Контейнер VPN АнтиЗапрета для установки на собственный сервер

nzkhammatov · August 7, 2023, 2:39pm

Сложность на стороне клиента возможно, я сдаюсь

Можете эту ерунду еще попробовать добавить сюда
/etc/knot-resolver/kresd.conf

policy.add(
    policy.suffix(
        policy.FORWARD(
            {'77.88.8.8'}
        ),
        policy.todnames({'bbc.co.uk'})
    )
)

namerx · August 7, 2023, 5:20pm

удивительно, но само заработало через полдня спасибо большое за помощь!

Oleg · August 8, 2023, 2:44am

Извините, а можно тоже чуток настроек для своего сервера ? а то второй день мегафон не даёт подключаться к впн, при этом Ваш файл работает без проблем.

mafiacheb · August 8, 2023, 1:20pm

Для тех у кого установлен контейнер будет какое-то решение в связи с последними событиями?

dark321985 · August 8, 2023, 6:51pm

Присоединяюсь к вышестоящему вопросу

ValdikSS · August 10, 2023, 12:02pm

@Oleg, @mafiacheb, @dark321985, см. Механизмы обхода блокировки vpn - #5 by ValdikSS

stek29 · August 14, 2023, 4:04am

Похоже, что это не единственный случай – просто именно в этом случае idn падает.
как минимум есть ещё пара случаев, когда tld .cc записан кириллицей:

# awk -F ';' '$2~/[a-z]+[а-я]+/{print$2}' temp/list.csv
dog-house.cс
mine-money.cс
p2p4x.cс
s1.dog-house.cс
www.bеllonа.no
www.bеllonа.ru
www.bеllonа.оrg

# awk -F ';' '$2~/[a-z]+[а-я]+/{print$2}' temp/list.csv | CHARSET=utf-8 idn --no-tld
dog-house.xn--c-7tbmine-money.xn--c-7tb
p2p4x.xn--c-7tb
s1.dog-house.xn--c-7tb
www.xn--bllon-8ve4a.no
www.xn--bllon-8ve4a.ru
www.xn--bllon-8ve4a.xn--rg-emc

Предлагаю добавить в вызов idn флаг --no-tld, чтобы он не проверял правила tld для каждой зоны (и не падал на зоне .no, например)

Оно, кстати, работает ещё в два раза быстрее, если эти проверки отключить (проверял несколько раз в разном порядке, дело именно во флаге)

# <temp.txt CHARSET=utf-8 time idn >/dev/null
1.48user 0.40system 0:01.90elapsed 98%CPU (0avgtext+0avgdata 2176maxresident)k
0inputs+0outputs (0major+130minor)pagefaults 0swaps

# <temp.txt CHARSET=utf-8 time idn --no-tld >/dev/null
0.71user 0.32system 0:01.05elapsed 97%CPU (0avgtext+0avgdata 2176maxresident)k
0inputs+0outputs (0major+116minor)pagefaults 0swaps

kyzima-spb · August 15, 2023, 9:45am

Добрый день.

Уже имел опыт установки антизапрета с помощью systemd-machined и все работало. Приходится переезжать =(

Настраивал все также, но не резолвит заблокированные ресурсы. На прошлом сервере если делать ping instagram.com (любой другой), то выдавал IP 10.224.1.102, теперь выдает instagram-p42-shv-01-hel3.fbcdn.net, ping любого ресурса: заблокированного РКН или добавленного вручную, выдает оригинальный dns (не впн-а). Можете подсказать, в чем проблема?

Debian 11, KVM, если я верно понимаю стоит nftables

p.s. Взял сервер у ruweb в Нидерландах, если поднять wireguard или socks5 через ssh, то заходит на все заблокированные ресурсы за исключением, что 2ip показывает локацию РФ, другие сервисы определения геолокации по IP выдают Нидерланды.

upd. Команда dig instagram.com @127.0.0.1 внутри контейнера выдает

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> instagram.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49463
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;instagram.com.			IN	A

;; ANSWER SECTION:
instagram.com.		300	IN	A	157.240.214.174

;; Query time: 8 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Aug 15 23:01:15 MSK 2023
;; MSG SIZE  rcvd: 58

kyzima-spb · August 15, 2023, 10:44pm

Разобрался и нашел случайно ответ среди комментариев, дело в “В Реестр попали домены с кириллическими именами в названии”. Как удалить сообщение не нашел, прошу прощения за беспокойство =)

mafiacheb · August 17, 2023, 8:03pm

Подскажите пожалуйста, как удалить контейнер антизапрета, без переустановки всей виртуальной машины? Интересно для общего познания, нигде просто не нашел информации в этой теме

