@yachmenev

Shadowsocks + Cloak

2024-06-14T18:10:36.623Z

1. Введение

Shadowsocks был одним из первых протоколов для обхода блокировок в Китае, но со временем DPI системы научились его распознавать и блокировать. Не исключается такой вариант событий и в нашей стране, так что для сокрытия трафика Shadowsocks предлагается множество вариантов обфускаторов в виде плагинов. Одним из таких плагинов является Cloak. Для шифрования между серверной и клиентской частью Cloak используется асимметричное шифрование на базе открытого и закрытого ключа, закрытая часть всегда остается на сервере, открытая передается клиенту. С помощью ключевой пары клиент и сервер согласуют сеансовый симметричный ключ для дальнейшей передачи данных между клиентом и сервером. Аналогичная схема PFS применяется в HTTPS сеансах с использованием x.509 сертификатов или SSH. Варианты шифрования поддерживаемые Cloak:

plain
aes-128-gcm
aes-256-gcm (alias aes-gcm)
chacha20-poly1305

Так как Shadowsocks на своем уровне уже использует различные типы шифрования, в конфигурации Cloak можно использовать plain. Если вдруг перестанет работать, включить шифрование на уровне Cloak не составляет большого труда, оно настраивается на стороне клиента, дополнительная настройка на сервере не требуется. Так например трафик OpenVPN разработчики Cloak рекомендуют дополнительно шифровать, так как DPI системы научились распознавать его по отпечаткам.

2. Настройка Shadowsocks

Установку Shadowsocks я описывал ранее в статье https://teletype.in/@yachmenev/shadowsocks-rust, приведу только конфиг Shadowsocks

Сервер:

cat >/etc/shadowsocks/server.json <<HEREDOC
{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "0.0.0.0",
      "server_port": 11443,
      "method": "aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "server": "0.0.0.0",
      "server_port": 12443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=",
      "users": [
        {
          "name": "user1",
          "password": "XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8="
        },
        {
          "name": "user2",
          "password": "2tP/krYV6RNBqM0xwXKwYi0af1Rs6lk23wpBHWYYoNo="
        }
      ]
    }
  ]
}
HEREDOC

Клиент:

cat >/etc/shadowsocks/client.json <<HEREDOC
{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "shadowsocks.example.com",
      "server_port": 11443,
      "method": "aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "disabled": true,
      "server": "shadowsocks.example.com",
      "server_port": 12443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=:XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8=",
    }
  ]
  "locals": [
    {
      "protocol": "socks",
	  "local_address": "127.0.0.1",
      "local_port": 1080
    },
    {
      "protocol": "http",
	  "local_address": "127.0.0.1",
      "local_port": 3128
    },
  ]
}
HEREDOC

Проверяем конфиги с помощью jq

Запускаем сервер:

ssservice server -c /etc/shadowsocks/server.json

Запускаем клиент:

ssservice local -c /etc/shadowsocks/client.json

Проверяем работу сервера и клиента shadowsocks

curl https://checkip.groupit.team
curl --proxy socks5://127.0.0.1:1080 https://checkip.groupit.team

После того как убедились что у нас все работает, можно активировать и запустить службы:

systemctl enable --now shadowsocks-server

systemctl enable --now shadowsocks-client

3. Настройка Cloak

Установка Cloak как самостоятельных сервисов описана в статье https://teletype.in/@yachmenev/cloak

Сервер:

cat >/etc/cloak/server.json <<HEREDOC
{
  "ProxyBook": {
    "ss11443": [
      "tcp",
      "127.0.0.1:11443"
    ],
    "ss12443": [
      "tcp",
      "127.0.0.1:12443"
    ]
  },
  "BindAddr": [
    ":443"
  ],
  "BypassUID": [
    "yR5UJjyZ+JSWW239AUbscQ=="
  ],
  "RedirAddr": "mail.google.com",
  "PrivateKey": "oNbxJyE1JpQbmyc8QXZsbw2KUMpGrypsiG6eH7gQV3o="
}
HEREDOC

Клиент:

cat >/etc/cloak/cloak-client-ss-aes-256-gcm <<HEREDOC
{
  "Transport": "direct",
  "ProxyMethod": "ss11443",
  "EncryptionMethod": "plain",
  "UID": "yR5UJjyZ+JSWW239AUbscQ==",
  "PublicKey": "5SQ90GPAUWcYZbJM1NnLzhk2f8gtRlXLcCPaUUYcjU8=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}
HEREDOC

cat >/etc/default/cloak-client-ss-aes-256-gcm <<HEREDOC
LISTENIP=127.0.0.1
LISTENPORT=11443
REMOTESERVER="shadowsocks.example.com"
REMOTEPORT=443
HEREDOC

cat >/etc/cloak/cloak-client-ss-2022-blake3-aes-256-gcm.json <<HEREDOC
{
  "Transport": "direct",
  "ProxyMethod": "ss12443",
  "EncryptionMethod": "plain",
  "UID": "yR5UJjyZ+JSWW239AUbscQ==",
  "PublicKey": "5SQ90GPAUWcYZbJM1NnLzhk2f8gtRlXLcCPaUUYcjU8=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}
HEREDOC

cat >/etc/default/cloak-client-ss-2022-blake3-aes-256-gcm <<HEREDOC
LISTENIP=127.0.0.1
LISTENPORT=12443
REMOTESERVER="shadowsocks.example.com"
REMOTEPORT=443
HEREDOC

systemctl enable --now cloak-client@ss-aes-256-gcm
systemctl enable --now cloak-client@ss-2022-blake3-aes-256-gcm

Есть ограничение на количество символов в конфиге Cloak клиента: параметр "ProxyMethod" не должен превышать 12 символов. Не знаю по какой причине такие ограничения, баг это или фича, но это недокументированный момент и я не меньше часа потратил разбираясь почему не работает туннель.

