JustPaste.it - Share Text & Images the Easy Way

Предыдущие тренды:

https://arhivach.org/thread/302847/
https://arhivach.org/thread/305585/
https://arhivach.org/thread/311743/
https://arhivach.org/thread/313885/
https://arhivach.org/thread/316302/
https://arhivach.org/thread/343484/
https://arhivach.org/thread/354345/
https://arhivach.org/thread/356677/

FAQ:

Почему именно shadowsocks?

1) Быстрее OpenVPN (даже без обфускации и через UDP)
2) Даже без обфускации не детектится Великим Китайским Фаерволлом!
3) с обфускацией которая ставится в 5 ПРОСТЫХ ШАГОВ К СВОБОДЕ™ дает за щеку всем
4) риальне кроссплатформенный, есть клиенты для андроид\айос\макось\никсы\шинда

По скорости:

SSH ≈ SS > OVPN-UDP > говно > моча > SOFTETHER > OUTLINE VPN

Зачем мне ваши эти вот все обфс\сс\софтэзер, я себе накачу операвпн и нормас?

1) провайдеры детектят и тротлят впн\нераспознаный трафик:
ЙОПТА ТРОТТЛИТ СС БЕЗ ОБФС (ВЕРОЯТНО ПРОСТО ПОТОМУ ЧТО НЕ МОЖЕТ ОПРЕДЕЛИТЬ ЧЕ ЭТО ЗА ТРАФФИК)
НЕКОТОРЫЕ ПРОВАЙДЕРЫ ТРОТТЛЯТ ОПЕНВПН СМ КОНЕЦ ПРОШЛОГО ТРЕДА, ИЩИ ПО "openvpn"
2) провайдеры впн идут на поводу у роскомнадзора
3) провайдеры впн ограничивают трафик\количество устройств и как правило используют или стоковый опенвпн или немного модифицированный

А вот гугол выпустил outline vpn что такое че каво?

Хуйня из под коня. Некоторая обертка для сс которая в серверной части разворачивается как докер контейнер, клиенты могут работать как с аутлайн-впн серверами так и просто с серверами сс. Не поддерживает симпл-обфс, не имеет тонкой настройки в гуе как сервера так и клиента, сам по себе клиент аутлайна сделан через жопу - при сравнении клиентов шэдоурокет и аутлайн, на одном и том же сс-сервере, аутлайн дает скорость в джва раза ниже. Хуй знает почему. Но зато максимально простой интерфейс и установка - для тру домохозяек сойдет. Но лучше не надо.

пердолинг-тир гайд по настройкам privoxy (нахуй надо - не знаю): https://justpaste.it/1d9l1

очень простой шкрепт по автоустановке сс - https://github.com/teddysun/shadowsocks_install - все инструкции на кетайском, пощу в ОПпосте чтобы не обвиняли в предвзятости - ебитесь с этим сами как хотите

Streisand - очень сложный прожект по разворачиванию целой пачки всего со всем для обеспечения антицензуры и прочего, требует ансибля например в виртуалочке, немного кого я обманываю, много палится через простые инструменты проверки - https://github.com/StreisandEffect/streisand - ВАЖНО: учитывая что РосПравдНадзор использовал инфрастуктуру мейл.сру для активного скана интернете на наличие открытых портов популярных прокси\впн протоколов https://meduza.io/news/2018/04/24/mail-ru-zapodozrili-v-ohote-za-vpn-i-proksi-serverami-kompaniya-vozlozhila-vinu-na-klienta - стрейзанд использовать НИРИКАМИДУИТСЯ, пишем об этом 10 тренд, начните думать уже блядь своей башкой

КРАТКИЙ ФАКУЭ ПО СС
1) это прокси
2) все шифруется, то что оно шлет данные в плейнтексте - деза или тупость каких-то дебилов
3) 80 и особенно 443 порт, как в гайде безопасны для сканов РосПравдНадзора - если начнут банить 443 нам пизда в любом случае
4) чтобы завернуть трафик %хуйня_нейм% в сс нужно ставить или сс-тап (оно делает виртуальный сетевой интерфейс и заворачивает туда весь трафик) https://www.sockscap64.com/sstap-enjoy-gaming-enjoy-sstap/ или proxycap или сокскап64 (но лучше проксикап)
5) нормально настроеный ss умеет в udp а значит торренты будут работать нормально

