MiTRON

Streisand VPN. Годный комбайн. Часть 2.

2020-12-30T09:07:20.273Z

В итоге "убил" я его.

Во-первых, громоздкий.

Во-вторых, по дефолту выползают баги установки.

В-третьих, оказалось проще и комфортнее установить требуемое по отдельности.

Хотя, задумка очень хорошая! Очень!

#vpn

#streisand

#findhimandkillhim

Wireguard. Вот что я люблю!

2020-12-30T09:02:30.935Z

Многие слышали о WireGuard — новом протоколе VPN, который обеспечивает заметно большую скорость и имеет простую настройку клиентского программного обеспечения. Некоторых пугает сложность установки — особенно те части инструкции, где идет речь о модулях ядра. Расскажу, как сделать быстро и без сложностей свой WireGuard-сервер.

Для начала — общие впечатления от WireGuard. Действительно, этот продукт обеспечивает замечательную производительность за счет использования транспортного протокола UDP и множества оптимизаций. В отличие от OpenVPN и подобных продуктов, принцип настройки несколько другой — для каждого отдельного устройства следует сделать отдельный ключ. Другими словами, если нужно подключаться со смартфона, домашнего компьютера и ноутбука, то в случае с WireGuard нужно сделать три ключа, не получится пользоваться одним. Отметим, что генерация ключа является простой задачей и этого не стоит опасаться.

Итак, приступаем. Нам понадобится самый простой VDS, покупаем его себе где пожелаем. Я свой выбор остановил на ITLDS. В качестве операционной системы мы будем использовать Debian 10. Остальные параметры можно оставить по-умолчанию.

Установка операционной системы на SSD VDS занимает несколько минут, после этого можно приступать к установке и запуску своего WireGuard. Подключаемся к SSD VDS с помощью любого ssh-клиента (putty или др.) и выполняем следующие команды:

apt-get install -y curl
curl https://raw.githubusercontent.com/complexorganizations/wireguard-manager/master/wireguard-server.sh --create-dirs -o /etc/wireguard/wireguard-server.sh
chmod +x /etc/wireguard/wireguard-server.sh
HEADLESS_INSTALL=y /etc/wireguard/wireguard-server.sh

Разберу подробнее. Мы инсталлируем curl (его обычно нет в поставках ОС по-умолчанию), загружаем скрипт wireguard-server.sh и выполняем его. Да, мы будем использовать замечательную утилиту wireguard-manager от Prajwal Koirala, который установит все необходимые компоненты, запустит WireGuard и подготовит первую пару ключей!

Итак, мы выполнили указанные команды и получили QR-код. Теперь можно загрузить на свой смартфон или компьютер клиентскую часть WireGuard (IOS (iPhone/iPad), Android, другие платформы), запустить приложение WireGuard и добавить подключение. Да, именно для этого нужен QR-код — приложение сканирует его для добавления подключения, не нужно вводить никаких сложных технических данных и паролей!

Для того чтобы добавить дополнительное подключение, выполним

/etc/wireguard/wireguard-server.sh --add

Указываем имя подключения (например, vpn2) и мгновенно получаем дополнительный QR-код. Быстро и просто:

Дополню — данный скрипт работает на всех современных Linux-системах. На Centos7/8 может потребоваться выключение firewalld, на Debian или Ubuntu дополнительных действий делать не нужно, поэтому Debian 10/Ubuntu 18 предпочтительнее.

WireGuard действительно впечатляет. Рекомендуем!

#vpn

#vps

#wireguard

Streisand VPN. Годный комбайн.

2019-04-15T13:41:26.010Z

Чем дальше российское законодательство продвигается в деле ограничения свобод в интернете, чем больше слышу в СМИ фразы про блокировки, DPI, какой-то там надзор, то все чаще хочу закрыться от этого. Стать независимым и свободным можно стать заимев свой личный VPN. Ведь ожидаемо, что скоро многие популярные VPN-сервисы будут заблокированы роскомнадзором. Понятно, что эти блокировки будут сродни блокировкам Telegram, ибо у нас блокируют для того, чтобы отрапортовавть о проделанной работе. Но все равно это оставляет неприятный осадок и какое-то ощущение, что всех пытаются держать за дураков. Но я не об этом...

