Дуал-СС на хапрокси для домохозяек ™

ЭТАП 0 - ПОДГОТОВИТЕЛЬНЫЙ

Покупаем два (или более) ВПС


2 Выбираем какой из ВПС будет выходной нодой

!!!КРАЙНЕ!!! ВАЖНО ЧТОБЫ ВЫХОДНАЯ НОДА НЕ ПЕРЕСЕКАЛАСЬ С ТВОИМ АЙПИ - Т.Е. СНАЧАЛА ПОКУПАЕМ ВПС ДЛЯ ВХОДНОЙ НОДЫ, СТАВИМ ТУДА СС И ЧЕРЕЗ НЕГО УЖЕ СОЕДИНЯЕМСЯ С ВЫХОДНОЙ НОДОЙ

МОЖНО ВМЕСТО ЭТОГО ИСПОЛЬЗОВАТЬ ПУБЛИЧНЫЙ ВПН УРОВНЯ ВПНГЕЙТ ДЛЯ ПЕРВОНАЧАЛЬНОЙ НАСТРОЙКИ ВЫХОДНОЙ НОДЫ

3 Соблюдая вышеуказанное правило безопасности цепляемся к выходной ноде и пилим там СС сервер + симплобфс на 443 или 80 порту по гайду из шапки

ЭТАП 1 - УСТАНОВКА ХАПРОКСИ

4 обновляем систему & ставим хапрокси - поочередно копипастим комманды в терминал из под рута или через судо:

apt update && apt upgrade -y

apt install haproxy -y

5 редактируем конфиг хапрокси

nano /etc/haproxy/haproxy.cfg

приводим содержимое к следующему виду:

global
ulimit-n 51200

defaults
mode tcp
timeout connect 10s
timeout client 1m
timeout server 1m

frontend ss-in
bind *:443 #(здесь лучше указать айпишник своего сервера хапрокси, но можно оставить и так)
default_backend ss-out

backend ss-out
server server1 АЙПИШНИК.ВЫХОДНОЙ.НОДЫ:ПОРТ maxconn 20480 #(тут мы указываем айпишник и порт выходной ноды, где у нас висит СС, в данном случае 443 или 80)

выходим из нано через ctrl-x -> y

6 включаем демона хапрокси если он не включился при установке, рестартуем его:

sudo systemctl enable haproxy && sudo systemctl restart haproxy && sudo systemctl status haproxy

7 ???
8 PROFIT

Теперь все пакеты, которые приходят на порт слушаемый хапрокси будут уходить туда, куда мы указали в backend ss-out - т.е. на нашу вторую впс где висит СС+симплобфс.
Ничто не мешает слушать хапроксе несколько портов и переадресовывать их в несколько других портов\адресов, что в свою очередь позволяет поставить тебе сразу http и tls на 80ом и 443ем портах соответственно, нужно просто добавить еще один фронтенд, забиндить его на другой порт, добавить дефолт_бэкенд с другим именем, и создать бэкенд который будет отправлять куда надо.
Хапрокси позволяет полноценно работать с симплобфс, спуфая хедеры в http режиме, что в свою очередь позволяет положить хуй за щеку провайдерам, троттлящим наше соединение. Haproxy работает ТОЛЬКО с TCP так что UDP реле РАБОТАТЬ НЕ БУДЕТ. Если ты хотел раздавать\качать торренты через дабл-сс пили там себе nginx а лучше просто не занимайся хуйней, обычного однохопового СС для этого более чем достаточно.


Еще больше обфусцируем туннель делая лоадбэленс с нескольких входных нод в одну выходную через haproxy, для домохозяек ™

1 По инструкции по настройке хапрокси, настраиваем несколько (2+) входных нод (vps с хапрокси)
2 По инструкции по настройке сс+симплОБФС настраиваем одну выходную ноду (не забывая не подключаться к ней напрямую)
3 Копируем свой шиндоклиент СС+обфс в новую папочку
4 Удаляем из новой папочки подпапочку ss_win_temp и файлик gui-config.json
5 Открываем новый свежекопированный клиент СС
6 По желанию включаем (через кликанье правой кнопкой по самолетику в трее) запуск СС при включении шинды
7 Добавляем в настройках серверов все наши входные ноды - не забывая указать правильные настройки симпл-обфс, чтобы провайдер подавился хуями со своим троттлингом. В данном случае на входные ноды СТАВИТЬ СС НЕОБЯЗАТЕЛЬНО, ТАМ НУЖЕН ТОЛЬКО ХАПРОКСИ. В настройках адрес и порт должны соответствовать адресу и порту, где висит хапрокси, все остальные параметры (пасс, крипто, настройки симплобфс) должны быть такими как у СС-СЕРВЕРА, Т.Е. ВЫХОДНОЙ НОДЫ (НЕТ СУКАБЛЯ, НА ВЫХОДНУЮ НОДУ ХАПРОКСИ СТАВИТЬ НЕ НАДО)
7.1 !!! В ПУНКТ 7 ДОБАВЛЯЕМ ТОЛЬКО АДРЕСА ХАПРОКСИ-СЕРВЕРОВ-ЧЕЙНОВ, АДРЕСА СИНГЛХОПОВЫХ СС-СЕРВЕРОВ ДОБАВЛЯТЬ НЕ НАДО !!!
8 Жмакаем по самолетику СС с свежедобавленными серверами хапрокси -> servers -> load-balance
9 ???
10 PROFIT

Теперь все наши соединения идут ЧЕРЕЗ НЕСКОЛЬКО АДРЕСОВ, при этом выходная нода всегда одна, ТАКИМ ОБРАЗОМ ТРИЩУ МАЙОРУ СЛОЖНЕЕ ДЕЛАТЬ ТАЙМИНГ-АТАКИ И СОПОСТАВЛЯТЬ КТО И ГДЕ ПОСТИЛ ОСНОВЫВАЯСЬ НА ОТКРЫВАЕМЫХ СОЕДИНЕНИЯХ И РАЗМЕРЕ ОТПРАВЛЕННЫХ\ПОЛУЧЕНЫХ ПАКЕТОВ.



Created: 13/05/2018
Visits: 247
Online: 1