гайд по сс+симплобфс для домохозяек из /s/™

ЧАСТЬ 0 - ПОДГОТОВКА

1 Берёшь дешевый VPS. Посмотреть их список можно на lowendstock.com
рабочий сервачок на опенВЗ с сс+хапрокси+2 инстанса симпл-обфс+опенВПН забирает меньше 40 мегов рам, если там 128 - точно хватит

2 В панели управления сервером выбираем Ubuntu 16.04 - ДОЕБАН НЕ БРАТЬ - ГОВНО ДЛЯ ДЕБИЛОВ, СТОКОВЫЙ СС В ДОЕБАНЕ ДРЕВНИЙ ГОВНО МАМОНТА хочешь доебана - добавляй репу или собирай сам, но работоспособности я не гарантирую, алсо, хотите доебана - ставьте, но работоспособности никто не гарантирует и ОП-ХУЙ держащий свои впски на убунту не обещает что у вас что-то сломается и он побежит искачть что там не так с вашей (или нашей, со стороны сс) хуйней не так

3 Цепляемся к серверу по SSH:

3.1 Windows: скачиваешь Putty (погугли блядь)
Hostname: адрес сервера
Port: тот, что предоставит тебе хостер, по дефолту 22

3.2 *nix: ssh адрес -l логин -p порт

Логин и пароль тебе даст хостер. Кто-то показывает его в панели управления, кто-то присылает по почте.

ЧАСТЬ 1 - гайд по сс+симплобфс для домохозяек из /s/™ (упрощенная версия без ОБФС и ДНСКРИПТ, гайд по ОБФС и ХАПРОКСИ для analogue дабл-впн на СС дальше)

УСТАНОВКА СС НА СЕРВЕРЕ обновляем установленные приложения, устанавливаем необходимые, добавляем репо сс-либев, устанавливаем сс

4.1.1 ввести в putty следующую комманду находясь под рутовым аккаунтом

apt update && apt upgrade -y && apt install software-properties-common -y && add-apt-repository ppa:max-c-lv/shadowsocks-libev && apt update && apt install shadowsocks-libev -y

ИЛИ ЕСЛИ ЗАХОДИШЬ НЕ ПОД РУТОМ И УСТАНОВЛЕН ПАКЕТ SUDO (О ТАКОМ ХОСТЕР ДОЛЖЕН ПРЕДУПРЕЖДАТЬ, И ПОНЯТНО ЭТО БУДЕТ ПО ЛОГИНУ ПОЛЬЗОВАТЕЛЯ ОТЛИЧНОМУ ОТ ROOT)
4.1.2 ввести в putty следующую комманду

sudo apt update && sudo apt upgrade -y && sudo apt install software-properties-common -y && sudo add-apt-repository ppa:max-c-lv/shadowsocks-libev && sudo apt update && sudo apt install shadowsocks-libev -y

КОГДА СПРОСИТ PRESS [ENTER] нажать сука enter!

5 ввести комманду sudo nano /etc/shadowsocks-libev/config.json подставить в открытом файле к строкам нижеследующие значения, выйти из нано нажав ctrl+x - y:

{"server":"ip_сервера",
"server_port":443,
"password":"копируешь_тот_что_сгенерирован",
"timeout":30,
"method":"chacha20-ietf-poly1305",
"fast_open":true,
"reuse_port": true,
"mode": "tcp_and_udp"
}

6 ВКЛЮЧАЕМ СС КАК СЕРВИС ДОБАВЛЕНО В ПАСТУ ДЛЯ ИСТОРИИ

sudo systemctl enable shadowsocks-libev.service && sudo systemctl restart shadowsocks-libev.service

