Доброго времени суток, реактор.
Изрядно охуев от того, какие суммы тратятся на то, чтобы жители РФ не могли иметь доступ к информации (искать "протокольные мероприятия тспу") и удивившись отсутствию подобного поста ранее, я всё же сел за клавиатуру. Здесь и далее я воздержусь от комментариев не по теме, чтобы не улететь в политоту. Также я не буду кидать прямые ссылки; вы легко их найдете в первых строчках гугла или телеграма. Если каких тегов не хватает - не стесняйтесь.
Зачем этот пост
До недавнего времени РНК развлекался блокировками без особенного энтузиазма. Да, упали некоторые впн сервисы, но большинство адаптировались. Те, кто изначально сидел на приватных или маленьких сервисах вообще могли ничего не почувствовать. Однако совсем недавно они стали блокировать протоколы. В этот раз попал под удар широко используемый протокол WireGuard, который когда-то пришел на замену устаревшему OpenVPN.
Я не буду распинаться про важность доступа к информации и связи с родными и близкими, уверен, вы это понимаете и сами. В этом посте я опишу два способа оставаться онлайн.
Вариант первый
Да, но. Как всегда, я считаю, что лучший впн - это собственный впн. Для первого варианта вам понадобится хостинг. Я понимаю все сложности, с которыми можно столкнуться при оплате с территории РФ. Тем не менее, варианты есть, тем более, что платить рублями все равно не лучшая идея. Попросите знакомых помочь с оплатой, исследуйте вариант оплаты криптой или спросите совета у сообщества реддита или в телеге (искать "на связи служба техподдержки"). Обратите внимание на стоимость трафика и наличия ссд диска, размер инстанса подойдет минимальный. В качестве ос подойдет Centos 7 (оставим холивары на тему выбора дистрибутива). От вас не требуется умения работать с консолью и даже не потребуется ssh клиент. Обещаю, что получение инстанса - единственная сложность, которая вам встретится.
OutlineVPN
Пара слов о решении и почему я остановился на нем. Это Shadowsocks, который пока не научились ловить. Дважды проходил аудит безопасности. Естестевенно опенсорс. Не хранит логи. Имеет клиенты под все платформы, с установкой которого (как и с его настройкой) справится даже ваша бабушка. Имеет интерфейс, с которого удобно управлять ключами. Очень быстрый; знакомые говорят о сотнях мегабит, которые спокойно тянет маленькая виртуалка c 1Gb памяти в Европе. Устновка сервера безобразно проста и лишает возможности накосячить с настрокой днс или фаервола в системе даже неопытного пользователя.
Буквально весь процесс расписан в мануале с катинками https://getoutline.org/get-started/
Если коротко, то после того, как вы установили Outline Manager, от вас понадобится ввести всего 3 строчки в консоли вашего хостинга. Это можно сделать прямо через VNC или веб консоль.
curl -fsSL https://get.docker.com -o get-docker.sh
sh get-docker.sh
sudo bash -c "$(wget -qO- https://raw.githubusercontent.com/Jigsaw-Code/outline-server/master/src/server_manager/install_scripts/install_server.sh)"
Первая команда скачает скрипт установки докера, вторая - установит его. Третья команда установит сервер Outline и отдаст вам ключ, который вы вставите в Outline Manager. Поздравляю, ваш сервер готов к работе. Создание ключей производится в один клик, ключ представляет собой короткую строку, которую нужно отправить клиенту, который скачал Outline Client на своё устройство. Добавление ключа осуществляется в одну операцию копирования\вставки.
Вариант второй
Да, но. Этот вариант подразумевает наличие минимум пяти пользователей. Это могут быть ваши друзья или родственники. В конце концов, я верю, что сообщество реактора способно образовать небольшую группу единомышленников для образования бригады и обеспечения доступа к информации.
Как вы уже догадались, проект VPN Generator.
Тут всё еще проще, в телеграме легко найдете (искать "VPN Generator"). Весь пошаговый процесс описан в их мануале, служба поддержки также поддерживает.
