AntiZapret VPN Container

Выложил готовый контейнер VPN АнтиЗапрета и все файлы для его сборки на
https://bitbucket.org/anticensority/antizapret-vpn-container/src/

Последнее обновление: 26.05.2020

Для правильной работы Twitter, Facebook и Instagram требуются дополнительные действия.

Создайте свой личный VPN АнтиЗапрета за 10 минут!

Что это? Это полный аналог сервиса для получения доступа к заблокированным сайтам в Российской Федерации АнтиЗапрет VPN, пригодный для установки на личный сервер в интернете.

Какие преимущества перед обычным VPN? Обычные VPN направляют трафик ко всем сайтам и сервисам через свои серверы, что понижает общую скорость работы интернета. АнтиЗапрет направляет трафик на свои серверы только к сайтам и сервисам, заблокированным на территории Российской Федерации, и не снижает скорость открытия других сайтов.

Зачем нужен этот контейнер? Он нужен в случаях, если вы не доверяете администратору сервиса АнтиЗапрет, недовольны скоростью работы или просто хотите запустить аналог сервиса для себя на собственном оборудовании.

Если получаете ошибки на Ubuntu 18.04 типа:

systemd-networkd.service: Failed to set up mount namespacing: Permission denied

См. сообщение Контейнер VPN АнтиЗапрета для установки на собственный сервер - #57 by ValdikSS

Используете UFW, контейнер не работает на Vultr? Контейнер VPN АнтиЗапрета для установки на собственный сервер - #76 by magratsk

А можно пример настройки LXD для данного контейнера?

Вы про lxd init? Подойдут настройки по умолчанию.

Да про него, но он запускается так себе. C первого раза по крайней мере не получилось.

Будет ли контейнер для Docker?

Как может контейнер не запускаться, что вы имеете в виду?
Docker не предназначен для такого.

Не-не-не. Не так меня поняли. Я просто намучался настраивать LXD. Если какая нибудь инструкция для него, то идеально, но на хабре была если не ошибаюсь.

Я ожидал, что может для Docker есть более простая настройка с Antizapret на своем сервере.

Я ничего кроме lxd init не выполнял, он всё настроил, я даже никакие инструкции не читал. Настраивал на Ubuntu и ArchLinux. Может, ваш дистрибутив требует какой-то особой настройки? Что у вас за дистрибутив?

Контейнер использует systemd для управления сервисами, а он не совместим с Docker. Docker предназначен для контейнеров приложений, а не для системных контейнеров, каким является контейнер антизапрета. Если вам не подходит LXD, можете использовать другой инструмент для запуска системных контейнеров — systemd-machined (команда machinectl), но его, скорее всего, придётся дольше настраивать (потребуется ручная настройка сети, как минимум).

Установил всё по инструкции, использовал Debian 10, так вот вопрос в чём? почему теряется сеть “отваливается” eth0 в самом контейнере?

192.168.104.1 (vpn-tcp) | fd42:44c7:6da4:dac4:216:3eff:fe3e:db2c (eth0)
192.168.100.1 (vpn)
10.92.218.174 (eth0) <— вот этот отваливается, приходится вручную его поднимать через какое-то время, подскажите что не так?

Не сталкивался с таким. Как именно отваливается, что при этом происходит в контейнере? Вы смотрели записи в журнале?

вошёл в контейнер
lxc exec antizapret-vpn – bash

а журнал как посмотреть, подзабыл уже ))

если есть возможность в телеграм напишите, что бы тут не флудить https://t.me/BT4G2015

Если вы говорите, что связность теряется со временем, то это может быть проблемой с DHCP. Посмотрите, есть ли IP-адрес на интерфейсе командой ip a, когда контейнер недоступен извне.
Также см. журнал через journalctl -e.

