Контейнер VPN АнтиЗапрета для установки на собственный сервер

zald · April 4, 2020, 1:20pm

Всё также не резолвится icanhazip.com. Но пока помучаю сам, а потом напишу. Почту сохранил.

ValdikSS · April 15, 2020, 3:17pm

Если получаете на Ubuntu 18.04 ошибки типа:

systemd-networkd.service: Failed to set up mount namespacing: Permission denied
systemd-networkd.service: Failed at step NAMESPACE spawning /lib/systemd/systemd-networkd: Permission denied

то варианта два:

Установить версию lxd из snap, а не из репозиториев
Применить следующую команду:

lxc config set antizapret-vpn raw.apparmor 'mount options=(ro,nodev,remount,bind), mount options=(ro,nosuid,nodev,remount,bind), mount options=(ro,nosuid,noexec,remount,strictatime), mount options=(ro,nosuid,noexec,remount,bind,strictatime), mount options=(ro,nosuid,nodev,noexec,remount,bind),'

Проблема вызвана ошибкой совместимости с AppArmor: https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1811248

dimez · April 15, 2020, 3:23pm

После применения команды ошибки с NAMESPACE уходят, ip получается, ключ генерится, openvpn запускается.

cerwcrwewre · May 10, 2020, 7:05pm

Вы разобрались с отсутствием IPv4 в контейнере? Я пытаюсь поднять на овх, та же самая проблема. В линуксе ноль.

Protey · May 10, 2020, 7:41pm

увы, нет, так и не разобрался.

ValdikSS · May 25, 2020, 9:49pm

Обновил содержимое контейнера и сам контейнер (26.05.2020):

Генератор блеклиста теперь используется из репозитория antizapret-pac-generator-light (ранее использовался он же, но немного модифицированный и устаревший)
Обновлён knot-resolver до пятой версии
Исправлены ошибки при старте контейнера, связанные с DNS
Полная поддержка systemd-machined, инструкция в репозитории

kirill · June 9, 2020, 8:43am

Доброго времени суток

Почему используется proto tcp, а не udp?

ValdikSS · June 9, 2020, 9:04am

Потому что для TCP можно сделать keep-alive гораздо реже, что положительно сказывается на заряде аккумулятора мобильных устройств.

kirill · June 9, 2020, 9:17am

ок

а самостоятельно изменить настройки в контейнере под udp можно?
если Да, то как?

P.s.: я сравнил два конфига в ./easy-rsa-ipsec/CLIENT_KEY/
antizapret-client-tcp.ovpn и antizapret-client-udp.ovpn
в одном есть/нет cipher AES-128-CBC, в другом - comp-lzo
второй, ессно, не работает

ValdikSS · June 9, 2020, 9:29am

Что именно у вас не работает? Я тестировал конфигурацию UDP, она рабочая, насколько помню. Конфигурации отличаются, так и должно быть, это не ошибка.

kirill · June 9, 2020, 9:31am

не знаю, у меня в логах openvpn пишет

Tue Jun 09 12:30:42 2020 read UDP: Unknown error (code=10054)
Tue Jun 09 12:30:43 2020 read UDP: Unknown error (code=10054)
Tue Jun 09 12:30:47 2020 read UDP: Unknown error (code=10054)

ValdikSS · June 9, 2020, 9:32am

Если вы устанавливали через LXD, я в инструкции забыл написать проброс UDP-порта. Выполните:

lxc config device add antizapret-vpn proxy_1194_udp proxy listen=udp:[::]:1194 connect=udp:127.0.0.1:1194

kirill · June 9, 2020, 9:35am

да, теперь всё ОК,
благодарю!

kirill · June 9, 2020, 9:38am

и да, в логах постоянно предупреждение об отсутствии в конфиге
auth-nocache

так задумано?

ValdikSS · June 9, 2020, 9:41am

Это фиктивное предупреждение, в конфигурационном файле не используется аутентификация по логину и паролю. Добавьте auth-nocache в ваш файл, если вас это предупреждение смущает.

kirill · June 9, 2020, 9:44am

уже)
но спасибо за пояснение для чайников

и ещё, чтобы я уже окончательно отстал))
я раньше юзал скрипт автонастройки https://github.com/angristan/openvpn-install
у вас в контейнере используется необходимое/достаточное шифрование (не для параноиков вопрос, а интереса ради)? )))

ValdikSS · June 9, 2020, 10:20am

Шифрование трафика надёжное. Для TCP используется AES-128, для UDP — Blowfish-64. Последний считается уязвимым, если у злоумышленника есть возможность захвата большого количества трафика, но OpenVPN меняет ключ каждые несколько десятков мегабайт, чтобы предотвратить подобную атаку.

Я не рекомендую использовать UDP-конфигурацию. Она устаревшая и оставлена для совместимости с клиентами, которые много лет не перекачивали конфигурацию с сайта. Актуальная конфигурация — TCP.
Поменяйте настройки шифра и отключите comp-lzo у себя, если хотите использовать UDP.

kirill · June 9, 2020, 12:54pm

Она устаревшая и оставлена для совместимости с клиентами, которые много лет не перекачивали конфигурацию с сайта

ну дык это ж контейнер для личного сервера; полагаю, тут такие условности ни к чему

Поменяйте настройки шифра и отключите comp-lzo у себя, если хотите использовать UDP

Не знаю, правильно ли я сделал, но я в конфиге контейнера
/etc/openvpn/server/antizapret.conf
добавил
cipher AES-128-GCM
убрал
comp-lzo
изменил
ncp-ciphers AES-128-GCM

в конфиге antizapret-client-udp.ovpn
добавил
auth-nocache
cipher AES-128-GCM
убрал
comp-lzo

shivam · October 7, 2020, 12:12pm

Здравствуйте! Скачал, запустил контейнер - работает.
Хочу использовать adguard dns, чтобы видеть меньше рекламы
роутер зухель (speedtester без usb=без opkg) корректно работает только в случае указания 192.168.104.1 в качестве единственного dns
в /root/dnsmap/proxy.py
указал p.add_argument("–upstream","-u",default=“94.140.15.15:53”,
в resolv.conf тоже
Всё равно остаётся очучение, что используется google dns
1)как точно это проверить?
2)как и где ещё вписать adguard dns?

ValdikSS · October 7, 2020, 6:53pm