Всем добра. Оставайтесь онлайн.
Предистория:
Работаюофисной крысой в небольшом местном отделе большой западной компании.
Некотороевремя назад произошло заражение зловредом EMOTET майл сервера в основнойкомпании, сразу же начали обвинять дистанционные офисы (бранчи). Началасьтотальная проверка и учет всех машин и серверов в офисах и сканы всех локалок.
На тот момент проверил наши системы сторонними улилитами: AVZ, Kasper removal tool, EmoCheck и Malwarebytes AdwCleaner - ничего найдено не было.
По указке сверху на все машиныбыли установлены следующие анальные зонды:
- WirereShark,
- N-Ablewindows agent,
-SolarWinds,
- SentinelAgent.
Немногопогуглив выяснил что же это за дьявольские приблуды, все машины оказались под жесткимколпаком – сниффят траффик и запущенные приложения, а возможно и времяактивности в приложении. Как толькокто-то приносит ноут в офис и подключается к сети – сразу же «слышны» крики «Ойтищнегов»из главного офиса типа – «что там за машина у вас появилась – срочно анальнопокарать!», т.е. вставить вышеперечисленные зонды.
Когда шумихаспала, попытался избавиться от анальных зондов, WireSharkи агент от N-Able удалились через jv16 powertools, а вот Солнечный ветер и Sentinel– ни в какую, дело доходило до синихэкранов и полным отказом системы запускаться. Кое как систему восстановил, нозонды остались в жопе системе. Видимо утилита jv16 понадкусывала где смогла реестр и теперь Sentinel в режиме snoozed и больше не запускается никак, хотя до моих шаловливых ручек был активен.
Совсем недавноойтишнеги проснулись и начали жаловаться что не могут нащупать мой писюк мою станцию.
Прикинулся шлангоми пожаловался, что после обнов 20H2 и 21H1 были кое-какие проблемы, но думаюони что-то начали подозревать. Пришлось поставить снова анальные зонды исистема запестрила снифф-процессами как новогодняя елка.
![VI iwui.vnv E)|7=l svchost.exe [■ ctfmon.exe [7=1 svchost.exe [7=1 svchost.exe 17=] svchost.exe B RleCache Service Agent .exe Request HandlerAgent .exe m SecurityHealthService.exe fi=l svchost.exe [7=1 svchost.exe □ PME.Agent .exe [7=1 SgnnBroker.exe 17=1 svchost.exe [7=1 svchost.exe [7=1 Agent](http://img1.joyreactor.cc/pics/post/%D0%BF%D0%BE%D0%BC%D0%BE%D0%B3%D0%B8%D1%82%D0%B5-%D0%BF%D0%B8%D0%B4%D0%BE%D1%80%D1%8B-it-Windows-10-Windows-6876467.jpeg "помогите пидоры,it,Windows 10,Windows,Операционная система,анальный зонд,песочница")
Ойтишнеги покауспокоились.
Суть:
Есть идея поставитьна комп еще один ССД и накатить новую систему без анальных зондов и так-же ееобозвать, чтобы в локалке светилось точно такое-же имя станции. Подозреваюсниффер LAN на другой машине не заметит подмены (конфа не изменилась). Акогда ойтишеги забеспокоятся что нет сигнала от анального зонда – тупо перезагрузитьсяпод старой системой и сказать что у нас все норм – копайте у себя. Скорее всегоприйдется физически отключать новый ССДишник с новой системой, т.к. анальныйзонд, возможно, будет докладывать об измененной конфигурации. К счастьюойтишнеги к нам заглядывают не так часто.
Какиеподводные камни могут встретиться натаком тернистом пути?
Пишу ваммногоуважаемые реакторчане по AnyDesk с домашего, дабы око саурона не пронюхаломорально разложившегося нутра тянувшегося в реактор за новой порцией моральнойдеградации.
З.Ы. Особосвятых и непорочных просьба не беспокоить и не писать о том, что на работе надоработать.