ifconfig
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet6 fe80::216:3eff:fe3e:db2c prefixlen 64 scopeid 0x20
inet6 fd42:44c7:6da4:dac4:216:3eff:fe3e:db2c prefixlen 64 scopeid 0x0
ether 00:16:3e:3e:db:2c txqueuelen 1000 (Ethernet)
RX packets 1595 bytes 11880034 (11.3 MiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 546 bytes 40072 (39.1 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING> mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Local Loopback)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 0 bytes 0 (0.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

vpn: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 192.168.100.1 netmask 255.255.252.0 destination 192.168.100.1
inet6 fe80::fa94:efb:a333:8524 prefixlen 64 scopeid 0x20
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 500 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14 bytes 672 (672.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

vpn-tcp: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST> mtu 1500
inet 192.168.104.1 netmask 255.255.252.0 destination 192.168.104.1
inet6 fe80::c659:ad4d:2f01:9220 prefixlen 64 scopeid 0x20
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 500 (UNSPEC)
RX packets 0 bytes 0 (0.0 B)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 14 bytes 672 (672.0 B)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

отваливается в самом контейнере

Действительно. ifupdown неправильно работает в такой конфигурации. Переделал контейнер на использование systemd-networkd.
https://bitbucket.org/anticensority/antizapret-vpn-container/commits/77c859e7058279f67d05589261dc95489aedd05b

Достаточно обновить образ и запустить новый контейнер. После обновления ваш текущий клиентский конфигурационный файл OpenVPN работать не будет. Если вы хотите сохранить возможность использования текущего файла, вам нужно сначала сделать резервную копию следующих файлов из текущего контейнера:

/root/easy-rsa-ipsec
/etc/openvpn/server/keys

А затем скопировать их в новый контейнер.

обновил контейнер посмотрим что и как будет, спасибо.

Всё отлично, всё работает спасибо что поправили контейнер!

подскажите как быть
после всех этих команд

после этой команды
sudo lxc file pull antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn
выдает ошибку
Error: not found

vpn1100×696 380 KB

Зайдите в контейнер командой:
sudo lxc exec antizapret-vpn bash
И выполните:
systemctl status openvpn-generate-keys

Вывод команды опубликуйте сюда.

Видимо, у вас в контейнере нет сети. curl icanhazip.com что-то выводит? ip a показывает IP-адрес?

Видимо, сеть медленно поднимается, или еще что. Попробуйте просто позапускать контейнер несколько раз, либо запустите /root/easy-rsa-ipsec/generate.sh вручную.

может я не так запускаю контейнер, но мне всегда говорится одно и то же, что он уже запущен (The container is already running)

robo@1-23-456-789:~# sudo lxc start antizapret-vpn
Error: Common start logic: The container is already running
robo@1-23-456-789:~#

robo@1-23-456-789:~# /root/easy-rsa-ipsec/generate.sh
-bash: /root/easy-rsa-ipsec/generate.sh: No such file or directory

Остановите его командой stop и запустите командой start, или, лучше, запустите /root/easy-rsa-ipsec/generate.sh вручную:

sudo lxc exec antizapret-vpn bash
cd /root/easy-rsa-ipsec/
./generate.sh

Скорее всего, с antizapret-update будет такая же проблема.

и к стати, этой директории /root/easy-rsa-ipsec/ действительно нету

vpn3563×695 73.7 KB

robo@1-23-456-789:~# sudo lxc stop antizapret-vpn
robo@1-23-456-789:~# sudo lxc start antizapret-vpn
robo@1-23-456-789:~# /root/easy-rsa-ipsec/generate.sh
-bash: /root/easy-rsa-ipsec/generate.sh: No such file or directory
robo@1-23-456-789:~# sudo lxc exec antizapret-vpn bash
cd /root/easy-rsa-ipsec/
./generate.shroot@antizapret-vpn:~# cd /root/easy-rsa-ipsec/
root@antizapret-vpn:~/easy-rsa-ipsec# ./generate.sh
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0curl: (6) Could not resolve host: icanhazip.com
robo@antizapret-vpn:~/easy-rsa-ipsec#

Вы выполнили curl icanhazip.com на хосте, а не в контейнере. Я подозреваю, что в контейнере либо нет интернета, либо проблемы с DNS.
Аналогично с вашей попыткой подключения через SFTP — вы видите файлы на хостовой машине, а не файлы контейнера.

