phd: Programmers don't die, they just GOSUB without RETURN.

У нас на работе случилось обновление конфига OpenVPN. И я выбрался, наконец, улучшить свои. Запустил openvpn под пользователем openvpn. Для этого пришлось настроить sudo — разрешить пользователю openvpn выполнять скрипты настройки файервола и resolvconf от рута.

Заодно заменил tls-auth на tls-crypt в надежде, что DPI от РКЦ не опознает трафик и будет меньше блокировать.

X-Post в ЖЖ.

Долгое время в этом году (и, скорее всего, в прошлые годы) у меня WireGuard работал на даче так: на телефоне и планшете (с раздачей WiFi с телефона) работал, а на ноутбуке нет; на ноутбуке приходилось пользоваться OpenVPN. Две или три недели назад в былайне что-то перещёлкнуло, и работать стало ровно наоборот — на мобильных устройствах нет, а на ноуте да. :-D OpenVPN по-прежнему работает везде, разве что иногда приходится переключаться протокол с USB на TCP. Это не очень хорошо, потому что у WG своя маршрутизация, и я могу по одному VPN заходить в разные внутренние сети. OpenVPN на андроиде может запускаться только один, т.е. для подключения к разным сетям нужно одну выключить, другую включить. На ноуте я могу запустить столько OpenVPN, сколько захочу.

Поставил на телефон и планшет byedpi-andriod. А поскольку он socks-proxy, то ещё поставил в браузеры foxy-proxy.

Upd 30.08.2024. В билайне опять что-то перещёлкнуло, и WG у меня заработал везде. Очень хорошо!

X-Post в ЖЖ.

https://tech.slashdot.org/story/24/06/14/1958203/mozilla-defies-kremlin-restores-banned-firefox-add-ons-in-russia

Mozilla хорошо подумала, передумала и сказала "нет"!

X-Post в ЖЖ.

Docker Hub заблокировал россиян по IP. Добавляем в VPN hub.docker.com и docker.io.

Найдено в X РосКомСвободы.

Upd. Разблокировал россиян обратно: https://habr.com/ru/news/819081/

X-Post в ЖЖ.

Вопрос к понимающим в программах ifup, ip и в WireGuard. Вот так у меня описан интерфейс:

iface wg0 inet static
        address 192.168.11.4
        netmask 255.255.255.0
        pre-up exec wg-quick up $IFACE
        post-down exec wg-quick down $IFACE

Поднимаю:

$ sudo ifup wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 192.168.11.4/32 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a tun.wg0 -m 0 -x
[#] ip -4 route add 192.168.11.5/32 dev wg0
[#] ip -4 route add 192.168.11.3/32 dev wg0
[#] ip -4 route add 192.168.11.1/32 dev wg0
[#] ip -4 route add 192.168.10.1/32 dev wg0
/usr/bin/arping: Device wg0 not available.
ERROR: Duplicate address 192.168.11.4 assigned in the network where wg0 is connected to.

Действительно, интерфейсу присвоено 2 адреса:

$ ip address show dev wg0 
5: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 192.168.11.4/32 scope global wg0
       valid_lft forever preferred_lft forever
    inet 192.168.11.4/24 brd 192.168.11.255 scope global wg0
       valid_lft forever preferred_lft forever

Мнэ… Зачем, почему, как исправить? Убрать address 192.168.11.4 из /etc/network/interfaces нельзя — ifup ругается на синтаксис файла, параметр address обязателен. Убрать этот адрес из /etc/wireguard/wg0.conf тоже, скорее всего нельзя (хотя я не пробовал).

За исключением ошибки в выводе всё работает, так что это скорее предупреждение, не ошибка. Но хочется и её исправить.

Вместо sudo ifup wg0 я могу сделать

$ sudo wg-quick up wg0
[#] ip link add wg0 type wireguard
[#] wg setconf wg0 /dev/fd/63
[#] ip -4 address add 192.168.11.4/32 dev wg0
[#] ip link set mtu 1420 up dev wg0
[#] resolvconf -a tun.wg0 -m 0 -x
[#] ip -4 route add 192.168.11.5/32 dev wg0
[#] ip -4 route add 192.168.11.3/32 dev wg0
[#] ip -4 route add 192.168.11.1/32 dev wg0
[#] ip -4 route add 192.168.10.1/32 dev wg0

И тогда всё хорошо:

$ ip address show dev wg0 
6: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none 
    inet 192.168.11.4/32 scope global wg0
       valid_lft forever preferred_lft forever

Но это какой-то … если не хак, то обходной путь, не решение, мне не нравится.

