Jump to content

Recommended Posts

Ну что господа, переходим на следующий уровень..

На момент написания этого поста столкнулся с тем, что на мобильном операторе (Билайн, Москва) не работает ни один vpn. Забанены, похоже, именно протоколы, т.к. не коннектит даже к собственному VPN, поднятому на VPS-серваке в Нидерландах, ни по wireguard, ни по openvpn. На проводном операторе пока всё работает.

Т.к. VPN поднимал через Amnezia, они к переходу на "следующий уровень" готовы, и в свежей версии клиента запилили поддержку OpenVPN over Cloak. Установил контейнер на сервак, попробовал с их же клиента, как под win, так и под android - работает! Вопросы скорости пока оставим за скобками, всё, конечно, ощутимо печальней, чем при "чистом" openvpn (на чистом даёт 150мбит при канале у сервака в 200мбит, а через cloak - 50мбит..), но оно, хотя бы, работает

 

Поэтому вопрос - как поднять клиент openvpn over cloak на кинетике?

Edited by GeodE
Link to comment
Share on other sites

12 часа назад, GeodE сказал:

openvpn over cloak

Не скрепно как-то. То для ино-агентов 😁

12 часа назад, GeodE сказал:

Забанены, похоже, именно протоколы, т.к. не коннектит даже к собственному VPN, поднятому на VPS-серваке в Нидерландах, ни по wireguard, ни по openvpn

Возможно тест драйв DPI. Сейчас израильская и китайская весьма преуспели в исследовании трафика на наличие VPN.  Дядюшка Си и дядюшка Ким одобряют :) 

PS.Подозреваю что обсуждения Shadowsocks, V2Ray, XRay, XTLS, Hysteria, Cloak тут не одобрят.

Edited by SySOPik
Link to comment
Share on other sites

8 часов назад, SySOPik сказал:

PS.Подозреваю что обсуждения Shadowsocks, V2Ray, XRay, XTLS, Hysteria, Cloak тут не одобрят.

V2Ray/XRay работают как прокси, проверено на arm роутерах, для mips не смотрел.

Скрытый текст
/opt/sbin # ls -l | grep ray
-rwxr-xr-x    1 root     root      23068672 May 26 20:58 v2ray
-rwxr-xr-x    1 root     root      24248320 May 27 07:52 xray
/opt/sbin # 

...
#PROCS=v2ray
PROCS=xray
#ARGS="-confdir /opt/etc/v2ray"
ARGS="run -c /opt/etc/v2ray/config.json"
...

/opt/etc/init.d # ./K24v2ray start
 Starting xray...              done. 
/opt/etc/init.d # netstat -ntulp | grep ray
tcp        0      0 192.168.1.10:10809   0.0.0.0:*               LISTEN      2293/xray
/opt/etc/init.d #

/proc/2453 # lsof -p 2293
COMMAND  PID USER   FD      TYPE DEVICE SIZE/OFF   NODE NAME
xray    2293 root  cwd       DIR    8,3     1024 446475 /opt/etc/init.d
xray    2293 root  rtd       DIR   31,7      227   2002 /
xray    2293 root  txt       REG    8,3 24248320 663671 /opt/sbin/xray
xray    2293 root    0r      CHR    1,3      0t0   3109 /dev/null
xray    2293 root    1w      CHR    1,3      0t0   3109 /dev/null
xray    2293 root    2w      CHR    1,3      0t0   3109 /dev/null
xray    2293 root    3u     IPv4  62520      0t0    TCP 192.168.1.10:10809 (LISTEN)
xray    2293 root    4u  a_inode    0,9        0   1040 [eventpoll:3,5,7,8,9,10]
xray    2293 root    5r     FIFO    0,8      0t0  62080 pipe
xray    2293 root    6w     FIFO    0,8      0t0  62080 pipe
xray    2293 root    7u     IPv4  66107      0t0    TCP 192.168.1.10:10809->192.168.1.20:51162 (ESTABLISHED)
xray    2293 root    8u     IPv4  66111      0t0    TCP хх.хх.хх.хх:51652->........vps.ovh.net:https (ESTABLISHED)
xray    2293 root    9u     IPv4  66120      0t0    TCP 192.168.1.10:10809->192.168.1.20:51163 (ESTABLISHED)
xray    2293 root   10u     IPv4  66124      0t0    TCP хх.хх.хх.хх:51652->........vps.ovh.net:https (ESTABLISHED)


