Скрипт для установки на своём сервере AntiZapret VPN + обычный VPN (OpenVPN + патч для обхода блокировки / WireGuard / AmneziaWG)

selkoslen · August 20, 2024, 11:23pm

Так же какая-то проблема , взял новый хостинг, залил последнюю вашу сборку, антизапрет все четко работает
Ставлю поверх WG по скрипту:

wget https://git.io/wireguard -O wireguard-install.sh && bash wireguard-install.sh
chmod +x wireguard-install.sh
./wireguard-install.sh

прокинул маршруты в Keenetic файлом
Only_YouTube+inst+GPT.bat (6,8 КБ)
по итогу соединение есть, а по маршруту вообще не грузится, какие-то кб/с и все
p.s. ubuntu 24.04
возможно что-то и на хостинге, на предыдущих сборка так все работало, просто тоже человек писал как-то выше

Tyman · August 21, 2024, 12:35am

работало наверное с версией в контейнере, теперь хост только под антизапрет, к сожалению я не знаю как запустить антизапрет и еще какой то впн, если кто то знает как не сломать антизапрет и настроить нат для другого впн то поделитесь

Batonskij · August 21, 2024, 8:05am

А если компонент интернет фильтр установлен, но выключен, тоже не будет работать с
route 192.168.1.1? до провайдера pppoe.

Georgy · August 21, 2024, 9:36am

Спасибо! Это я все давно сделал) Просто там есть строчка cipher AES-128-CBC, а уважаемый Tyman написал, что нужно оставить шифрование только AES-128-GCM и AES-256-GCM, отсюда возник вопрос- актуальны ли эти строчки для Асуса.

remote-cert-tls server
cipher AES-128-CBC
setenv opt tls-cipher DEFAULT:@SECLEVEL=0
resolv-retry infinite
setenv FRIENDLY_NAME “AntiZapret VPN TCP”
pull-filter ignore block-outside-dns
route 8.8.8.8 255.255.255.255 vpn_gateway
route 1.1.1.1 255.255.255.255 vpn_gateway
auth-nocache

Accept DNS configuration выбрал Exclusive (пробовал strict, разницы не почувствовал)
VPN director 192.168.1.0/24
DHCP server DNS: 8.8.8.8, 1.1.1.1

Что из этого выше нужно и правильно прописано для нормальной работы на роутере Асус с мерлином? Я думаю, многим бы пригодилось. Сейчас все работает, но рутрекер через раз открывает, инсту открывает, но после авторизации сразу выдает ошибку входа. ChatGPT выдает unable site. Ютуб вроде стабильно стал работать.
Подскажите, я вот не совсем догоняю. Можно ли в качестве сервера использовать сервер в России? У меня это timeweb Москва. Я так понимаю по логике разницы нет, какой использовать сервер, и где он будет находиться. Или все же есть разница? Может мои проблемы с инстой (к слову, я там не сижу, это как проверочный ресурс в моем случае) и chatGPT связаны как раз с московским VPS?
Enable-OpenVPN-DCO.sh Этот скрипт нужно же запускать на сервере или на роутере/компьютере с OpenVPN? А то у всех Нидерланды…
Чем отличаются файлы include-hosts-dist и include-hosts-custom? В одном прописаны одни ресурсы, в другом- другие.

Shredder · August 21, 2024, 9:37am

может будет кому-то полезно:

провайдер домашнего инета дает канал 100Мбит
VPS в Нидерландах 300Мбит
роутер TP-Link Archer AX55

антизапрет работает, но долго не мог добиться, чтобы 4K HDR видео на телевизоре показывало без лагов
YouTube статистика для сисадминов показывает, что канал не больше 25 Мбит
iperf3 -s 0.0.0.0 на vps
iperf3 -c 192.168.100.1 -V -t 50 в домашней сети
показывает аналогичные 15-20 Мбит

смена TCP/UDP, включение DCO, игры с буфером - ничего не помогает
нагуглил, что проблема в ПО роутера (в принципе OpenVPN клиент на AX55 не тянет больше 25Мбит)

Помогла смена прошивки роутера на пре-релизную 1.3.3 (вышла 09.08.24) - и ютуб, и iperf показывает порядка 50Мбит. Завтра еще попробую скорость от Ростелекома со 100 до 250 Мбит поднять, посмотрим повлияет ли на OpenVPN канал

Shredder · August 21, 2024, 9:43am

Если нужно открывать ресурсы, заблокированные в РФ, сервер антизапрета должен быть не в РФ

Georgy · August 21, 2024, 9:48am

Я балбес значит) думал, что сервер любой подойдет, а там антизапрет сам там как-то туннелирует на нем трафик в обход блокировок.

