Herest

Question

Компьютерные сети
+3 ещё

Простой

Как мне настроить Debian 11, чтобы работали глобальные IPv6 адреса через туннель WireGuard?

5 подписчиков
более двух лет назад
330 просмотров

0

ответов

Answer 1 · 2022-06-02 18:34:53

Сервисы определяют использование VPN по MTU. Стандартный размер пакета составляет 1500 байт, но при использовании туннельных протоколов, типа PPTP, L2TP, IPsec, OpenVPN, WireGuard и т.д., его размер всегда будет меньше. И проблема в том, что у каждого протокола этот MTU уникальный, поэтому сопоставить ваш MTU с тем, который по умолчанию используется в популярных протоколах, не составит большого труда. Это называется VPN Fingerprint. Вы можете сами в этом убедиться, посмотрев на вкладку с информацией о системе на сайте proiptest.com. Поэтому единственный выход - это изменить MTU сервера OpenVPN на другое значение, например 1420.

Вспомнил, что ещё в арсенале сервисов есть проверка на двусторонний пинг, когда существенная разница во времени прохождения ICMP пакетов от вас к сервису и от сервиса к вашему удалённому роутеру палит ваш VPN. Выход здесь тоже только один - это запретить отвечать удаленному роутеру на пинг запросы из интернета.

Answer 2 · 2022-06-06 10:41:40

В консоли сервера вводите команду wg и получаете список пользователей со счётчиками трафика transfer.

root@vps:~# wg

interface: vpn
  public key: <public key>
  private key: (hidden)
  listening port: 25945

peer: <public key>
  preshared key: (hidden)
  allowed ips: 10.0.0.2/32
  latest handshake: 2 hours, 5 minutes, 57 seconds ago
  transfer: 3.16 GiB received, 26.66 GiB sent

Стандартный поток вывода из консоли можно перенаправить в файл командой wg > output.txt, а там дальше обрабатывайте его чем хотите.

Answer 3 · 2022-06-15 19:51:32

Открываем меню редактора Search > Replace (или быстрым сочетанием клавиш Ctrl + H) и устанавливаем режим поиска Regular expression. Просим найти (\d{3} ) и заменить найденное на <br>\n$1. Дальше жмем кнопку Replace All и получаем результат.

Answer 4 · 2022-06-04 22:04:12

Тут надо уточнить - блокируют только известные VPN сервисы, или же с помощью DPI систем режут сами туннели? Если вариант первый, то в этом случае можно не беспокоиться, если своим VPN будете пользоваться только вы и ваши знакомые. Никто не будет заморачиваться по поводу единичных соединений к неизвестному IP (но это не точно). Если же у вас второй вариант, то тут поможет только маскировка туннеля под HTTPS трафик на 443 порт.

Answer 5 · 2022-06-02 17:47:52

Открываем для редактирования конфигурационный файл nftables: nano /etc/nftables.conf
Вставляем туда такие правила:

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
        chain input {
                # по умолчанию будут дропаться все пакеты, которые не разрешены
                type filter hook input priority filter; policy drop
                
                # разрешаем подключения, которые инициировал сам сервер
                ct state {established, related} accept
                
                # разрешаем подключения к localhost
                iifname "lo" accept

                # разрешаем подключения по ssh
                tcp dport 22 accept
                
                # нужные вам правила, только замените IP адреса на свои
                ip saddr 192.0.2.1 tcp dport {80, 443} accept
                ip saddr 192.0.2.2 tcp dport {80, 443} accept
                ip saddr 192.0.2.3 tcp dport {80, 443} accept
        }
}

Сохраняем файл Ctrl+O, закрываем редактор Ctrl+X, перезагружаем службу nftables systemctl restart nftables.service

Herest

Наибольший вклад в теги

VPN

OpenVPN

Регулярные выражения

Iptables

Лучшие ответы пользователя

Как скрыть openVPN?

Как можно отследить объем трафика у пользователей на сервере WireGuard?

Как с помощью регулярного выражения поставить переносы строк?

Блок vpn на vps, что делать?

Как заблокировать доступ через nftables?

Лучшие вопросы пользователя

Как мне настроить Debian 11, чтобы работали глобальные IPv6 адреса через туннель WireGuard?

Войдите на сайт