На просторах интернетов есть просто куча различных решений для VPN. Почти все они прекрасны. Но иногда возникает желание обладать на своем VPS комбайном с разными решениями и реализациями. И тогда нам на помощь приходит проект Streisand. Надо сказать когда я ознакомился со всеми фичами этого проета я выпал в легкий ступор, ведь помимо общепринятого OpenVPN тут еще и Shadowsocks, и модный WireGuard и даже TOR.

Пожалуй, Streisand VPN является оптимальным сервером для связки VPS + VPN, которые я попробовал. Важно, что это очень просто. Проще установить только Outline VPN. Если у вас еще нет VPS, то можно его завести себе в ITLDC. И кстати, при покупке у них сервера можно установить Streisand автоматически вместе с операционной системой.

Но я предположу, что у нас уже есть VPS в минимальной конфигурации с UBUNTU 16.04. Поехали...

Шаг 1. Копирование вашего ключа SSH на пустой сервер

Чтобы Streisand мог взаимодействовать с вашим сервером через Ansible, ему необходимо использовать аутентификацию с открытым ключом, а не пароли. Мы создадим закрытый ключ на нашем локальном компьютере, а ��атем скопируем открытый ключ в VPS, чтобы включить это соединение.

Если у вас еще нет ключа SSH

Просто создайте новый ключ SSH с помощью ssh-keygenкоманды:

$ ssh-keygen -t rsa

Когда вас спросят, где сохранить ключ, просто нажмите - Enter пусть местоположение будет по умолчанию.

Теперь, когда у вас есть ключ SSH или он был сгенерирован ранее. Не суть.

Давайте быстро скопируем его на наш сервер.

$ ssh-copy-id root@IP_ADDRESS

Проверяем работоспособность ключа утановив sshсоединение.

Шаг 2. Получение репозитория Streisand

Сначала загрузим Git-репозиторий Streisand.

$ git clone https://github.com/jlund/streisand.git && cd streisand

Далее, все что вам нужно сделать, - это запустить ./streisandкоманду, которая запустит установочный скрипт.

$ ./streisand

S T R E I S A N D  

Which provider are you using?
1. Amazon
2. Azure
3. DigitalOcean
4. Google
5. Linode
6. Rackspace
7. Localhost (Advanced)
8. Existing Server (Advanced)

Подразумевается, что наш случай, это случай под номером 8. После ввода скрипт запросит IP-адрес сервера, на котором вы устанавливаете Streisand. Затем вы увидите следующее - последнее предупреждение, сообщающее, что установка Streisand перепишет все существующие конфигурации.

THIS WILL OVERWRITE CONFIGURATION ON THE EXISTING SERVER.
STREISAND ASSUMES ███.███.███.█ IS A BRAND NEW UBUNTU INSTANCE AND WILL
NOT PRESERVE EXISTING CONFIGURATION OR DATA.

ARE YOU 100% SURE THAT YOU WISH TO CONTINUE?

Please enter the word 'streisand' to continue:

Если все пойдет хорошо, установщик отключится, и вы увидите много выходных данных из Ansible.

Шаг 3. Подключение к вашему новому серверу с поддержкой Streisand

Если фактическая установка Streisand прошла гладко то вы увидите следующий результат:

[streisand-gateway : Success!]
Server setup is complete. The `HOSTNAME.html` instructions file in the generated-docs folder is ready to give to friends, family members, and fellow activists. Press Enter to continue.:

Нажмите, Enterа затем проверьте generated-docsпапку.

cd generated-docs

Открываем файл HOSTNAME.html в браузере и видим подробные инструкции о том, как загрузить сертификат SSL, который позволит вам подключиться к вашему серверу Streisand. Следуйте инструкциям в соответствии с выбранной операционной системой или браузером.

После того, как вы установили сертификат, вы можете получить доступ к вашему серверу через IP-адрес вашего VPS и сгенерированную комбинацию имени пользователя и пароля. Также есть ссылка Tor / .onion, доступная для тех, кто хочет использовать этот протокол вместо HTTPS.

После ввода вашего имени пользователя и уникального пароля вы увидите документацию о том, как подключиться к различным активированным службам. Действительно интересная вещь в документации Streisand заключается в том, что она полностью настроена на IP-адрес вашего сервера. Есть встроенные инструкции для OpenVPN, Wireguard, Tor и других.

Жаль, что ребята убрали из сборки L2TP/IPSec, посчитав это решение уже недостаточно безопасным.

Заключительные мысли о Streisand VPN

Как поднять прокси для тележеньки. (Спойлер - просто!)