4. Перенастройка клиента Shadowsocks на использование Cloak

Вариантов настройки связки Shadowsocks+Cloak рассмотрим два. Первым будет вариант самостоятельной службы cloak-client. Данный вариант позволяет подключить несколько клиентов shadowsocks с локального компьютера или из сети. Второй вариант - использование Сloak в качестве плагина Shadowsocks, такой вариант применения описан в SIP003 (Shadowsocks Improvement Proposal) https://shadowsocks.org/doc/sip003.html

4.1 Cloak как самостоятельная служба

Конфигурация службы cloak-client приведена в пункте 3, в текущем разделе настроим Shadowsocks на подключение к ней.

Перенастраиваем клиент Shadowsocks на порты прослушиваемые нашим Cloak клиентом 11443 и 12443 на адресе 127.0.0.1
Итоговый конфиг клиента Shadowsocks будет выглядеть следующим образом:

cat >/etc/shadowsocks/client.json <<HEREDOC
{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "127.0.0.1",
      "server_port": 11443,
      "method": "aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "disabled": true,
      "server": "127.0.0.1",
      "server_port": 12443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=:XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8=",
    }
  ]
  "locals": [
    {
      "protocol": "socks",
	  "local_address": "127.0.0.1",
      "local_port": 1080
    },
    {
      "protocol": "http",
	  "local_address": "127.0.0.1",
      "local_port": 3128
    },
  ]
}
HEREDOC

То есть во всем конфиге меняется только адрес сервера для подключения shadowsocks-client

Перезапускаем службу клиента Shadowsocks:

systemctl restart shadowsocks-client

Проверяем что проксирование работает:

curl https://checkip.groupit.team
curl --proxy socks5://127.0.0.1:1080 https://checkip.groupit.team

4.2 Cloak как плагин Shadowsocks

В данной конфигурации клиента Shadowsocks адрес сервера остается прежний, но порт подключения меняется на 443 (на сервере данный порт прослушивается службой cloak-server). Так же добавляется два новых параметра "plugin" и "plugin_opts" отвечающие за то какое приложение необходимо использовать в качестве плагина и какие опции ему передавать на вход. Данный способ все так же требует конфигурирования cloak-client, но не требует настройки службы, плагин подключается динамически по мере необходимости. Недостатком же является запуск только одним экземпляром клиента Shadowsocks на локальном компьютере без возможности предоставления сервиса для компьютеров локальной сети.

cat >/etc/shadowsocks/client.json <<HEREDOC
{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "shadowsocks.example.com",
      "server_port": 443,
      "method": "aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=",
      "plugin": "cloak-client",
      "plugin_opts": "/etc/cloak/cloak-client-ss-aes-256-gcm.json"

    },
    {
      "disabled": true,
      "server": "shadowsocks.example.com",
      "server_port": 443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=:XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8=",
      "plugin": "cloak-client",
      "plugin_opts": "/etc/cloak/cloak-client-ss-2022-blake3-aes-256-gcm.json"

    }
  ]
  "locals": [
    {
      "protocol": "socks",
	  "local_address": "127.0.0.1",
      "local_port": 1080
    },
    {
      "protocol": "http",
	  "local_address": "127.0.0.1",
      "local_port": 3128
    },
  ]
}
HEREDOC

Серверная часть cloak-server подключается к Shadowsocks через loopback интерфейс с адресом 127.0.0.1 так что можем без проблем скрыть наличие Shadowsocks на нашем сервере.

sed -i 's/0.0.0.0/127.0.0.1/g' /etc/shadowsocks/server.json
systemctl restart shadowsocks-server

USDT/TRC20: TW4ZRcrb4qBRb9uSNiu9wJCWveCp4rLoGL

Простая настройка Squid с авторизацией

2024-06-13T08:33:49.483Z

1. Установка Squid

1.1 Используемая документация

https://www.squid-cache.org/Doc/config/

1.2 Установка Squid

apt install squid

1.3 Настройка Squid

Создадим файл с пользователем и его паролем для будущего прокси:

echo "user:$(openssl passwd -salt GqxMofo+ -apr1 password)" >>/etc/squid/passwd

Формат файла крайне прост

user:password

Соль добавляемая к паролю параметром -salt должна быть не более 8 символов. Параметр не обязательный. Сгенерить можно командой:

openssl rand -base64 6

Алгоритм хеширования пароля может быть -apr1, -5 (SHA256), -6 (SHA512).

Если не указывать пароль, запрос на ввод пароля будет интерактивный, это более безопасно так как не сохраняется в истории команд консоли.

Если в файле несколько раз встречается пользователь с одинаковым именем, актуальна всегда самая последняя запись. Если вы по ошибке задублировали пользователя, просто удалите последнюю строку и пользователь сможет как раньше заходить со своим прежним паролем.