Зайдите в контейнер и разберитесь, по какой причине в нём проблемы с интернетом или DNS.

Сделал проверку через контейнер, и, не буду утверждать, так как плохо разбираюсь в линукс системах, но по моему после ip a показало что интернет есть.

robo@1-23-456-789:~# sudo lxc exec antizapret-vpn bash
root@antizapret-vpn:~# curl icanhazip.com
curl: (6) Could not resolve host: icanhazip.com
root@antizapret-vpn:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
7: eth0@if8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 00:46:3e:18:c1:fe brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet6 fd42:5876:98cb:1eb:587:3eff:fe14:c1fe/64 scope global dynamic mngtmpaddr
       valid_lft 3470sec preferred_lft 3470sec
    inet6 fe80::892:3eff:fe28:c1fe/64 scope link
       valid_lft forever preferred_lft forever
robo@antizapret-vpn:~#

В контейнере нет IPv4-адреса на интерфейсе. Скорее всего, это проблема на стороне хоста, но не знаю, в чем конкретно. Нужно детально смотреть настройки lxd, сети и iptables.

можете помочь разобраться, а то я даже не знаю куда и как копать, так как с линукс системами можно сказать вообще не знаком?
если вдруг не откажите помочь - где найти эти детальные настройки lxd сети и iptables чтобы вы могли посмотреть и помочь разобраться с проблемой?
на всякий случай - система Ubuntu 18.04 LTS

к стати что самое интересное, по крайне мере для меня
создал еще один контейнер под именем easy-imp через команду lxc launch ubuntu:16.04, и в нем как не странно есть ipv4, а в antizapret-vpn как не было так и нет

lxd1319×452 227 KB

Я не знаю, в чем может быть проблема. Посмотрите статус и журнал демона systemd-networkd, он управляет сетью: systemctl status systemd-networkd, воспользуйтесь networkctl, чтобы посмотреть состояние соединения и перезапустить сетевое подключение. Проверьте общий журнал с помощью команды journalctl -b -e, может, он натолкнет на мысли.
У меня небольшой опыт работы с LXD, тяжело сказать, что может быть не так. Вполне допускаю, что могут быть неправильные настройки в самом контейнере, но я тестировал тоже на Ubuntu 18.04, и у меня работало. Могу предложить вам платно настроить контейнер на вашем сервере.

Как на счет добавления wireguard ?

На текущий момент развития, Wireguard — просто туннель, как GRE или IPIP, который не имеет функциональность передачи настроек клиенту (IP-адрес, маршруты, DNS-сервер, различные опции). Туннель настраивается с обеих сторон, и любые изменения конфигурации (маршрутов, например) будут требовать изменения с обеих сторон. Это совершенно непрактично.
Wireguard не предназначен для VPN-сервисов, и в текущем его виде может быть использован только для создания приватных туннелей.

Приветствую.
Насколько я понял, прокси-сервер антизапрета в контейнер не входит. Планируется ли его туда добавить?

Нашел решение тут: https://serverfault.com/questions/745854/cant-get-systemd-networkd-to-start-successfully
upd: То же необходимо проделать и с /etc/systemd/system/multi-user.target.wants/openvpn-server@antizapret.service

Нет, это контейнер с VPN. В прокси антизапрета нет каких-то особенных технологий или настроек, выкладывать его нецелесообразно.

До начала использования контейнера,использовал только этот продукт по ссылке, для DOH,DOT и фильтрации рекламы. Какое-то, очень недолгое время он помогал обходить некоторые блокировки.
Есть ли возможность не повредив функционал VPN сервера начать использовать их вместе на одном VPS сервере?
Чтобы после подключения к VPN на домашнем компьютере, работал обход, работал фильтр рекламных доменов.

