Неофициальный docker-контейнер АнтиЗапрета

alexalex · August 11, 2024, 10:10pm

Вопрос. А awk скрипты только в контейнере? Нет плана вынести их в хост, чтобы можно было править на предмет добавления зон (чтобы проксировать только домены 3 и дальше уровня, по типу play.google.com)?

xtrime · August 11, 2024, 10:15pm

Мне кажется, что в txt файлы можно добавлять домены любого уровня и они будут работать как регулярки.

alexalex · August 11, 2024, 10:34pm

Ну я опирался вот на это:

xtrime · August 11, 2024, 10:48pm

Добавил поддержку внешних DNS серверов типа adguard с помощью env переменной: Feat: add adguard support · xtrime-ru/antizapret-vpn-docker@b099467 · GitHub

Готовый compose файл сразу с контейнером adguard, который будет использовать antizapret:

github.com

xtrime-ru/antizapret-vpn-docker/blob/master/docker-compose.adguard.yml

services:
  antizapret-vpn:
    extends:
      file: docker-compose.base.yml
      service: antizapret-vpn
    networks:
      default:
      static-network:
        ipv4_address: 10.5.0.2
    environment:
      - DNS=10.5.0.3
  adguardhome:
    image: adguard/adguardhome
    ports:
#      - 53:53/tcp
#      - 53:53/udp
#      - 784:784/udp
#      - 853:853/tcp
      - 3000:3000/tcp
      - 80:80/tcp

This file has been truncated. show original

xtrime · August 11, 2024, 11:16pm

Ох… Проверил исходники Bitbucket

Действительно /root/antizapret/scripts/getzones.awk проходится по списку сгенерированному из txt файлов и берет оттуда только домены.

Наверное для оптимизации сделано. Надо подумать как лучше сделать. Мб отдельный файл который будет прямо в конфиг kresd инжектится без всяких посредников

Mr.Alex · August 12, 2024, 4:58am

Здравствуйте, @xtrime! Установил ваш скрипт все просто летает. Я так смотрю вы еще вручную добавили доступ к ChatGPT и YouTube? И подскажите, пожалуйста как завести AdGuard Home. Это нужно в /etc/knot-resolver/kresd.conf в конце прописать policy.add(policy.all(policy.FORWARD({‘ip_antizapret’})))?

alexalex · August 12, 2024, 5:52am

Так может проще будет, если монтировать getzones.awk в docker, и положить его в config на хосте? Чтобы не ломать голову…

Oless · August 12, 2024, 7:20am

И снова здравствуйте!
Спасибо за проделанную работу, возможно автору стоит уже задуматься о сборе на чай
Я с вопросом
Сталкивался ли кто, что при развёрнутом контейнере, с открытыми портами (как allow в ufw, так и полностью выключенном ufw) происходит ситуация, что keenetic может спокойно подключаться по TCP, но в упор не может подключиться по UDP ?

В логах кинетика сыпет такое вот:

Авг 12 10:04:35
OpenVPN0
Note: --cipher is not set. OpenVPN versions before 2.5 defaulted to BF-CBC as fallback when cipher negotiation failed in this case. If you need this fallback please add '--data-ciphers-fallback BF-CBC' to your configuration and/or add BF-CBC to --data-ciphers.
Авг 12 10:04:35
OpenVPN0
OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [DCO]
Авг 12 10:04:35
OpenVPN0
library versions: OpenSSL 3.1.5 30 Jan 2024, LZO 2.10
Авг 12 10:04:35
OpenVPN0
DCO version: N/A
Авг 12 10:04:35
OpenVPN0
UDPv4 link local: (not bound)
Авг 12 10:04:35
OpenVPN0
UDPv4 link remote: [AF_INET]IP_МОЕГО_VPS:1194
Авг 12 10:04:35
OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Авг 12 10:04:45
OpenVPN0
[UNDEF] Inactivity timeout (--ping-restart), restarting
Авг 12 10:04:45
OpenVPN0
SIGTERM[soft,ping-restart] received, process exiting
Авг 12 10:04:45
ndm
Service: "OpenVPN0": unexpectedly stopped.

Как будто ругается на то что не может достучаться до адреса и дропает соединение
Хотя все нужные порты открыты, TCP на том же порте абсолютно нормально коннектится.

В какую сторону покурить?

makx · August 12, 2024, 9:08am

После обновления контейнер перестал реагировать на некоторые домены в include-hosts-custom. Да и в fix.sh тоже. Например, 2ip не проксируется и 4pda по-прежнему думает, что к нему заходят из РФ и не пускает в разные запретные части по обходам блокировок, хотя до обновления работало с этими же конфигами

DoplerEffect · August 12, 2024, 9:09am

@xtrime огромное спасибо вам за контейнер, особенно за поддержку DCO, скорость больше 300 мегабит, нагрузка на процессор минимальная. Я в восторге !