Настройка параметров Basic авторизации:

cat >/etc/squid/conf.d/auth.conf <<HEREDOC
auth_param basic program /usr/lib/squid/basic_ncsa_auth /etc/squid/passwd
auth_param basic realm Proxy Auth Required
acl auth proxy_auth REQUIRED
http_access allow auth
HEREDOC

Настройка логирования в более удобной форме чем по умолчанию предлагает Squid. Но это вкусовщина на усмотрение админа, каждый настраивает под себя https://www.squid-cache.org/Doc/config/logformat/

cat >/etc/squid/conf.d/log.conf <<HEREDOC
logformat squid_tl %{%d/%b/%Y %H:%M:%S %z}tl %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<a %mt
access_log daemon:/var/log/squid/access.log squid_tl
HEREDOC

Мелкий тюнинг

cat >/etc/squid/conf.d/squid.conf <<HEREDOC
cache_mgr admin@example.com
httpd_suppress_version_string on
visible_hostname squid.example.com
HEREDOC

Если не планируем светить наш прокси на весь интернет и скрыть его за плагинами cloak/v2ray-plugin/xray-plugin или чем-то подобным

sed -i 's/http_port 3128/http_port 127.0.0.1:3128/' /etc/squid/squid.conf

Проверяем что нет ошибок в конфиге и говорим перечитать конфиг. Это быстрей чем перезапуск службы через systemctl restart squid

squid -k check && squid -k reconfigure

Проверяем работу нашего прокси

curl --proxy http://squid.example.com:3128 --proxy-user user:password https://checkip.groupit.team

Установка и настройка Cloak Standalone Server для обфускации трафика

2024-06-11T14:46:12.560Z

1. Установка Cloak Standalone Server

1.1 Используемая документация

1.2 Дополнительное ПО

Для проверки корректности файлов JSON нам понадобится утилита jq. Установить ее можно из репозиториев или напрямую из git:

_URL="https://github.com/jqlang/jq/releases/download/jq-1.7.1/jq-linux-amd64"
_APP="/usr/bin/jq"

wget -q -O ${_APP} ${_URL}
chmod a+x ${_APP}
chown 0:0 ${_APP}

unset _URL _APP

Проверку можно выполнить командой:

jq '.' <path_to_file>

1.3 Установка cloak-server

Настроим переменные для процесса установки:

_URL="https://github.com/cbeuw/Cloak/releases/download/v2.9.0/ck-server-linux-amd64-v2.9.0"
_APP="/usr/bin/cloak-server"
_CFG="/etc/cloak/server.json"
_CFGSHADOWSOCKS="/etc/cloak/cloak-client-shadowsocks-direct.json"
_CFGSQUID="/etc/cloak/cloak-client-squid-direct.json"
_SVC="/etc/systemd/system/cloak-server.service"

Загружаем и устанавливаем cloak-server из git:

wget -q -O ${_APP} ${_URL}
chmod a+x ${_APP}
chown 0:0 ${_APP}

Для конфига нам понадобятся ключевая пара (открытый и закрытый ключ) и как минимум один UID пользователя. Сгенерировать ключевую пару можно командой

cloak-server -k

или

cloak-server -key

-k Генерация пары публичного и приватного ключа и вывод в консоль в формате <public key>,<private key>
-key Генерация ключевой пары в виде двух строк с публичным и приватным ключом

Публичная часть ключа нам понадобится для конфигурации клиента, приватная часть остается на сервере и ни кому не передается.

_KEYS=$(${_APP} -k)
_PUBKEY=$(echo ${_KEYS} | cut -d, -f1)
_PRIVKEY=$(echo ${_KEYS} | cut -d, -f2)

_UID=$(${_APP} -u)

Сохраним ключевую пару:

cat >~root/cloak-keys.txt <<HEREDOC
Your PUBLIC key is:                   ${_PUBKEY}
Your PRIVATE key is (keep it secret): ${_PRIVKEY}
HEREDOC

Создадим конфиг для нашего сервиса:

mkdir -p $(dirname ${_CFG})

cat >${_CFG} <<HEREDOC
{
  "ProxyBook": {
    "shadowsocks": [
      "tcp",
      "127.0.0.1:8388"
    ],
    "squid": [
      "tcp",
      "127.0.0.1:3128"
    ]
  },
  "BindAddr": [
    ":443"
  ],
  "BypassUID": [
    "${_UID}"
  ],
  "RedirAddr": "mail.google.com",
  "PrivateKey": "${_PRIVKEY}"
}
HEREDOC

Так в конфиге сервера, в секции ProxyBook у нас два варианта подключения для клиентов:

shadowsocks
squid

Предполагается что сервисы, на которые будет выполняться перенаправление из туннеля, размещены локально и прослушивают порты 8388 и 3128 соответственно.

Конфигурации для клиентов будут выглядеть следующим образом:

cat >${_CFGSHADOWSOCKS} <<HEREDOC
{
  "Transport": "direct",
  "ProxyMethod": "shadowsocks",
  "EncryptionMethod": "plain",
  "UID": "${_UID}",
  "PublicKey": "${_PUBKEY}",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}
HEREDOC

cat >${_CFGSQUID} <<HEREDOC
{
  "Transport": "direct",
  "ProxyMethod": "squid",
  "EncryptionMethod": "aes-256-gcm",
  "UID": "${_UID}",
  "PublicKey": "${_PUBKEY}",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}
HEREDOC

Проверим все конфигурации на наличие ошибок:

jq '.' ${_CFG}
jq '.' ${_CFGSHADOWSOCKS}
jq '.' ${_CFGSQUID}

Установим и запустим службу:

cat >${_SVC} <<HEREDOC
[Unit]
Description=Cloak Server
Documentation=https://github.com/cbeuw/Cloak/wiki
After=network-online.target

[Service]
Type=simple
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE
ExecStart=${_APP} -c ${_CFG}
Restart=always

[Install]
WantedBy=multi-user.target
HEREDOC

systemctl daemon-reload

systemctl enable --now $(basename ${_SVC})

systemctl status $(basename ${_SVC})

Удалим переменные, которые создавали для процесса установки:

unset _URL _APP _CFG _CFGSHADOWSOCKS _CFGSQUID_SVC _KEYS _PUBKEY _PRIVKEY _UID

2. Установка Cloak Standalone Client

2.1 Установка cloak-client

Настроим переменные для процесса установки cloak-client:

