Комментарии 28
Wireguard в России в 2023... ну такое.
Разделяю ваш скепсис, но, справедливости ради, отмечу: пока вполне работает
Почему? Можете пояснить для немного далеких от темы?
РКН уже успешно тестировал блокировку Wireguard, так теперь это что явно не самый надёжный метод обхода блокировок
мне кажется все это странно работает, читал про несколько инцедентов так сказать, что во время массовых блокировок даже openvpn жил и не тужил. Возможно тонкостей больше, вплоть до способа подключения.
Это зависит от 1) наличия или отсутствия ТСПУ у провайдера 2) расположения сервера (в некоторых случаях трафик в некоторые направления не фильтруют) 3) региона, где находится клиент (интенсивность блокировок разница в зависимости от локации)
У меня fastproxy вполне себе работает, вообще без этих ваших vpn.
Более того, из-за этого проблем были (и будут) в том числе и у тех, кто использует WG не для обхода блокировок, а по естественному назначению (объединение локальных сетей и удаленный доступ к корпоративным ресурсам).
Согласен, тут Дом Ру с Cisco Any connect поругался) так что то ли ещё будет
Оппачки, а вот это уже интересно, есть подробности?
Дак все тривиально, классический рабочий день, ни что не предвещало беды. Как у всех удаленщиков у кого дом ру, откинулся Any Connect, поднимается и падает минуты через 2 и так по кругу. Потом все прошло в какой-то момент)
Интересно было бы глянуть на логи клиентов и серверов в момент обрывов. Больше похоже не на намеренную блокировку, а на какие о проблемы с UDP у провайдера (например, кривой NAT)
В начале осени у меня и у знакомых были проблемы 1 день с подключением на операторе Теле2, возможно тестили блокировку, возможно просто проблемы на их стороне.
а тут не ясно, если предварительно завернуть трафик в другой то работало стабильно на сколько мне известно)
Ну это же Anyconnect - он поднимает сначала обычный TLS (TCP), а потом DTLS (UDP). Когда вы заворачиваете его во что-нибудь, то работает только TLS (TCP), а DTLS (UDP) скорее всего идет нафиг, клиент и сервер при подключении пожимают плечами, fallback'аются и продолжают работать как могут.
При прямом подключении же они успешно поднимают UDP и начинают работать через него, а через какое-то время оно отваливается (например, из-за криво настроенного conntrack), вполне возможно что такая ситуация неправильно хэндлится (если вообще хэндлится, может там и фолбэка на этом этапе уже нет) и подключение к серверу разрывается до следущего реконнекта.
Насчет того, что это намеренная блокировка - пока что сомнительно. Это TLS VPN, то есть его трафик снаружи неотличим от обычного HTTPS. Детектировать его можно или active probing'ом (в опенсорсном сервере для защиты от такого завесли режим камуфляжа), но тогда стоило бы ожидать бана IP/SNI целиком после такого обнаружения. Или могут детектировать по фингерпринту клиента, но для РКН это будет прям большой шаг вперед (пока не верится, все-таки они туповатые), и там то же самое что и в первом случае - подключения бы отстреливали еще на этапе хэндшейка, а не спустя две минуты.
Немного не понял зачем устанавливать wireguard через бота? Установили бота, но не установили сам wireguard? В сосднем контейнере может сразу поднять.
У меня была идея в том, чтобы управлять сервером Wireguard через бота. Установка через бота сделана для упрощения. При установке через бота сразу создается файл wg0.conf для сервера, а так-же дополнительные настройки, по типу прописать "net.ipv4.ip_forward=1", автоматически определить белый ip сервера и тд. Вот сам скрипт установки Wireguard https://github.com/Djonyx756/wg_telegram/blob/main/scripts/start_wg.sh
Мой вариант, развернут wg-esy, накидано несколько команд для бота. А именно создать, удалить, отключить, с возможностью посмотреть онлайн не онлайн и сколько трафика (за счёт готовых функций wg-esy). Минусы конечно есть, потому как можно напрямую общаться с wg-esy, но решил не заморачиваться и делаю запросы к web методам.
Выглядит интересно. Ну я своего и решил сделать, потому-что мне не нравится что у wg-easy есть общение через web. Первая версия была у меня раскидал все на 3 контейнера: Телеграм бот, wireguard и mqtt брокер сообщений (практиковался с брокерами сообщений). Вроде все работало, но выглядело громоздко. Ну мысль с подсчетом трафика интересная)
По заголовку подумал, что предлагается передавать трафик Wireguard через сообщения в телеграмме о_О
Конигурация.
Вот еще одна интересная реализация https://github.com/mercurykd/vpnbot
Отличное решение, AdGuard только моросит иногда. А так в целом стабильно работает. Тут зависит от цели, если для себя и друзей, отличное решение. Там под WG индивидуальные конфиги, а под SS и xRay общие. Понятно что на них в принципе нет контроля сколько человек через один конфиг сидит без дополнительного вмешательства.
Одно нажатие, весь контроль: WireGuard VPN через Телеграм