OpenVPN over Cloak

[GeodE]

Ну что господа, переходим на следующий уровень..

На момент написания этого поста столкнулся с тем, что на мобильном операторе (Билайн, Москва) не работает ни один vpn. Забанены, похоже, именно протоколы, т.к. не коннектит даже к собственному VPN, поднятому на VPS-серваке в Нидерландах, ни по wireguard, ни по openvpn. На проводном операторе пока всё работает.

Т.к. VPN поднимал через Amnezia, они к переходу на "следующий уровень" готовы, и в свежей версии клиента запилили поддержку OpenVPN over Cloak. Установил контейнер на сервак, попробовал с их же клиента, как под win, так и под android - работает! Вопросы скорости пока оставим за скобками, всё, конечно, ощутимо печальней, чем при "чистом" openvpn (на чистом даёт 150мбит при канале у сервака в 200мбит, а через cloak - 50мбит..), но оно, хотя бы, работает

 

Поэтому вопрос - как поднять клиент openvpn over cloak на кинетике?

Изменено 14 августа, 2023 пользователем GeodE

[SySOPik]

12 часа назад, GeodE сказал:

openvpn over cloak

Не скрепно как-то. То для ино-агентов 😁

12 часа назад, GeodE сказал:

Забанены, похоже, именно протоколы, т.к. не коннектит даже к собственному VPN, поднятому на VPS-серваке в Нидерландах, ни по wireguard, ни по openvpn

Возможно тест драйв DPI. Сейчас израильская и китайская весьма преуспели в исследовании трафика на наличие VPN.  Дядюшка Си и дядюшка Ким одобряют  

PS.Подозреваю что обсуждения Shadowsocks, V2Ray, XRay, XTLS, Hysteria, Cloak тут не одобрят.

Изменено 15 августа, 2023 пользователем SySOPik

[GeodE]

5 часов назад, SySOPik сказал:

Подозреваю что обсуждения Shadowsocks, V2Ray, XRay, XTLS, Hysteria, Cloak тут не одобрят.

А чо так?)

[vasek00]

8 часов назад, SySOPik сказал:

PS.Подозреваю что обсуждения Shadowsocks, V2Ray, XRay, XTLS, Hysteria, Cloak тут не одобрят.

V2Ray/XRay работают как прокси, проверено на arm роутерах, для mips не смотрел.

Скрытый текст

/opt/sbin # ls -l | grep ray
-rwxr-xr-x    1 root     root      23068672 May 26 20:58 v2ray
-rwxr-xr-x    1 root     root      24248320 May 27 07:52 xray
/opt/sbin # 

...
#PROCS=v2ray
PROCS=xray
#ARGS="-confdir /opt/etc/v2ray"
ARGS="run -c /opt/etc/v2ray/config.json"
...

/opt/etc/init.d # ./K24v2ray start
 Starting xray...              done. 
/opt/etc/init.d # netstat -ntulp | grep ray
tcp        0      0 192.168.1.10:10809   0.0.0.0:*               LISTEN      2293/xray
/opt/etc/init.d #

/proc/2453 # lsof -p 2293
COMMAND  PID USER   FD      TYPE DEVICE SIZE/OFF   NODE NAME
xray    2293 root  cwd       DIR    8,3     1024 446475 /opt/etc/init.d
xray    2293 root  rtd       DIR   31,7      227   2002 /
xray    2293 root  txt       REG    8,3 24248320 663671 /opt/sbin/xray
xray    2293 root    0r      CHR    1,3      0t0   3109 /dev/null
xray    2293 root    1w      CHR    1,3      0t0   3109 /dev/null
xray    2293 root    2w      CHR    1,3      0t0   3109 /dev/null
xray    2293 root    3u     IPv4  62520      0t0    TCP 192.168.1.10:10809 (LISTEN)
xray    2293 root    4u  a_inode    0,9        0   1040 [eventpoll:3,5,7,8,9,10]
xray    2293 root    5r     FIFO    0,8      0t0  62080 pipe
xray    2293 root    6w     FIFO    0,8      0t0  62080 pipe
xray    2293 root    7u     IPv4  66107      0t0    TCP 192.168.1.10:10809->192.168.1.20:51162 (ESTABLISHED)
xray    2293 root    8u     IPv4  66111      0t0    TCP хх.хх.хх.хх:51652->........vps.ovh.net:https (ESTABLISHED)
xray    2293 root    9u     IPv4  66120      0t0    TCP 192.168.1.10:10809->192.168.1.20:51163 (ESTABLISHED)
xray    2293 root   10u     IPv4  66124      0t0    TCP хх.хх.хх.хх:51652->........vps.ovh.net:https (ESTABLISHED)


