483698/
41. https://arhivach.ng/thread/487700/
42. https://arhivach.ng/thread/493945/
43. https://arhivach.ng/thread/500204/
44. https://arhivach.ng/thread/507230/
45. https://arhivach.ng/thread/510526/
46. https://arhivach.ng/thread/514051/
47. https://arhivach.ng/thread/519596/
48. https://arhivach.ng/thread/523322/
49. https://arhivach.ng/thread/530952/
50. https://arhivach.ng/thread/530953/
51. https://arhivach.ng/thread/535022/
52. https://arhivach.ng/thread/535587/
53. https://arhivach.ng/thread/539080/
54. https://arhivach.ng/thread/545570/
55. https://arhivach.ng/thread/549970/
56. https://arhivach.ng/thread/557765/
57. https://arhivach.ng/thread/557764/
58. https://arhivach.ng/thread/560526/
59. https://arhivach.ng/thread/569391/
60. https://2ch.hk/s/arch/2020-09-10/res/2804225.html
61. https://arhivach.ng/thread/643524/
62. https://arhivach.ng/thread/662745/
63. https://arhivach.ng/thread/665342/
64. https://arhivach.ng/thread/674112/
65. https://arhivach.ng/thread/688015/
66. https://arhivach.ng/thread/688066/
67. https://arhivach.ng/thread/714666/
68. https://arhivach.ng/thread/720487/
69. https://arhivach.ng/thread/724135/
70. https://arhivach.ng/thread/727401/
71. https://arhivach.ng/thread/733953/
72. https://arhivach.ng/thread/746842/
73. https://arhivach.ng/thread/751217/
74. https://arhivach.ng/thread/752800/
75. https://arhivach.ng/thread/756690/
Парни, напишите синтаксис для раста, пожалуйста.
Ок, ща попробуем
https://rentry.co/edwkp
https://justpaste.it/4mbbk
Написал гайд. Хотел залить на гитхаб, но мне лень. Так что, хотя бы так, мож кому пригодится.
Имхо имеет весьма посредственное отношение к обходу цензуры. Лучше было бы это залить в линукс-тред >>3101611 (OP)
Где взять халявный домен? Можно третьего или двадцать третьего уровня, похуй.
Freenom нихуя не работает, если что
Вот чё-то такое есть. Главное вовремя отменить домен и пересоздать аккаунт https://zyro.com/ru/domeny/besplatnyj-domen
>>3101644 →
Попробовал зарегать на старую почту, на удивление в этот раз не ругалось, что аккаунт уже создан. Видимо мой аккаунт отклоняют при ручной проверке данных. Понять бы только какого хуя
Надеюсь, со временем, будут мерж реквесты от анона с гайдами.
>халявный сервер нашли
А валидную банковскую карту где брать? Не свою же светить
Его не то что вырубили, настроили по типу китайского фаервола. То есть показывал пару местных новостных каналов и проправительственных ресурсов а на остальные ресурсы не пускал. Но это был единичный случай на фоне протестов. Вот и думаю есть ли вообще какая польза от этих впнов. На реддите сказали что простой впн хуйня и надо пользоваться децентрализированным впн и тогда точно за жопку не схватят. Но я как бы и так особо не веду крамольных речей в интернете.
>cloudns.net
Лол, отлично, спасибо! Это должно быть в шапке. За полтора клика можно регнуть домен и направить его на айпишник.
Можно даже все субдомены этого домена на него направить, что бывает очень полезно в некоторых случаях
Ты охуел, пес? Это твои статейки на говномедиуме для имбецилов не нужны.
Докер ставится и запускается буквально в 2 команды в сосноли.
Как закончу у себя пердолить, постараюсь написать нормальный очень короткий гайд по установке shadowsocks на сервер, без этого даунизма с ручным пердолингом сервака.
Нашел китайский шкрепт с самым модным пердолингом/стелзом
но четт очкую слепо ставить, может кто чекнет?
https://github.com/paniy/Xray_bash_onekey
https://www.idleleo.com/install.sh
Придется написать ибо уже заебало. Кстати, а почему проблема сохраняется даже при использовании прокси? Я думал если он используется то настройки всяких DNS на роутере не имеют значения. И еще с некоторыми сайтами переподключение не помогает, например https://chipmk.ru/ как выдавал ошибку, так и выдает.
Поэкспериментировал немного. Отключил в роутере отправку анонимных данных производителю, поставил всюду размер MTU 1492 (сделал подсчет оптимального значения по методике: https://help.keenetic.com/hc/ru/articles/214470885-%D0%9A%D0%B0%D0%BA-%D0%BE%D0%BF%D1%80%D0%B5%D0%B4%D0%B5%D0%BB%D0%B8%D1%82%D1%8C-%D0%BE%D0%BF%D1%82%D0%B8%D0%BC%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9-%D1%80%D0%B0%D0%B7%D0%BC%D0%B5%D1%80-MTU- ), отключил сторонние ДНСы пока что, отключил автоподстройку TCP MSS, перезагрузил.
И теперь отзывчивость инета стала куда выше, чем была до этого даже с пров. ДНС. Например, гораздо быстрее грузятся большие пикчи с двача да и в целом сайты вообще. Интересно-интересно...
Очень короткий гайд по установке shadowsocks
Аноним (Linux: Chromium based)
15/01/22 Суб 15:27:03
№37
Всё. Если есть сервер и порты открыты, дальше ставится за 5 минут.
Ставишь docker, клонируешь реп, забиваешь пароль, запускаешь.
https://bitbucket.org/kek7654/shadowsocks/src/master/shadowsocks-rust-simple/
Это то, с чего должен начать нюфаг. Да, голый СС. Чтобы попробовать и увидеть, что оно работает.