7 качаешь клиента -
шинда: https://github.com/shadowsocks/shadowsocks-windows/releases
никсы: повторяешь пункт 4.1

8.1 шинда: запускаешь свежепоставленный клиент shadowsocks-windows жмакаешь по самолетику в трее правой кнопкой, ставишь галочку start on boot далее добавляешь настройки в servers - edit servers
server addr - адрес сервера
server port - 443
password - тот что скопировал с сервера
encryption - chacha20-ietf-poly1305
remarks - че хочешь, название которое будет отображаться в клиенте
proxy port - адрес порта на который ты будешь перенаправлять свой браузер и прочее говно, по дефолту 1080, можешь оставить его

8.2 никсы: nano /etc/shadowsocks-libev/config.json и добавляешь
{"server":"ip_сервера",
"server_port":443,
"local_port":1080,
"password":"вставляешь_пароль_скопированный_в_п.5",
"timeout":30,
"method":"chacha20-ietf-poly1305",
"fast_open":true,
"reuse_port": true,
"mode": "tcp_and_udp"}

жмакаешь в соснолечке
sudo ss-local -c /etc/shadowsocks-libev/config.json

8.2.1 Как вариант добавляешь сервис, чтоб соединение было всегда и после ребута:
sudo nano /etc/systemd/system/ss-local.service

вставляем это:

[Unit]
Description=Daemon to start Shadowsocks Client
Wants=network-online.target
After=network.target

[Service]
Type=simple
ExecStart=/usr/bin/ss-local -c /etc/shadowsocks-libev/config.json

[Install]
WantedBy=multi-user.target

и сохраняем-выходим-жмем
sudo systemctl daemon-reload && sudo systemctl enable ss-local.service && sudo systemctl start ss-local.service

8.3 Android: Google Play https://play.google.com/store/apps/details?id=com.github.shadowsocks и .apk https://apkpure.com/store/apps/details?id=com.github.shadowsocks
Все почти так же, как и на винде. В меню Apps VPN mode выбираешь нужные приложения, трафик которых будет заворачиваться через SS.

8.4 iOS: покупаешь shadowrocket или ишешь какой-то бешплатный аналог

9 ТОЛЬКО ДЛЯ КУДАХТЕРА, ДЛЯ МОБИЛ ЭТО НИНУЖОН качаешь для хромиума и фф аддон proxy switchy omega
options - profiles - добавляешь новый,
protocol - socks5
address - 127.0.0.1
port - тот что у тебя стоит в proxy port клиента шэдоусокс, по дефолту 1080

10 ???
11 PROFIT

УСТАНОВКА SIMPLE-OBFS НА СЕРВЕРЕ нужно, чтобы наебать провайдера с DPI и\или дропающего/троттлящего коннекты с подозрительным трафиком

1
sudo apt install --no-install-recommends build-essential git autoconf libtool libssl-dev libpcre3-dev libc-ares-dev libev-dev asciidoc xmlto automake -y && sudo git clone https://github.com/shadowsocks/simple-obfs.git && cd simple-obfs && sudo git submodule update --init --recursive && sudo ./autogen.sh && sudo ./configure && sudo make && sudo make install

2 ввести комманду sudo nano /etc/shadowsocks-libev/config.json и ДОБАВИТЬ НИЖЕСЛЕДУЮЩИЕ СТРОКИ МЕЖДУ "reuse_port": true, и "mode": "tcp_and_udp",
"plugin":"obfs-server",
"plugin_opts":"obfs=tls",

выйти из нано нажав ctrl+x - y:

3 ДАЕМ ПРАВА СИМПЛ-ОБФС УЖЕ ИСПРАВЛЕНО В ПОСЛЕДНИХ ВЕРСИЯХ СС, ДОБАВЛЕНО В ПАСТУ ДЛЯ ИСТОРИИ ПЕРЕЗАПУСКАЕМ СЕРВИС СС
sudo setcap cap_net_bind_service+ep /usr/local/bin/obfs-server && sudo systemctl enable shadowsocks-libev.service && sudo systemctl restart shadowsocks-libev

