zyxmon

В этом посте я опишу, как получить сертификаты LetsEncrypt. Это очень просто и много где описано. Я использовал https://www.linuxbabe.com/debian/set-up-openconnect-vpn-server-ocserv-debian-11-bullseye Тем не менее, приведу команды и выхлоп apt-get update apt-get install software-properties-common apt-get install certbot # certbot --version certbot 1.12.0 certbot certonly --standalone --preferred-challenges http --agree-tos --email xxxx@gmail.com -d ваш_домен Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator standalone, Installer None - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing, once your first certificate is successfully issued, to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: Y Account registered. Requesting a certificate for zваш_домен Performing the following challenges: http-01 challenge for ваш_домен Waiting for verification... Cleaning up challenges Subscribe to the EFF mailing list (email: xxxx@gmail.com). IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/ваш_домен/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/ваш_домен/privkey.pem Your certificate will expire on 2024-05-15. To obtain a new or tweaked version of this certificate in the future, simply run certbot again. To non-interactively renew *all* of your certificates, run "certbot renew" - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le Мы создали нужные нам сертификаты /etc/letsencrypt/live/ваш_домен/fullchain.pem и /etc/letsencrypt/live/ваш_домен/privkey.pem

Ну тогда досвидания. Не все делается через GUI. В этом посте я опишу, как настраивал сервер openconnect - он называется ocserv. Домашняя страница проекта - https://gitlab.com/openconnect/ocserv Сервер настраивается ручками! Используемые статьи 1. https://habr.com/ru/articles/776256/ 2. https://jakondo.ru/ustanovka-iz-ishodnikov-openconnect-vpn-servera-ocserv-na-debian-11-bullseye/ 3. https://www.howtoforge.com/how-to-install-openconnect-vpn-server-on-ubuntu-22-04/ Место установки - $12/yr KVM VPS - 256 MB RAM - 10G Port - IPv4 - IPv6- RAID 10 SSD. Поскольку памяти мало (очень) выбор OS для установки ограничен. Как пишет владелец По моим прикидкам (1 ядро Intel(R) Xeon(R) Gold 6142 CPU @ 2.60GHz) даже этот копеечный сервер потянет 2-3 клиента openconnect. По идее, описания установки даны выше. Я собственно их комбинировал и выполнял. Вел лог действий (он же имеется в .bash_history. Поскольку в debian 11 ocserv старый - будем ставить из исходников. Пакеты, которые необходимы для установки описаны в README у разработчика тут - https://gitlab.com/openconnect/ocserv и в статьях выше. Я поставил apt-get install -y libgnutls28-dev libev-dev apt-get install -y libpam0g-dev liblz4-dev libseccomp-dev \ libreadline-dev libnl-route-3-dev libkrb5-dev libradcli-dev \ libcurl4-gnutls-dev libcjose-dev libjansson-dev liboath-dev \ libprotobuf-c-dev libtalloc-dev libhttp-parser-dev protobuf-c-compiler \ gperf iperf3 lcov libuid-wrapper libpam-wrapper libnss-wrapper \ libsocket-wrapper gss-ntlmssp haproxy iputils-ping freeradius \ gawk gnutls-bin iproute2 yajl-tools tcpdump apt-get install -y nuttcp autoconf automake Исходники на gitlab - `https://gitlab.com/openconnect/ocserv/-/archive/1.2.4/ocserv-1.2.4.tar.bz2` -скачиваем кто чем умеет и распаковываем в папку. Далее стандартно autoreconf -fvi ./configure && make make install Making install in src ... /usr/bin/mkdir -p '/usr/local/bin' /usr/bin/install -c occtl/occtl ocpasswd/ocpasswd '/usr/local/bin' /usr/bin/mkdir -p '/usr/local/libexec' /usr/bin/install -c ocserv-fw '/usr/local/libexec' /usr/bin/mkdir -p '/usr/local/sbin' /usr/bin/install -c ocserv ocserv-worker '/usr/local/sbin' .... /usr/bin/mkdir -p '/usr/local/share/man/man8' /usr/bin/install -c -m 644 ocserv.8 ocpasswd.8 occtl.8 '/usr/local/share/man/man8' Я привел частичный выхлоп `make install`, что бы было видно куда что ставится (в /usr/local/bin). Далее Копируем файл сервиса ocserv.service в системную библиотеку, и файл конфигурации в /etc/ocserv cp doc/systemd/standalone/ocserv.service /etc/systemd/system/ocserv.service mkdir /etc/ocserv cp doc/sample.config /etc/ocserv/ocserv.conf Редактируем путь в `/etc/systemd/system/ocserv.service` - правильный до бинарника `/user/local/bin/ocserv`. Как редактировать файл конфигурации будет описано в следующем сообщении, а пока выполним echo "net.ipv4.ip_forward = 1" | tee /etc/sysctl.d/60-custom.conf echo "net.core.default_qdisc=fq" | tee -a /etc/sysctl.d/60-custom.conf echo "net.ipv4.tcp_congestion_control=bbr" | tee -a /etc/sysctl.d/60-custom.conf sysctl -p /etc/sysctl.d/60-custom.conf useradd -r -M -U -s /usr/sbin/nologin ocserv Мы задали маршрутизацию между интерфейсами и создали пользователя ocserv, от которого будет запускаться сервис.