Ставится просто и быстро.
Многим голого и будет достаточно.
Я, конечно, собираюсь напердолить схему посложнее, появится в том же репе в другой папке.
>даунские статейки
Вась эти статейки понятны любому кто хотя бы на начальном уровне знаком с линуксом. Все неосиляторы это просто пивасное быдло которое выгнали из риндикса и порнхаба. Посмотри сколько говна плавает в соседнем требе неосиляторов
Я успешно использую докер и любые хитровыебанные схемы, в душе не ебя что такое системдюниты и прочее пердольное говно из этих статеек.
Не говоря уже о том, что если хоть одна команда будет выполнена неверно, то ты получишь непредсказуемые побочные эффекты.
В случае с докером система остаётся чистой.
Максимум, что может пойти не так — ну, докер у тебя не поставится. И хуй бы с ним.
В отличие от ввода хуевой горы говнокоманд от двачеров, засирающих систему.
В докере все уже напердолено заранее за тебя.
Не пизди мне тут, короче, илитарий комнатный.
Я за докер только. Но дело в том что статьи с медиума предельно ясны, и если ты понимаешь как работает докер как запускать службы то можно без труда запустить ss что в докере что на голой машине, ты либо пиздабол либо однопоточный дебил
Чё несёт, вообще охуеть. Время пересбора зависит от сложности контейнера.
И ты же в курсе, что он слоями собирается?
Если образ нормально сделан, а таких большинство, то все изменяемые параметры вынесены или в .env, или в подключаемые разделы. В итоге не пересобирается там вообще ничего.
Конкретно та конфигурация, что я кинул выше, вообще блять ничего не собирает, а просто запускает уже готовый образ от разработчиков СС без изменений.
И эти овощи ещё тут илитарствуют.
>Кстати, а почему проблема сохраняется даже при использовании прокси?
Скачай foxyproxy и тыкни в настройках соединения
nmap -p 8388 moyaddressnoskov.tk
>nmap
У меня винда, на первом пике логи клиента носков.
>moyaddressnoskov.tk
Никаких плагинов не поднимал, чистые носки.
Сам адрес сервака спокойно пингуется виндой, но если пинговать отдельные порты, хоть 80, хоть 8388, то коннекшн таймед аут
>в самом линуксе iptables также настроил
Точно? Вот, если что, команда, разрешающая весь входящий траф: sudo iptables -I INPUT -j ACCEPT && sudo netfilter-persistent save
>правила в панели управления выставлены что бы все входящие/изходящие соединения разрешать
А вот это зря, лучше оставь только нужные порты.
Лучше разрешить все в самой виртуалке, но открыть только нужные порты в панеле, чем открыть все в панеле и пердолить фаервол на виртуалке
https://github.com/freedom-thread/2ch/blob/main/guides/docker-ss-v2ray.md
Сам охуел с того насколько быстро это делается
>У меня винда
nmap и на винду есть
https://community.chocolatey.org/packages/nmap
Нужно понять проблема в фаерволе или в носках. Если пишет filtered - значит фаерволл. И не факт, что айпитейблс
Лол, на мобильном вот так
Проверь чтобы не было потоков забитых на 100%. Возможно, что тот кто писал плагин не позаботился о параллелизме. Ну или баг какой-то закрался в v2ray-plugin
Вообще, я тут вижу два способа найти виновника помимо загруженного ядра
Первый - это обновить носки с плагином на сервере и на клиентах, чтобы проверить версию с багом.
Если не поможет - поднять такой же сервер на другом облаке (например DigitalOcean с почасовой оплатой) и посмотреть как там со скоростью v2ray трафика
Ну и это, логи глянь чтобы там ничего криминального не было
>Провайдер шейпит.
Очень странно, почему он тогда голый сокс не шейпит? Такая хуйня только с v2ray и только на аплоад.
При тестировании с компа показатели выглядят более адекватно.
Однако, я четко вижу, что при тестировании счетчик аплоада рандомно показывает какую-то дичь всегда.
На андроиде так вообще 2-3 мегабита аплоад.
На ведре иногда бывает еще прикольнее хуйня. В начале тестирования аплоад взлетает до 200-500 (у меня физически такого канала нет) на несколько секунд, потом падет до 2-3.
А TLS можно и вручную сделать с помощью сервака и проксирования?
Или как оно работает?
Товарищи, подскажите, будет ли провайдеру виден трафик если я возьму роутер с Open WRT и перенаправлю весь свой трафик через VDS в какой нибудь Америке. Говорят там и скорость хорошая. Проконсультируйте пожалуйста.
ФСБ заявила о ликвидации хакерской группы REvil по запросу США
Аноним (Microsoft Windows 10: Firefox based)
16/01/22 Вск 11:47:04
№101
У меня вопрос: Как думаете, как на них вышли ? Как они спалились?
примечание:
- 1.1.1.1,1.0.0.1 - незашифрованные DNS-серверы, которые будут использоваться для разрешения имени сервера DoH при запуске, вместо указанных адресов можно использовать другие dns, например от google 8.8.8.8,8.8.4.4 и т.п.
- сервис использует две базы серверов: запад и восток, в зависимости от Вашего местоположения можно использовать либо запад, либо восток.
