Скрипт для установки на своём сервере AntiZapret VPN + обычный VPN (OpenVPN + патч для обхода блокировки / WireGuard / AmneziaWG)

andron22 · August 23, 2024, 6:57am

Для ребута.

Спасибо

zazrab · August 23, 2024, 7:11am

при udp соединении sha1 выбираю ,но всеравно не поднимается
tcp поднимается только когда null стоит
вот с такими параметрами tcp работает

Спойлер

устанавливал два раза стандартно

apt-get update && apt-get install -y git
git clone GitHub - GubernievS/AntiZapret-VPN antizapret-vpn
chmod +x antizapret-vpn/setup.sh && antizapret-vpn/setup.sh

копирую готовые .ovpn
ипортирую udp .ovpn в микротик
после импорта правлю параметры

Спойлер

в нат 3 правила

image1163×74 4.23 KB

при попытке поднять подключение в логах на серере

Спойлер

2024-08-23T10:15:51.374676+03:00 dreary-rub openvpn[900]: :49047 Server poll timeout, restarting
2024-08-23T10:15:51.397680+03:00 dreary-rub openvpn[900]: :36714 TLS Error: Unroutable control packet received from [AF_INET]:36714 (si=3 op=P_CONTROL_V1)
2024-08-23T10:15:52.392196+03:00 dreary-rub openvpn[900]: :36714 TLS Error: Unroutable control packet received from [AF_INET]:36714 (si=3 op=P_CONTROL_V1)
2024-08-23T10:15:53.878372+03:00 dreary-rub openvpn[900]: :40063 TLS Error: Unroutable control packet received from [AF_INET]:40063 (si=3 op=P_CONTROL_V1)
2024-08-23T10:15:53.923617+03:00 dreary-rub openvpn[900]: :40063 TLS Error: Unroutable control packet received from [AF_INET]:40063 (si=3 op=P_ACK_V1)
2024-08-23T10:15:54.881499+03:00 dreary-rub openvpn[900]: :40063 TLS Error: Unroutable control packet received from [AF_INET]:40063 (si=3 op=P_CONTROL_V1)
2024-08-23T10:15:55.882470+03:00 dreary-rub openvpn[900]: :40063 TLS Error: Unroutable control packet received from [AF_INET]:40063 (si=3 op=P_CONTROL_V1)
2024-08-23T10:15:57.886907+03:00 dreary-rub openvpn[900]: message repeated 2 times: [ :40063 TLS Error: Unroutable control packet received from [AF_INET]:40063 (si=3 op=P_CONTROL_V1)]

время на серере и микроте одинаково

помгите победить udp подключение

Tyman · August 23, 2024, 7:31am

Появилась идея, что не плохо бы антизапрет совместить и с обычным впн, слишком часто и много проблем - то телега отвалится, то еще какой сайт не открывается, не каждый раз же в исключения прописывать… так вот, идея добавить и обычный опенвпн, например на 80 порт, чтобы тоже не было проблем где нибудь на каком нибудь условно рабочем wifi

Что думаете, камрады?

momamark · August 23, 2024, 7:45am

Спасибо за наводку.
Заработало с такой конфигурацией
Пришлось отказаться от openvpn 2.6, как и от DCO, ubuntu 22.04
В настройках etc/openvpn/server правим конфиги, добавляя:
ncp-disable
ncp-ciphers “AES-128-GCM:AES-256-GCM:AES-128-CBC:BF-CBC”
Верхний аргумент вырубает проверку cipher, работает только на openvpn 2.5, на 2.6 он удален.
В микротике по обычной инструкции загружаем сертификаты, настраиваем соединение, auth=null и cipher=aes 128 gcm

К сожалению по другому это латышское чудо-юдо так и не заработало (версия ROS 7.15-7.16rc)
В микротике еще не работает автопереключение днс в случае, если сервер станет недоступен или будут потери пакетов, интернет к сожалению пропадет, надо городить огород скриптами.
На Keenetic работает идеально.

LavTeam · August 23, 2024, 7:46am

Всеми руками и ногами ЗА!

Спойлер

Спрошу под спойлером, так как не совсем по теме.

