fuck society

Миграция с wireguard на amneziawg

После каких-то очередных манипуляций на Ростелекоме мой wireguarg туннель приказал долго жить (как и IPv6 почему-то), поэтому перехожу на amneziawg. Amneziawg - это форк wg поддерживающий добавление шума в стандартный протокол wireguard. Понятно, что в час Х, когда государство решит закрутить гайки, этот протокол будет легко забанен, но пока он работает и можно пользоваться. На крайний случай останется wg через vless, хотя скорость в таком случае не очень. Установка в Ubuntu Включаем источники src пакетов (deb-src) в /etc/apt/sources.list.d/ubuntu.sources ...

Проброс портов через Xray реверс-прокси

В заметке опишу как организовать доступ к серверу в локальной сети через Xray. Про базовую настройку Xray можно посмотреть тут. В терминологии xray схема с реверс-прокси состоит из двух участников: portal и bridge. Portal - это сервер который доступен из интернет и который выполняет роль реверс-прокси. Bridge - сервер/клиент который находится в приватной сети и через который осуществляется доступ к ресурсу в приватной сети. Допустим у нас в локальной сети есть веб-сервер без публичного IP и мы хотим опубликовать его через xray portal. Клиенты из интернет будут подключаться к публичному серверу А и через служебный канал (vless, shadowsocks…) между A и B получать доступ к приватному серверу. ...

Ghost in the Shell

Cyberpunk 2023

С другой стороны, а кто из IT-специалистов не мечтал пожить в каберпанк антиутопии? Минцифры опубликовало проект изменений в постановление Правительства РФ от 26 октября 2012 г. № 1101, согласно которым РКН наделяется правом включать в реестр интернет-ресурсов, доступ к которым в России должен блокироваться, сайты с информацией о способах, методах обеспечения доступа к информационным ресурсам и информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ. Источники СМИ сообщили, что новый проект постановления Минцифры коснётся сайтов со списками VPN или инструкциями по созданию собственных VPN и прокси-серверов, позволяющих обходить ограничения по запрету. ...

Xray с XTLS-Reality и Nginx на одном порту

Что делаем? Настроим так чтобы на одном порту 443 висел и nginx с нашими сайтами и xray XTLS-Reality, который работает как прокси для авторизованных пользователей и притворяется валидным сайтом (в примере www.google.com) для всех остальных. XTLS-Reality предназначен для защиты от выявления методом active probing. В отличие от старых протоколов (Shadowsocks, VMess, VLESS, и транспорта XTLS-Vision), определение “свой/чужой” здесь происходит на этапе TLS-хендшейка в момент чтения ClientHello. Если клиент опознан как “свой”, сервер работает как прокси, а если нет - TLS подключение передается на другой хост с TLS (например, google.com), и таким образом клиент (или цензор, желающий методом active probing проверить, что прячется на том конце) получит настоящий TLS-сертификат от google.com и настоящие данные с этого сервера. ...

Обновление маршрутов

Надоело вручную обновлять на роутере список маршрутов для блокировки запрещенных сайтов. Я дополнительно блокировал не всё подряд, а буквально несколько сайтов, но всё равно надоело, поэтому написал небольшой скрипт для автоматизации рутины. Интерфейс tun0 терминирует все подключения в /dev/null если что. Скрипт скачивает список адресов которые надо заблокировать с https://antifilter.download/ в файл ipsum_new и немного фильтрует чтобы избежать подстановок, сравнивает с предыдущей версией списка в ipsum_cur и помещает разницу в ipsum_diff. Затем берём разницу и добавляем или удаляем маршрут в таблице маршрутизации в зависимости от знака + или - в diff-файле. В конце скрипта замещаем текущий ipsum_cur новым файлом. ...

Настройка Teaming

Коротенько опишу как настроить Network Teaming или Team в Linux. Технология служит для агрегации портов с целью увеличения пропускной способности и обеспечения отказоустойчивости сети. sudo apt install libteam-utils teamnl team0 getoption mode *NOMODE* Типы режимов Есть пять режимов работы, в основном используются первые три: activebackup roundrobin loadbalance broadcast lacp activebackup Один порт находится в активном состоянии, остальные в запасе. При пропадании линка на активном порту активный порт меняется на другой доступный. ...

Настройка VXLAN

Функциональность VXLAN (Virtual eXtensible LAN) позволяет динамично распределять ресурсы внутри центров обработки данных или между ними и дает возможность переносить виртуальные машины и контейнеры между серверами, которые существуют в отдельных сетях уровня 2, путем туннелирования трафика через сети уровня 3. Настроим VXLAN overlay сеть между мостами нескольких linux хостов. Два хоста находятся в одной сети: host-1 - eth0 - 192.168.0.101 host-2 - eth0 - 192.168.0.102 Третий хост в другой сети: ...