-
Posts
1,820 -
Joined
-
Last visited
-
Days Won
23
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Everything posted by zyxmon
-
В этом посте я опишу, как получить сертификаты LetsEncrypt. Это очень просто и много где описано. Я использовал https://www.linuxbabe.com/debian/set-up-openconnect-vpn-server-ocserv-debian-11-bullseye Тем не менее, приведу команды и выхлоп apt-get update apt-get install software-properties-common apt-get install certbot # certbot --version certbot 1.12.0 certbot certonly --standalone --preferred-challenges http --agree-tos --email xxxx@gmail.com -d ваш_домен Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator standalone, Installer None - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing, once your first certificate is successfully issued, to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y Account registered. Requesting a certificate for zваш_домен Performing the following challenges: http-01 challenge for ваш_домен Waiting for verification... Cleaning up challenges Subscribe to the EFF mailing list (email: xxxx@gmail.com). IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/ваш_домен/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/ваш_домен/privkey.pem Your certificate will expire on 2024-05-15. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le Мы создали нужные нам сертификаты /etc/letsencrypt/live/ваш_домен/fullchain.pem и /etc/letsencrypt/live/ваш_домен/privkey.pem
-
Ну тогда досвидания. Не все делается через GUI. В этом посте я опишу, как настраивал сервер openconnect - он называется ocserv. Домашняя страница проекта - https://gitlab.com/openconnect/ocserv Сервер настраивается ручками! Используемые статьи 1. https://habr.com/ru/articles/776256/ 2. https://jakondo.ru/ustanovka-iz-ishodnikov-openconnect-vpn-servera-ocserv-na-debian-11-bullseye/ 3. https://www.howtoforge.com/how-to-install-openconnect-vpn-server-on-ubuntu-22-04/ Место установки - $12/yr KVM VPS - 256 MB RAM - 10G Port - IPv4 - IPv6- RAID 10 SSD. Поскольку памяти мало (очень) выбор OS для установки ограничен. Как пишет владелец По моим прикидкам (1 ядро Intel(R) Xeon(R) Gold 6142 CPU @ 2.60GHz) даже этот копеечный сервер потянет 2-3 клиента openconnect. По идее, описания установки даны выше. Я собственно их комбинировал и выполнял. Вел лог действий (он же имеется в .bash_history. Поскольку в debian 11 ocserv старый - будем ставить из исходников. Пакеты, которые необходимы для установки описаны в README у разработчика тут - https://gitlab.com/openconnect/ocserv и в статьях выше. Я поставил apt-get install -y libgnutls28-dev libev-dev apt-get install -y libpam0g-dev liblz4-dev libseccomp-dev \ libreadline-dev libnl-route-3-dev libkrb5-dev libradcli-dev \ libcurl4-gnutls-dev libcjose-dev libjansson-dev liboath-dev \ libprotobuf-c-dev libtalloc-dev libhttp-parser-dev protobuf-c-compiler \ gperf iperf3 lcov libuid-wrapper libpam-wrapper libnss-wrapper \ libsocket-wrapper gss-ntlmssp haproxy iputils-ping freeradius \ gawk gnutls-bin iproute2 yajl-tools tcpdump apt-get install -y nuttcp autoconf automake Исходники на gitlab - `https://gitlab.com/openconnect/ocserv/-/archive/1.2.4/ocserv-1.2.4.tar.bz2` -скачиваем кто чем умеет и распаковываем в папку. Далее стандартно autoreconf -fvi ./configure && make make install Making install in src ... /usr/bin/mkdir -p '/usr/local/bin' /usr/bin/install -c occtl/occtl ocpasswd/ocpasswd '/usr/local/bin' /usr/bin/mkdir -p '/usr/local/libexec' /usr/bin/install -c ocserv-fw '/usr/local/libexec' /usr/bin/mkdir -p '/usr/local/sbin' /usr/bin/install -c ocserv ocserv-worker '/usr/local/sbin' .... /usr/bin/mkdir -p '/usr/local/share/man/man8' /usr/bin/install -c -m 644 ocserv.8 ocpasswd.8 occtl.8 '/usr/local/share/man/man8' Я привел частичный выхлоп `make install`, что бы было видно куда что ставится (в /usr/local/bin). Далее Копируем файл сервиса ocserv.service в системную библиотеку, и файл конфигурации в /etc/ocserv cp doc/systemd/standalone/ocserv.service /etc/systemd/system/ocserv.service mkdir /etc/ocserv cp doc/sample.config /etc/ocserv/ocserv.conf Редактируем путь в `/etc/systemd/system/ocserv.service` - правильный до бинарника `/user/local/bin/ocserv`. Как редактировать файл конфигурации будет описано в следующем сообщении, а пока выполним echo "net.ipv4.ip_forward = 1" | tee /etc/sysctl.d/60-custom.conf echo "net.core.default_qdisc=fq" | tee -a /etc/sysctl.d/60-custom.conf echo "net.ipv4.tcp_congestion_control=bbr" | tee -a /etc/sysctl.d/60-custom.conf sysctl -p /etc/sysctl.d/60-custom.conf useradd -r -M -U -s /usr/sbin/nologin ocserv Мы задали маршрутизацию между интерфейсами и создали пользователя ocserv, от которого будет запускаться сервис.