Полагаю, что можно. В файл /etc/knot-resolver/kresd.conf, в самый конец добавьте следующую строку:

policy.add(policy.all(policy.FORWARD({'192.0.2.1'})))

Где 192.0.2.1 — IP-адрес DNS-сервера AdGuard. Контейнер с VPN антизапрета должен иметь доступ до этого IP-адреса.

Конструкция заработала, спасибо за помощь.

Не понимаю как раз с настройкой lxd.
Делаю lxd init. Всё по умолчанию выбрал. После первой команды sudo lxc image import https://antizapret.prostovpn.org/container-images/az-vpn --alias antizapret-vpn-img
Я получаю Error: Metadata file is required. Что я делаю не так?

Сервер Aruba Cloud. Там реализация VMWare. Ubuntu 18.04 LTS.

Возможно, у вас слишком старая версия LXD, которой нужно передавать на импорт два файла. Попробуйте установить версию из snap, она новее.

Я обновил lxd. Прошел дальше первого шага и застопорился на последнем.
Не могу понять почему в конце не хочет создать сам файл.

Мануал то вроде понятнее некуда, но вот ошибки удивляют самого.

image732×541 42.7 KB

Что-то не запустилось, ключи не сгенерировались. Зайдите в контейнер и посмотрите журнал:

lxc exec antizapret-vpn bash
journalctl -u openvpn-generate-keys -e

В контейнере должен быть работающий интернет, чтобы ключи сгенерировались (делается запрос на сервис получения внешнего IP-адреса, чтобы добавить его в конфигурационный файл). LXD по умолчанию пробрасывает интернет в контейнер.

Что-то не работает. Запустите /root/easy-rsa-ipsec/generate.sh вручную, поотлаживайте.

Полистав ветку удалось понять, что делают не так. Теперь поднимаю вручную generate.sh в контейнере и получаю это.

Причем если шагать через vpn с этого сервера на http://icanhazip.com/ получаю свой ип сервера.

Сначала думал, что сеть долго поднимается, но я прождал достаточно долго минут 20 и эта же проблема.

Опять же я проверял есть ли интернет на контейнере.
По сути есть

Пока натолкнуло на мысли, что проблема с правами

Какая у вас версия ядра на хост-машине?

4.15.0-91-generic

По всей видимости, у вас неправильно настроено ядро, или, возможно, вы наткнулись на ошибку в LXD. Самое простое — прописать в /etc/systemd/system/openvpn-server@.service.d/override.conf:

[Service]
LimitNPROC=infinity
PrivateTmp=false
CapabilityBoundingSet=
DeviceAllow=
ProtectSystem=false
ProtectHome=false

И перезапустить контейнер.

Я бы с радостью, но данного пути вообще нет. Много раз переустанавливал уже Ubuntu Server 18.04 пытаясь побороться.
Есть ли вариант запустить на debian?
Может есть список серверов где работа контейнера тестировалась и запускается 100%?
Сколько стоит заплатить Вам, чтоб помогли решить проблему лично?

image620×736 41.3 KB

Я написал путь внутри контейнера, а вы смотрите файлы на хост-машине. Файлы внутри в принципе можно видеть и редактировать на хосте, но это может вызвать проблемы с правами на файлы.

Зайдите в контейнер командой lxc exec antizapret-vpn bash, и отредактируйте файл редактором nano.

Хост ОС, вообще говоря, не должна влиять на контейнер. То, что у вас появляются ошибки с namespace — исключительный случай, вызванный, вероятно, особенностями Aruba Cloud.

Если не справитесь, отправляйте данные для входа на сервер на iam@valdikss.org.ru. Уверен, всё можно починить за 10 минут. Но сначала попробуйте сами.

Всё также не резолвится icanhazip.com. Но пока помучаю сам, а потом напишу. Почту сохранил.