Xray 1.7.5 (Xray, Penetrates Everything.) Custom (go1.20.4 linux/arm64)
A unified platform for anti-censorship.
2023/08/13 15:27:56 [Info] infra/conf/serial: Reading config: /opt/etc/v2ray/config.json
2023/08/13 15:27:56 [Warning] core: Xray 1.7.5 started
...

vray так же родной в Entware.

/opt/sbin # opkg list | grep v2ray
v2ray - 5.4.1-1 - A platform for building proxies to bypass network restrictions.
/opt/sbin #

 

 

В ПО роутера так же работае свой Proxy, данный канал можно так же "использовать" в профилях для клиентов.

 

Так же

 

Изменено 15 августа, 2023 пользователем vasek00

[Jabber]

Клиент cloak работает, он есть под нашу платформу в репозитории проекта. Но например с OpenVPN и WireGuard где требуется шифрование и в cloak дабы DPI ничего не заметил (для OpenVPN это указано автором), требуется достаточно хороший ресурс, который роутер не может обеспечить. На Ultra II были такие результаты для downlink -

OpenVPN UDP + cloak - 7,5 мегабит

OpenVPN ТCP + cloak - 12,5 мегабит

WireGuard + cloak - 12,5 мегабит

Гораздо интереснее был вариант подобных комбинаций использования названных выше клиентов VPN c перенаправлением на cloak работающий на каком-то компе внутри своей сети, там и 50 мегабит было, аналогично ограниченных перфомансом кинетика при работе с клиентами VPN, хотя и CPU HPE Micro загружался клиентом cloak до 60%.

А тот же смартфон более менее современный, с OpenVPN ТCP + cloak показывал результаты downlink в 50 мегабит без каких либо проблем. Точно знаю что есть фанаты старой школы, это решение для них отличное.

PS: Было протестировано и на Ultra 1810, результаты полностью аналогичные Ultra II с учетом погрешности измерений.

 

[sayhello]

В 27.02.2024 в 03:03, Jabber сказал:

Клиент cloak работает, он есть под нашу платформу в репозитории проекта.

 

Подскажите, пожалуйста, где его найти? Я искал тут: https://bin.entware.net/mipselsf-k3.4/Packages.html. Где ещё есть репозиторий? А то установил с гитхаба, вроде порт слушает, но подключение не идет (

[sayhello]

Взываю о помощи: мало того что не могу понять, добавилась ли программа в автозагрузку: в мануалах пишут о команде

ln -s /etc/init.d/cloak /etc/rc.d/S89Cloak

у меня же, папка "/etc/rc.d" отсутствует.

 

Но это второй вопрос, главное, что при запуске клоаки из шелла - ничего не происходит, или я не могу (не знаю где?) прочесть логи (как например из батника в win):

root@:/$ /opt/bin/cloak -s "SERVER IP" -c /opt/etc/config/cloak.json
INFO[0000] Starting standalone mode
INFO[2024-04-09T11:51:18Z] Listening on TCP 127.0.0.1:1984 for openvpn client

ок, вроде программа работает и слушает порт. Но, при попытке подключиться лог из раздела "Диагностика":

Апр 9 11:52:38 OpenVPN1
Attempting to establish TCP connection with [AF_INET]127.0.0.1:1984
Апр 9 11:52:39 ndm
Core::System::StartupConfig: configuration saved.
Апр 9 11:54:38 OpenVPN1
TCP: connect to [AF_INET]127.0.0.1:1984 failed: Operation timed out

Что я делаю не так?

[Jabber]

В 09.04.2024 в 12:22, sayhello сказал:

Взываю о помощи: мало того что не могу понять, добавилась ли программа в автозагрузку: в мануалах пишут о команде

ln -s /etc/init.d/cloak /etc/rc.d/S89Cloak

у меня же, папка "/etc/rc.d" отсутствует.

