Скрипт для установки на своём сервере AntiZapret VPN + обычный VPN (OpenVPN + патч для обхода блокировки / WireGuard / AmneziaWG)

antizapret.prostovpn.org АнтиЗапрет на собственном сервере (self-hosted)
1742

Только начал пользоваться Кинетиком после Асуса. Зачем использовать данный фильтр не совсем понимаю. У меня и с фильтром и без работает…

1743

image
image1485×755 14.7 KB

в командной строке я правильно понял?

1744

если на сервисах типа 2ip ты видишь адрес сервера, то скорее всего ты загрузил на роутер файл vpn* а не нужный antizapret*

1745

какой же я тупой :D, да дело было в этом, но как холмс? для меня тут все как на инопланетном языке, но вроде по инструкциям всегда удавалось, а вот этого не заметил, спасибо большое

1746

увы, но у меня хоть тресни не работает с провайдеровскими днс, пров РТ.

1747

https://core.telegram.org/resources/cidr.txt
Для обхода блокировки телеграма на мегафоне у себя добавил эти диапазоны IP в конфиг.

1748

спасибо, мля… телега тоже по ип пашет получается

только выпилил списки с ип, видимо придется подумать и как то их вернуть, хотя бы для генерации автоматом хотя бы для опенвпна

в текущей версии чтобы добавить диапазон надо править правила фаервола:
/etc/ferm/whitelist.conf
правила для опенвпн:
/etc/openvpn/server/ccd/DEFAULT
ну и вписывать диапазоны в конфиги wg/amnezia

1749

Добрый вечер. Столкнулся с проблемой, до установки антизапрета, использовал поднятый Wireguard
с помощью GitHub - wg-easy/wg-easy: The easiest way to run WireGuard VPN + Web-based Admin UI.
После установки, ВГ с этого скрипта подключается, но как будто ограничен в скорости, судя по Web UI панели, скорость срезана до байтов/с.
Антизапрет в то же время работает отлично, через опенВПН. Можно как-то их подружить, чтобы была опция юзать опенВПН с антизапретом и когда хочется весь траффик туннелировать, включать ВГ?
Пытался сам накликать где нужно что-либо вписать, но не смог. Тему вроде всю прочёл. Памахыти, пожалуйста.

1750

Жаль что не читают редми
Снесите все и установите только скрипт антизапрета, в нем есть и подключения по обычному впн - те который туннелирует весь трафик по впн, как по опенвпн так и по wg

1751

Да, я читал, что там вшит ВГ и амнезия, я имел в виду, что можно ли где-то подправить конфиг, чтобы мой ВГ с того скрипта не ограничивался в скорости? Там просто конфиги уже на несколько устройств созданы, раскиданы по устройствам. Я просто подумал, что что-то конфликтует с чем-то наверняка, одна строчка какая-то, в которую можно вписать диапазон из докерного вайргварда и всё исправится. Чтобы заново конфиги не раскидывать по всем устройствам.

1752

хм, сложный вопрос
но попробуй добавить в файле etc/ferm/ferm.conf
в блок FORWARD и PREROUTING
строчку:
saddr 10.8.0.0/24 ACCEPT;
где 10.8.0… - это те ип адреса что выдаются клиентам wg
перезагрузи сервер

1753

Обновил update.sh
Можно его просто закинуть в /root/antizapret
Теперь он при обновлении списков антизапрета, будет дополнительно скачивать новые файлы с моего репозитория:
exclude-hosts-dist.txt
exclude-regexp-dist.awk
include-hosts-dist.txt
где я тоже обновляю правила фильтрации и вношу новые домены в исключения

Упд, в update.sh добавил обновление самого себя, чтобы если что мог добавить какое то новые обновления в update.sh

1754

Не помогло, к сожалению.

Summary

-- shell-script --

Configuration file for ferm(1).

connmark 1 = REJECT

connmark 2 = ACCEPT

@include ‘whitelist.conf’;

@def $AZ_DNS_IP = 172.29.0.1;
@def $AZ_RANGE = 172.29.0.0/16;
@def $VPN_RANGE = 172.28.0.0/16;
@def $ALL_RANGE = 172.28.0.0/15;
@def $DNSMAP_RANGE = 172.30.0.0/15;

domain (ip) {
table filter {
chain INPUT {
policy ACCEPT;
}
chain OUTPUT {
policy ACCEPT;
}
chain FORWARD {
mod conntrack ctstate (ESTABLISHED RELATED DNAT) ACCEPT;

		# ACCEPT marked "invalid" packet if it's for zapret set
		saddr $AZ_RANGE mod connmark mark 1 jump azvpnwhitelist;
		saddr $AZ_RANGE mod connmark mark 1 REJECT;
		saddr 10.8.0.0/24 ACCEPT;
		saddr $ALL_RANGE ACCEPT;

		REJECT;
	}
	chain azvpnwhitelist {
		daddr $WHITELIST ACCEPT;
	}
}

table nat {
	chain dnsmap {}
	chain PREROUTING {
		# OpenVPN redirection
		saddr ! $ALL_RANGE proto (tcp udp) dport 80 REDIRECT to-ports 50080;
		saddr ! $ALL_RANGE proto (tcp udp) dport 443 REDIRECT to-ports 50443;

		# AmneziaWG redirection
		saddr ! $ALL_RANGE proto (udp) dport 52080 REDIRECT to-ports 51080;
		saddr ! $ALL_RANGE proto (udp) dport 52443 REDIRECT to-ports 51443;

		saddr ! $ALL_RANGE ACCEPT;
		saddr 10.8.0.0/24 ACCEPT;

		# DNS redirection
		saddr $AZ_RANGE daddr ! $AZ_DNS_IP proto udp dport 53 mod u32 u32 '0x1C & 0xFFCF = 0x0100 && 0x1E & 0xFFFF = 0x0001' DNAT to $AZ_DNS_IP;
		saddr $AZ_RANGE daddr $AZ_DNS_IP ACCEPT;

		# dnsmap
		saddr $AZ_RANGE daddr ! $DNSMAP_RANGE CONNMARK set-mark 1;
		saddr $AZ_RANGE daddr $DNSMAP_RANGE jump dnsmap;
	}
	chain POSTROUTING {
		saddr $ALL_RANGE MASQUERADE;
	}
}

}

@include ferm.d/;

1755

Я короче сделал себе на python приложуху. Может кому то нужна: GitHub - TheMurmabis/StatusOpenVPN

P.S: Из минусов нет авторизации

1756

Здорово!!!
Поизучаю, если туда еще статистику из wg приделать и авторизацию, пусть даже просто секретный урл, то будет шикарно, добавлю к себе

ЗЫ в update.sh добавил обновление самого себя, чтобы если что мог добавить какое то новые обновления в update.sh и он их скачает в следующий раз

1757

Академический вопрос, а отключение duplicate-cn как должно работать с udp? В tcp то работает, если 2 коннекта, то один из них ложиться, а вот если юзать 2 клиента с 1 ключа через udp то они вполне себе нормально работают… Так и должно же быть?

1758

Первый клиент должен отключится, необходимо подождать.

1759

Спасибо. Догнал. Статус вроде как “Connected”, но трафик через время начинает идти только через одного.

1760

Сегодня вышла в релиз прошивка 4.2.1 под киннетик. Обновил и теперь ничего не работает.
Может кто подсказать что надо на новой прошивке сделать чтобы работало?

1761

@MrRulez
ничего в настройках не поменялось роутера, у меня как работало, так и продолжает