Shredder · August 21, 2024, 9:54am

этот скрипт предназначен для сервера

p.s. DCO можно и на клиенте включить, если он там доступен, но точно не этим скриптом

Batonskij · August 21, 2024, 10:20am

Но ведь в скрипте этой темы разворачивается OpenVPN 2.5.9, в которой нет поддержки DCO. Его никак не включишь.

Shredder · August 21, 2024, 10:31am

автор выше писал, что если разворачиваться на Ubuntu 24.04, то там встает OpenVPN 2.6.9, в ней DCO есть

Еще относительно DCO - после отработки скрипта есть смысл посмотреть
ip -details link show
на наших интерфейсах vpn-tcp и vpn-udp должна показываться опция ovpn-dco
Если не показывается - в конфигурации антизапрета есть какие-то неподдерживаемые dco параметры (у меня так было)

Georgy · August 21, 2024, 11:16am

Благодарю!

Пробовал поставить скрипт на Ubuntu 24.04. Зависает на стадии установки: Clone antizapret (дословно не помню, что написано). Долго висит, потом пишет, что нет к чему-то доступа (не записал). Поставил Debian 12, все установилось.

vitalik6243 · August 21, 2024, 11:18am

Ну я об этом писал ранее, но у @Tyman все работает с выключенным интернет фильтром с чего я очень удивился. Но могу заметить может у него в домашней сети указан DNS 192.168.1.1 ручками, а Keenetic с завода там оставляет пустое поле, хотя клиенту приходит DNS именно 192.168.1.1…

Umi · August 21, 2024, 11:45am

Посмотрите на гитхабе, надо добавить репозитории для убунту 22, тогда будет 2.6, которая умеет работать с DCO

Umi · August 21, 2024, 11:49am

После установки скрипта на сервере домены стали резолвиться по 5+ секунд.
Есть ли у кого-то такой же эффект?

Я бы сказал, что где-то появилась пауза ровно на 5 секунд (или таймаут чего-либо), и затем за 0.01 секунду происходит резолвинг. Что можно проверить?

curl -s -w "time_namelookup: %{time_namelookup}, time_connect: %{time_connect}, time_appconnect: %{time_appconnect}, time_pretransfer: %{time_pretransfer}, time_redirect: %{time_redirect}, time_starttransfer: %{time_starttransfer}, time_total: %{time_total}\n" -o /dev/null https://ntc.party/

time_namelookup: 5.010232, time_connect: 5.043032, time_appconnect: 5.348027, time_pretransfer: 5.348502, time_redirect: 0.000000, time_starttransfer: 5.715256, time_total: 5.715516

Shredder · August 21, 2024, 12:24pm

это на сервере curl такие тайминги выдает?

у меня так:
time_namelookup: 0.007588, time_connect: 0.015413, time_appconnect: 0.114740, time_pretransfer: 0.115210, time_redirect: 0.000000, time_starttransfer: 0.414292, time_total: 0.414496

ставил скрипт на чистую Ubuntu 24.04 + DCO

на компе в домашней сети (OpenVPN клиент на роутере) вот так:
time_namelookup: 0.054601, time_connect: 0.104708, time_appconnect: 0.363023, time_pretransfer: 0.363209, time_redirect: 0.000000, time_starttransfer: 0.691225, time_total: 0.691413

Umi · August 21, 2024, 12:34pm

Да, тайминги с сервера.

Самое интересное, что нa Win 10 (OpenVPN Connect), подключенной к этому же серверу, тайминги вполне приличные.

time_namelookup: 0.014711, time_connect: 0.061648, time_appconnect: 0.473568, time_pretransfer: 0.473940, time_redirect: 0.000000, time_starttransfer: 0.839787, time_total: 0.840126

Откуда берется 5 секунд на сервере - не понимаю пока.

Batonskij · August 21, 2024, 12:59pm

у меня тоже все шустренько:
time_namelookup: 0.007841, time_connect: 0.024682, time_appconnect: 0.124834, time_pretransfer: 0.125023, time_redirect: 0.000000, time_starttransfer: 0.546219, time_total: 0.546304

чистая Ubuntu 24.04 + DCO

Shredder · August 21, 2024, 1:01pm

а dig ntc.party на сервере тоже 5 сек?

Umi · August 21, 2024, 1:29pm

dig ntc.party
;; communications error to 77.8.8.8#53: timed out
;; communications error to 77.8.8.8#53: timed out

Помогло поменять в /etc/resolv.conf на 1.1.1.1, так что действительно был таймаут, и потом все мгновенно резолвилось.

Только вопрос, это Яндекс забанил айпи VPS на днс-сервере (такое бывает вообще?), или что-то из конфигурации антизапрета не дает подключиться?

Shredder · August 21, 2024, 1:36pm

Погоди, а откуда у тебя на VPS взялся dns 77.8.8.8?
И у Яндекса другие же адреса…