_URL="https://github.com/cbeuw/Cloak/releases/download/v2.9.0/ck-client-linux-amd64-v2.9.0"
_APP="/usr/bin/cloak-client"
_CFGSHADOWSOCKS="/etc/cloak/cloak-client-shadowsocks-direct.json"
_CFGSQUID="/etc/cloak/cloak-client-squid-direct.json"
_SVC="/etc/systemd/system/cloak-client@.service"

Загружаем и устанавливаем cloak-client из git:

wget -q -O ${_APP} ${_URL}
chmod a+x ${_APP}
chown 0:0 ${_APP}

Конфигурация у нас есть на сервере, просто скопируем файл на клиентский комп.

mkdir -p /etc/cloak/

cat >${_CFGSHADOWSOCKS} <<HEREDOC
{
  "Transport": "direct",
  "ProxyMethod": "shadowsocks",
  "EncryptionMethod": "plain",
  "UID": "zA2FSjulYdZO/tf5xZSbjQ==",
  "PublicKey": "wHpXaRMi87TYMZUsavLclgRf/lENV2jt4mJ2SJkCk1w=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}
HEREDOC

cat >${_CFGSQUID} <<HEREDOC
{
  "Transport": "direct",
  "ProxyMethod": "squid",
  "EncryptionMethod": "aes-256-gcm",
  "UID": "zA2FSjulYdZO/tf5xZSbjQ==",
  "PublicKey": "wHpXaRMi87TYMZUsavLclgRf/lENV2jt4mJ2SJkCk1w=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}
HEREDOC

Так как у нас два конфига, то и клиентских сервиса у нас будет два. Запускаться несколько служб будут через шаблон службы.

Шаблоны службы в systemd имеют вид servicename@.service

Так же, помимо конфига для нашей службы, понадобится файл с переменными окружения службы. Так как службы у нас будет две, первая туннелирует shadowsocks, вторая squid, то и файлов конфигураций с переменными окружения тоже будет два.

cat >/etc/default/cloak-client-shadowsocks-direct <<HEREDOC
LISTENIP=127.0.0.1
LISTENPORT=8388
REMOTESERVER="shadowsocks.example.com"
REMOTEPORT=443
HEREDOC

cat >/etc/default/cloak-client-squid-direct <<HEREDOC
LISTENIP=127.0.0.1
LISTENPORT=3128
REMOTESERVER="shadowsocks.example.com"
REMOTEPORT=443
HEREDOC

Создадим конфиг службы и перезапустим systemd:

cat >${_SVC} <<HEREDOC
[Unit]
Description=Cloak Client %i
Documentation=https://github.com/cbeuw/Cloak
After=network-online.target

[Service]
Type=simple
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE
EnvironmentFile=/etc/default/%p-%i
ExecStart=${_APP} -c /etc/cloak/%p-%i.json -i \${LISTENIP} -l \${LISTENPORT} -s \${REMOTESERVER} -p \${REMOTEPORT}
Restart=always

[Install]
WantedBy=multi-user.target
HEREDOC

systemctl daemon-reload

Включим автозапуск служб при старте системы и запустим их:

systemctl enable --now cloak-client@shadowsocks-direct
systemctl enable --now cloak-client@squid-direct

Проверяем что все работает:

systemctl status cloak-client@shadowsocks-direct
systemctl status cloak-client@squid-direct

Удаляем наши переменные:

unset _URL _APP _CFGSHADOWSOCKS _CFGSQUID _SVC

Так как служба клиента запускается из шаблона, имеет смысл пояснить зависимости между параметрами в конфигурации службы и именами файлов с переменными окружения и конфигураций cloak-client.

Значимые параметры конфигурации службы:

EnvironmentFile=/etc/default/%p-%i

/etc/default - каталог в котором служба будет выполнять поиск файла с переменными окружения для запуска службы
%p - имя файла шаблона службы без @.service, в нашем примере это cloak-client
%i - параметр передаваемый после @ в имени шаблона службы

ExecStart=${_APP} -c /etc/cloak/%p-%i.json -i \${LISTENIP} -l \${LISTENPORT} -s \${REMOTESERVER} -p \${REMOTEPORT}

-c /etc/cloak/%p-%i.json - путь до файла конфигурации клиента. Имя файла конфигурации формируется по аналогии с именем файла содержащим переменные окружения службы.

Если на удаленном сервере, где установлен cloak-server, уже настроена служба Squid, после запуска cloak-client можно пробовать подключиться к адресу 127.0.0.1 и порту 3128 для проверки работы HTTP прокси.

Для работы Shadowsocks в параметрах клиента shadowsocks необходимо указать адрес подключения 127.0.0.1 и порт 8388. После переконфигурирования клиента shadowsocks можно указать в браузере параметры SOCKS5 прокси сервера и проверить соединение.

Cloak не предоставляет инструменты проксирования, для этого используются shadowsocks или squid. Cloak предоставляет туннель весь трафик которого внешне выглядит как HTTPS, внутри же можно туннелировать любой TCP трафик.

2.2 Настройка работы cloak-client через реверс прокси или CDN

Помимо работы напрямую Клиент-Сервер, cloak умеет работать через облачных провайдеров, например Cloud Flare, или reverse proxy. Подробно разбирать настройку CF не будем, рассмотрим настройку reverse proxy на базе nginx.