Xray 1.7.5 (Xray, Penetrates Everything.) Custom (go1.20.4 linux/arm64)
A unified platform for anti-censorship.
2023/08/13 15:27:56 [Info] infra/conf/serial: Reading config: /opt/etc/v2ray/config.json
2023/08/13 15:27:56 [Warning] core: Xray 1.7.5 started
...

vray так же родной в Entware.

/opt/sbin # opkg list | grep v2ray
v2ray - 5.4.1-1 - A platform for building proxies to bypass network restrictions.
/opt/sbin #

 

 

В ПО роутера так же работае свой Proxy, данный канал можно так же "использовать" в профилях для клиентов.

 

Так же

 

Edited by vasek00
  • Upvote 1
Link to comment
Share on other sites

  • 6 months later...

Клиент cloak работает, он есть под нашу платформу в репозитории проекта. Но например с OpenVPN и WireGuard где требуется шифрование и в cloak дабы DPI ничего не заметил (для OpenVPN это указано автором), требуется достаточно хороший ресурс, который роутер не может обеспечить. На Ultra II были такие результаты для downlink -

OpenVPN UDP + cloak - 7,5 мегабит

OpenVPN ТCP + cloak - 12,5 мегабит

WireGuard + cloak - 12,5 мегабит

Гораздо интереснее был вариант подобных комбинаций использования названных выше клиентов VPN c перенаправлением на cloak работающий на каком-то компе внутри своей сети, там и 50 мегабит было, аналогично ограниченных перфомансом кинетика при работе с клиентами VPN, хотя и CPU HPE Micro загружался клиентом cloak до 60%.

А тот же смартфон более менее современный, с OpenVPN ТCP + cloak показывал результаты downlink в 50 мегабит без каких либо проблем. Точно знаю что есть фанаты старой школы, это решение для них отличное.

PS: Было протестировано и на Ultra 1810, результаты полностью аналогичные Ultra II с учетом погрешности измерений.

 

Link to comment
Share on other sites

  • 1 month later...
В 27.02.2024 в 03:03, Jabber сказал:

Клиент cloak работает, он есть под нашу платформу в репозитории проекта.

 

Подскажите, пожалуйста, где его найти? Я искал тут: https://bin.entware.net/mipselsf-k3.4/Packages.html. Где ещё есть репозиторий? А то установил с гитхаба, вроде порт слушает, но подключение не идет (

Link to comment
Share on other sites

Взываю о помощи: мало того что не могу понять, добавилась ли программа в автозагрузку: в мануалах пишут о команде

ln -s /etc/init.d/cloak /etc/rc.d/S89Cloak

у меня же, папка "/etc/rc.d" отсутствует.

 

Но это второй вопрос, главное, что при запуске клоаки из шелла - ничего не происходит, или я не могу (не знаю где?) прочесть логи (как например из батника в win):

root@:/$ /opt/bin/cloak -s "SERVER IP" -c /opt/etc/config/cloak.json
INFO[0000] Starting standalone mode
INFO[2024-04-09T11:51:18Z] Listening on TCP 127.0.0.1:1984 for openvpn client

ок, вроде программа работает и слушает порт. Но, при попытке подключиться лог из раздела "Диагностика":

Апр 9 11:52:38 OpenVPN1
Attempting to establish TCP connection with [AF_INET]127.0.0.1:1984
Апр 9 11:52:39 ndm
Core::System::StartupConfig: configuration saved.
Апр 9 11:54:38 OpenVPN1
TCP: connect to [AF_INET]127.0.0.1:1984 failed: Operation timed out

Что я делаю не так?

