From dcd3cc968c3454453870dce6459ce9668df745b8 Mon Sep 17 00:00:00 2001 From: bol-van Date: Mon, 13 Feb 2023 13:42:32 +0300 Subject: [PATCH] policy routing doc warning for dummies --- docs/redsocks.txt | 8 ++++- docs/wireguard/wireguard_iproute_openwrt.txt | 37 +++++--------------- 2 files changed, 16 insertions(+), 29 deletions(-) diff --git a/docs/redsocks.txt b/docs/redsocks.txt index 04cf700..6709867 100644 --- a/docs/redsocks.txt +++ b/docs/redsocks.txt @@ -1,4 +1,10 @@ -Прозрачный выборочный заворот tcp соединений на роутере через socks +Данный мануал пишется не как копипастная инструкция, а как помощь уже соображающему. +Если вы не знаете основ сетей, linux, openwrt, а пытаетесь что-то скопипастить отсюда без малейшего +понимания смысла, то маловероятно, что у вас что-то заработает. Не тратье свое время напрасно. +Цель - донести принципы как это настраивается вообще, а не указать какую буковку где вписать. + + +Прозрачный выборочный заворот tcp соединений на роутере через socks Tor поддерживает "из коробки" режим transparent proxy. Это можно использовать в теории, но практически - только на роутерах с 128 мб памяти и выше. И тор еще и тормозной. Другой вариант напрашивается, если у вас есть доступ к какой-нибудь unix системе с SSH, где сайты не блокируются. Например, у вас есть VPS вне России. diff --git a/docs/wireguard/wireguard_iproute_openwrt.txt b/docs/wireguard/wireguard_iproute_openwrt.txt index 895ef99..c392baa 100644 --- a/docs/wireguard/wireguard_iproute_openwrt.txt +++ b/docs/wireguard/wireguard_iproute_openwrt.txt @@ -1,4 +1,10 @@ -Есть возможность поднять свой VPN сервер ? Не хотим использовать redsocks ? +Данный мануал пишется не как копипастная инструкция, а как помощь уже соображающему. +Если вы не знаете основ сетей, linux, openwrt, а пытаетесь что-то скопипастить отсюда без малейшего +понимания смысла, то маловероятно, что у вас что-то заработает. Не тратье свое время напрасно. +Цель - донести принципы как это настраивается вообще, а не указать какую буковку где вписать. + + +Есть возможность поднять свой VPN сервер ? Не хотим использовать redsocks ? Хотим завертывать на VPN только часть трафика ? Например, из ipset zapret только порт tcp:443, из ipban - весь трафик, не только tcp ? Да, с VPN такое возможно. @@ -9,28 +15,9 @@ и если для PC оно может быть не так актуально, для soho роутеров - более чем. Wireguard может дать 50 mbps там, где openvpn еле тащит 10. Но есть и дополнительное требование. Wireguard работает в ядре, значит ядро должно -быть под вашим контролем. vps на базе openvz не подойдет ! Нужен xen, kvm, +быть под вашим контролем. vps на базе openvz не подойдет. Нужен xen, kvm, любой другой вариант, где загружается ваше собственное ядро, а не используется -общее, разделяемое на множество vps. В openvz вам никто не даст лезть в ядро. - -Если вдруг окажется, что основные VPN протоколы блокируется DPI, включая wireguard, -то стоит смотреть в сторону либо обфускации трафика до состояния нераспознаваемого -мусора, либо маскировки под TLS (лучше на порт 443). Скорость, конечно, вы потеряете, но это -та самая ситуация, которая описывается словами "медленно или никак". -Маскированные под TLS протоколы DPI может распознать двумя действиями : -пассивно через анализ статистических характеристик пакетов (время, размер, периодичность, ..) -или активно через подключение к вашему серверу от себя и попытку поговорить с сервером по -известным протоколам (называется active probing). Если вы подключаетесь к серверу -с фиксированных IP, то активный пробинг можно надежно заблокировать через ограничение -диапазонов IP адресов, с которых можно подключаться к серверу. В ином случае можно использовать -технику "port knocking". -Перспективным направлением так же считаю легкую собственную модификацию исходников -существующих VPN с целью незначительного изменения протокола, которая ломает стандартные -модули обнаружения в DPI. В wireguard можно добавить в начало пакета handshake лишнее поле, -заполненное случайным мусором. Разумеется, в таком случае требуется держать измененную версию -как на сервере, так и на клиенте. Если затея срабатывает, то вы получаете максимальную -скорость, при этом полностью нагибая регулятора. -Полезная инфа по теме : https://habr.com/ru/post/415977/ +общее, разделяемое на множество vps. Понятийно необходимо выполнить следующие шаги : 1) Поднять vpn сервер. @@ -656,9 +643,3 @@ listening_ip прописан именно таким образом, чтобы ОСОБЕННОСТЬ НОВЫХ DEBIAN : по умолчанию используются iptables-nft. miniupnpd работает с iptables-legacy. ЛЕЧЕНИЕ : update-alternatives --set iptables /usr/sbin/iptables-legacy - - ---- А если не заработало ? --- - -Мануал пишется не как копипастная инструкция, а как помощь уже соображающему. -В руки вам ifconfig, ip, iptables, tcpdump, ping. В умелых руках творят чудеса.