Настройка серверной части не изменится. В конфигурации клиента изменится параметр "Transport": "direct" на "Transport": "CDN" и добавится новый параметр "CDNWsUrlPath": "/cloak-ws-shadowsocks". Итоговые конфигурации клиентов работающих через CDN будут выглядеть следующим образом:

{
  "Transport": "CDN",
  "CDNWsUrlPath": "/cloak-ws-shadowsocks",
  "ProxyMethod": "shadowsocks",
  "EncryptionMethod": "plain",
  "UID": "zA2FSjulYdZO/tf5xZSbjQ==",
  "PublicKey": "wHpXaRMi87TYMZUsavLclgRf/lENV2jt4mJ2SJkCk1w=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

{
  "Transport": "CDN",
  "CDNWsUrlPath": "/cloak-ws-squid",
  "ProxyMethod": "squid",
  "EncryptionMethod": "aes-256-gcm",
  "UID": "zA2FSjulYdZO/tf5xZSbjQ==",
  "PublicKey": "wHpXaRMi87TYMZUsavLclgRf/lENV2jt4mJ2SJkCk1w=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

Теперь к настройке проксирования websockets в nginx. Подробная документация по проксированию websockets: https://nginx.org/ru/docs/http/websocket.html

cat >/etc/nginx/conf.d/01_upstream.conf <<HEREDOC
upstream cloak-server {
    server 127.0.0.1:44300;
}
HEREDOC

cat >/etc/nginx/conf.d/02_map.conf <<HEREDOC
map \$http_upgrade \$connection_upgrade {
    default upgrade;
    ''      close;
}
HEREDOC

server {

    listen 443 ssl;
    
    ...
    
    location /cloak-ws-shadowsocks {

        proxy_pass http://cloak-server;

        proxy_http_version 1.1;
        proxy_set_header Upgrade    \$http_upgrade;
        proxy_set_header Connection \$connection_upgrade;
    }

    location /cloak-ws-squid {

        proxy_pass http://cloak-server;

        proxy_http_version 1.1;
        proxy_set_header Upgrade    \$http_upgrade;
        proxy_set_header Connection \$connection_upgrade;
    }
    
    ...

}

Если cloak-server размещается на том же сервере где запушен nginx, придется изменить порт cloak-server на другой, например 44300. В файле 01_upstream.conf это видно. В то же время с реверса нам ни что не мешает маршрутизировать трафик на любой другой сервер сети где размещена служба cloak-server, тогда менять порт для cloak-server нет необходимости. Важно в параметре proxy_pass указывать протокол http потому как https схема не поддерживается в cloak-server на сервере назначения.

USDT/TRC20: TW4ZRcrb4qBRb9uSNiu9wJCWveCp4rLoGL

Установка сервера для активации Windows и Office

2024-06-10T09:11:20.151Z

URL="https://github.com/Wind4/vlmcsd/releases/download/svn1113/binaries.tar.gz"

cd ~
mkdir vlmcsd && cd vlmcsd
wget -q ${URL}
tar xzf $(basename ${URL})
install --mode=0755 binaries/Linux/intel/static/vlmcs-x64-musl-static /usr/bin/vlmcs
install --mode=0755 binaries/Linux/intel/static/vlmcsd-x64-musl-static /usr/bin/vlmcsd
install --mode=0755 binaries/Linux/intel/static/vlmcsdmulti-x64-musl-static /usr/bin/vlmcsdmulti

cd .. && rm -rf vlmcsd

mkdir -p /etc/vlmcsd/
wget -q -O /etc/vlmcsd/vlmcsd.ini https://raw.githubusercontent.com/Wind4/vlmcsd/master/etc/vlmcsd.ini
wget -q -O /etc/vlmcsd/vlmcsd.kmd https://github.com/Wind4/vlmcsd/raw/master/etc/vlmcsd.kmd

wget -q -O - https://raw.githubusercontent.com/Wind4/vlmcsd/master/man/vlmcs.1 | gzip >/usr/share/man/man1/vlmcs.1.gz
wget -q -O - https://raw.githubusercontent.com/Wind4/vlmcsd/master/man/vlmcsd.7 | gzip >/usr/share/man/man7/vlmcsd.7.gz
wget -q -O - https://raw.githubusercontent.com/Wind4/vlmcsd/master/man/vlmcsd.8 | gzip >/usr/share/man/man8/vlmcsd.8.gz
wget -q -O - https://raw.githubusercontent.com/Wind4/vlmcsd/master/man/vlmcsd.ini.5 | gzip >/usr/share/man/man5/vlmcsd.ini.5.gz
wget -q -O - https://raw.githubusercontent.com/Wind4/vlmcsd/master/man/vlmcsdmulti.1 | gzip >/usr/share/man/man1/vlmcsdmulti.1.gz

wget -q -O /etc/systemd/system/vlmcsd.service https://raw.githubusercontent.com/Wind4/vlmcsd-debian/master/vlmcsd.service

systemctl daemon-reload
systemctl enable --now vlmcsd.service
systemctl status vlmcsd.service

unset URL

Скрипт скачивает архив, распаковывает его и устанавливает файлы приложения, справки, конфига и системной службы. Для настройки клиента KMS на Windows используется скрипт slmgr.vbs

Скрипт slmgr.vbs идет в стандартной поставке Windows и отдельной установки не требует.

Посмотреть настройки:

slmgr /dli

slmgr /dlv

Задать сервер KMS:

slmgr /skms IP

slmgr /skms FQDN

Очистить настроенные параметры:

slmgr /ckms

Установить ключ:

slmgr /ipk NPPR9-FWDCX-D2C8J-H872K-2YT43

Если у вас есть собственный домен (для примера будем использовать имя домена example.com) можно создать SRV запись для публикации KMS сервера:

Имя: _vlmcs._tcp.
Тип: SRV
Значение: kms.example.com
Приоритет: 0
Вес: 0
Порт: 1688

Имя: kms
Тип: A
Значение: IP адрес вашего сервера

Записей типа А с именем kms может быть несколько если у вас несколько kms серверов. Если сервер один, в SRV записи можно указать IP сервера и не регистрировать А запись. По умолчанию KMS использует протокол TCP, порт 1688.