Link to comment
Share on other sites

В 09.04.2024 в 12:22, sayhello сказал:

Взываю о помощи: мало того что не могу понять, добавилась ли программа в автозагрузку: в мануалах пишут о команде

ln -s /etc/init.d/cloak /etc/rc.d/S89Cloak

у меня же, папка "/etc/rc.d" отсутствует.

 

Но это второй вопрос, главное, что при запуске клоаки из шелла - ничего не происходит, или я не могу (не знаю где?) прочесть логи (как например из батника в win):

root@:/$ /opt/bin/cloak -s "SERVER IP" -c /opt/etc/config/cloak.json
INFO[0000] Starting standalone mode
INFO[2024-04-09T11:51:18Z] Listening on TCP 127.0.0.1:1984 for openvpn client

ок, вроде программа работает и слушает порт. Но, при попытке подключиться лог из раздела "Диагностика":

Апр 9 11:52:38 OpenVPN1
Attempting to establish TCP connection with [AF_INET]127.0.0.1:1984
Апр 9 11:52:39 ndm
Core::System::StartupConfig: configuration saved.
Апр 9 11:54:38 OpenVPN1
TCP: connect to [AF_INET]127.0.0.1:1984 failed: Operation timed out

Что я делаю не так?

1) Забираем исполняемый файл для Keenetic ck-client-linux-mipsle-v2.8.0 тут https://github.com/cbeuw/Cloak/releases

2) Создаем директорию /opt/bin/ck-client и закидываем туда ck-client-linux-mipsle-v2.8.0, для удобства можно просто переименовать в ck-client

3) Даем ck-client права на исполнение, запускаем ./ck-client -h должен вывалится хелп, значит все ок и мы скачали верный вариант.

4) Создаем директорию /opt/etc/cloak и там создаем файл ckclient.json

{
"Transport": "direct",
"ProxyMethod": "openvpn",
"EncryptionMethod": "aes-gcm",
"UID": "your UID",
"PublicKey": "your PublicKey",
"ServerName": "dl.google.com",
"NumConn": 4,
"BrowserSig": "chrome",
"StreamTimeout": 300
}

UID, PublicKey - данные с сервера cloak, ServerName - то что указано в конфиге сервера cloak в качестве редиректа для входящих, не приславших верные данные авторизации.

ProxyMethod - это по сути маршрутизация для cloak сервера, для какого VPN сервера, на какой порт и IP будет перекидывать трафик из cloak сервера.

5) ОБЯЗАТЕЛЬНО создать в Keenetic маршрут на IP вашего сервера. Для этого маршрута указываем гейтвей вашего провайдера.

image.jpeg.9d4b9fc8ca4592c709a6cf9b8473b805.jpeg

6) Клиента для отладки запускаем так -

/opt/bin/ck-client -s <cloak server IP> -l 1984 -u -c /opt/etc/cloak/ckclient.json -verbosity debug

-u - транспорт UDP, если допустим ваш OpenVPN настроен как UDP. По факту вариант OpenVPN TCP в связке с cloak работает заметно быстрее. В этом случае -u не указываем. В итоге, на по результату этой команды вывалится такое -

Listening on UDP 127.0.0.1:1984 for openvpn client

если запускали с -u и ваш OpenVPN настроен как UDP

Listening on TCP 127.0.0.1:1984 for openvpn client

если запускали без -u и ваш OpenVPN настроен как TCP

7) Меняем конфиг заранее настроенного и уже проверенного в работе с сервером, в штатном варианте, клиента OpenVPN - 

remote 127.0.0.1 1984

8.) Запускаем соединение с сервером OpenVPN, и вот только тогда в результате выполнения 6) клиент cloak начнет соединение с сервером cloak и в терминал повалится процесс соединения с сервером и тд. На самом сервере cloak аналогично начнутся активности, смотреть на сервере можно выполнив journalctl -u cloak-server.service -f

9) Настраиваем автозапуск, тут сразу два варианта запуска, для UDP и TCP, выбираем нужный.