Если получаете на Ubuntu 18.04 ошибки типа:

systemd-networkd.service: Failed to set up mount namespacing: Permission denied
systemd-networkd.service: Failed at step NAMESPACE spawning /lib/systemd/systemd-networkd: Permission denied 

то варианта два:

• Установить версию lxd из snap, а не из репозиториев
• Применить следующую команду:

lxc config set antizapret-vpn raw.apparmor 'mount options=(ro,nodev,remount,bind), mount options=(ro,nosuid,nodev,remount,bind), mount options=(ro,nosuid,noexec,remount,strictatime), mount options=(ro,nosuid,noexec,remount,bind,strictatime), mount options=(ro,nosuid,nodev,noexec,remount,bind),' 

Проблема вызвана ошибкой совместимости с AppArmor: https://bugs.launchpad.net/ubuntu/+source/apparmor/+bug/1811248

После применения команды ошибки с NAMESPACE уходят, ip получается, ключ генерится, openvpn запускается.

Вы разобрались с отсутствием IPv4 в контейнере? Я пытаюсь поднять на овх, та же самая проблема. В линуксе ноль.

увы, нет, так и не разобрался.

Обновил содержимое контейнера и сам контейнер (26.05.2020):

• Генератор блеклиста теперь используется из репозитория antizapret-pac-generator-light (ранее использовался он же, но немного модифицированный и устаревший)
• Обновлён knot-resolver до пятой версии
• Исправлены ошибки при старте контейнера, связанные с DNS
• Полная поддержка systemd-machined, инструкция в репозитории

Доброго времени суток

Почему используется proto tcp, а не udp?

Потому что для TCP можно сделать keep-alive гораздо реже, что положительно сказывается на заряде аккумулятора мобильных устройств.

ок

а самостоятельно изменить настройки в контейнере под udp можно?
если Да, то как?

P.s.: я сравнил два конфига в ./easy-rsa-ipsec/CLIENT_KEY/
antizapret-client-tcp.ovpn и antizapret-client-udp.ovpn
в одном есть/нет cipher AES-128-CBC, в другом - comp-lzo
второй, ессно, не работает

Что именно у вас не работает? Я тестировал конфигурацию UDP, она рабочая, насколько помню. Конфигурации отличаются, так и должно быть, это не ошибка.

не знаю, у меня в логах openvpn пишет

Tue Jun 09 12:30:42 2020 read UDP: Unknown error (code=10054)
Tue Jun 09 12:30:43 2020 read UDP: Unknown error (code=10054)
Tue Jun 09 12:30:47 2020 read UDP: Unknown error (code=10054)

Если вы устанавливали через LXD, я в инструкции забыл написать проброс UDP-порта. Выполните:

lxc config device add antizapret-vpn proxy_1194_udp proxy listen=udp:[::]:1194 connect=udp:127.0.0.1:1194

да, теперь всё ОК,
благодарю!

и да, в логах постоянно предупреждение об отсутствии в конфиге
auth-nocache

так задумано?

Это фиктивное предупреждение, в конфигурационном файле не используется аутентификация по логину и паролю. Добавьте auth-nocache в ваш файл, если вас это предупреждение смущает.

уже)
но спасибо за пояснение для чайников

и ещё, чтобы я уже окончательно отстал))
я раньше юзал скрипт автонастройки GitHub - angristan/openvpn-install: Set up your own OpenVPN server on Debian, Ubuntu, Fedora, CentOS or Arch Linux.
у вас в контейнере используется необходимое/достаточное шифрование (не для параноиков вопрос, а интереса ради)? )))

Шифрование трафика надёжное. Для TCP используется AES-128, для UDP — Blowfish-64. Последний считается уязвимым, если у злоумышленника есть возможность захвата большого количества трафика, но OpenVPN меняет ключ каждые несколько десятков мегабайт, чтобы предотвратить подобную атаку.

Я не рекомендую использовать UDP-конфигурацию. Она устаревшая и оставлена для совместимости с клиентами, которые много лет не перекачивали конфигурацию с сайта. Актуальная конфигурация — TCP.
Поменяйте настройки шифра и отключите comp-lzo у себя, если хотите использовать UDP.

