Проблемы безопасности решает сам администратор машины.
Если бы этот скрипт был ориентирован на полноценных администраторов, а не на юзеров, которые хватаются сейчас за любую соломинку не подумав - не было бы разговора.
задача выжать максимальную производительность из самой дешевой и простой VDS
Если задача сформулирована как “выжать максимум из самой простой VPS” - то явно выбирать надо не OpenVPN и не комбайны его использующие. Если задача в удобстве и одноклике - существующие варианты с Docker тоже вполне себе дружелюбны к чайнику.
Здесь же готовое решение аппелирует к удобству, при этом завязываясь на заведомо устаревшую версию дистрибутива - о том что Debian 10 EOL’нулся знают далеко не все, кто сунется ставить этот скрипт.
В любом случае, на VPS за 10 баксов в месяц LXD практически не будет заметен в контексте оверхеда, а скорость передачи данных всё равно упрётся в OpenVPN и полосу, которую 99% бюджетных хостеров всё равно оверселлят.
Если вопросы безопасности для вас - душнота, то мне больше нечего вам сказать. Пожалуйста, в дальнейшем игнорируйте на этом форуме меня, а я с удовольствием пройду мимо вас.
@Tyman - увидел от вас правку в README репозитория, большое спасибо. Мои претензии исчерпаны.
Подскажите пожалуйста
Создал антизапрет впн на основе этого скрипта, пытаюсь засунуть в микротик ovpn файл. Коннект есть, однако обход не проходит
Не прям сильно шарю в микротике, но пытался скрестить вариант со скриптом вместе с инструкцией по настройке не селф-хостед антизапрета на микротике:
Сделал маскарад в NAT: Src. address локальная сеть, Out interface собственно openvpn подключение
Стоит вторым после основного маскарада
Открыл порты 53,5353,1253 по tcp и udp
В PPPoE подключении интернета указал Use Peer DNS, а в DNS удалил все старые днски (галочка Allow Remote Requests стоит).
DHCP Server: в network в днс указал единицы и восьмерки
Пункт 3 и 4 на случай если впн отвалится, а интернет еще жив.
Подозревал, что впску спалили, потому что немецкий хост по geoip оказался российским, однако через OpenVPN GUI в Windows обход работал почти успешно (кроме ютуба – скорость на нем была замедлена)
У докера нет никакого измеримого оверхеда в плане сети, CPU или памяти.
Вот выжимка из исследования IBM 10-летней давности:
Docker is nearly identical to native performance and faster than KVM in every category.
По сути докер это просто удобный способ для запуска процессов в другой cgoup.
Там есть некоторые особенности при работе с файловой системой контейнера (слои). Но в нашем случае нет никакой значимой нагрузки на диск, так что нерелевантно.
Докер вырос в гугле. У них все процессы, очереди и кроны завернуты в отдельные контейнеры (BORG/Kubernetis). При их нагрузках любой оверхед стоит миллионы или миллиарды долларов.
Понятно, заканчиваю офтопик. Мне ничего из перечисленного никогда не требовалось, поэтому потребности в докере не испытывал. Собирал всегда проекты со статической компиляцией в монолитный бинарь и его только обновлял на машине с единственной ответственностью.
Используется. Но кроме прочего, NAT - это основа работы антизапрета Это редиректы пакетов через iptables. Так что и без докера они останутся.
Если присмотритесь к графику, то задержки там измеряются долями миллисекунды. Если вы используете антизапрет для высокочастотного трейдинга, то, конечно, такие задержки ощутимы
Дебиан и убунта это родственные системы. Все одинаковое.
@Tyman Огромная вам благодарность за проделываемую работу!
при настройке без контейнера, если у вас будет возможность, попробуйте сделать маршрутизацию не только через интерфейс vpn, но и чтоб в самой системе эта же схема с подменой ip работала. Или например чтобы можно было выбирать на какой интерфейс будет маршрутизация с “хитрого” резолвера.
если получиться, это снимет вопросы по транспортному каналу и сильно развяжет руки для будущих улучшений.
добавив в систему тот же xray и заворачивая с него трафик к примеру в tun0 через tun2socks было бы гораздо интереснее в плане обхода блокировок и с заделом на будущее.
а если будет на уровне системы эта схема с подменой ip работать, тогда дальнейшая настройка вообще кратно облегчится.
К сожалению не удалось установить данный контейнер, такая же ошибка. Ubuntu 20.04 чистая, вторая попытка была через полный сброс сервера, выполнения команды apt update && apt upgrade , результат идентичный
На предыдущей версии не удалось поднять vpn на Keenetic.
На телефоне работало с переменным успехом, а при добавление на роутер как-будто ничего не менялось, заблокированные сайты оставались заблокированными, YT ролики не стартовали.
В настройках прописывал:
pull-filter ignore block-outside-dns
route адрес ДНС