 

Но это второй вопрос, главное, что при запуске клоаки из шелла - ничего не происходит, или я не могу (не знаю где?) прочесть логи (как например из батника в win):

root@:/$ /opt/bin/cloak -s "SERVER IP" -c /opt/etc/config/cloak.json
INFO[0000] Starting standalone mode
INFO[2024-04-09T11:51:18Z] Listening on TCP 127.0.0.1:1984 for openvpn client

ок, вроде программа работает и слушает порт. Но, при попытке подключиться лог из раздела "Диагностика":

Апр 9 11:52:38 OpenVPN1
Attempting to establish TCP connection with [AF_INET]127.0.0.1:1984
Апр 9 11:52:39 ndm
Core::System::StartupConfig: configuration saved.
Апр 9 11:54:38 OpenVPN1
TCP: connect to [AF_INET]127.0.0.1:1984 failed: Operation timed out

Что я делаю не так?

1) Забираем исполняемый файл для Keenetic ck-client-linux-mipsle-v2.8.0 тут https://github.com/cbeuw/Cloak/releases

2) Создаем директорию /opt/bin/ck-client и закидываем туда ck-client-linux-mipsle-v2.8.0, для удобства можно просто переименовать в ck-client

3) Даем ck-client права на исполнение, запускаем ./ck-client -h должен вывалится хелп, значит все ок и мы скачали верный вариант.

4) Создаем директорию /opt/etc/cloak и там создаем файл ckclient.json

{
"Transport": "direct",
"ProxyMethod": "openvpn",
"EncryptionMethod": "aes-gcm",
"UID": "your UID",
"PublicKey": "your PublicKey",
"ServerName": "dl.google.com",
"NumConn": 4,
"BrowserSig": "chrome",
"StreamTimeout": 300
}

UID, PublicKey - данные с сервера cloak, ServerName - то что указано в конфиге сервера cloak в качестве редиректа для входящих, не приславших верные данные авторизации.

ProxyMethod - это по сути маршрутизация для cloak сервера, для какого VPN сервера, на какой порт и IP будет перекидывать трафик из cloak сервера.

5) ОБЯЗАТЕЛЬНО создать в Keenetic маршрут на IP вашего сервера. Для этого маршрута указываем гейтвей вашего провайдера.

6) Клиента для отладки запускаем так -

/opt/bin/ck-client -s <cloak server IP> -l 1984 -u -c /opt/etc/cloak/ckclient.json -verbosity debug

-u - транспорт UDP, если допустим ваш OpenVPN настроен как UDP. По факту вариант OpenVPN TCP в связке с cloak работает заметно быстрее. В этом случае -u не указываем. В итоге, на по результату этой команды вывалится такое -

Listening on UDP 127.0.0.1:1984 for openvpn client

если запускали с -u и ваш OpenVPN настроен как UDP

Listening on TCP 127.0.0.1:1984 for openvpn client

если запускали без -u и ваш OpenVPN настроен как TCP

7) Меняем конфиг заранее настроенного и уже проверенного в работе с сервером, в штатном варианте, клиента OpenVPN - 

remote 127.0.0.1 1984

8.) Запускаем соединение с сервером OpenVPN, и вот только тогда в результате выполнения 6) клиент cloak начнет соединение с сервером cloak и в терминал повалится процесс соединения с сервером и тд. На самом сервере cloak аналогично начнутся активности, смотреть на сервере можно выполнив journalctl -u cloak-server.service -f

9) Настраиваем автозапуск, тут сразу два варианта запуска, для UDP и TCP, выбираем нужный ( ненужный комментируем #, у нужного убираем # ).

В /opt/etc/init.d/ создаем S88cloak

#!/bin/sh

ENABLED=yes
PROCS=ck-client
#UDP
ARGS="-s <cloak server IP> -l 1984 -u -c /opt/etc/cloak/ckclient.json"
#TCP
#ARGS="-s <cloak server IP> -l 1984 -c /opt/etc/cloak/ckclient.json"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/init.d/rc.func

даем права на исполнение S88cloak

chmod +x /opt/etc/init.d/S88cloak

запускаем /opt/etc/init.d/S88cloak start

останавливаем /opt/etc/init.d/S88cloak stop

проверяем /opt/etc/init.d/S88cloak status

и тд.

Делаем перезагрузку роутера, проверяем что все работает и запускается.