А в чём проблема прописать https://1.1.1.1/dns-query или https://8.8.8.8/dns-query
Ну а как ты до этого doh настраивал
https://openwrt.org/docs/guide-user/services/dns/doh_dnsmasq_https-dns-proxy
Какие платформы для создания VDS существуют, предоставляющие бесплатный триал (от месяца до года) для создания сервака определённой мощности? Знаю (в смысле, слышал 1-2 раза) про Google Cloud, Oracle, DigitalOcean, но конкретики и подводных камней не знаю.
Имею опыт ёбли с Microsoft Azure. Остался бы на нём, если бы после 2-ух истёкших триалов мне не ставили запрет на триалы (вычисляют не знаю как, по связке IP и/или номеру телефона и/или банковскому счёту). Если не ошибаюсь, на Azure можно создать маломощную VM с каким-нибудь OpenVPN, которая до года будет работать даже спустя первые 30 дней триала.
В прошлом у меня это как-то работало но сейчас Двач упорно думает что я все равно через прокси захожу даже после внесения одно из его адресов в исключения. Магически он, что-ли, определяет что у меня прокси на компе включен...
Из-за этого приходится пользоваться одновременно двумя браузерами, заебало уже. Пасскод же я не хочу покупать чтобы не палить борде данные своей банковской карты и свое имя с фамилией.
Ну так закрой все приложения, которые в инет выходят, оставь один браузер пустой и заходи на какой-нибудь сайт без всякого говна, например:
https://zx2c4.com/ip
Запускаешь отслеживание трафика.
Заходишь на сайт.
Останавливаешь отслеживание трафика.
Копаешься в трафике.
- ./sites-available/:/etc/nginx/sites-available/:rw
Ебать, анон, я удивлен. За клаудой скорость быстрее.
Это на 80 порту.
Походу, в твоих словах есть зерно истины. Возможно, ростелеком косоебит от того, что не совпадают заголовки пакетов и реальный адрес назначения.
Надо ещё с SSL тестануть, чтобы уж точно в трафик ебало никто не совал.
> 1.1.1.1,1.0.0.1 - незашифрованные DNS-серверы
Кекнул
Браузер Tor, целью которого является сохранять анонимность пользователей в интернете, по-прежнему работает в России, хотя с начала декабря 2021 года российские власти начали блокировать его работу. Число пользователей, которые напрямую выходят в интернет с помощью браузера-анонимайзера Tor, сократилось, судя по данным некоммерческой организации Tor Project, но одновременно резко выросло число тех, кто обходит блокировки, пользуясь так называемыми "мостами"
Российский регулятор Роскомнадзор (РКН) внес основной сайт проекта анонимайзера www.torproject.org в реестр сайтов с "запрещенной информацией" еще в декабре 2017 года, но действительно блокировать проект начали только спустя четыре года, официально с 7 декабря 2021 года, после того как на сайте проекта, по данным РКН, была обнаружена "запрещенная информация". Правда, претензии российского регулятора к Tor остаются загадкой: по ссылке на "запрещенную информацию" пользователь получал данные о самом браузере Tor с возможностью его скачать.
Тем не менее теперь власти РФ блокируют как основной сайт проекта, так и зеркала, то есть копии основного сайта на других адресах, а также они ограничили доступ к серверам, с которыми связывается браузер Tor. "IP-адреса этих серверов публично известны, и они блокируются тоже полностью", - уточнил DW Станислав Шакиров, технический директор "Роскомсвободы" - общественной организации, которая выступает за защиту цифровых прав в России.
РКН, по словам Шакирова, также сделал попытку блокировать сам трафик, который идет через Tor. Для этого российские власти используют относительно недавно разработанную технологию DPI (deep paket inspection)
Вообще, наживут они проблем с этим тором. Очень многие использовали тор в качестве средства базового обхода блокировок: на сайтик зайти, торрент скачать.
Теперь они вынуждены настраивать тяжёлую артиллерию, которую заблокать можно только белыми списками.
Может найти себе другой VPS, что-то как-то стремно стало...
Спасибо, Абу.
Я параноик и больше данных стремно выкладывать, скажу только что в Болгарии. Сообщение там правда адресовано всем клиентам, но видать определить они кто именно качал не могут либо лень разбираться и решили предупредить всех.
Смоторя через что направишь. Обычный SOCKS прокси виден всем. Shadowsocks/v2ray зашифрован и выглядит для провайдера как обычный трафик браузера. В америке не советую покупать - пинг большой. Самые оптимальные и распостранённые варианты - нидерланды и германия. Но тут уже на твоё усмотрение
В качестве сервака проще всего накатить shadowsocks-rust по гайду с гитхаба, клиентом на openwrt можешь поставить какой-нить v2rayA для прозрачного проксирования
Или у shadowsocks все по-дефолту шифруется?
Весь трафик shadowsocks шифруется по умолчанию шифром AES-256. В случае с v2ray-http и https сайтами, уже зашифрованный трафик этих сайтов оборачивается в туннель shadowsocks и шифруется ещё раз
В случае v2ray-https и https сайта будет тройное шифрование. А если подключаться через вайфай, то данные вообще будут шифроваться четыре раза
> Нормально настроенный Shadowsocks умеет в UDP - торренты будут работать нормально.
Не умеет же. С обфускацией UDP не работает
Я бы напердолил что-то по типу того что в гайде
https://linuxconfig.org/install-tor-proxy-on-ubuntu-20-04-linux
Но не уверен, можно ли через этот прокси открывать .onion ссылки. Вместо моста можно использовать шедоусокс, расположенный на том же сервере. Ну и учти, что при использовании луковой сети не из тор браузера ты рискуешь деанонимизацией
Сап. Взял сервер на digital ocean на ubuntu, установил на него пакеты open vpn access server из репозиториев, как указано по этой ссылке:
https://openvpn.net/vpn-software-packages/
Он мне выдал лоигн пароль после установки, я зашёл по айпишнику сервера в веб интерфейс open vpn, там качнул клиент, установил на комп, запустил и всё работает. Больше ничего не настраивал. Как-то быстро получилось...