В /opt/etc/init.d/ создаем S88cloak

#!/bin/sh

ENABLED=yes
PROCS=ck-client
#UDP
ARGS="-s <cloak server IP> -l 1984 -u -c /opt/etc/cloak/ckclient.json"
#TCP
#ARGS="-s <cloak server IP> -l 1984 -c /opt/etc/cloak/ckclient.json"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/init.d/rc.func

даем права на исполнение S88cloak

запускаем /opt/etc/init.d/S88cloak start

останавливаем /opt/etc/init.d/S88cloak stop

проверяем /opt/etc/init.d/S88cloak status

и тд.

Делаем перезагрузку роутера, проверяем что все работает и запускается.

В варианте OpenVPN, еще до скрещивания с cloak, тюним буферы на самом сервере, делаем в конфиге сервера push размеров буфера и клиенту - те что используются на кинетике по дефолту не дают достаточный перфоманс соединения, но это конечно отдельная тема.

Для варианта WireGuard по части cloak все то-же самое, просто в конфиге клиента cloak указываем в ProxyMethod допустим wg а на стороне сервера в конфиге cloak сервера для wg указываем уже порт, который слушает сервер WireGuard. Сервер cloak позволяет работать сразу в варианте с множеством различных VPN, как раз параметр ProxyMethod и позволяет перекидывать присланное клиентом на нужный порт, нужному VPN. Был даже эксперимент запуска нескольких экземпляров клиентов cloak, у каждого свой конфиг, под разные клиенты vpn, но это уже баловство.

С вариантом shadowsocks должно работать заметно веселее так как там не требуется шифрование в самом cloak.

Edited by Jabber
  • Thanks 1
Link to comment
Share on other sites

2 часа назад, Jabber сказал:

5) ОБЯЗАТЕЛЬНО создать в Keenetic маршрут на IP вашего сервера. Для этого маршрута указываем гейтвей вашего провайдера.

Благодарю за ответ.

Приблизительно всё так и настроено. Пробовал менять некоторые компоненты по Вашей инструкции. К сожалению, не помогло. Никак не хотят видеть друг друга, и никакой активности в логах не наблюдается.

 

Пробовал и в конфиге ovpn клиента:

route 100.100.100.100 255.255.255.255 net_gateway

и (верно ли настраиваю маршрут?):

image.thumb.png.4f9abb4bf7678b53ab458029c3b1895f.png

и одновременно. Но просто ничего не происходит: OVPN через 2 минуты выдает таймаут, а cloak-client вообще 0 активности, хотя если есть  коннект от ovpn, он должен написать "Attempting to start a new session". Пробовал и номер порта менять, и UDP, и TCP, и вписывать адрес сервера в конфиге cloak

"RemoteHost": "100.100.100.100",

, и в строке запуска "-s 100.100.100.100" добавлять. Ничего не помогает. Есть ли вообще на роутере 127.0.0.1 или нужно вписывать локальный адрес (192.168.1.1 или какой-либо иной)?

Link to comment
Share on other sites

Маршрут добавляется как статический, в самом роутере... 

Адрес узла назначения - IP сервера, там где работает сервер cloak

Адрес шлюза - IP адрес гейтвея провайдера, обычно все его получают по DHCP от провайдера как default gateway на WAN интерфейс. Ну или traceroute куда-то запустить  он там будет в списке сразу за кинетиком. Ну и галочку не забыть поставить "Добавлять автоматически"

Еще раз посмотрите инструкцию выше, добавил картинку и изменил 7), закопипастилось лишнее.

Edited by Jabber
  • Thanks 1
Link to comment
Share on other sites

  • 2 weeks later...
В 13.04.2024 в 10:49, Jabber сказал:

8.) Запускаем соединение с сервером OpenVPN, и вот только тогда в результате выполнения 6) клиент cloak начнет соединение с сервером cloak и в терминал повалится процесс соединения с сервером и тд

Все перепробовал. Никак не хотят стыковаться между собой ovpn и cloak внутри роутера.

При попытке подключения к впн в controlPanel/diagnostics/Активные%20соединения появляется:

image.thumb.png.d0e420a33407703609a7ee2bbc447041.png

но клиент cloak ничего не делает дальше:

INFO[2024-04-26T18:39:33Z] Listening on TCP 127.0.0.1:1984 for openvpn client

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...