Подбор VPS под VPN в свете событий с блокировками - Безопасность - Ответ 12331842

@4elovek37 · 23.04.2018, 10:37 **[ТС]**

AnastasiaSX,

Сообщение от AnastasiaSX

я не доверяю телеграмму

Есть конкретные причины, или "на всякий случай"?

Сообщение от AnastasiaSX

в интернете очень много инструкций, но они старые и местами вредные

Я пользовался этими, описано более-менее подробно и вроде бы внушает доверие

Сообщение от AnastasiaSX

поставить авторизацию по ключам и выключить вход по паролю

Да, это сделано первым делом

Сообщение от AnastasiaSX

если используешь, то хотя бы 4096 битный ключ

easyrsa3 билдил с такими параметрами:
EASYRSA_KEY_SIZE 4096
EASYRSA_DIGEST "sha512"
Получается, что должно быть более-менее безопасненько

Сообщение от AnastasiaSX

Я так понимаю весь огород с VPN делается для браузера, так? Это основной кандидат для работы на компьютере и которому нужно обойти блокировку.

Да, все верно. К openvpn также приделана 3proxy. Настроил необходимые для использования vpn сайты через client-config-dir ccd, а в самом конфиге сделано так:

Bash

push "dhcp-option DNS 8.8.8.8" # Google ipv4 dns
push "dhcp-option DNS 8.8.4.4" # Google ipv4 dns
 
#Persist TUN
push "persist-tun"
 
# Routes
 
# telegram
push "route 91.108.4.0 255.255.252.0"
push "route 91.108.8.0 255.255.252.0"
push "route 91.108.56.0 255.255.252.0"
push "route 149.154.160.0 255.255.240.0"
push "route 149.154.164.0 255.255.252.0"
push "route 91.108.16.0 255.255.252.0"
push "route 91.108.56.0 255.255.254.0"
push "route 149.154.168.0 255.255.252.0"
push "route 91.108.12.0 255.255.252.0"
push "route 149.154.172.0 255.255.252.0"
push "route 91.108.20.0 255.255.252.0"
push "route 91.108.36.0 255.255.254.0"
push "route 91.108.38.0 255.255.254.0"
push "route 91.108.56.0 255.255.254.0"
push "route 91.108.56.0 255.255.252.0"
push "route 91.108.4.0 255.255.252.0"
push "route 67.198.55.0 255.255.255.0"
push "route 149.154.168.0 255.255.252.0"
push "route 149.154.172.0 255.255.252.0"
push "route 149.154.164.0 255.255.252.0"
push "route 109.239.140.0 255.255.255.0"
 
#прочие ресурсы

Собственно сайты из списка с румынским ip, сайты вне списка - с родным. Все работает как нужно, кроме собственно телеграмма на телефоне (ради чего первоначально и затевалось)

.
Пока не понимаю в чем дело, из догадок - что-то не так с настройками портов на vpn, либо нужно поднимать на 3proxy socks, сейчас настроено так:
порты:

Bash

#!/bin/sh
IF_EXT="eth0"
IF_OVPN="tun0"
 
OVPN_PORT="443"
SQUID_PORT="8080"
 
IPT="/sbin/iptables"
IPT6="/sbin/ip6tables"
 
# flush
$IPT --flush
$IPT -t nat --flush
$IPT -t mangle --flush
$IPT -X
$IPT6 --flush
 
# loopback
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
 
# default
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT6 -P INPUT DROP
$IPT6 -P OUTPUT DROP
$IPT6 -P FORWARD DROP
 
 
# allow forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# NAT
# #########################################
# SNAT - local users to out internet
$IPT -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE
 
# INPUT chain
# #########################################
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
 
# ssh
$IPT -A INPUT -i $IF_EXT -p tcp --dport 22 -j ACCEPT
# VPN
$IPT -A INPUT -i $IF_OVPN -p icmp -s xxx.xxx.xxx.xxx/24 -j ACCEPT
# DNS
$IPT -A INPUT -i $IF_OVPN -p udp --dport 53 -s xxx.xxx.xxx.xxx/24 -j ACCEPT
# openvpn
$IPT -A INPUT -i $IF_EXT -p udp --dport $OVPN_PORT -j ACCEPT
 
# squid
$IPT -A INPUT -i $IF_OVPN -p tcp --dport $SQUID_PORT -j ACCEPT
$IPT -A INPUT -i $IF_OVPN -p udp --dport $SQUID_PORT -j ACCEPT
 
# FORWARD chain
# #########################################
$IPT -A FORWARD -i $IF_OVPN -o $IF_EXT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -i $IF_EXT -o $IF_OVPN -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -s xxx.xxx.xxx.xxx/24 -d xxx.xxx.xxx.xxx/24 -j ACCEPT
 
# OUTPUT chain
# #########################################
$IPT -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

прокси:

Bash

daemon
pidfile /etc/3proxy/3proxy.pid
plugin /etc/3proxy/bin/TransparentPlugin.ld.so transparent_plugin
nserver 8.8.8.8
nserver 8.8.4.4
nscache 65536
timeouts 1 5 30 60 180 1800 15 60
log /dev/null
#log /etc/3proxy/3proxy.log D
#logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
external xxx.xxx.xxx.xxx
internal xxx.xxx.xxx.xxx
auth none
maxconn 64
allow *
parent 1000 http 0.0.0.0 0
allow *
parent 1000 socks5 0.0.0.0 0
tcppm -ixxx.xxx.xxx.xxx 8080 127.0.0.1 11111
socks