Есть такой туториал с кучей настроек:
https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-an-openvpn-server-on-ubuntu-20-04-ru
Там не рекомендуют устанавливать сервер и генератор ключей на одну машину. А так в целом куча настроек в ручную, короче надо ли оно вообще? Чего мне там open vpn автоматом понастраивал?
А ну ешё я на серваке ufw фаервол запустил, но не конфигурировал никак дополнительно.
Протестировал вот этой хуйнёй:
https://www.astrill.com/vpn-leak-test
Всё ок.
Короче в чём подводные камни моей установки? Какие настройки дополнительно ещё можно произвести?
https://askubuntu.com/questions/737833/difference-between-openvpn-access-server-and-just-openvpn
Ты поставил OpenVPN Access Server, а в туториале про установку OpenVPN Community Edition.
По ссылке всё написано.
Вот еще из вики:
OpenVPN is available in two versions:
OpenVPN Community Edition, which is a free and open-source version
OpenVPN Access Server (OpenVPN-AS) is based on the Community Edition, but provides additional paid and proprietary features like LDAP integration, SMB server, Web UI management and provides a set of installation and configuration tools that are reported to simplify the rapid deployment of a VPN remote-access solution.[41][42] The Access Server edition relies heavily on iptables for load balancing and it has never been available on Windows for this reason. This version is also able to dynamically create client ("OpenVPN Connect") installers, which include a client profile for connecting to a particular Access Server instance.[43] However, the user does not need to have an Access Server client in order to connect to the Access Server instance; the client from the OpenVPN Community Edition can be used.[44]
Именно по QUIC нет, ближайшим будет этот гайд в tls режиме
https://f-gzhechko.medium.com/установка-ss-сервера-в-standalone-режиме-и-кастомизация-обфускаторов-1d173b3d5513
Только вместо tls в конфиге писать quic
Так носки, насколько я понимаю, ВООБЩЕ не могут работать с UDP, если подключены плагины, любые. Такова архитектура этой хуйни.
короче какаято лютая хуйня, а клиент для носов всего один
https://github.com/shadowsocks/shadowsocks-windows
Ну, вебморда это лучшая альтернатива электрону. А иксчачи нет, зато есть обычная чача, которую и рекомендует сайт шедоусокс
https://shadowsocks.org/en/config/quick-guide.html
Cloudflare всем что ли бесплатный сертификат выдает?
Тестирую тут nginx-proxy с letsencrypt-companion. Сама эта хуйня работает, но у меня проблемы с доменами - сервак отзывается только по ip, а по доменам не хочет.
Но прокси-сервак сертификаты на домены получил от letsencrypt, хотя дочерний сервак и не работает. То есть, я вижу всякие 502-ошибки, но при этом под ссл, сертифкат валидный, лол.
И тут я блять запускаю для теста эту хуйню просто на 80 порте без nginx-proxy, без сертификатов, тупо мой голый nginx и вижу, что домен нахуй получил сертификат от cloudflare, при этом сервер по 443 порту даже не отвечает. Что блять, как нахуй? Откуда?
Ещё один вопрос, вот в этом руководстве:
https://www.digitalocean.com/community/tutorials/how-to-set-up-and-configure-an-openvpn-server-on-ubuntu-20-04
Сказано что
>Per the official OpenVPN documentation, you should place your CA on a standalone machine that’s dedicated to importing and signing certificate requests.
Но я не нашёл, как в Access Server сделано CA. Там всё настраивать в веб интерфейсе в админке, раздел CA Management. Такой вопрос, они на себя взяли там ответственность за безопасность реализации сертификации, просто сами рекомендуют на отдельной машине заводить, а тут всё на одной. Как оно там реализованно в Access Server, в документации не увидел.
https://openvpn.net/vpn-server-resources/ca-certificate-management-with-openvpn-access-server/#access-server-pki
По этой ссылке вроде не рассказано, как реализована сертификация. Но наверное всё нормально должно быть, так? Короче похуй
>За деньги ещё и безопасно должно быть так-то.
Это так не работает, чтобы и удобно, и безопасно было.
Удобно иметь банковские приложения на телефоне, но вот украдут телефон/подхватишь вирус и все твои деньги улетучатся.
Удобно использовать платный облачный менеджер паролей для всех девайсов, но вот подхватишь вирус хоть на одном девайсе и пизда всем паролям.
Логично. Ну а в целом, это сильно большая проблема? Думаю достаточно будет обезопасить сервер дополнительно, фаервол там настроить и так далее. Не думаю, что кому-то слишком надо будет ломать мой сервер и пиздить мои ключи. Но может есть дополнительные меры какие, подскажешь что-нибудь по этому вопросу?
>Ну а в целом, это сильно большая проблема?
Если тебе на порнлаб заходить в обход ркн, то похуй. Если впн для более серьезных задач, то уже зависит от каких именно.
>Но может есть дополнительные меры какие, подскажешь что-нибудь по этому вопросу?
Если сервер только для VPN'а и там есть возможность зайти в терминал VPS'а через веб-консоль или по VNC в чрезвычайных случаях, то я бы отрубил все сервисы, которые в интернет смотрят, кроме VPN и SSH. Подключение по SSH разрешил бы только с IP VPN подсети и фаервол настроил на блок входящего трафика на вход, кроме трафика на порт VPN из 0.0.0.0/0 и трафика SSH из подсети VPN.