В варианте OpenVPN, еще до скрещивания с cloak, тюним буферы на самом сервере, делаем в конфиге сервера push размеров буфера и клиенту - те что используются на кинетике по дефолту не дают достаточный перфоманс соединения, но это конечно отдельная тема.

Для варианта WireGuard по части cloak все то-же самое, просто в конфиге клиента cloak указываем в ProxyMethod допустим wg а на стороне сервера в конфиге cloak сервера для wg указываем уже порт, который слушает сервер WireGuard. Сервер cloak позволяет работать сразу в варианте с множеством различных VPN, как раз параметр ProxyMethod и позволяет перекидывать присланное клиентом на нужный порт, нужному VPN. Был даже эксперимент запуска нескольких экземпляров клиентов cloak, у каждого свой конфиг, под разные клиенты vpn, но это уже баловство.

С вариантом shadowsocks должно работать заметно веселее так как там не требуется шифрование в самом cloak.

Изменено 2 августа пользователем Jabber
добавил команду как дать права файлу на исполнение

[sayhello]

2 часа назад, Jabber сказал:

5) ОБЯЗАТЕЛЬНО создать в Keenetic маршрут на IP вашего сервера. Для этого маршрута указываем гейтвей вашего провайдера.

Благодарю за ответ.

Приблизительно всё так и настроено. Пробовал менять некоторые компоненты по Вашей инструкции. К сожалению, не помогло. Никак не хотят видеть друг друга, и никакой активности в логах не наблюдается.

 

Пробовал и в конфиге ovpn клиента:

route 100.100.100.100 255.255.255.255 net_gateway

и (верно ли настраиваю маршрут?):

и одновременно. Но просто ничего не происходит: OVPN через 2 минуты выдает таймаут, а cloak-client вообще 0 активности, хотя если есть  коннект от ovpn, он должен написать "Attempting to start a new session". Пробовал и номер порта менять, и UDP, и TCP, и вписывать адрес сервера в конфиге cloak

"RemoteHost": "100.100.100.100",

, и в строке запуска "-s 100.100.100.100" добавлять. Ничего не помогает. Есть ли вообще на роутере 127.0.0.1 или нужно вписывать локальный адрес (192.168.1.1 или какой-либо иной)?

[Jabber]

Маршрут добавляется как статический, в самом роутере... 

Адрес узла назначения - IP сервера, там где работает сервер cloak

Адрес шлюза - IP адрес гейтвея провайдера, обычно все его получают по DHCP от провайдера как default gateway на WAN интерфейс. Ну или traceroute куда-то запустить  он там будет в списке сразу за кинетиком. Ну и галочку не забыть поставить "Добавлять автоматически"

Еще раз посмотрите инструкцию выше, добавил картинку и изменил 7), закопипастилось лишнее.

Изменено 14 апреля пользователем Jabber

[sayhello]

В 13.04.2024 в 10:49, Jabber сказал:

8.) Запускаем соединение с сервером OpenVPN, и вот только тогда в результате выполнения 6) клиент cloak начнет соединение с сервером cloak и в терминал повалится процесс соединения с сервером и тд

Все перепробовал. Никак не хотят стыковаться между собой ovpn и cloak внутри роутера.

При попытке подключения к впн в controlPanel/diagnostics/Активные%20соединения появляется:

но клиент cloak ничего не делает дальше:

INFO[2024-04-26T18:39:33Z] Listening on TCP 127.0.0.1:1984 for openvpn client

 

[BigBadBrad]

В 13.04.2024 в 12:49, Jabber сказал:

запускаем /opt/etc/init.d/S88cloak start

Приветствую.

Прошёл по предоставленной инструкции. Дошёл до последнего шага и на строчке из цитаты получил "failed". На "status" получаю "dead". Соответственно и автозапуск не работает.

Ещё интересный момент - после запуска вручную и остановке по Ctrl+Z статус остаётся "alive".

UPD

Разобрался. Прописал атрибуты для всех файлу S88cloak.

chmod a=rx /opt/etc/init.d/S88cloak

И на всякий случай заменил в нём имя исполняемого файла

PROCS=ck-client

на полный путь.

PROCS=/opt/bin/ck-client/ck-client

Изменено 10 июля пользователем BigBadBrad

[Jabber]

В 09.07.2024 в 18:36, BigBadBrad сказал:

Разобрался. Прописал атрибуты для всех файлу S88cloak.

Добавил в рецепт команду выдачи прав на запуск