Вернуться к обсуждению:
Подбор VPS под VPN в свете событий с блокировками Безопасность

Следующий ответ

Другие темы раздела
Безопасность Чем опасны сторонние шрифты на сайтах Многие блокировщики рекламы позволяют блокировать сторонние шрифты на сайтах. Это же не просто так сделали, а похоже для усиления безопасности. - Какой вред могут причинить целенаправленно созданный хакерский шрифты? - На сколько опасно посещать левые сайты со сторонними шрифтами используя современные браузеры? - Есть ли защита от хакерских шрифтов в современных движках браузеров? https://www.cyberforum.ru/ internet-security/ thread2230056.html	Сайты на https и бесплатные прокси Безопасность Здравствуйте. Часто захожу через бесплатные прокси в ВК и Яндекс Почту, стоит ли опасаться перехвата моих логина и пароля?
Безопасность Выбор VPN Всем привет. Озадачился вопросом перевода на VPN соединение всех своих устройств (времена то нынче смутные). Начал гуглить по данной теме. Предложений, разумеется, валом - и платных, и бесплатных. Я бы, конечно, предпочёл бесплатное... но вопрос не в этом даже. Мне не понравился один момент: они все предполагают запуск на устройстве специальных приложений. Понятно, что эти приложения нужны для... https://www.cyberforum.ru/ internet-security/ thread2227586.html	Безопасность Как в VPN изменить тип определяемого устройства Здравствуйте. Подскажите пожалуйста у каких VPN сервисов есть возможность изменения не только страны сервера, но и типа устройства. Нужно чтобы мой пк определялся сервером сайта как айфон, который подключен к сети не из РФ. https://www.cyberforum.ru/ internet-security/ thread2227104.html
Не могу понять насчет ретрансляции. Можете мне объяснить Безопасность Здравствуйте ребята! Нужна помощь. Допустим реализуется протокол между двумя хостами которые связываются по ссылкам, гарантируящяя отсутствие потери пакетов. Требуется ли еще нужно реализовывать меры надежности, такие как ретрансляция? Задаюсь себе вопросом. Кто может помочь с ответом. Спасибо :bravo:	Безопасность Нужен IPSec VPN клиент под Windows и Linux Добрый день, подскажите пожалуйста VPN-клиенты под Windows и Linux на подобии TheGreenBow IPsec VPN Client, способные работать с IPsec. https://www.cyberforum.ru/ internet-security/ thread2214858.html
Безопасность Защита от недоброжелателей в интернете На форумах отсутствует "список недоброжелателей" - которым можно запретить писать в свой топик. Такая возможность есть в соц-сетях, но там интерфейс оставляет желать лучшего. То-же на ютубе. Вопрос: есть ли где ни будь площадка - где есть инструменты для наведения порядка и нормальный инструментарий для технического общения? https://www.cyberforum.ru/ internet-security/ thread2214790.html	Безопасность Как заблокировать все видео с ютуба Привет всем. Помогите пожалуйста. Ситуация такая ребенок как только остается один смотрит видео по прохождению различных игр и не только с не цензурной лексикой. Лишения компьютера даже на месяц никакого эффекта не приносят. Выход вижу только в том чтобы отключить все видео с Ютуба и других видеохостигов. Пусть в игры играет и учебой занимается. Хотел добавить в список фильтрации адресов роутера...
Безопасность Анализ трафика Добрый день! Подскажите, какой программой лучше посмотреть, какой трафик идёт от программы. Есть подозрение что 1С несaнакционировaнно отправляет пакеты на почту. Я почитал, есть Wireshark, но как я понял, там идёт отслеживание трафика который цвелом идёт без привязок к программам. А мне нужен именно трафик из 1С https://www.cyberforum.ru/ internet-security/ thread2212296.html	Безопасность Openvpn и сайт https://www.cyberforum.ru/ internet-security/ thread2211273.html Имеется: 1 сервер (в дальнейшем сервер1) с поднятым OpenVPN сервером, статическим IP и доменом 1 сервер2 (в дальнейшем сервер2), который подключается через OpenVPN как клиент к Серверу1. Нужно, чтобы сайт стоял на Сервере2, который имеет серый IP, но можно было подключиться по домену, который ведет на Сервер1. Сервера находятся в разных подсетях за разными роутерами. В данный момент...
Безопасность настройка белого списка сайтов на роутере Здравствуйте! В детском учреждении имеется сеть порядка 20 ПК. Для детей организовано 2 рабочих места с доступом в интернет. На этих местах установлен антивирус, с помощью которого настроен белый список сайтов. Так же имеется wi-fi роутер tp-link TL-WR841N, который раздает инет без ограничений, начальством была поставлена задача ограничить доступ к инету - тот же белый список. Порывшись в...	Безопасность Может ли чат на сайте сфоткать рабочий стол? Знаете такие чаты , даже в магизине любов инета, может ли получить доступ вообще ненапрягаясь, как вы считаете? Возможно какие другие тематические сайты, прочие. Добавлено через 2 минуты Как немножко этому попрепятствовать, либо засечь след? https://www.cyberforum.ru/ internet-security/ thread2210636.html

	23.04.2018, 10:37