АнтиЗапрет на домашнем WiFI работает изумительно (настроен на роутете)
АнтиЗапрет на домашнем WiFI работает изумительно (НЕ настроен на роутете, на клиентах OpenVPN стоит)

Отключаю WiFi, остается мобильный яичный интернет.
На айфоне через OpenVPN профиль с 10-20 попытки начинает работать и работает пока не отключишь.
Если раздать интернет мобильный с айфона на macbook, то openvpn подключается, но постоянные переподключения (ну и конечно впн не работает).

Мне не понятно, если на айфоне работает, то почему на том же самом интернете на маке не работает?
И реально ли это пофиксить?
Переустанавливал вчера утром скрипт.

Tyman · August 23, 2024, 7:53am

выглядит как блокировка,особенно учитывая что это мобильный интернет, наблюдал такое на одном хостинге
почему кое как но коннектится на мобиле - хз

LavTeam · August 23, 2024, 7:57am

Я больше предположу, что блокировка протокола…
Так как уже 4 впс в разных дата центрах (NY, испания, италия и еще где-то) одно и тоже поведение (нужно много попыток включая, выключая чтобы заработало)
На мобильном интернете всегда одно поведение (openVPN, l2tp, ikev2)

Tyman · August 23, 2024, 7:57am

если отключили шифрование на сервере то на клиенте зачем указывать? попробуйте убрать и на клиенте

momamark · August 23, 2024, 8:02am

Работает только если указано aes 128 gcm
Если убрать или поставить что-то другое, разрывает соединение с ошибкой unsupported cipher.

Вообще ovpn и mikrotik что-то очень плохо совместимое, я бы ушел от mikrotik, если бы он был не в виде CHR (установлен на серваке).
На железных микротиках есть дополнительный баг в виде - если процессор роутера получит нагрузку 100%, соединение отвалится, но будет стоять со статусом R, короче очень много проблем)

vitalik6243 · August 23, 2024, 8:48am

Чтобы не падало соединение настрой профиль созданный для OpenVPN

MOHCTPO · August 23, 2024, 9:10am

Развернул на Debian 12, включил DCO.
На андроид все ок, а вот на ios вылетает ошибка

turhm · August 23, 2024, 9:40am

Да, вот этого очень хотелось бы

momamark · August 23, 2024, 9:41am

Да, уже настроено) К сожалению проблема с падением соединения не фиксится и связано со слабым железом routerboard’а (на chr и четырехядерных arm не падает).

vitalik6243 · August 23, 2024, 10:21am

Логично, у меня hap lite с 1 ядром на 400 мгц прекрасно работает постоянно в 100% загрузки и потоком трафика 20 мбит/сек. проблема фиксится прекрасно. Как раз на версии 7.15(stable) выставляешь как на скрине и полет вообще нормальный без нареканий.
Вот пример hap lite с 1 недоядром

с 20 числа не 1 разрыва, 17 гигов человек впитал.

vitalik6243 · August 23, 2024, 12:49pm

Мыслители, есть кто победил сбер тв и антизапрет?
Заметил тенденцию что походу в телеке стоит свой прокси или свои dns, и просто в настройках вафли задать днс роутера не помогает. Мб кто сталкивался как исправляли?

Shredder · August 23, 2024, 1:15pm

А в настройках IP телека нельзя руками DNS указать?

vitalik6243 · August 23, 2024, 1:21pm

я их указал и в настройка телека прокси не указан, ip и днс уже вбил, чет ощущение что апкашник сбер какой то подкидывает т.к. по DNS Leak Test выдает не то что нужно, а меняется то гугл днс то еще какая то фигня, и это 100% дает не роутер т.к. на том же роутере яндекс тв висит и там норм все.

Shredder · August 23, 2024, 3:20pm

друзья, а каких порекомендуете VPS-провайдеров, чтоб сервер в Европе, платить российской картой, канал нормальный и чтоб ChatGPT как VPN не опознавал

LavTeam · August 23, 2024, 5:09pm

firstbyte

verng95 · August 23, 2024, 5:18pm

Всё работало исправно и сегодня на ровном месте

nslookup google.com
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.100.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

Переустановка, не помогла… Заново переустановил сервер, тоже не помогло. В чём может быть проблема?