X-Post в ЖЖ.

При переезде на новую виртуалку настраивал и тестировал имеющиеся VPN. Заодно посчитал, скока их у меня.

На ноутбуке: ssh -D, ssh -w, OpenVPN на обе работы и на мои собственные серверы. WireGuard; он мне понравился после того как я научился им пользоваться, так что он теперь везде включен по умолчанию. L2TP+IPSec настроен на один сервер на работе, добавить серверов не должно быть проблемой. В браузере бесплатная версия Browsec; нидерландский сервер работает очень хорошо и быстро везде, кроме ЖЖ; ЖЖ его уже блокирует (сначала блокировок не было); остальные сервера тормозят, но работают.

На андроеде: ssh -D (давно не тестировал, но не ожидаю проблем), Browsec, OpenVPN, Psiphon, WireGuard.

Outline мне не понравился, ни клиентская, ни серверная части. От серверной я избавился целиком вместе с виртуалкой (повезло, совпало с переездом), клиентскую и андроидную удалил.

Единственное, против чего у меня нет таблетки, так это против полного отключения России от Интернета. Изнутри и снаружи.

Upd. + nthLink.

X-Post в ЖЖ.

Поставил Docker на ноут и основной серверный хост. На 2 других сервера не смог — там всё ещё 32-битные линуксы, и один из них точно не будет обновляться. :-)

Скачал Outline-Client, Outline-Manager, настроил сервер, создал ключ, скопировал ключ в клиент на ноуте и на андроиде. На андроиде подключается к серверу и работает. На ноуте даже не подключается. Хотя tcpdump показывает, что пакетики туда-сюда бегают.

X-Post в ЖЖ.

"Выше контейнеры, докеры!"	"Грузите апельсины контейнерах"
Эээ… Хемингуэй	Сёстры Карамазовы

Outline затребовал Docker. Я уже давно хочу поставить Docker на ноут и перенести на него линуксовые виртуалки из VirtualBox. Но Docker на серверах?

Какие у Докера минимальные требования? У меня большинство серверов ограничены по ресурсам. 1 гигабайт памяти, несколько гигабайт свободного места на диске. Этого будет достаточно?

X-Post в ЖЖ.

Три девицы под окном
Пряли поздно вечерком…

Только не три девицы, а мы с женой; не под Окнами, а под Линуксом; жена не пряла, а вязала. А сели мы посмотреть серию сериала на моём ноутбуке. А я беру телефон и включаю OpenVPN в сторону моего нового сервера. А он не включается! Пришлось смотреть кено. :-D

После кина сел посмотреть, чего не донастроил. Вылезло много мелочей. Все поправил, всё работает.

Потом вспомнил, что у меня ещё был VPN посредством ssh -w. Протестировал — клиентская часть работает, серверная нет. Но там всё просто — передать на сервер открытый ключ, чтобы разрешить ssh root@.

Ну и поскольку приближается время тотальных блокировок VPN РосКомЦензурой, нужно будет ещё парочку разных VPN настроить. OpenVPN легко блокируется, ssh -w не работает на Андроиде. Нужно будет настроить WireGuard и Outline.

X-Post в ЖЖ.

Upd 26.03.2022. Не удалось запустить WireGuard. Всё поставил, настроил — а пакетики не ходят. Попробую Outline, а потом вернусь к WireGuard.

Upd 27.03.2022. Нашёл ошибку в скриптах создания конфигурации для WG. Результат неисправленной копипасты. Вместо того, чтобы вносить мелкие правки, задумал большой рефакторинг, при чём не только скриптов WG, но и OpenVPN. Это займёт некоторое время…

Upd 28.03.2022. Рефакторинг занял на удивление мало времени. Потом я нашёл ещё одну ошибку в скриптах создания конфигурации. И в конце концов всё заработало, даже на андроеде. Андроидное приложение вполне прилично.