Ну и в целом, даже если на самом по себе сервере никакой ценной информации нет, нужно учитывать, что если кто-то взломает твой сервер и через него криптолокеры будут распространять, то однажды по утру именно к владельцу сервера могут постучат в дверь фсбшники.
Отдельного треда нет, есть раздел про серверы, но он мертв:
https://2ch.hk/srv/
>>3103173
Не разрешают проблемы при наличии уязвимости в sshd.
Охуенно блять, ебать шифрогулаг!
Если сервер хоть раз высрал заголовок Strict-Transport-Security, дальше браузер будет ВСЕГДА, ПРИНУДИТЕЛЬНО, САМОСТОЯТЕЛЬНО редиректится на https версию, при этом ему вообще похуй, если ты пытаешься зайти на http и похуй даже если у сервака вообще 443 порт вырублен.
Ебаный пиздец, если бы не зашел с другого браузера, хуй бы понял вообще.
>Охуенно блять, ебать шифрогулаг!
Ну будет тебя провайдер редиректить на http-версию своей ехидной коробочкой в таком случае (а http-fallback существует почти у всех). Даже не с целью собирать для гебни папочку, на что ты дрочишь, а чтобы кешировать трафик и пихать рекламу от себя. Хорошо будет?
Это норма? Куда носок пиздит половину моего канала?
>И как он это сделает?
Так же, как тебя на провайдерскую заглушку перебрасывает, когда на запрещенный сайт заходишь, только на тот же адрес без https.
>Я же вижу в браузере
Ну видь дальше. Баннер с мокрыми писечками разместили на главной гугла тебе по-братски, ты ж не против?
>>3103284
Нашёл, открыл уже всё что можно. Пинг пошёл. Порт dante всё так же filtered в nmap. Прокся, естественно, не работает.
ufw allow socks
ufw allow 443/tcp
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
Чем дальше прокси сервер, тем ниже скорость. Если ты из pосcии через прокси в штатах подключаешься к сайту в условной укрaине, то задержки будут порядка 200мс, что слишком дохуя для адекватной работы. Так же может быть высокая потеря пакетов где-то по пути
https://www.filipv.net/effects-of-latency-and-packet-loss-on-tcp-throughput/
>>3103536
А если носки без обфускации, то возможен и такой сценарий
Создал новую впску, сделал тупо и строго по гайду
https://gist.github.com/gpchelkin/c7d24a21639d1f120fb082d1801a5fe4
Добавил впску в группу, где всё разрешено.
Нихрена не работает. Кто-нибудь может тыкнуть, что нужно ещё сделать? Очевидно, что раз я не могу порт для данте открыть, то и порт для шэдоусокс тоже не получится.
Скачай nmap на винду (через scoop или Chocolatey) и поскань целевые порты на сервере
Навесь iptables счётчики чтобы понять проблема в фаерволе оракла или виртуалки
iptables -t filter -A INPUT -p tcp --dport 1080 -j ACCEPT
Открой везде udp 1080
> У меня провайдер довольно шустро банит все мосты, которые Тор предлагает.
И ты вместо того, чтобы сменить провайдера, или хотя бы писать предьявы в техподдержку, ищешь смазку получше. Вас ебут штанов не снимая, а вы крепчаете. Вместо того, чтобы голосовать рублем.
> Нихрена не работает
Попробовал твой гайд, все работает на оракле. Хуле ты такой криворукий?
это делал? curl -v -x socks5://proxyuser:password@yourserverip:443 https://www.yandex.ru/
Да, там написано же.
>>3101817
Не нужно, ньюфаги должны страдать и читать 10+ статей в которых происходит какой то пиздец, предлагаю вообще всё удалить и оставить офф.доку на v2ray (https://www.v2ray.com/) чтоб совсем ахуели
Вот есть до неприличия простой гайд, удовлетворяющий 90% юзкейсов. Домохозяйки будут довольны
https://github.com/freedom-thread/2ch/blob/main/guides/docker-ss-v2ray.md
А в шапку будет добавлен вместе с перекатом
Без понятия.
> Поддерживает больше протоколов, куда больше настроек и плюшек. Клиент готов к ядерной войне и китайскому фаерволлу
Красивое :3
Для считывания QR-кодов с настройками. Да и то, если только разрешишь.
В то же время официальный клиент shadowsocks-android:
>This app isn't FLOSS since it uses various components in Google Play services.
>And a bunch of trackers unfortunately, like Crashlytics, Firebase Analytics and some more – which is a pity. I had added it to my repo back in 8/2016, but will have to remove it now as it has too many trackers cry
https://github.com/shadowsocks/shadowsocks-android/issues/1126
авторизация исключительно по ключам с парольной фразой
Это тоже можно не разрешать.
Используется для разных настроек маршрутизации при подключении к разным WifI SSID.
Там можно настроить разные маршруты:
https://sagernet.org/route/
https://github.com/SagerNet/SagerNet/wiki/Privacy-policy
>>3104456
Больше года не обновлялось.
Есть сервер ssrust
server_port:443
plugin:v2ray server;mode=quic. Сертиикаты на месте, все подсасывается запускается. В клаудфларе а и тхт записи.
Есть sslocal:
server: домейн
server_port: 443
plugin:v2ray mode=quic
До этого пол года сидел через просто хттп и работало все, но хочу udp что бы работал еще
Раньше на клиентах в качестве адреса сервера использовал 1.1.1.1, и все работало, но пару дней назад перестало.