4.1 СТАВИМ КЛИЕНТ SIMPLE-OBFS

НА ШИНДУ
4.1.1 качаешь скомпиленый под шинду обфс-локал отсюда https://github.com/shadowsocks/simple-obfs/releases качая архив obfs-local.zip качай obfs-local.zip тупая ты пидораха!
4.1.2 распаковываешь obfs-local.zip в рабочую папку шадоусокса, чтобы файлы libwinpthread-1.dll и obfs-local.exe были в одной папке с shadowsocks.exe
4.1.3 добавляешь в shadowsocks-windows: жмакаешь сраный самолетик в трее правой кнопкой -> servers -> edit servers в поле

Plugin - obfs-local
Plugin Options - obfs=tls

4.1.4 перезапускаешь клиент шэдоусокса выходишь из него через Quit и запускаешь снова

4.2 никсы: ПОВТОРЯЕМ ПУНКТ 1 ОТСЮДА, НО УЖЕ НА ЛОКАЛЬНОЙ МАШИНЕ

4.2.1 nano /etc/shadowsocks-libev/config.json и добавляешь нижеследующие строки между уже запиленными

"plugin":"obfs-local",
"plugin_opts":"obfs=tls",

жмем sudo systemctl restart ss-local.service

5 ???
6 PROFIT

ИСПРАВЛЯЕМ ВЫЛЕТ С ОШИБКОЙ SIMPLE-OBFS НА ШИНДЕ
пукс -> выполнить -> regedit - адрес: HKEY_CURRENT_USER\Software\ Microsoft\Windows\Windows Error Reporting, строка DontShowUI - даблклик и циферка 1

https://blogs.msdn.microsoft.com/alejacma/2011/02/18/how-to-disable-the-pop-up-that-windows-shows-when-an-app-crashes/

Дуал-СС на хапрокси для домохозяек ™

ЭТАП 0 - ПОДГОТОВИТЕЛЬНЫЙ

1 Покупаем два (или более) ВПС

2 Выбираем какой из ВПС будет выходной нодой

!!!КРАЙНЕ!!! ВАЖНО ЧТОБЫ ВЫХОДНАЯ НОДА НЕ ПЕРЕСЕКАЛАСЬ С ТВОИМ АЙПИ - Т.Е. СНАЧАЛА ПОКУПАЕМ ВПС ДЛЯ ВХОДНОЙ НОДЫ, СТАВИМ ТУДА СС И ЧЕРЕЗ НЕГО УЖЕ СОЕДИНЯЕМСЯ С ВЫХОДНОЙ НОДОЙ

МОЖНО ВМЕСТО ЭТОГО ИСПОЛЬЗОВАТЬ ПУБЛИЧНЫЙ ВПН УРОВНЯ ВПНГЕЙТ ДЛЯ ПЕРВОНАЧАЛЬНОЙ НАСТРОЙКИ ВЫХОДНОЙ НОДЫ

3 Соблюдая вышеуказанное правило безопасности цепляемся к выходной ноде и пилим там СС сервер + симплобфс на 443 или 80 порту по гайду из шапки

ЭТАП 1 - УСТАНОВКА ХАПРОКСИ

4 обновляем систему & ставим хапрокси - поочередно копипастим комманды в терминал из под рута или через судо:

apt update && apt upgrade -y

apt install haproxy -y

5 редактируем конфиг хапрокси

nano /etc/haproxy/haproxy.cfg

приводим содержимое к следующему виду:

global
ulimit-n 51200

defaults
mode tcp
timeout connect 10s
timeout client 1m
timeout server 1m

frontend ss-in
bind *:443 #(здесь лучше указать айпишник своего сервера хапрокси, но можно оставить и так)
default_backend ss-out

backend ss-out
server server1 АЙПИШНИК.ВЫХОДНОЙ.НОДЫ:ПОРТ maxconn 20480 #(тут мы указываем айпишник и порт выходной ноды, где у нас висит СС, в данном случае 443 или 80)

