Всё также не резолвится icanhazip.com. Но пока помучаю сам, а потом напишу. Почту сохранил.
Если получаете на Ubuntu 18.04 ошибки типа:
systemd-networkd.service: Failed to set up mount namespacing: Permission denied
systemd-networkd.service: Failed at step NAMESPACE spawning /lib/systemd/systemd-networkd: Permission denied
то варианта два:
- Установить версию lxd из snap, а не из репозиториев
- Применить следующую команду:
lxc config set antizapret-vpn raw.apparmor 'mount options=(ro,nodev,remount,bind), mount options=(ro,nosuid,nodev,remount,bind), mount options=(ro,nosuid,noexec,remount,strictatime), mount options=(ro,nosuid,noexec,remount,bind,strictatime), mount options=(ro,nosuid,nodev,noexec,remount,bind),'
Проблема вызвана ошибкой совместимости с AppArmor: https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1811248
После применения команды ошибки с NAMESPACE уходят, ip получается, ключ генерится, openvpn запускается.
Вы разобрались с отсутствием IPv4 в контейнере? Я пытаюсь поднять на овх, та же самая проблема. В линуксе ноль.
увы, нет, так и не разобрался.
Обновил содержимое контейнера и сам контейнер (26.05.2020):
- Генератор блеклиста теперь используется из репозитория antizapret-pac-generator-light (ранее использовался он же, но немного модифицированный и устаревший)
- Обновлён knot-resolver до пятой версии
- Исправлены ошибки при старте контейнера, связанные с DNS
- Полная поддержка systemd-machined, инструкция в репозитории
Доброго времени суток
Почему используется proto tcp
, а не udp
?
Потому что для TCP можно сделать keep-alive гораздо реже, что положительно сказывается на заряде аккумулятора мобильных устройств.
ок
а самостоятельно изменить настройки в контейнере под udp можно?
если Да, то как?
P.s.: я сравнил два конфига в ./easy-rsa-ipsec/CLIENT_KEY/
antizapret-client-tcp.ovpn
и antizapret-client-udp.ovpn
в одном есть/нет cipher AES-128-CBC
, в другом - comp-lzo
второй, ессно, не работает
Что именно у вас не работает? Я тестировал конфигурацию UDP, она рабочая, насколько помню. Конфигурации отличаются, так и должно быть, это не ошибка.
не знаю, у меня в логах openvpn пишет
Tue Jun 09 12:30:42 2020 read UDP: Unknown error (code=10054)
Tue Jun 09 12:30:43 2020 read UDP: Unknown error (code=10054)
Tue Jun 09 12:30:47 2020 read UDP: Unknown error (code=10054)
Если вы устанавливали через LXD, я в инструкции забыл написать проброс UDP-порта. Выполните:
lxc config device add antizapret-vpn proxy_1194_udp proxy listen=udp:[::]:1194 connect=udp:127.0.0.1:1194
да, теперь всё ОК,
благодарю!
и да, в логах постоянно предупреждение об отсутствии в конфиге
auth-nocache
так задумано?
Это фиктивное предупреждение, в конфигурационном файле не используется аутентификация по логину и паролю. Добавьте auth-nocache
в ваш файл, если вас это предупреждение смущает.
уже)
но спасибо за пояснение для чайников
и ещё, чтобы я уже окончательно отстал))
я раньше юзал скрипт автонастройки https://github.com/angristan/openvpn-install
у вас в контейнере используется необходимое/достаточное шифрование (не для параноиков вопрос, а интереса ради)? )))
Шифрование трафика надёжное. Для TCP используется AES-128, для UDP — Blowfish-64. Последний считается уязвимым, если у злоумышленника есть возможность захвата большого количества трафика, но OpenVPN меняет ключ каждые несколько десятков мегабайт, чтобы предотвратить подобную атаку.
Я не рекомендую использовать UDP-конфигурацию. Она устаревшая и оставлена для совместимости с клиентами, которые много лет не перекачивали конфигурацию с сайта. Актуальная конфигурация — TCP.
Поменяйте настройки шифра и отключите comp-lzo у себя, если хотите использовать UDP.
Она устаревшая и оставлена для совместимости с клиентами, которые много лет не перекачивали конфигурацию с сайта
ну дык это ж контейнер для личного сервера; полагаю, тут такие условности ни к чему
Поменяйте настройки шифра и отключите comp-lzo у себя, если хотите использовать UDP
Не знаю, правильно ли я сделал, но я в конфиге контейнера
/etc/openvpn/server/antizapret.conf
добавил
cipher AES-128-GCM
убрал
comp-lzo
изменил
ncp-ciphers AES-128-GCM
в конфиге antizapret-client-udp.ovpn
добавил
auth-nocache
cipher AES-128-GCM
убрал
comp-lzo
Здравствуйте! Скачал, запустил контейнер - работает.
Хочу использовать adguard dns, чтобы видеть меньше рекламы
роутер зухель (speedtester без usb=без opkg) корректно работает только в случае указания 192.168.104.1 в качестве единственного dns
в /root/dnsmap/proxy.py
указал p.add_argument("–upstream","-u",default=“94.140.15.15:53”,
в resolv.conf тоже
Всё равно остаётся очучение, что используется google dns
1)как точно это проверить?
2)как и где ещё вписать adguard dns?