Хабр Курсы для админов
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Администрирование доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 32
Спасибо за эту публикацию!
Эх, как же меня смущает во всех этих вариантах вот эта вот несекьюрность: платить за VPS.
Нет, денег мне не жалко, это не существенные траты. А вот идея, что какя-то контора, особенно в юрисдикции бешеного принтера, может идентифицировать тебя по привязанному счёту - оооочень плохо. Такого вообще быть не должно в современном сложном мире. Всякие варианты криптоVPS в Амстердаме, настройки собственного роутера (дома) или запуск виртуалки на ноуте с функцией вот этого вот первого "решателя" (в публичных сетях/на работе) - гораздо более прямой путь для такого.
Приказом от 17 октября 2024 г. № 196 Роскомнадзор поменял критерии и с 1 декабря 2024 признается запрещенной научная, научно-техническая информация и статистика о VPN-сервисах, используемых для обхода блокировок.
Так что в Вашей юридической оговорке в начале статьи едва ли есть смысл.
Ну это не vpn технология позволяющая обойти блокировку, цензор видит реальный sni и блочит по нему.
Вы не совсем верно оцениваете техническую сторону. Как раз наоборот: именно поэтому нельзя "притянуть к приказу".
Описанный метод настройки маршрутизации не позволяет обходить блокировки на ТСПУ. Современные системы фильтрации (DPI) видят этот трафик и блокируют его при попытке доступа к запрещенным ресурсам (по сигнатурам протоколов).
Достойно, я использую haproxy и adguardhome до этого был dnsmasq
Сохраню. Но как же достало вместо работы заниматься разными костылями чтобы починить на некоторое время инет.
Ой как сложно всё... А достаточно было поднять litellm в докере на впс (1 конфиг)
Статью прочитал не до конца, но если все же речь идет о выборочной маршрутизации по доменным именам через интерфейс vpn, то кинетик в версии прошивки 5.0 (предварительный канал обновлений) поддерживает dns-маршруты.
Спасибо.
У меня пока не завелось, буду пытаться ещё.
Инструкция ссе же не пошаговая, и в ней не описано, как реализовать перфекционистский сценарий с двумя vps. Если опишете — будет просто фантастика!
Пока пользуюсь comms, но хочу свой dns, чтобы gemini работал
Изначальная статья была другой, но меня попросили сократить рекламу в ней и я порезал всё, включая то, ради чего писал статью - Flowgate. Его необязательно ставить с докером, достаточно поставить пакет на Debian/Ubuntu, остальное он сделает сам. Вручную вести два списка в разных форматах достаточно муторное занятие. Лично я не рекомендую разделять DNS и проксирование, так как вы просто не заметите разницы благодаря кешированию DNS после первого обращения к сайту. У меня везде настроен только DNS на зарубежном сервере, всё работает прекрасно.
Да, спасибо, я так и попробовал: на один сервер и днс, и прокси, установил зависимости flowgate и его сам. Но всё равно много вопросов:
Нужно ли обеспечить домен для vps? Я сделал.
При установке зависимости Blocky установщик спрашивает, нужно ли назначить имя хоста. Я не назначал.
Установил flowgate через make. При выполнении flowgate status сначала вылетает ошибка, что нет библиотеки питона yaml, доустановка лечит проблему.
После этого ругается, что нет конфига для blocky: ни файла, ни даже содержащей папки. Создал папку там, где он её ожидал, скопировла конфиг из вашей статьи.
Добавил командой flowgate домен для chatgpt, руками сделал конфиг для айфона по шаблону из вашей статьи.
В итоге DNS не работает.
Также не до конца понимаю, всё ли настроено правильно: не понимаю, как посмотреть логи на vps, чтобы увидеть, где ломается.
Мне кажется, инструкция не полна, на гитхабе уж точно.
Очень буду рад всё перенстроить правильно.
Пишу это ни в коем случае не с претензией, наоборот делюсь честной обратной связью, чтобы можно было улучшить что-то.
Нужно, если нужен DoT для Android
Аналогично 1
Поправлю
Поправлю
Сегодня-завтра постараюсь всё протестировать и поправить на новом хосте.
P.S.: на какую систему ставите?
Ставлю на Debian.
И ещё вопрос: если у меня куплено доменное имя myamazingdomain.com и нстроен wildcard, и я хочу DNS на домене dns.myamazingdomain.com, как именно мне нужно это учесть в настройке angie, blocky и т.д.?
Обновил на гитхабе, добавил в релиз .deb для blocky и adguardhome.
Если ставить с flowgate, то только один раз надо ему передать dns.mydomain.com. А если ручками, то нужно в куче конфигов настроить
https://gist.github.com/crim50n/d82cd0c83d3c23de557956c5916c8d7a
Статью поправил, раскрыл подробнее некоторые нюансы настройки.
Огромное спасибо, буду пробовать. А как для начала всё, включая старую версию flowgate, снести, чтобы установкапрошла успешно? И что сносить не нужно?