Она устаревшая и оставлена для совместимости с клиентами, которые много лет не перекачивали конфигурацию с сайта

ну дык это ж контейнер для личного сервера; полагаю, тут такие условности ни к чему

Поменяйте настройки шифра и отключите comp-lzo у себя, если хотите использовать UDP

Не знаю, правильно ли я сделал, но я в конфиге контейнера
/etc/openvpn/server/antizapret.conf
добавил
cipher AES-128-GCM
убрал
comp-lzo
изменил
ncp-ciphers AES-128-GCM

в конфиге antizapret-client-udp.ovpn
добавил
auth-nocache
cipher AES-128-GCM
убрал
comp-lzo

Здравствуйте! Скачал, запустил контейнер - работает.
Хочу использовать adguard dns, чтобы видеть меньше рекламы
роутер зухель (speedtester без usb=без opkg) корректно работает только в случае указания 192.168.104.1 в качестве единственного dns
в /root/dnsmap/proxy.py
указал p.add_argument("–upstream","-u",default=“94.140.15.15:53”,
в resolv.conf тоже
Всё равно остаётся очучение, что используется google dns
1)как точно это проверить?
2)как и где ещё вписать adguard dns?

Возможно поможет вам, а также другим, у кого проблемы с наличием интернета внутри контейнера. Также потратил какое-то время, пока не нашел решение.

Проблема заключается в использовании ufw в качестве фаервола в Ubuntu. Подробно описано здесь:

Читал по диагонали, но похоже, что ufw по-умолчанию не пробрасывает порты внутрь контейнера.
У меня такое было актуально на Ubuntu 20.04

Самое простое решение - прописать правила для сетевого интерфейса контейнера - lxdbr0:

sudo ufw allow in on lxdbr0
sudo ufw route allow in on lxdbr0

Ну и само собой, порт для подключения клиентов должен быть открыт:
sudo ufw allow 1194
У меня после этого всё заработало.

На данный момент, чтобы Knot Resolver принимал ответы от AdGuard Home необходимо так же прописать отключение проверок DNSSEC: trust_anchors.remove('.')
Без этого, dig google.com @127.0.0.1 внутри контейнера возвращает SERVFAIL, соответственно работать не будет.
(лог запроса в моем случае:

[plan] plan 'google.com.' type 'A' uid [58041.00]
[iter]   'google.com.' type 'A' new uid was assigned .01, parent uid .00
[cach]   => skipping exact RR: rank 030 (min. 030), new TTL -9724
[cach]   => no NSEC* cached for zone: google.com.
[cach]   => skipping zone: google.com., NSEC, hash 0;new TTL -123456789, ret -2
[plan]   plan '.' type 'DNSKEY' uid [58041.02]
[iter]     '.' type 'DNSKEY' new uid was assigned .03, parent uid .01
[cach]     => satisfied by exact RRset: rank 060, new TTL 159019
[iter]     <= rcode: NOERROR
[vldr]     <= parent: updating DNSKEY
[vldr]     <= answer valid, OK
[iter]   'google.com.' type 'A' new uid was assigned .04, parent uid .00
[plan]   plan 'com.' type 'DS' uid [58041.05]
[iter]     'com.' type 'DS' new uid was assigned .06, parent uid .04
[cach]     => satisfied by exact RRset: rank 060, new TTL 72803
[iter]     <= rcode: NOERROR
[vldr]     <= DS: OK
[vldr]     <= parent: updating DS
[vldr]     <= answer valid, OK
[iter]   'google.com.' type 'A' new uid was assigned .07, parent uid .00
[plan]   plan 'com.' type 'DNSKEY' uid [58041.08]
[iter]     'com.' type 'DNSKEY' new uid was assigned .09, parent uid .07
[cach]     => satisfied by exact RRset: rank 060, new TTL 72803
[iter]     <= rcode: NOERROR
[vldr]     <= parent: updating DNSKEY
[vldr]     <= answer valid, OK
[iter]   'google.com.' type 'A' new uid was assigned .10, parent uid .00
[nsre] score 21 for 185.93.109.76#00053;         cached RTT: -1
[resl]   => id: '13851' querying: '185.93.109.76#00053' score: 21 zone cut: 'com.' qname: 'gOOgLE.COm.' qtype: 'A' proto: 'udp'
[resl]   => id: '13851' querying: '185.93.109.76#00053' score: 21 zone cut: 'com.' qname: 'gOOgLE.COm.' qtype: 'A' proto: 'udp'
[iter]   <= ignoring mismatching response from 185.93.109.76#00053
[vldr]   <= bogus proof of DS non-existence
[iter]   'google.com.' type 'A' new uid was assigned .11, parent uid .00
[resl]   => no valid NS left
[resl]   finished: 8, queries: 3, mempool: 32800 B