2019-04-14T14:37:38.108Z

Однажды настал момент когда я устал от нестабильного соединения в Telegram. Я никогда не был сторонником бесплатных и публичных решений и поэтому решил быстренько купить себе VPS и поднять мне и друзьям прокси.

15 минут и машина с Ubuntu 16.04 LTS на борту готова. В качестве прокси будем использовать Dante Server 1.4.2, эта версия поддерживает работу с авторизованными пользователями и в ней исправлены многие ошибки.

SOCKS — сетевой протокол, который позволяет клиент-серверным приложениям прозрачно использовать сервисы за фаерволами. SOCKS базируется на стандарте TCP/IP и позволяет работать с любыми протоколами (версия Socks 4 – с TCP, Socks 5 – с TCP и UDP). SOCKS proxy просто передает данные от клиента к серверу, не вникая в содержимое самих данных (поэтому он может работать с HTTP, FTP, SMTP, POP3, NNTP, etc.).

1. Установка Dante Server

Скачаем и разархивируем исходники сервера:

cd /opt
wget http://www.inet.no/dante/files/dante-1.4.2.tar.gz
tar -xvf dante-1.4.2.tar.gz
cd dante-1.4.2/

Установим необходимые утилиты и зависимости:

apt-get install gcc libwrap0 libwrap0-dev libpam0g-dev make checkinstall

Подготовим файлы dante для компиляции:

mkdir /opt/dante
./configure --prefix=/opt/dante

Получим статус конфигурации:

Client:            Enabled
Server:            Enabled
Preloading:        Enabled
Libwrap:           Enabled
BSD Auth:          Disabled, usable bsd_auth.h not found
PAM:               Enabled
GSSAPI:            Not found/disabled
KRB5:              Not found/disabled
SASL:              Not found/disabled
UPNP:              Not found/disabled
Compatability:     issetugid setproctitle strlcpy strvis

                     Modules:

redirect:          Not found
bandwidth:         Not found
ldap:              Not found

Компилируем:

make

Упаковываем в пакет и устанавливаем:

checkinstall

Проверяем работу:

/opt/dante/sbin/sockd -v
Dante v1.4.2.  Copyright (c) 1997 - 2014 Inferno Nettverk A/S, Norway

2. Настройка сервера

Создадим пользователи и установим пароль:

useradd -s /bin/nologin telegram
passwd telegram

Узнаем название сетевого интерфейса:

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:50:56:bd:74:65
lo        Link encap:Local Loopback

В моем случае он называется eth0. Пропишем его в конфигурационном файле:

nano /etc/sockd.conf

Содержимое файла:

#logoutput: /var/log/socks.log
logoutput: stderr

# На каком сетевом интерфейсе и порту обслуживаем socks клиентов
internal: eth0 port = 1080
# С какого IP или интерфейса выходим во внешний мир
external: eth0
#internal: x.x.x.x port = 1080
#external: x.x.x.x

# Используемый метод авторизации клиентов. none — без авторизации.
socksmethod: username
#socksmethod: username none
user.privileged: root
user.notprivileged: nobody

client pass {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: error connect disconnect
}

client block {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: connect error
}

socks pass {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: error connect disconnect
}

socks block {
        from: 0.0.0.0/0 to: 0.0.0.0/0
        log: connect error
}

Ещё один вариант настройки конфигурации:

logoutput: syslog stdout /var/log/sockd.log
internal: x.x.x.x port = 1080
external: x.x.x.x
socksmethod: username 
user.privileged: root
user.unprivileged: nobody
user.libwrap: nobody
client pass
{
from: 0.0.0.0/0 to: 0.0.0.0/0
log: error
}
client block {
from: 0.0.0.0/0 to: 127.0.0.0/8
log: connect error
}
socks pass
{
from: 0.0.0.0/0 to: 0.0.0.0/0
command: connect
log: error
socksmethod: username
}

3. Автоматический запуск сервера

Для того, чтобы запуск сервера происходил при старте системы, соберём модуль запуска. Для этого необходимо создать файл /etc/init.d/sockd с таким содержимым:

#! /bin/sh
### BEGIN INIT INFO

# Provides:          sockd

# Required-Start:    $remote_fs $syslog

# Required-Stop:     $remote_fs $syslog

# Default-Start:     2 3 4 5

# Default-Stop:      0 1 6

# Short-Description: Start the dante SOCKS server.

# Description:       SOCKS (v4 and v5) proxy server daemon (sockd).

#                    This server allows clients to connect to it and

#                    request proxying of TCP or UDP network traffic

#                    with extensive configuration possibilities.

### END INIT INFO

#

# dante SOCKS server init.d file. Based on /etc/init.d/skeleton:

# Version:  @(#)skeleton  1.8  03-Mar-1998  miquels@cistron.nl 

# Via: https://gitorious.org/dante/pkg-debian



PATH=/sbin:/usr/sbin:/bin:/usr/bin
NAME=sockd
DAEMON=/opt/dante/sbin/$NAME
DAEMON_ARGS="-D"
PIDFILE=/var/run/$NAME.pid
SCRIPTNAME=/etc/init.d/$NAME
DESC="Dante SOCKS daemon"
CONFFILE=/etc/$NAME.conf

# Exit if the package is not installed


[ -x "$DAEMON" ] || exit 0

# Load the VERBOSE setting and other rcS variables


. /lib/init/vars.sh

# Define LSB log_* functions.

# Depend on lsb-base (>= 3.2-14) to ensure that this file is present

# and status_of_proc is working.


. /lib/lsb/init-functions

set -e

# This function makes sure that the Dante server can write to the pid-file.


touch_pidfile ()
{
  if [ -r $CONFFILE ]; then
    uid="`sed -n -e 's/[[:space:]]//g' -e 's/#.*//' -e '/^user\.privileged/{s/[^:]*://p;q;}' $CONFFILE`"
    if [ -n "$uid" ]; then
      touch $PIDFILE
      chown $uid $PIDFILE
    fi
  fi
}

case "$1" in
  start)
    if ! egrep -cve '^ *(#|$)' \
        -e '^(logoutput|user\.((not)?privileged|libwrap)):' \
        $CONFFILE > /dev/null
    then
        echo "Not starting $DESC: not configured."
        exit 0
    fi
    echo -n "Starting $DESC: "
    touch_pidfile
    start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON --test > /dev/null \
        || return 1
    start-stop-daemon --start --quiet --pidfile $PIDFILE --exec $DAEMON -- \
        $DAEMON_ARGS \
        || return 2
    echo "$NAME."
    ;;
  stop)
    echo -n "Stopping $DESC: "
    start-stop-daemon --stop --quiet --retry=TERM/30/KILL/5 --pidfile $PIDFILE --name $NAME
    RETVAL="$?"
    [ "$RETVAL" = 2 ] && return 2
    start-stop-daemon --stop --quiet --oknodo --retry=0/30/KILL/5 --exec $DAEMON
    [ "$?" = 2 ] && return 2
    echo "$NAME."
    ;;
  reload|force-reload)
    
#


    
#   If the daemon can reload its config files on the fly


    
#   for example by sending it SIGHUP, do it here.


    
#


    
#   Make this a do-nothing entry, if the daemon responds to changes in its config file


    
#   directly anyway.


    
#


     echo "Reloading $DESC configuration files."
     start-stop-daemon --stop --signal 1 --quiet --pidfile \
        $PIDFILE --exec $DAEMON -- -D
  ;;
  restart)
    
#


    
#   If the "reload" option is implemented, move the "force-reload"


    
#   option to the "reload" entry above. If not, "force-reload" is


    
#   just the same as "restart".


    
#


    echo -n "Restarting $DESC: "
    start-stop-daemon --stop --quiet --pidfile $PIDFILE --exec $DAEMON
    sleep 1
    touch_pidfile
    start-stop-daemon --start --quiet --pidfile $PIDFILE \
      --exec $DAEMON -- -D
    echo "$NAME."
    ;;
  status)
    status_of_proc "$DAEMON" "$NAME" && exit 0 || exit $?
    ;;
  *)
    N=/etc/init.d/$NAME
    
# echo "Usage: $N {start|stop|restart|reload|force-reload}" >&2


    echo "Usage: $N {start|stop|restart|status|force-reload}" >&2
    exit 1
    ;;
esac

exit 0

Сделаем скрипт запуска исполняемым:

chmod +x /etc/init.d/sockd

Обновим конфигурацию демонов:

systemctl daemon-reload

И включим модуль:

systemctl enable sockd

Запустим Dante server:

systemctl start sockd

Перезагрузим конфигурацию:

systemctl enable danted && systemctl restart danted

4. Формируем ссылку для Telegram

https://t.me/socks?server=example.com&port=9999&user=username&pass=password

Оригинальная статья https://levashove.ru/kak-podnyat-svoj-socks5-server-dlya-telegram/amp/