Видимо cloudflare перестал проксировать запросы с полем host в заголовке, т.к при использовании доменного имени моего сервера всё работает.
Как скрыть доменное имя от провайдера?
Раньше на клиентах в качестве адреса сервера использовал 1.1.1.1, и все работало, но пару дней назад перестало.
Видимо cloudflare перестал проксировать запросы с полем host в заголовке, т.к при использовании доменного имени моего сервера всё работает.
Как скрыть доменное имя от провайдера?
Привет, анон.
Ставил по гайдику ТёмныеНоски - не работает.
При попытке подключиться с мобилы - ашипка.
Не понял, при чём здесь клаудфарь.
На серваке ошибок нет - https://p.sicp.me/iyvzf
Я ваще клавудвафлю не трогал, антош. Не представляю даже, при чем здесь он.
Анон #2
Пиздос, лол.
Сервер cp.cloudflare.com используется для проверки соединения. Глянь, пингуется ли сервер с компа. Если пингуется, то нужно отключить "private dns" в настройках андроида
Как альтернативный вариант - можешь использовать клиент SagerNet. Он в любом случае не использует клаудфлейр для проверки соединений
У меня такая ошибка воспроизводима когда неверно указан пароль или метод шифрования. Если в логах сервера ничего, я бы посоветовал перепроверить настройки клиента
Также, если ты пердолил nginx, проверь чтобы server_name совпадал с адресом сервера на клиенте
Нгинх не трогал.
Протокол HTTP уже сколько лет не менялся, а разработчики всё пилят веб-сервера и браузеры. Дураки наверное?
Если серьёзно, то необходимый минимум для софта - это багфиксы и обновления безопасности. Потом уже идёт всякий сахар по типу фич, UI/UX и так далее. К тому же, стоит учитывать , что это опенсорс, у которого нет определенного плана развития. Создать пулл-реквест или форкнуть репозиторий может кто угодно. Только если сообщество в течении двухсот дней не сделало ничего из вышеперечисленного, это может сигнализировать о том, что разработка перешла в другой проект (как, например, это было с переходом VI -> vim -> neovim)
Помимо голых носков есть ещё куча стандартов и протоколов, которые за последний год очень даже изменились. Тот же v2ray после перехода в руки v2fly возьми. Я даже не говорю про всякие Trojan'ы, на корню заменяющие все пердолинги с нгинксами
Да даже среди официальных клиентов трояна ты не найдешь ни одного, который поддерживает только троян. Именно, что все клиенты стремятся стать швейцарским мультитулом или тем же неро. Ничего плохого в этом нет до тех пор пока прокси-клиенты не выходят за рамки обязанностей прокси клиента. В конце концов, мы ищем средство обхода цензуры, а не заглушку для одного протокола
Поставил по докер-гайду (ничего не менял):
https://github.com/freedom-thread/2ch/blob/main/guides/docker-ss-v2ray.md
Сервак вроде работает:
https://p.sicp.me/nPkha
Ошибка та же - тайм-аут.
Попытался открыть.
Для начала открыл в админке см. пик.
Потом выполнил алгоритм действий в самой машине:
https://p.sicp.me/bnvGU.sh
Посмотри свои правил для iptables:
sudo iptables -L -n -v
А то хуй знает, что там у тебя и как работает. В /etc/iptables/rules.v4 ты там что-то записал, но ты уверен, что правила из этого файла применяются при загрузке? Судя по тому, что ты там iptables -P и iptables -F выполняешь, а потом ребутаешь систему - ты нихуя не понимаешь, как iptables работает, думая, что после этого твои настройки iptables сохранятся.
Да, антош, я нубик. Поэтому тут вопросы и задаю.
https://p.sicp.me/qMiNe.sh
>>3105456
Пингует.
bash-5.1$ ping 130.130.130.130
PING 130.130.130.130(130.130.130.130) 56(84) bytes of data.
64 bytes from 130.130.130.130: icmp_seq=1 ttl=54 time=61.1 ms
Для начала определись, виноват фаервол или настройки докера.
На сервере останови/не запускай докер shadowsocks'а, а запусти netcat:
nc -p 8388 -l
И попробуй приконнектиться со своей машины к серверу:
nc ip_сервера 8388
Потом повводить текст на своей машине в nc.
Если текст принимается/отправляется нормально, то проблема не в фаерволе сервера, а в настройках докера.
> Если текст принимается/отправляется нормально
Да, всё ок. Отправляет и принимает.
> Проблема в настройках докера.
Каких? Я там ничего не менял.
Ну да, очевидно, что соединение где-то фаерволится. Если нет желания ебаться с ораклом, то можешь попробовать DigitalOcean. На нём шедоусокс из гайда безупречно работает и есть бесплатный пробный период. Ещё бесплатный триал есть у гугл облака, но на нём гайд не тестировал ещё
С мобилы работает - ура!
Спасибо, няши! Но есть ньюанс:
Не работает с линупса.
ХТТП-тест идёт, а туайпи не курлится.
Есть гайдик для в2рейа? Может, я там накосячил...
Вот здесь ищи
https://github.com/zapret-info/z-i
>Должен же быть нормальный способ.
Нормальных способов не знаю. Но накидаю неадекватных и весёлых
Во первых, через Termux можно попробовать установить v2rayA, в конфиге настроить интерфейс, на котором он будет слушать
Во вторых можно вна телефон поставить линух. Например, через QEMU или Limbo x86. А можно и накатить этот линух прям на железо телефона если совсем упороться
А можно и залезть в код SagerNet и добавить возможность выбора интерфейса
Антоша, подскажи плз как в убунте клиент настроить к твоему контейнеру. Вот мой системд юнит:
[Unit]
Description=Daemon to start Shadowsocks Client with v2ray plugin
Wants=network-online.target
After=network.target
.