но у меня небольшая проблема, я не могу подружить с клиентом на linux почему то нет соединения, на пк под виндой(10) все отлично.

Upd. Разобрался, я ставил слишком новый клиент на линукс, сейчас полет отличный )

overherz · August 12, 2024, 9:54am

какой у тебя vps? тоже бы хотелось такую скорость

DoplerEffect · August 12, 2024, 10:07am

zomro

zzr · August 12, 2024, 11:00am

вырожаю автору мемнтальную понтдержку) (хоть я и не люблю докер (наверное потому что не понимаю как оно там работает под капотом)), валдикасс обленился) не хочет обновлять свой контейнер( (я ему скока раз просил уже), отрадно видеть что вот уже сообщесво понтянулось, опенвпн чем хорош что ето комбаин можно из него слепить например виригуард установив data-ciphers чача-поли1305 какой нето потому что в смаратафонах нет(?) понтдержки исрукций для ускорения аеэса на проце(соке)

xtrime · August 12, 2024, 11:24am

Спасибо за добрые слова!

Хм, странно. Возможно на новом клиенте DCO c ошибкой падает? Тут недавно на винде на это жаловались. Там с DCO клиент тоже не конектится. Надо в настройках выключать.

Это как?

PS. Я пытаюсь еще ipsec/xauth прикрутить, но пока без результатов…

xtrime · August 12, 2024, 11:29am

При старте контейнера используются уже готовые правила. Но запускается генерация новых уже с пользовательскими настройками. Нужно подождать до 5 минут пока сгенерируются новые правила и потом уже проверять.
Так же мб кеш kresd мешает. Для надежности: запустить конетйнера, по логам удостоверится, что doall отработал и перезапустил kresd, перезапустить контейнер еще раз. Потом проверить dig 2ip.ru @127.0.0.1 в контейнере.

xtrime · August 12, 2024, 11:32am

А что в логах openvpn на сервере в этот момент? Он видит коннект? docker compose logs -f
И стоит добавить опцию verb 3 в конфиг клиента, что бы логов побольше было.

DoplerEffect · August 12, 2024, 1:09pm

все дело в том что я ставил openvpn3 на debian , он вообще даже не соединялся
потом глянул какая версия в контейнере, и поставил уже 2 версию.
Я поставил клиент на lxc в proxmox , dco завелся,на самом хосте ставил openvpn-dco-dkms, на роутере уже пробросил все маршруты в этот контейнер и получил хорошую скорость на всех устройствах в сети.
Немного не разобрался со списками, немного отличаются от оригинального антизапрета, но это уже пустяки
Еще раз , большое спасибо вам.

вот так получилось в однопотоке

linpin · August 12, 2024, 2:07pm

спасибо за ответ, единственное по второму немного подискутирую.
мне кажется странным делать фокусировку на роутере, т.к. основная боль именно на моб. устройствах и свой роутер не всегда есть под рукой

дома сделать еще есть различные варианты так или иначе

linpin · August 12, 2024, 2:18pm

можете, пожалуйста, чуть подробнее расписать как это использовать? (можно на примере adguard home)
это по сути сейчас в виде доп. образа в контейнере, чтобы фильтровать рекламу? adguard home по итогу доступен по какому-то порту?

xtrime · August 12, 2024, 2:28pm

А есть какие то примеры? У меня на iphone 120 мбит youtube через openvpn показывает:

Но повторюсь прикрутить дополнительный транспорт с поддержкой tunnel split сложно. Я пытался прикрутить ipsec, пока не получилось. Если получится, то откладывать релиз не буду

Какие еще транспорты помимо ipsec и openvpn поддерживают tunnel split и есть на моб устройствах - я не знаю.

Дополнитлеьно использую этот контейнер для обычного VPN: GitHub - hwdsl2/docker-ipsec-vpn-server: Docker image to run an IPsec VPN server, with IPsec/L2TP, Cisco IPsec and IKEv2
Там весь трафик пускается через VPN, но нагрузка минимальная и поддерживается на всех моб устройствах.

docker compose down && git pull && docker compose -f docker-compose.adguard.yml pull && docker compose -f docker-compose.adguard.yml up -d

adguard будет доступен по адресу ip_вашего_сервера:3000
антизапрет будет использовать его в качестве DNS сервера.