-
Если есть желающие - выложу openconnect собранный с openssl, а не с gnutls.
-
Это как раз Вы не понимаете. Модуль tun ставится как компонента прошивки keenetic. Пакеты entware от модулей ядра не зависят.
-
Сборка gost (GO Simple Tunnel) на роутере
zyxmon replied to Rinat Gareev's topic in Вопросы по сборке и настройке Opkg
Проверил работу gost и в режимах прокси и tun. В приведенной в начале темы статье все отлично написано (есть очепятки, в том числе и в ip, но их легко исправить). В режиме tun на своем сервере нужно "замаскарадить" новую подсеть, как написано тут - https://gost.run/en/tutorials/tuntap/#ip-routing-and-firewall-rules Иначе не будет доступа к сайтам за серевером, к интернет. Что же касается кинетика, то, как минимум, нужно выполнить iptables -A INPUT -i tun0 -j ACCEPT iptables -A FORWARD -i tun0 -j ACCEPT -
Сборка gost (GO Simple Tunnel) на роутере
zyxmon replied to Rinat Gareev's topic in Вопросы по сборке и настройке Opkg
Для сборки gost требуется go 1.21. Поэтому все чуть сложнее. Проект выглядит интересно. Обновил go и собрал текущий вариант http://zyxnerd.zyxmon.org/files/gost-go_v3.0.0-nightly.20240118-1_aarch64-3.10.ipk http://zyxnerd.zyxmon.org/files/gost-go_v3.0.0-nightly.20240118-1_mipsel-3.4.ipk Сам пока не проверял работу. Проверил, что бинарники запускаются. Уто проверит - отпишитесь. -
Сборка gost (GO Simple Tunnel) на роутере
zyxmon replied to Rinat Gareev's topic in Вопросы по сборке и настройке Opkg
А Вы попробуйте и так и так. Скорее всего и релиз от автора заработает. -
Как правильно использовать netfilter в opkg
zyxmon replied to Le ecureuil's topic in Вопросы по сборке и настройке Opkg
Хотелось бы, чтобы пользователи не только писали, но и искали решение самостоятельно, читали форум - -
-
Судя по ip - у Вас это \И это кинопоиску на андроиде не нравится
- 4 replies
-
- кинопоиск hd
- яндекс
-
(and 1 more)
Tagged with:
-
У меня отлично с IPv6 на кинетике работает android версия кинопоиск. При этом и vpn настроен на роутере, но так, что кинопоиск идет напрямую, без него.
- 4 replies
-
- кинопоиск hd
- яндекс
-
(and 1 more)
Tagged with:
-
Какое приложение, где установлено, какая Ось? Сообщение "нет сети" KinopoiskHD под android выдает, если считает, что используется VPN. Возникает вопрос, не используется ли VPN на кинетике.
- 4 replies
-
- кинопоиск hd
- яндекс
-
(and 1 more)
Tagged with:
-
С этим обращайтесь к CF. Warp это не opensource - исходники закрыты. Отличие от WG на уровне протокола не описано.
-
Не понял. Я никогда не говорил, что у кинетиков нет глюков и багов. Есть - иногда об этом тут пишу, иногда в другом месте. Но по поводу Wireguard - я использую wireguard на VPS. Настроен он был (сечас посмотрел) в январе 2021. Проблем не было. И мне странно слышать, что у других проблемы. WG включен постоянно. Раньше маршрутизация была через bird, теперь AdGuardHome + ipset. У меня все это время Giga (KN-1010) RU. Прошивки релизные, draft не ставлю. IPoE. Насчет CloudFlare - это не WireGuard, это на основе WG и работать с WG не обязано.
-
Ответа не будет, так как сервер CF неизвестен, не OpenSource. Сами они пишут, что на базе WireGuard. Но сервер не WireGuard. На правах гадалки - СА банит WG соединения от неизвестных OS. Например от NDM. Если у Вас честно купленный Warp+ - попробуйте написать в CF, изложить проблемы. Но 99% ответ будет - используйте наш клиент.