Если настраиваем DNS домен с публикацией служб KMS, настройка клиента тоже будет немного отличаться.

Если компьютер не в домене, домен поиска можно задать в настройках сетевого интерфейса - Кнопка Дополнительно, вкладка DNS.

Если компьютер получает параметры сети от DHCP сервера, в параметрах DHCP сервера можно указать опцию 15 - DNS имя домена. В нашем случае имя домена будет example.com, так как публикация службы KMS выполнена в корне домена второго уровня.

Еще один вариант задания KMS сервера через ранее использованный slmgr.vbs:

slmgr /skms-domain example.com

Очистить настройку домена поиска KMS:

slmgr /ckms-domain

Теперь, когда все настроено, можно пробовать активировать систему:

slmgr /ato

Через службы KMS можно так же активировать MS Office. Начиная с версии Office 2019 отдельная настройка для этого не требуется, офисный пакет читает настройки активации Windows. До версии Office 2016 включительно, необходимо настраивать параметры KMS сервера собственным скриптом расположенным по пути:

"C:\Program Files\Microsoft Office\Office16\OSPP.VBS"

Путь до файла OSPP.VBS может отличаться в зависимости от разрядности 32/64 и версии Office.

Более подробно описание работы с KMS и ключи активации можно найти на сайте Miscrosoft - https://learn.microsoft.com/ru-ru/windows-server/get-started/kms-client-activation-keys

Установка и настройка Shadowsocks-rust

2024-06-09T22:49:39.773Z

1. Установка сервера Shadowsocks-rust

1.1 Используемая документация

1.2 Дополнительное ПО

_URL="https://github.com/jqlang/jq/releases/download/jq-1.7.1/jq-linux-amd64"
_APP="/usr/bin/jq"

wget -q -O ${_APP} ${_URL}
chmod a+x ${_APP}
chown 0:0 ${_APP}

unset _URL _APP

Проверку можно выполнить командой:

jq '.' <path_to_file>

1.3 Предварительная настройка системы

На странице Advanced configurations рекомендуют изменить ограничения на количество открытых файловых дескрипторов, но в файле /etc/security/limits.conf прямо сказано что для служб это не работает и применяется только для пользователей вошедших в систему через PAM. Чтобы изменить количество открытых файловых дескрипторов для службы, необходимо в файле конфигурации службы добавить строку:

LimitNOFILE=51200

Установим рекомендуемые системные переменные:

cat >/etc/sysctl.d/00-shadowsocks.conf <<HEREDOC
fs.file-max = 51200

net.core.rmem_max = 67108864
net.core.wmem_max = 67108864
net.core.netdev_max_backlog = 250000
net.core.somaxconn = 4096

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 10000 65000
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_mem = 25600 51200 102400
net.ipv4.tcp_rmem = 4096 87380 67108864
net.ipv4.tcp_wmem = 4096 65536 67108864
net.ipv4.tcp_mtu_probing = 1
net.ipv4.tcp_congestion_control = hybla
HEREDOC

sysctl -p /etc/sysctl.d/00-shadowsocks.conf

1.4 Установка сервера Shadowsocks-rust

Настроим переменные для процесса установки:

URL="https://github.com/shadowsocks/shadowsocks-rust/releases/download/v1.19.2/shadowsocks-v1.19.2.x86_64-unknown-linux-musl.tar.xz"
CONF="/etc/shadowsocks-rust/server.json"
SERVICE="/etc/systemd/system/shadowsocks-rust.service"

Загружаем и устанавливаем Shadowsocks-rust из git:

wget -q -O - ${URL} | tar --xz --extract
install --mode=0755 --owner=root --group=root --preserve-timestamps -D --target-directory=/usr/bin ssmanager ssserver sslocal ssservice ssurl
rm ssmanager ssserver sslocal ssservice ssurl

ssserver - серверная часть Shadowsocks-rust
sslocal - клиентская часть Shadowsocks-rust
ssservice - серверная/клиентская часть Shadowsocks-rust
ssurl - утилита для генерации qr-code и/или ссылки на подключение к нашему серверу

Для нашего конфига будем использовать ssservice, хотя ни кто не запрещает заменить его на ssserver. Все приложения независимы друг от друга.

В данном примере будут использоваться алгоритмы шифрования использующие длину ключа 32 байта:

aes-256-gcm
2022-blake3-aes-256-gcm

Алгоритм шифрования aes-256-gcm поддерживается всеми клиентами в отличие от более нового 2022-blake3-aes-256-gcm. В списке поддерживаемых алгоритмов актуальными числятся AEAD Ciphers и AEAD 2022 Ciphers, все остальные помечены как Deprecated.

AEAD Ciphers

aes-128-gcm
aes-256-gcm
chacha20-ietf-poly1305

AEAD 2022 Ciphers

2022-blake3-aes-128-gcm
2022-blake3-aes-256-gcm
2022-blake3-chacha20-poly1305
2022-blake3-chacha8-poly1305

Сгенерировать ключ можно через ssservice или openssl:

ssservice genkey --encrypt-method aes-256-gcm

openssl rand -base64 32

Можем сгенерировать один пароль для всех алгоритмов или под каждый алгоритм свой ключ. Для упрощения данного примера сделаем один ключ для всех алгоритмов поддерживаемых нашим сервером:

PASS=$(ssservice genkey --encrypt-method aes-256-gcm)

Создадим каталог для нашего будущего конфига:

mkdir -p $(dirname ${CONF})