Если есть желающие - выложу openconnect собранный с openssl, а не с gnutls.

Это как раз Вы не понимаете. Модуль tun ставится как компонента прошивки keenetic. Пакеты entware от модулей ядра не зависят.

Проверил работу gost и в режимах прокси и tun. В приведенной в начале темы статье все отлично написано (есть очепятки, в том числе и в ip, но их легко исправить). В режиме tun на своем сервере нужно "замаскарадить" новую подсеть, как написано тут - https://gost.run/en/tutorials/tuntap/#ip-routing-and-firewall-rules Иначе не будет доступа к сайтам за серевером, к интернет. Что же касается кинетика, то, как минимум, нужно выполнить iptables -A INPUT -i tun0 -j ACCEPT iptables -A FORWARD -i tun0 -j ACCEPT

Для сборки gost требуется go 1.21. Поэтому все чуть сложнее. Проект выглядит интересно. Обновил go и собрал текущий вариант http://zyxnerd.zyxmon.org/files/gost-go_v3.0.0-nightly.20240118-1_aarch64-3.10.ipk http://zyxnerd.zyxmon.org/files/gost-go_v3.0.0-nightly.20240118-1_mipsel-3.4.ipk Сам пока не проверял работу. Проверил, что бинарники запускаются. Уто проверит - отпишитесь.

А Вы попробуйте и так и так. Скорее всего и релиз от автора заработает.

Хотелось бы, чтобы пользователи не только писали, но и искали решение самостоятельно, читали форум -

Entware не установлена!

Пример открытия портов для серверов на кинетике

Судя по ip - у Вас это \И это кинопоиску на андроиде не нравится

У меня отлично с IPv6 на кинетике работает android версия кинопоиск. При этом и vpn настроен на роутере, но так, что кинопоиск идет напрямую, без него.

Какое приложение, где установлено, какая Ось? Сообщение "нет сети" KinopoiskHD под android выдает, если считает, что используется VPN. Возникает вопрос, не используется ли VPN на кинетике.

А что в логах сервера? Может там что полезное?

С этим обращайтесь к CF. Warp это не opensource - исходники закрыты. Отличие от WG на уровне протокола не описано.

PS keepalive включен (конфиг создан скриптом https://github.com/Nyr/wireguard-install в январе 2021).

WG поднят штатно и не рвется. Работает постоянно.

Не понял. Я никогда не говорил, что у кинетиков нет глюков и багов. Есть - иногда об этом тут пишу, иногда в другом месте. Но по поводу Wireguard - я использую wireguard на VPS. Настроен он был (сечас посмотрел) в январе 2021. Проблем не было. И мне странно слышать, что у других проблемы. WG включен постоянно. Раньше маршрутизация была через bird, теперь AdGuardHome + ipset. У меня все это время Giga (KN-1010) RU. Прошивки релизные, draft не ставлю. IPoE. Насчет CloudFlare - это не WireGuard, это на основе WG и работать с WG не обязано.

У меня за два годе ни одного разрыва. А Вы как тут -

Ответа не будет, так как сервер CF неизвестен, не OpenSource. Сами они пишут, что на базе WireGuard. Но сервер не WireGuard. На правах гадалки - СА банит WG соединения от неизвестных OS. Например от NDM. Если у Вас честно купленный Warp+ - попробуйте написать в CF, изложить проблемы. Но 99% ответ будет - используйте наш клиент.

Возьмите другую mipsel железку с linux на борту и проверьте там работу стандартного клиента WG. После этого обсудим. Openwrt - сойдет.

CF не является публичным провайдером WireGuard. Предлагаю Вам купить PureVPN - там в режиме ручной конфигурации указан протокол WG. Это публичный провайдер. CF нигде не указывает, что можно использовать стандартный клиент WG. Разницу видите?

Где это написано у CF? Там написано - используйте клиент от CF. Кто Вам сказал, что у CF стандартный сервер WG. Поставьте стандартный сервер на VPS b c ним проверяйте стандартный клиент кинетика.

Покажите где CF выложил клиент для кинетика? Расскажите, как Вы его запустили на кинетике.

@ANDYBOND - где тут https://cloudflarewarp.com/ указано, что нужно использовать клиент wireguard? Разработчик предлагает использовать разработанное им приложение. Так и используйте его. Неужели трудно купить за 2-3$ (за год) VPS и настроить там сервер wireguard. С ним проблем не будет.