mirror of
https://github.com/bol-van/zapret.git
synced 2024-11-14 10:48:32 +05:00
policy routing doc warning for dummies
This commit is contained in:
parent
0569a2c99b
commit
dcd3cc968c
@ -1,4 +1,10 @@
|
|||||||
Прозрачный выборочный заворот tcp соединений на роутере через socks
|
Данный мануал пишется не как копипастная инструкция, а как помощь уже соображающему.
|
||||||
|
Если вы не знаете основ сетей, linux, openwrt, а пытаетесь что-то скопипастить отсюда без малейшего
|
||||||
|
понимания смысла, то маловероятно, что у вас что-то заработает. Не тратье свое время напрасно.
|
||||||
|
Цель - донести принципы как это настраивается вообще, а не указать какую буковку где вписать.
|
||||||
|
|
||||||
|
|
||||||
|
Прозрачный выборочный заворот tcp соединений на роутере через socks
|
||||||
|
|
||||||
Tor поддерживает "из коробки" режим transparent proxy. Это можно использовать в теории, но практически - только на роутерах с 128 мб памяти и выше. И тор еще и тормозной.
|
Tor поддерживает "из коробки" режим transparent proxy. Это можно использовать в теории, но практически - только на роутерах с 128 мб памяти и выше. И тор еще и тормозной.
|
||||||
Другой вариант напрашивается, если у вас есть доступ к какой-нибудь unix системе с SSH, где сайты не блокируются. Например, у вас есть VPS вне России.
|
Другой вариант напрашивается, если у вас есть доступ к какой-нибудь unix системе с SSH, где сайты не блокируются. Например, у вас есть VPS вне России.
|
||||||
|
@ -1,4 +1,10 @@
|
|||||||
Есть возможность поднять свой VPN сервер ? Не хотим использовать redsocks ?
|
Данный мануал пишется не как копипастная инструкция, а как помощь уже соображающему.
|
||||||
|
Если вы не знаете основ сетей, linux, openwrt, а пытаетесь что-то скопипастить отсюда без малейшего
|
||||||
|
понимания смысла, то маловероятно, что у вас что-то заработает. Не тратье свое время напрасно.
|
||||||
|
Цель - донести принципы как это настраивается вообще, а не указать какую буковку где вписать.
|
||||||
|
|
||||||
|
|
||||||
|
Есть возможность поднять свой VPN сервер ? Не хотим использовать redsocks ?
|
||||||
Хотим завертывать на VPN только часть трафика ?
|
Хотим завертывать на VPN только часть трафика ?
|
||||||
Например, из ipset zapret только порт tcp:443, из ipban - весь трафик, не только tcp ?
|
Например, из ipset zapret только порт tcp:443, из ipban - весь трафик, не только tcp ?
|
||||||
Да, с VPN такое возможно.
|
Да, с VPN такое возможно.
|
||||||
@ -9,28 +15,9 @@
|
|||||||
и если для PC оно может быть не так актуально, для soho роутеров - более чем.
|
и если для PC оно может быть не так актуально, для soho роутеров - более чем.
|
||||||
Wireguard может дать 50 mbps там, где openvpn еле тащит 10.
|
Wireguard может дать 50 mbps там, где openvpn еле тащит 10.
|
||||||
Но есть и дополнительное требование. Wireguard работает в ядре, значит ядро должно
|
Но есть и дополнительное требование. Wireguard работает в ядре, значит ядро должно
|
||||||
быть под вашим контролем. vps на базе openvz не подойдет ! Нужен xen, kvm,
|
быть под вашим контролем. vps на базе openvz не подойдет. Нужен xen, kvm,
|
||||||
любой другой вариант, где загружается ваше собственное ядро, а не используется
|
любой другой вариант, где загружается ваше собственное ядро, а не используется
|
||||||
общее, разделяемое на множество vps. В openvz вам никто не даст лезть в ядро.
|
общее, разделяемое на множество vps.
|
||||||
|
|
||||||
Если вдруг окажется, что основные VPN протоколы блокируется DPI, включая wireguard,
|
|
||||||
то стоит смотреть в сторону либо обфускации трафика до состояния нераспознаваемого
|
|
||||||
мусора, либо маскировки под TLS (лучше на порт 443). Скорость, конечно, вы потеряете, но это
|
|
||||||
та самая ситуация, которая описывается словами "медленно или никак".
|
|
||||||
Маскированные под TLS протоколы DPI может распознать двумя действиями :
|
|
||||||
пассивно через анализ статистических характеристик пакетов (время, размер, периодичность, ..)
|
|
||||||
или активно через подключение к вашему серверу от себя и попытку поговорить с сервером по
|
|
||||||
известным протоколам (называется active probing). Если вы подключаетесь к серверу
|
|
||||||
с фиксированных IP, то активный пробинг можно надежно заблокировать через ограничение
|
|
||||||
диапазонов IP адресов, с которых можно подключаться к серверу. В ином случае можно использовать
|
|
||||||
технику "port knocking".
|
|
||||||
Перспективным направлением так же считаю легкую собственную модификацию исходников
|
|
||||||
существующих VPN с целью незначительного изменения протокола, которая ломает стандартные
|
|
||||||
модули обнаружения в DPI. В wireguard можно добавить в начало пакета handshake лишнее поле,
|
|
||||||
заполненное случайным мусором. Разумеется, в таком случае требуется держать измененную версию
|
|
||||||
как на сервере, так и на клиенте. Если затея срабатывает, то вы получаете максимальную
|
|
||||||
скорость, при этом полностью нагибая регулятора.
|
|
||||||
Полезная инфа по теме : https://habr.com/ru/post/415977/
|
|
||||||
|
|
||||||
Понятийно необходимо выполнить следующие шаги :
|
Понятийно необходимо выполнить следующие шаги :
|
||||||
1) Поднять vpn сервер.
|
1) Поднять vpn сервер.
|
||||||
@ -656,9 +643,3 @@ listening_ip прописан именно таким образом, чтобы
|
|||||||
|
|
||||||
ОСОБЕННОСТЬ НОВЫХ DEBIAN : по умолчанию используются iptables-nft. miniupnpd работает с iptables-legacy.
|
ОСОБЕННОСТЬ НОВЫХ DEBIAN : по умолчанию используются iptables-nft. miniupnpd работает с iptables-legacy.
|
||||||
ЛЕЧЕНИЕ : update-alternatives --set iptables /usr/sbin/iptables-legacy
|
ЛЕЧЕНИЕ : update-alternatives --set iptables /usr/sbin/iptables-legacy
|
||||||
|
|
||||||
|
|
||||||
--- А если не заработало ? ---
|
|
||||||
|
|
||||||
Мануал пишется не как копипастная инструкция, а как помощь уже соображающему.
|
|
||||||
В руки вам ifconfig, ip, iptables, tcpdump, ping. В умелых руках творят чудеса.
|
|
||||||
|
Loading…
Reference in New Issue
Block a user