И сам конфиг:

cat >${CONF} <<HEREDOC
{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "0.0.0.0",
      "server_port": 11443,
      "method": "aes-256-gcm",
      "password": "${PASS}"
    },
    {
      "server": "0.0.0.0",
      "server_port": 12443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "${PASS}"
    },
    {
      "disabled": true,
      "server": "0.0.0.0",
      "server_port": 13443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "${PASS}",
      "users": [
        {
          "name": "user1",
          "password": "$(ssservice genkey --encrypt-method aes-256-gcm)"
        },
        {
          "name": "user2",
          "password": "$(ssservice genkey --encrypt-method aes-256-gcm)"
        }
      ]
    }
  ]
}
HEREDOC

Если мы хотим разграничить доступ по пользователям, с применением шифрования aes-256-gcm для этого придется использовать отдельный порт для каждого пользователя. В версии 2022-blake3-aes-256-gcm это поправили, стало возможным создавать дополнительные пользовательские пароли. Так же за счет этого стала возможна работа через relay (поддерживается в некоторых реализациях shadowsocks серверов). Формат пароля для пользователя указывается в виде пароля сервера и пароля пользователя разделенных двоеточием. Поддержка пользователей реализована не для всех алгоритмов AEAD 2022 Ciphers, только для 2022-blake3-aes-256-gcm. Если необходимо временно отключить какой-то из конфигов сервера, можно добавить строку "disabled": true, в начало соответствующей секции и перезапустить сервис shadowsocks-rust:

systemctl restart shadowsocks-rust.service

Пример конфигурации сервера и клиентов с разделением по пользователям:

server.json

{
      "server": "0.0.0.0",
      "server_port": 13443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=",
      "users": [
        {
          "name": "user1",
          "password": "XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8="
        },
        {
          "name": "user2",
          "password": "2tP/krYV6RNBqM0xwXKwYi0af1Rs6lk23wpBHWYYoNo="
        }
      ]
}

user1.json

{
      "server": "shadowsocks.example.com",
      "server_port": 13443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=:XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8="
	  "local_address": "127.0.0.1",
      "local_port": 1080
}

user2.json

{
      "server": "shadowsocks.example.com",
      "server_port": 13443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=:2tP/krYV6RNBqM0xwXKwYi0af1Rs6lk23wpBHWYYoNo="
	  "local_address": "127.0.0.1",
      "local_port": 1080
}

Создадим для запуска службы отдельного пользователя:

useradd --system --home-dir /nonexistent --no-create-home --shell /usr/sbin/nologin shadowsocks

В целом этого можно и не делать, тогда в конфиге службы можно не указывать параметры User и Group, но в целях безопасности лучше запускать службу от непривилегированного пользователя.

Теперь создадим Unit файл для нашей службы:

cat >${SERVICE} <<HEREDOC
[Unit]
Description=Shadowsocks-rust Server
Documentation=https://github.com/shadowsocks/shadowsocks-rust
Documentation=https://shadowsocks.org/doc/configs.html
After=network-online.target

[Service]
Type=simple
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE
User=shadowsocks
Group=shadowsocks
LimitNOFILE=51200
ExecStart=/usr/bin/ssservice server -c ${CONF}

[Install]
WantedBy=multi-user.target
HEREDOC

Выполним reload для systemctl, чтобы наш файл службы появился в списке сервисов:

systemctl daemon-reload

Включим автозапуск службы и запустим её:

systemctl enable --now $(basename ${SERVICE})

Проверим что в процессе запуска нет ошибок и служба запустилась:

systemctl status $(basename ${SERVICE})

Удаляем наши переменные или закрываем консоль:

unset URL
unset CONF
unset SERVICE
unset PASS

2. Обновление сервера Shadowsocks-rust

URL="https://github.com/shadowsocks/shadowsocks-rust/releases/download/v1.19.2/shadowsocks-v1.19.2.x86_64-unknown-linux-musl.tar.xz"

systemctl stop shadowsocks-rust

wget -q -O - ${URL} | tar --xz --extract
install --mode=0755 --owner=root --group=root --preserve-timestamps -D --target-directory=/usr/bin ssmanager ssserver sslocal ssservice ssurl
rm ssmanager ssserver sslocal ssservice ssurl

systemctl start shadowsocks-rust
systemctl status shadowsocks-rust

unset URL

3. Удаление сервера Shadowsocks-rust

CONF="/etc/shadowsocks-rust/server.json"
SERVICE="/etc/systemd/system/shadowsocks-rust.service"

systemctl disable --now shadowsocks-rust
rm ${SERVICE}
rm -rf $(dirname ${CONF})
rm /usr/bin/{ssmanager,ssserver,sslocal,ssservice,ssurl}

userdel shadowsocks

unset CONF
unset SERVICE

4. Установка клиента Shadowsocks-rust Linux

Установка клиентской части Shadowsocks-rust выполняется точно таким же образом как и серверной, разница будет только в конфигурации:

URL="https://github.com/shadowsocks/shadowsocks-rust/releases/download/v1.19.2/shadowsocks-v1.19.2.x86_64-unknown-linux-musl.tar.xz"
CONF="/etc/shadowsocks-rust/client.json"
SERVICE="/etc/systemd/system/shadowsocks-rust.service"

wget -q -O - ${URL} | tar --xz --extract
install --mode=0755 --owner=root --group=root --preserve-timestamps -D --target-directory=/usr/bin ssmanager ssserver sslocal ssservice ssurl
rm ssmanager ssserver sslocal ssservice ssurl

mkdir -p $(dirname ${CONF})

cat >${CONF} <<HEREDOC
{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "shadowsocks.example.com",
      "server_port": 11443,
      "method": "aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "server": "shadowsocks.example.com",
      "server_port": 12443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "disabled": true,
      "server": "shadowsocks.example.com",
      "server_port": 13443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=:XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8=",
    }
  ]
  "locals": [
    {
      "protocol": "socks",
	  "local_address": "127.0.0.1",
      "local_port": 1080
    },
    {
      "protocol": "http",
	  "local_address": "127.0.0.1",
      "local_port": 3128
    },
  ]
}
HEREDOC

useradd --system --home-dir /nonexistent --no-create-home --shell /usr/sbin/nologin shadowsocks

cat >${SERVICE} <<HEREDOC
[Unit]
Description=Shadowsocks-rust Client
Documentation=https://github.com/shadowsocks/shadowsocks-rust
Documentation=https://shadowsocks.org/doc/configs.html
After=network-online.target