Завтра напишу. Лучше пока не пробовать. Нужно получше новую версию протестировать, есть проблемы.
Спасибо. Идеально было бы иметь на гитхабе в readme.md пошаговый гайд для свежеустановленной системы на vps при купленном и настрленном wildcard-домене
Теперь в релизе точно исправные билды. README обновил. Там и на русском есть, кстати.
Перед настройкой советую остановить/удалить systemd-resolved и resolvconf, так как они занимают порты DNS, необходимые blocky/adguard home.
Спасибо, пока так и не получилось даже на свежепереустановленном debian 13, ни через бинарники, ни через сброку из исходников.
Например, ставится angie, но не angie-module-stream:
Error: Unable to locate package angie-module-stream
Во-вторых, даже если установить adguard home, flowgate doctor ругается на не запущенный blocky и то, что для домена не получены сертификаты:
✖ Error: Command failed: angie -t
Stderr: angie: the configuration file /etc/angie/angie.conf syntax is ok
angie: [emerg] no resolver configured for resolving acme-v02.api.letsencrypt.org at run time for ACME client "acme_dns_myamazingdomain_com"
angie: configuration file /etc/angie/angie.conf test failed
✖ Error: Angie sync failed: Command '['angie', '-t']' returned non-zero exit status 1.
Комбинация nginx + adguard home как будто завелась, сертификат получал на поддомен dns.myamazingdomain.com, но профиль, загруженный на айфон, не помог: приложение chatgpt и прочие после отправки им «Привет» просто бесконечно молчат. А в браузере сайт просто бесконечно пытается открыться
Да, к сожалению, у меня второй день не удается нормально наладить работу Flowgate. До последних правок и сейчас. Связка Angie + AdGuardHome в частности. 1. Установка angie-module-stream не срабатывает. В официальной документации указано, что он уже встроен в Angie в формате пакета... Как на самом деле дела обстоят я не знаю)) Пытаюсь вам подсказать. 2. После sudo flowgate init, flowgate doctor заявляет, что AdGuardHome Inactive. Хотя он поднимается и я могу зайти в вебку. Ну и еще не очень понятно что делать дальше в такой схеме... Нужны ли махинации с AdGuardHome дополнительно? (Например перезапись запросов, как в ручном методе)
Всё перепроверю сегодня с Angie) А Blocky/AdGuard Home не стартуют, скорее всего, из-за занятого порта 53, который забирают службы systemd-resolved/resolvconf. Их надо тормозить/удалять.
Исправил README, поправил flowgate, чтобы он учитывал особенности angie.
С пункта "Настройка Blocky" резко сократились пояснения, а затем снова вернулись в нужном объеме. Установка через docker - это прекрасно, а как установить и настроить blocky без него, чтобы работало? Например, для последней версии на текущий момент 0.28 не все так прозрачно с конфигом.
Для fail2ban дано всего две команды, но хотя бы минимальное содержимое конфига для защиты ssh не представлено. На фоне подробностей настройки firewall выглядит тоже странно.
Название раздела "Бонус: Моя автоматизация" навеивает нейронкой chatgpt. Именно в её ответах часто встречается такой раздел.
Спасибо за статью. Она с подвигла меня наконец немного разобраться в текущих возможностях "зоопарка" ПО и творящегося "цирка".
К сожалению, в погоне за упрощением для домохозяек с мобильниками, все основные усилия направлены только туда.
Когда надо подключить домашние тестовые виртуалки, или старый телевизор в youtube, то все становится как-то печально. Из-за невозможности запуска на них "однокнопочных" графических клиентов до VPS.
Моя практическая сборка для дома оказалась значительно проще.
1) Голый Xray, в режиме клиента, на домашнем Linux маршрутизаторе. Можно обойтись и железным маршрутизатором с OpenWRT.
2) VPS, с 3x-ui. Пришлось по выбирать не забаненные за нарушения ip адреса у хостера.
Xray умеет быть socks (и другими видами) прокси. В него можно завернуть хоть весь трафик правилами nftables.
Так же можно настроить правила по geoip, или фильтрацию по доменам. Но на клиенте я этого делать не стал.
На стационаром ПК использую браузер с несколькими профилями. Один из которых идет в интернет через socks на Xray, в домашнем маршрутизаторе.
"Фильтрации" доменов в собственной голове я доверяю больше. Могу читать недоступные по geoip статьи на данном ресурсе и на многих других. Достаточно просто открыть второе окно браузера, с другим профилем через socks. Тогда сайт решит, что браузер из далекой Германии.
P.S. Хорошо, что open source пока доступен на github и там есть актуальная документация. Т.к. перепечатываемые руководства, с картинками, очень часто неактуальны для текущих реализаций.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Свой луна-парк с блэкджеком и нейронками: Восстанавливаем доступ к AI-сервисам без VPN. Часть 1