выходим из нано через ctrl-x -> y

6 включаем демона хапрокси если он не включился при установке, рестартуем его:

sudo systemctl enable haproxy && sudo systemctl restart haproxy && sudo systemctl status haproxy

7 ???
8 PROFIT

Теперь все пакеты, которые приходят на порт слушаемый хапрокси будут уходить туда, куда мы указали в backend ss-out - т.е. на нашу вторую впс где висит СС+симплобфс.
Ничто не мешает слушать хапроксе несколько портов и переадресовывать их в несколько других портов\адресов, что в свою очередь позволяет поставить тебе сразу http и tls на 80ом и 443ем портах соответственно, нужно просто добавить еще один фронтенд, забиндить его на другой порт, добавить дефолт_бэкенд с другим именем, и создать бэкенд который будет отправлять куда надо.
Хапрокси позволяет полноценно работать с симплобфс, спуфая хедеры в http режиме, что в свою очередь позволяет положить хуй за щеку провайдерам, троттлящим наше соединение. Haproxy работает ТОЛЬКО с TCP так что UDP реле РАБОТАТЬ НЕ БУДЕТ. Если ты хотел раздавать\качать торренты через дабл-сс пили там себе nginx а лучше просто не занимайся хуйней, обычного однохопового СС для этого более чем достаточно.

Еще больше обфусцируем туннель делая лоадбэленс с нескольких входных нод в одну выходную через haproxy, для домохозяек ™

1 По инструкции по настройке хапрокси, настраиваем несколько (2+) входных нод (vps с хапрокси)
2 По инструкции по настройке сс+симплОБФС настраиваем одну выходную ноду (не забывая не подключаться к ней напрямую)
3 Копируем свой шиндоклиент СС+обфс в новую папочку
4 Удаляем из новой папочки подпапочку ss_win_temp и файлик gui-config.json
5 Открываем новый свежекопированный клиент СС
6 По желанию включаем (через кликанье правой кнопкой по самолетику в трее) запуск СС при включении шинды
7 Добавляем в настройках серверов все наши входные ноды - не забывая указать правильные настройки симпл-обфс, чтобы провайдер подавился хуями со своим троттлингом. В данном случае на входные ноды СТАВИТЬ СС НЕОБЯЗАТЕЛЬНО, ТАМ НУЖЕН ТОЛЬКО ХАПРОКСИ. В настройках адрес и порт должны соответствовать адресу и порту, где висит хапрокси, все остальные параметры (пасс, крипто, настройки симплобфс) должны быть такими как у СС-СЕРВЕРА, Т.Е. ВЫХОДНОЙ НОДЫ (НЕТ СУКАБЛЯ, НА ВЫХОДНУЮ НОДУ ХАПРОКСИ СТАВИТЬ НЕ НАДО)
7.1 !!! В ПУНКТ 7 ДОБАВЛЯЕМ ТОЛЬКО АДРЕСА ХАПРОКСИ-СЕРВЕРОВ-ЧЕЙНОВ, АДРЕСА СИНГЛХОПОВЫХ СС-СЕРВЕРОВ ДОБАВЛЯТЬ НЕ НАДО !!!
8 Жмакаем по самолетику СС с свежедобавленными серверами хапрокси -> servers -> load-balance
9 ???
10 PROFIT

Теперь все наши соединения идут ЧЕРЕЗ НЕСКОЛЬКО АДРЕСОВ, при этом выходная нода всегда одна, ТАКИМ ОБРАЗОМ ТРИЩУ МАЙОРУ СЛОЖНЕЕ ДЕЛАТЬ ТАЙМИНГ-АТАКИ И СОПОСТАВЛЯТЬ КТО И ГДЕ ПОСТИЛ ОСНОВЫВАЯСЬ НА ОТКРЫВАЕМЫХ СОЕДИНЕНИЯХ И РАЗМЕРЕ ОТПРАВЛЕННЫХ\ПОЛУЧЕНЫХ ПАКЕТОВ.