[Service]
Type=simple
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE
User=shadowsocks
Group=shadowsocks
LimitNOFILE=51200
ExecStart=/usr/bin/ssservice local -c ${CONF}

[Install]
WantedBy=multi-user.target
HEREDOC

systemctl daemon-reload

systemctl enable --now $(basename ${SERVICE})

systemctl status $(basename ${SERVICE})

unset URL
unset CONF
unset SERVICE

Не забываем что параметры "server_port", "method", "password" в параметрах клиента должны совпадать с аналогичными параметрами в конфиге сервера.

Параметр "local_address": "127.0.0.1" в конфиге клиента задает адрес на котором служба прослушивает подключения. Если мы поднимаем сервер внутри локальной сети и хотим чтобы через него могли подключаться другие пользователи локальной сети по протоколам HTTP и SOCKS5, прослушиваемый адрес нужно заменить на 0.0.0.0

Пример конфигурации сервера соответствующего вышеприведённому конфигу клиента:

CONF="/etc/shadowsocks-rust/server.json"
SERVICE="/etc/systemd/system/shadowsocks-rust.service"

mkdir -p $(dirname ${CONF})

cat >${CONF} <<HEREDOC
{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "0.0.0.0",
      "server_port": 11443,
      "method": "aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "server": "0.0.0.0",
      "server_port": 12443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "disabled": true,
      "server": "0.0.0.0",
      "server_port": 13443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=",
      "users": [
        {
          "name": "user1",
          "password": "XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8="
        },
        {
          "name": "user2",
          "password": "2tP/krYV6RNBqM0xwXKwYi0af1Rs6lk23wpBHWYYoNo="
        }
      ]
    }
  ]
}
HEREDOC

cat >${SERVICE} <<HEREDOC
[Unit]
Description=Shadowsocks-rust Server
Documentation=https://github.com/shadowsocks/shadowsocks-rust
Documentation=https://shadowsocks.org/doc/configs.html
After=network-online.target

[Service]
Type=simple
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
AmbientCapabilities=CAP_NET_BIND_SERVICE
User=shadowsocks
Group=shadowsocks
LimitNOFILE=51200
ExecStart=/usr/bin/ssservice server -c ${CONF}

[Install]
WantedBy=multi-user.target
HEREDOC

systemctl daemon-reload

systemctl enable --now $(basename ${SERVICE})

systemctl status $(basename ${SERVICE})

unset URL
unset CONF
unset SERVICE

В браузере, где у нас установлена клиентская служба, прописываем адрес прокси 127.0.0.1 и порт HTTP прокси сервера 3128 или SOCKS5 прокси 1080. Если клиент подключается по сети вместо 127.0.0.1 указываем адрес сервера в локальной сети где установлена клиентская часть Shadowsocks-rust.

5. Установка клиента Shadowsocks-rust Windows

Скачиваем архив https://github.com/shadowsocks/shadowsocks-rust/releases/download/v1.19.2/shadowsocks-v1.19.2.x86_64-pc-windows-msvc.zip

Распаковываем и копируем файл sswinservice.exe в %WINDIR%\System32\

Открываем Блокнот или любой другой текстовый редактор под админом, вставляем из буфера конфиг:

{
  "udp_timeout": 300,
  "udp_max_associations": 512,
  "mode": "tcp_and_udp",
  "fast_open": true,
  "timeout": 300,
  "servers": [
    {
      "server": "shadowsocks.example.com",
      "server_port": 11443,
      "method": "aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "server": "shadowsocks.example.com",
      "server_port": 12443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA="
    },
    {
      "disabled": true,
      "server": "shadowsocks.example.com",
      "server_port": 13443,
      "method": "2022-blake3-aes-256-gcm",
      "password": "zZyWP+OBQWG5YmL0flJyNTZdeUORlZw1urCbIlhZHmA=:XtXtAUk3wUWjvJ336HD69uTSTgRzVwBpon1ACj03py8=",
    }
  ]
  "locals": [
    {
      "protocol": "socks",
	  "local_address": "127.0.0.1",
      "local_port": 1080
    },
    {
      "protocol": "http",
	  "local_address": "127.0.0.1",
      "local_port": 3128
    },
  ]
}

Сохраняем файл %WINDIR%\System32\ssclient.json

Устанавливаем и запускаем службу:

New-Service -Name 'ShadowsocksClient' -DisplayName 'Shadowsocks Client' -Description 'Shadowsocks-rust Client Service' -BinaryPathName '%WINDIR%\System32\sswinservice.exe local -c "ssclient.json"'
Start-Service "ShadowsocksClient"

Проверяем что служба запустилась:

Get-Service "ShadowsocksClient" | fl *

Управление службой:

Start-Service "ShadowsocksClient"
Restart-Service "ShadowsocksClient"
Stop-Service "ShadowsocksClient"

Удаление службы:

Remove-Service "ShadowsocksClient"

USDT/TRC20: TW4ZRcrb4qBRb9uSNiu9wJCWveCp4rLoGL