Cегодня мы поговорим об установке и использовании графической панели 3X-UI для сервера X-Ray с поддержкой всего того, что умеет X-Ray: Shadowsocks-2022, VLESS с XTLS и т.д.
Почему 3X-UI? Существует, на самом деле, довольно много панелей для V2Ray/XRay: оригинальный X-UI, Marzban, Libertea, Hiddify. Проблема в том, что в процессе экспериментов у меня и ряда других хабраюзеров заставить их нормально работать с пол-пинка не получилось. Например, одним из требований была установка в Docker (чтобы не создавать бардак в системе и не запускать непонятные bash-скрипты на хосте вне контейнера), и на этом этапе отвалились уже многие панели: у каких-то установка падала еще на этапе разворачивания docker-контейнера из-за ошибок в скриптах, какие-то устанавливались, но не могли нормально запуститься (фронтенд говорил, что не может подключиться к бэкенду), какие-то в итоге запускались, и после получаса тыканья везде в попытках переключить язык с китайского или фарси хотя бы на английский выяснялось что что-то глючит или не работает.
3X-UI, который является доработанным форком оригинального X-UI, в сравнении со всем вышеописанным, почти идеален: легко устанавливается в Docker, сразу на английском с возможностью переключения на русский, имеет в себе все что надо - и главное, работает! Пара багов, конечно, тоже нашлась, но они не критичны и о них будет чуть позже.
Update: в конце мая в своем Telegram-канале автор 3X-UI написал, что возможно больше не будет работать над проектом, но есть альтернатива - еще один из форков оригинального X-UI под названием (внезапно!) X-UI, который очень похож на 3X-UI и тоже работает без проблем.
УстановкаОфициальный репозиторий 3X-UI: https://github.com/MHSanaei/3x-ui
Официальный репозиторий форка X-UI: https://github.com/alireza0/x-ui
Итак, дано: VPS с IPv4 (неплохо бы иметь еще IPv6, но не обязательно) и Debian либо Ubuntu Linux (на других дистрибутивах суть будет примерно та же самая). И установленные Docker и docker-compose (если вдруг нет - следуйте инструкциям для вашего дистрибутива, у меня без проблем установилось простым "apt install docker.io docker-compose"). Ну и git в придачу.
Сначала клонируем исходники. Лучше всего использовать последнюю стабильную версию, можно проверить в "Releases" на гитхабе.
Для 3X-UI:
git clone https://github.com/MHSanaei/3x-ui.gitgit checkout v1.4.6
Для X-UI:
git clone https://github.com/alireza0/x-ui.git
cd x-ui
git checkout 1.4.1
Запускаем docker-compose:
docker-compose up -d
Готово! Вы восхитительны! Я серьезно, все, панель установлена и работает.
Дело осталось за малым - настроить ее:
Для 3X-UI идем браузером по адресу http://yourserverip:2053/panel/,где yourserverip - IP-адрес вашего сервера или доменное имя, если оно у вас есть и настроено (обратите внимание, протокол http://, а не https://). Для X-UI нужно сначала посмотреть с помощью команды "docker logs x-ui", на каком именно порту запустилась панель.
Логинимся под стандартными реквизитами admin/admin и видим нашу прекрасную панель управления:
Первым делом я советую сделать несколько вещей. Перейти в "Settings" (настройки) и там:
Изменить порт на котором работает панель со стандартного 2053 на какой-нибудь другой (лучше всего где-нибудь в верхнем конце диапазона, до 65535);
Изменить корневой путь URL-адреса панели с / на что-то типа /mysecretpanelroot/;
При желании переключить язык на русский (но имейте в виду, в русском переводе есть некоторые неточности сбивающие с толку);
На второй вкладке "Настройки безопасности" изменить стандартный админский пароль на свой;
После чего сохраняем настройки и рестартуем панель. Нужно будет изменить URL с учетом нового порта и пути, заданных в настройках.
Все вышеперечисленное необходимо для защиты от тупых скрипткиддисов залетных кулхакеров, которые случайно могут наткнуться на вашу панельку при массовом сканировании адресов. Другие советы по повышению безопасности я приведу в конце статьи.