[Service]
Type=simple
ExecStart=/etc/ss-go/ss-go -c x.x.x.x:443 -password xxxxx -cipher AEAD_CHACHA20_POLY1305 -socks :1080 -plugin /etc/ss-go/v2ray-plugin -plugin-opts "tls;host=xxx.xyz;"
.
[Install]
WantedBy=multi-user.target
Нихуя не пашет, где косяк?
всё ок пишет:
systemctl status ss-v2ray.service
ss-v2ray.service - Daemon to start Shadowsocks Client with v2ray plugin
Loaded: loaded (/etc/systemd/system/ss-v2ray.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2022-01-25 12:55:20 MSK; 4s ago
Main PID: 19100 (ss-go)
Tasks: 16 (limit: 4574)
Memory: 17.1M
CGroup: /system.slice/ss-v2ray.service
19100 /etc/ss-go/ss-go -c x.x.x.x:443 -password xxxx -cipher AEAD_CHACHA20_POLY1305 -socks>
19117 /etc/ss-go/v2ray-plugin
>>3105872
Может, можно хоть для приложения вырубить проксю как-нить?
И что ставить?
> он на 10 лет
А у меня на год только. Странно.
Какие есть варианты намутить бесплатную синхронизацию файлов?
Сейчас юзаю дропбокс.
Можно ли на базе того же оракла сделать?
>Можно ли на базе того же оракла сделать?
Да, можно.
Там в бесплатном аккаунте даётся возможность поднять 2 блочных хранилища общим объёмом 200 ГБ (лол). Я сейчас пытаюсь поднять nextcloud там, но в теории ничего сложного.
>Не удалось завершить регистрацию. Распространенные ошибки при регистрации: (а) Использование предоплаченных карт. Oracle принимает только кредитные и дебетовые карты. (б) Преднамеренное или непреднамеренное маскирование местоположения или идентификационных данных. (в) Ввод неполных или неточных данных счета. Если вы допустили одну их вышеперечисленных ошибок, повторите попытку. В противном случае обратитесь в службу поддержки клиентов Oracle.
Пробовал 3 карты, все свои, рабочие. Как это побороть?
> Нередко покупаю в США книги, оплачиваю сбербанком, ни разу проблем не было.
Ну хуй знает, мож только вывод нельзя делать, а не платежи. Ну или компании, которым ты платишь, слишком мелкие и им тупо похуй, т.к. их регулятор не ебёт.
Но я это все к тому, что со сбером и ко могут быть вполне неиллюзорные НЕУДОБСТВА, имей ввиду этот факт, когда будешь удивляться, почему лыжи не едут.
СПАСИБО, МИСТЕР ПЫНЕЦ!
ПОЛАКОМИЛСЯ ВДС'ОЧКОЙ!
Попытался сейчас настроить носки с v2ray-tls, находящиеся за nginx через клауду, столкнулся с тем, что не работает через nginx такая связка. Запускал так:
v2ray-plugin -server -host <myhost> -localAddr 0.0.0.0 -localPort 12345 -remoteAddr 127.0.0.1 -remotePort 8388 -path /<mypath> -tls -cert fullchain.pem -key privkey.pem
Если делать напрямую, как указано в гайде, типа:
v2ray-plugin -server -host <myhost> -localAddr 0.0.0.0 -localPort 443 -remoteAddr 127.0.0.1 -remotePort 8388 -tls -cert fullchain.pem -key privkey.pem
с выключенным nginx - полет нормальный. Также с nginx отлично работает связка v2ray-http через клауду (пик1) Вот логи клиента (пик2).
В какую сторону копать?
1) Если домен прикреплен к самой VDS, можно прям сразу юзать в режиме TLS - т.к. сертификат доверенный.
2) Если домен прикреплен к Cloudflare, можно сразу же врубать Full (strict) SSL encryption mode, не пердоля сертификаты вручную, так как на сервере уже будет доверенный сертификат и CF будет его принимать как и свой самоподписанный, который на 15 лет.
Продлевается автоматически.
Но оптимизаций nginx пока нет. Русское упрощенное ридми тоже не писал.
https://bitbucket.org/kek7654/shadowsocks/src/master/shadowsocks-rust-v2ray/
Если кто тестанет, вкиньте потом скрины скорости.
> автоматический ssl-сертификат
Лул
https://github.com/acmesh-official/acme.sh
И чё? Вполне шправедливо. Могут себе позволить.
Представь ограбил ты бабулю, а потом тебя посадили.
И что? Будешь орать: "АРРРЯ ЗА ЩО?!"?
Скажи спасибо Владу Пыне.
Сейчас перешел на oracle cloud. Там незнакомая система настройки фаервола. Суть такова: нужно открыть
- Management port 62784, for TCP
- Access key port 20642, for TCP and UDP
Там есть в найтройках инстанса 2 категории:
1. Network Security Groups (1)
2. Security Lists (1)
В первой настроено пик 1
Во второй настроено пик 2
Все равно связи кроме как через SSH извне нет.
Куда лезть?
это значит, что в iptables все открыто?
Если бы у нас аналог Оракла - я бы молчал.
Только вот хуйца тебе, дружок, а не руОракл.
> руОракл
Люби Россию, пидор
в моем инстансе в поле primary vnic, в графе subnet теперь есть sequrity list c прописанным ingress rules на пикрелейтед.
Связи по прежнему нет.
