Wireguard + Сloak как подружить?

Question

[0x24]

Здравствуйте, есть арендованный VPS сервер с Ubuntu 20, и предустановленном WireGuard. Но мой провайдер через некоторое время блокирует моё vpn-соединение WireGuard к нему.
Надо как то скрыть моё подключение. Я пробовал это сделать с помощью Cloak.
Я делал так:
Подключаюсь через PuTTY по SSH.
Ввожу:

curl -o Cloak-Installer.sh -L https://git.io/fj5mh && bash Cloak-Installer.sh

Please enter a port to listen on it. 443 is recommended. Enter -1 for a random port:

443

Please enter a redirection IP and port for Cloak (leave blank to set it to 204.79.197.200:443 of bing.com):

Оставляю пустым

Do you want to install Shadowsocks with Cloak plugin?(y/n)

n
Do you want add a custom rule to Cloak?(y/n)
y

Where the traffic should be forwarded?(For example 127.0.0.1:6252)

127.0.0.1:52885 (Указываю порт к которому я подключаюсь через WireGuard).

What should this be called? Clients must use this name as "ProxyMethod" on their computers:

Main
Is this a TCP connection?(y/n):
y
Do you want to use BBR?(y/n)
y

Потом создаю пользователя, читаю данные из сохранённого *.conf
Создаю такой же файл локально, сохраняю туда данные. Запускаю на клиенте:

ck-client-windows-amd64-v2.7.0 -s <Адрес моего сервера> -p 443 -l 443 -c "C:\Users\0x24\Downloads\ckclient.json"

Меняю адрес в клиенте WireGuard на "Endpoint = 127.0.0.1:443"
Но ничего не работает.

Comments

[Drno]

какой провайдер? какая страна?
WG очень сильно палится... там где есть ограничения, его не используют обычно. есть другие варианты VPNов

[0x24]

Drno, Beeline, РФ.

[Drno]

0x24, значит у нас и WG начали блокировать... кроме опенВПН...
тебе для телефона или ПК ?

ну я вижу такие вариант - использовать его через прокси, если он это умеет.
Если нет - опенВПН может работать через http прокси на мобилках

Либо если нет необходимости в мегаскоростях - попробовать использовать sstp протокол, это ВПН от cisco. чтоб уж сразу брать то, что не блокируется
Не думаю в ближайшее время он будет блокироваться.
Если проект нра гитхабе - ocserv называется

По WG и cloak - не подскажу

[0x24]

Drno, И там и тут нужен, но приоритетнее ПК.

[Drno]

0x24, ну sstp имеет клиенты под все устройства

[0x24]

Drno, Пытаюсь запустить sstp, по этому туториалу https://github.com/maxqfz/SSTP.
Все сделал, подключается, но интернета нет, мне кажется ошибка в этой комманде:

iptables -t nat -I POSTROUTING -o ethernet -j MASQUERADE

Не могли бы вы взглянуть.

[Drno]

0x24, посмотри имя сетевого интерфейса, на VPS - командой sudo ip a
так же надо включить NAT в ядре - для ubuntu
sudo echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
sudo sysctl -p

и включить NAT в iptables
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE где eth0 - имя интерфейса на котором инет

[0x24]

Drno, sudo ip a выдаёт:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 00:16:3c:42:75:54 brd ff:ff:ff:ff:ff:ff
    inet 195.135.255.60/24 brd 195.135.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 2a0c:16c0:505:7b0::cba7/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::216:3cff:fe42:7554/64 scope link
       valid_lft forever preferred_lft forever
3: wg0: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.0.0.1/24 scope global wg0
       valid_lft forever preferred_lft forever

Я пробовал eth0, wg0, lo что то не работает.

sudo sysctl -p
net.ipv4.ip_forward = 1

Не понимаю в чём дело.

Ещё ошибка привязка какая то:

Original exception was:
Traceback (most recent call last):
  File "/usr/local/bin/sstpd", line 8, in <module>
    sys.exit(run())
  File "/usr/local/lib/python3.8/dist-packages/sstpd/__init__.py", line 9, in run
    main()
  File "/usr/local/lib/python3.8/dist-packages/sstpd/__main__.py", line 168, in main
    server = loop.run_until_complete(coro)
  File "/usr/lib/python3.8/asyncio/base_events.py", line 616, in run_until_complete
    return future.result()
  File "/usr/lib/python3.8/asyncio/base_events.py", line 1463, in create_server
    raise OSError(err.errno, 'error while attempting '
OSError: [Errno 98] error while attempting to bind on address ('0.0.0.0', 443): address already in use

[Drno]

0x24, wg0 тееб вообще не нужен. а статья - это что то другое, судя по тому что там GRE прокидывается. я могу ошибатться, но вроде он не используется.
плюс в конфиге у тебя есть nodefaultroute - эта настройка отменяет "выход" клиентов через ВПН, её убрать надо.

как вариант - вот 2 веб панели для установки.
клонируешь репо гитхаба, запускаешь install.sh - впринципе там есть инструкция)
https://github.com/mmtaee/ocserv-users-management

либо докер в пару кликов
https://github.com/iw4p/OpenConnect-Cisco-AnyConne...

либо могу дать свой настроенный lxc контейнер, чтоб ты его себе загрузил и запустил, но это уже завтра и тогда в ТГ стучись, в подписи к акк есть. тут долго объяснять

Answer 1

[ky0]

Когда я последний раз трогал Cloak, он не поддерживал UDP.

Answer 2

[Perforator]

Скриптом автоустановки cloack не пользовался, НО!
1)

Main
Is this a TCP connection?(y/n):
y

Вот здесь точно проблема. Wireguard работает по UDP и соединяться надо через UDP.
Ну и вписать название своего сервиса если скрипт это не сделает.
2) на клиенте надо явно указать что светить для WG тоннель будешь по UDP:

ck-client-windows-amd64-v2.7.0 -s <Адрес моего сервера> -p 443 -l <udp_port> -u -c "C:\Users\0x24\Downloads\ckclient.json"

И после этого Wireguard'ом коннектиться на локальный комп (127.0.0.1) по порту, который указал в параметре -l

Сам Cloack состоит из двух частей, клиентская и серверная, если всё правильно настроено - общаться они будут через https тунель (в твоём случае по 443 порту), заворачивая в https трафик который ты хочешь прогнать.
Т.е. фактически ты на компе свой Wireguard подключаешь к своему же компу к порту который светит ck-client, а на сервере ck-server соединяется с твоим сервером Wireguard и скидывает на него весь трафик который твой клиент передаёт (ну и в обратную сторону так же).

А у тебя минимум 2 ошибки: неправильно выбранный протокол и непонимание что делать с клиентской частью