Идем в раздел меню Inbounds (в русском переводе он почему-то называется "Пользователи", это неправильно и сбивает с толку). Нажимаем "Add Inbound" ("Добавить пользователя"):
Появляется милое окошо. Сначала добавим возможность подключаться через Shadowsocks-2022.
"Remark" (Примечание) - ввести что угодно, это просто человекочитаемое название;
"Протокол" выбираем shadowsocks;
"Listening IP" (в русском переводе называется "Порт IP", и это тоже неправильно и запутывает) можно оставить пустым, тогда сервер будет слушать на всех IP-адресах, либо можно явно указать требуемый;
"Порт" - панель выберет рандомный.
Далее настраиваем пользователя (в момент создания inbound'а создается один, других при желании можно добавить позже):
Поле "Email" на самом деле не обязательно должно содержать емайл, может быть любой текст (имя пользователя) - панель генерирует рандомный набор символов, если вы хотите создавать несколько разных пользователей (например, раздать аккаунты друзьям, смотреть кто сколько накачал и при желании блокировать доступ), то лучше вбить сюда что-то человекочитаемое и понятное;
"Subscription" - пока что можно вбить тот же самый юзернейм (о подписках я расскажу чуть позже).
Дальше снова идут настройки протокола:
"Шифрование" - выбираем что-нибудь что начинается с "2022", вариант по умолчанию вполне неплох;
"Пароль" (ключ) панель сгенерирует автоматически с правильной длиной для выбранного метода шифрования.
Нажимаем "Создать" и на этом настройка для Shadowsocks закончена, им уже можно пользоваться.
Теперь переходим к настройке VLESS с XTLS-Reality. Тут все будет чуточку сложнее, но в целом так же просто.
"Remark" (Примечание) - любое название;
"Протокол" - "vless",
"Listening IP" ("Порт IP", который на самом деле не порт, а адрес) - оставляем пустым, либо задаем вручную если надо;
"Порт" - вместо рандомного ставим 443;
Далее переходим к настройкам клиента.
"Email" - как в и в прошлом пункте, лучше указать что-то человекочитаемое и понятное. Важно: пользователи разных подключений не могут иметь один и тот же емайл (например, наш новый VLESS и старый Shadowsocks созданный в предыдущем пункте), поэтому можно добавить какой-нибудь префикс (например user1vl) для избежания конфликтов.
"Subscription" - тут наоборот, лучше будет если текст в этом поле будет совпадать с тем, что вы задали для Shadowsocks (подробности ниже). Внимание: в отличие от 3X-UI, в X-UI поле Subscription по умолчанию не отображается, нужно сначала активировать функционал подписок в настройках панели.
"Flow" - надо выбрать "xtls-rprx-vision". Обратите внимание, поле Flow (см. скриншот) появится только после того, как чуть ниже вы поставите галочку на пункте "Reality". То есть лучше всего настривать так: сначала ставите галочку Reality, а потом заполняете поля с настройками пользователя.
Дальше у нас идут настройки транспорта:
"Reality" - как уже сказано выше, должно быть активно;
"XTLS" - наоборот, должно быть неактивно (это немного запутывает, не смотря на то, что Reality тоже относится к XTLS, здесь под XTLS подразумеваются только устаревшие версии протокола, и галочки "XTLS" и "Reality" в панели являются взаимоисключающими);
"uTLS" - по умолчанию "firefox", я обычно выбираю "chrome", по факту особо без разницы (главное чтобы не "android", могут быть проблемы с клиентами);
"Домен" - на самом деле это не домен, а адрес для подключения к вашему серверу. Можно оставить пустым, тогда панель автоматически подставит IP-адрес или домен, по которому вы обращаетесь в панели на сервере.