Ввёл ипшник в настройках shadowsocks client, ввёл логин пароль от прокси сервака рабочего, но нихера, это же для голого ss должно работать не?
Какие мне писать параметры плагина, чтобы v2ray подключился?
Сам себе отвечу
https://github.com/shadowsocks/v2ray-plugin/issues/223
Судя по всему сейчас именно плагин для ss не поддерживает forward proxy
Зачем мне сосать писю, когда у меня слава Богу пока работает Оракле?
С чего ты это взял?
https://docs.syncthing.net/users/strelaysrv.html
Пользовательские реле.
Тоже хочу своё облачное хранилище на Оракле.
Как лучше это сделать, анонасы?
А куда пойти на хуй не надо...?
Просто у вас тут хорошо и все такие добренький!
Очевидная маскировка под сайт. Немного позволяет обманывать DPI, даже если там не https.
Ну а если там https, так тем более.
Плюс это нужно, чтобы проксировать через разные CDN, например, cloudflare.
Это нужно, чтобы скрыть айпишник сервера от провайдера и укрыться за айпишниками CDN, которые будут банить в последнюю очередь, потому что на них половина интернета работает
Это даже круче, чем я думал. Оно децентрализованное. То есть, единого сервера нет. Любое устройство - это и сервер и клиент.
Блять, даже впс не нужен.
Все работает и по локалке и через инет без малейшего пердолинга.
Правда, надо еще погонять его в боевых условиях и на синхронизации криптоконтейнеров ебанистических размеров.
Дропбокс за годы проверен и работает идеально.
Но даже сейчас я могу сказать, что через syncthing можно спокойно синхронизировать файлы второстепенной важности, вроде музыки.
Что-то типа бурятского PerfectDark? Мало кто знает, но его тоже можно использовать в качестве халявного облака с безлимитным размером, лол. С той разницей, что там твои файлы может скачать кто угодно. Но для большинства контента это некритично, а что-то персональное в любом облаке держать вообще так себе идея.
Можно же шифрованным архивом залить.
А, ну это кал тогда. Как будто какой-нить бекап не будет помечен красненьким.
Какой есть вариант для роутера с поддержкой shadowsocks+v2ray, чтобы можно было засунуть в бридж с основным роутером?
> для бэкапа важных данных
> Is Syncthing my ideal backup application?
> No. Syncthing is not a great backup application because all changes to your files (modifications, deletions, etc.) will be propagated to all your devices. You can enable versioning, but we encourage you to use other tools to keep your data safe from your (or our) mistakes.
Да это и так понятно. Если данные в папке уничтожены по любым причинам, утилита синхронизации тебе их не вернёт.
Это для автоматического лёгкого бекапа. Так-то я делаю ещё и ручной иногда на диски за пределами папки синхронизации и флешки.
В целом, я рассматриваю вероятность неисправности средства синхронизации как меньшую по сравнению с вероятностью того, что какое-либо устройство отъебнет в результате физической неисправности.
>will be propagated to all your devices
Ну и это не совсем так. Например, на тв-боксе я сделал, чтобы он только слушал изменения в файлах и не мог отсылать их сам.
Плюс версионирование.
> Nginx по v2ray path что показывает, если с браузера зайти?
Error 520
>>3106612
> В эту. С чего ты решил что тебе любой порт будет позволено использовать через CDN сервис для прокси хостинга вебсайтов.
Так за тот же порт отвечает nginx, который получает запрос на 443, а затем он уже проксирует его на v2ray посредством location
>>3106614
> И нахуя ты сертификаты указываешь, если за клаудой у домена нормальный сертификат?
Так без них же никак, если v2ray в режиме -tls запускать.
> Error 520
Неправильно настроил nginx-proxy значит. Должно быть написано "bad request", если с браузера по path v2ray заходишь.
Возможно, с правами/юзерами какой-то говняк.
> Так без них же никак, если v2ray в режиме -tls запускать.
Указывать сертификаты в носках нужно только если у тебя на сервере самоподписанный (недоверенный) сертификат.
Если твой домен привязан к cloudflare, у него будет нормальный доверенный сертификат от самой клауды.
Если сертификат доверенный, в параметрах v2ray достаточно указать "tls" и все.
>>3107016
>>3107017
Так без клауды жи если напрямую v2ray-tls нормально работает через location в nginx. v2ray-http через клауду тоже работает (пикрил). А вот v2ray-tls через location в nginx через клауду - хуй. Пойду курить логи энжинкса штоле...
> Ты все это вручную делаешь, без докера?
Вручную. И давно уже все сделано, ну кроме ss+v2ray-tls за nginx через cloudflare
мимо из первого треда
> Если сертификат доверенный, в параметрах v2ray достаточно указать "tls" и все.
Чот не работает этот параметр без сертов.
На клиенте не надо указывать... На сервере надо. Но не надо, если за nginx.
Дали вам долбоёбам докер, нет, строят из себя какеров
Так это и есть сервак. И у меня все настроено уже года как джва назад, нахуй мне васянодокер сдался? Просто захотелось попробовать все говно под капот энжинкса спрятать, чтоб был только сайтек за клаудой, открывающийся по 80/443. Что и было сделано успешно, ну кроме этой пресловутой tls опускации через клауду.
А что там осиливать-то? Делал по этому гайду с той лишь разницей, что шин клиент сс иначе настроил, без ебучей консольки.
https://www.oilandfish.com/posts/shadowsocks-cloak.html
ПЕРЕКАТ
ПЕРЕКАТ
>>3107163 (OP)
>>3107163 (OP)
>>3107163 (OP)