Lapa · August 18, 2023, 4:40am

Technocat · August 23, 2023, 10:10am

Наконец то получилось установить, по совету форумчан, на хостинг от Inferno. Взял сервер в Японии, от меня не далеко, да и оптика туда идёт с Находки. По началу долго не мог понять, почему не работает, пока не полистал сообщения за последние полгода. Вроде бы не палится, что российский, weather.com открывается, завёл скрипт на роутер Asus, чтобы светодиоды включались и включались по данным от weather. com. Всем большое спасибо.
Ранее, был сервер от хостинга Vdsina, но он раз в месяц тупо зависал, приходилось восстанавливать из бэкапа. Да и ценник у них стал не детский, плюс комиссия дикая.

namerx · August 23, 2023, 11:15pm

А подскажите, пожалуйста, как можно подключиться непосредственно к файловой системе контейнера через WinSCP?

Technocat · August 25, 2023, 2:31am

Обыкновенно. Прописать в WinSCP адрес, логин (root) и пароль супер пользователя от своего сервака. Протокол SFTP, 22 порт

mafiacheb · August 25, 2023, 8:42am

подскажите пожалуйста, если так получиться что протокол опен впн будет заблокирован, как можно восстановить работоспособность контейнера через прокси? т.е на впс установлен контейнер антизапрет и 3X-UI(там есть протоколы влес, шадосокс, сокс итд) Можно ли как то в конфиге опенвпн антизапрета подшаманить чтобы он выходит в инет через прокси?

nzkhammatov · August 25, 2023, 9:46am

Внутри контейнера

apt update
apt install net-tools openssh-server -y

netstat -npl | grep ":22"

Добавить это в файл
nano /etc/ssh/sshd_config

Port 25545
AddressFamily inet
PasswordAuthentication yes
PermitRootLogin yes

Перезапуск сервиса

systemctl restart ssh
systemctl status ssh
netstat -npl | grep ":25545"

Задать новый пароль для пользователя root
passwd root

На хостовой машине - не внутри контейнера

lxd

lxc config device add antizapret-vpn proxy_25545_ssh proxy listen=tcp:[::]:25545 connect=tcp:127.0.0.1:25545
lxc config device list antizapret-vpn

systemd-machined & cloud-init

echo -e "[Network]\nVirtualEthernet=yes\nPort=tcp:1194:1194\nPort=udp:1194:1194\nPort=tcp:25545:25545" > /etc/systemd/nspawn/antizapret-vpn.nspawn

iptables -A INPUT -p tcp -m tcp --dport 25545 -j ACCEPT

ssh -p 25545 root@127.0.0.1
Пароль пользователя root

ValdikSS · August 25, 2023, 12:06pm

OpenVPN поддерживает HTTP и SOCKS-прокси: опции http-proxy и socks-proxy соответственно.
Также можно настроить локальный клиент на «проброс порта» до конкретного удалённого хоста и порта, в этом случае в конфигурационном файле OpenVPN нужно подключаться к localhost и настроенному порту, без прокси. Не забудьте в таком случае добавить маршрут до настоящего IP-адреса сервера директивой route, а то получите петлю маршрутизации.

mafiacheb · August 25, 2023, 2:03pm

не затруднит ли вас, написать подробный гайд как это делается для не очень опытных людей? ну т.е по аналогии с инструкций по установки контейнера. пытался самостоятельно найти видео на ютубе или статью как это делается, но что-то ничего не смог найти понятного для простых людей

nzkhammatov · August 26, 2023, 2:46pm

Добавить в файл antizapret-tcp.ovpn
Строку http-proxy 51.75.70.203 3128

Connecting To An OpenVPN Server Via An HTTP Proxy. | OpenVPN

mafiacheb · August 26, 2023, 6:45pm

спасибо получилось
засунул в конфиг антизапрета вот так:

http-proxy 192.192.192.192 3456 auto
<http-proxy-user-pass>
ЛОГИН
ПАРОЛЬ
</http-proxy-user-pass>

вместо 192.192.192.192 3456 вводите свои данные т.е IP и порт
ну логин и пароль вроде понятно(вставляете туда логин и пароль который создали при создании http прокси), решил себя ими обезопасить