"ShortIds" - панель сгенерирует рандомный ID;
"Public Key", "Private Key" - можно кликнуть на "Get new keys", и панель сама сгенерирует новые для вас;
"Dest" и "Server names" - вот это самое интересное, это домен, под который вы будете маскироваться. По умолчанию панель предлагает маскировку под yahoo.com и www.yahoo.com с переадресацией на yahoo.com:443, но лучше выбрать какой-нибудь другой домен, как описано в предыдущей статье;
Сохраняем введенную форму, и - всё! Настройка завершена.
После этого на странице видим примерно вот это:
Если тыкнуть на кнопочку "Меню" соответствующую нужному протоколу, можно его активировать/деактивировать, сбросить счетчики трафика, добавить пользователей (в том числе сгенерировать разом N аккаунтов по шаблону), и самое главное - раскрыв (плюсиком) список пользователей, можно посмотреть настройки подключения для вбивания в клиенты для этого пользователя.
Нажав на значок QR-кода, панель покажет QR-код, который можно отсканировать камерой в мобильных клиентах (v2rayNG или Nekobox на Android, Wings X/FoXray или Shadowrocket на iOS). Подробнее о клиентах читайте в этой статье.
ремарочкаОбратите внимание, v2rayNG и Nekobox из сторов основаны на старой версии XRay и еще не поддерживают Reality, нужно переключиться на бета-канал или устанавливать APK с гитхаба.
Нажав на иконку информации (с буквой "i") можно посмотреть настройки для вбивания в десктопные клиенты, в том числе и URL, который можно скопировать и вставить.
Под дестоп я рекомендую Nekobox (есть под Windows, Linux и билды от сообщества для MacOS). Подробнее о клиентах читайте в этой статье.
Если вы раньше им не пользовались, нужно переключить его на использование движка sing-box, Preferences -> Basic Settings -> Core.
Далее копируем URL подключения в буфер обмена, в Nekobox нажимаем Server -> Add profile from clipboard - вжух, и у нас в списке добавилось новое подключение!
Сохраняем, кликаем правой кнопкой мыши на новый сервер в списке, жмем Start, и проверяем подключение выбрав там же Current Select -> URL test.
Если все нормально, то галочками "VPN Mode" или "System proxy" можно завернуть трафик всех приложений на прокси.
Там же вы можете найти "subscription URL". Это - специальным образом сгенерированный список подключений для клиентов. Помните, вы указывали "Subscription" при создании пользователя? При запросе по такому subscription URL, сервер выдаст список настроек (сервера, ключи) для всех подключений с этим ID в поле subscription. Многие клиенты (включая v2rayNG, v2rayN, Nekobox, и другие) умеют автоматически либо по запросу скачивать настройки с таких URL и добавлять их к себе - таким образом, если вы добавили какие-то новые протоколы или решили поменять конфигурацию, пользователи могут легко получить новые параметры с вашего сервера.
Внимание: в отличие от 3X-UI, в X-UI поле Subscription по умолчанию не отображается и вообще функционал подписок по умолчанию отключен, его нужно активировать в настройках панели.
В менюшках панели можно найти много интересностей, например, можно запретить клиентам качать торренты (если у вас на сервере не слишком широкий канал или есть лимит трафика), добавить фильтр доменов рекламных сервисов, запретить доступ к порносайтам (ума не приложу, кому вообще в жизни может понадобиться такая ужасная функция).
А еще можно заблокировать доступ через сервер к IP-адресам и доменам Ирана, Китая и России (Россия здесь в отличной компании, не правда ли?) - это нужно если вы по ряду соображений настроили на клиентах доступ к российским сайтам напрямую, и хотите заблокировать их на сервере чтобы случайно не вылезти в рунет через него из-за ошибок в настройках.
При включенном IPv6 в TUN-режиме есть одна проблема. Nekobox (возможно другие клиенты тоже, не проверял) в качестве "внутреннего" IPv6 адреса использует адрес из такого зарезервированного диапазона (ULA), где они должны генерироваться рандомно, и вероятность случайного совпадения двух рандомных адресов ничтожна. То есть такой адрес должен быть уникальным, но в Nekobox он наоборот захардкожен один для всех случаев, и в итоге некоторые сервисы, которые могут каким-то образом получать и анализировать локальные адреса клиентов (например, Google с его телеметрией в Chrome и в Android), считают всех клиентов с таким внутренним адресом... одним и тем же клиентом, после чего матчат их то ли с геолокацией, то ли с другими внутренними адресами, то ли и с тем и с тем, и в итоге в ряде случаев все пользователи Nekobox (и возможно других клиентов) для Гугла выглядят как юзеры откуда-то из Ирана, Китая или Азербайджана, вплоть до того, что со временем Гугл начинает считать публичный адрес прокси-сервера тоже иранским/китайским/etc, и это приводит к довольно забавным эффектам.
Варианты решения: не использовать TUN-режим (он же VPN mode), либо в правилах маршрутизации запретить доступ до Google по IPv6, что и позволяют сделать некоторые форки X-UI.
Сначала о паре багов.
При установке в Docker не получается посмотреть логи Xray, панель выплевывает ошибку. Иногда что-то подсмотреть и понять можно используя команду "docker logs 3x-ui", но там логи довольно куцые. Будем надеяться, что в следущих версиях это исправят (зарепортите им там кто-нибудь, а?).
Второй баг - не удается создать несколько inbounds с одним и тем же портом, но разными listening IP - панель ругается. Из-за этого, например, нельзя реализовать классическую схему с XTLS-Reality слушающем на 443 порту на IPv4-адресе, и VLESS+Websockets или VLESS+gRPC для работы через CDN (как запасной вариант) на IPv6 адресе. Опять же, будем надется, что авторы это когда-нибудь пофиксят.
Из того, что можно улучшить при конфигурации - по умолчанию панель слушает на чистом HTTP, без шифрования. Вариантов решения несколько:
Если у вас есть домен (даже бесплатный от no-ip, freenom, dynu), то можно установить certbot от letsencrypt, запросить сертификат для своего домена, положить его в папку ./certs (внутри директории, куда вы склонировали 3x-ui) или сделать туда симлинки, и указать путь к ключам в панели в виде /root/cert/privkey.pem и /root/cert/public.crt. Не забудьте добавить post-update hook для рестарта контейнера;
Другой вариант - поменять в настройках listen IP для панели на 127.0.0.1 - после этого панель станет недоступна "снаружи", но на нее всегда можно будет зайти с помощью SSH:
"ssh -L 8080:localhost:2053 your_server_ip" - тогда вбивая в браузере http://localhost:8080, подключение через SSH пойдет на локальный порт 2053 сервера, где и слушает ваша панель;
Третий вариант - повесить на сетевой интерфейс на сервере еще один "виртуальный" IP-адрес: прописать в /etc/network/interfaces что-то типа
iface lo:1 inet static
address 192.88.99.1
network 192.88.99.0
netmask 255.255.255.0и настроить панель, чтобы она слушала только на нем. Тогда "снаружи" панель будет недоступна, но при подключении через Shadowsocks/VLESS-прокси вы сможете до нее достучаться по этому адресу.
И занимательное на последок. Панель может работать как Telegram-бот :)
Сначала обращаемся к боту BotFather и просим его зарегистрировать нового бота:
Он сгенерирует для вас API-токен. Его надо вставить в настройки панели, и там же указать ваш ID как админа (его можно запросить у бота userinfobot):
После этого можно разговаривать с панелью через Telegram - смотреть статистику, делать бэкапы конфигурации, и т.д.
 | nashi5364Подписчиков: +209 |
 | аниМемыПодписчиков: +68 |
 | mr_plagu3Подписчиков: +41 |
 | DarbarnirПодписчиков: +36 |
 | chibikkiПодписчиков: +18 |
 | madaotheoryПодписчиков: +141 |
 | sincosПодписчиков: +123 |
 | z0mbiraptorПодписчиков: +101 |
 | QuantumHeadAIПодписчиков: +98 |
 | Anime Ero DFCПодписчиков: +93 |