)

Приветствую. Может кто объяснить как дать доступ клиенту antizapret-vpn на localhost машины где развернут lxd контейнер, т.е. чтобы клиент vpn смог выйти за рамки lxd контейнера. На localhost развернут небольшой хостинг, работает только в локальной сети, чтобы не городить второй vpn, хотелось чтобы на него можно было ходить через развернутый antizapret-vpn из внешней сети.

Добавьте в /root/antizapret/config/include-ips-custom.txt ваш IP-адрес, по одному на строку, затем запустите /root/antizapret/doall.sh и дождитесь его завершения.

Сделал, но пинг из под vpn все равно не проходит, из самого контейнера пинг идет. Попробовал добавить в server.conf push “route 10.0.0.0 255.255.255.0” Локальный ip сервера 10.0.0.218. В итоге ответ пинга

From 192.168.104.1 icmp_seq=1 Destination Port Unreachable

Я вас дезинформировал.
Измените /root/antizapret/doall.sh, добавив после ./update.sh ваш IP-адрес, обязательно с CIDR. Вот так:

./update.sh
echo '10.0.0.218/32' >> temp/list.csv
./parse.sh
./process.sh

Затем запустите doall.sh, с правильной локалью:
LANG=C.UTF-8 /root/antizapret/doall.sh

Больше ничего делать не нужно. Изменять конфигурационный файл openvpn тоже не нужно.

Спасибо, все заработало.

Возникла еще одна необходимость, нужно получить доступ с сервера, где развернут antizapret в lxd, до клиента vpn на определенный порт, на клиенте разрешил доступ, в итоге из контейнера получилось достучатся, за пределами контейнера, с хост машины, не получилось. Попробовал в ручную задать “sudo ip route add 192.168.104.0/22 via 10.83.198.1 dev lxdbr0” Пинг проходит до 192.168.104.1, до клиента 192.168.104.2 нет. думаю надо iptables ковырять.
Заранее спасибо, возможно решение на поверхности, но моих познаний пока не хватает.

Вернулся к выше сказанному еще раз, нужно было достучатся на определенный порт клиента. С хост машины. Получилось только так **lxc config device add antizapret-vpn proxy_1880 proxy listen=tcp:[::]:1880 connect=tcp:192.168.104.2:1880** Возможно это костыль, но другого на ум не чего не пришло.

В /etc/ferm/ferm.conf, в table filter chain FORWARD, добавить в самый верх:

interface $EXT_INTERFACE saddr ВАШ_IP_АДРЕС outerface vpn+ ACCEPT;

После чего перезагрузить контейнер.
Маршрут также нужен, ваша команда похожа на правильную.

Попробовал добавить. Как понял нужно указать ip клиента (или хост машины), пробовал то и то, но пинг до клиента так и не проходит.

Вам нужно еще и на клиенте добавить маршрут до IP-адреса вашего сервера, чтобы он мог вам ответить. Сейчас пакеты с сервера клиенту доходит, но он отвечает на них через ваш домашний маршрутизатор/шлюз провайдера.

Проще сделать так, как вы изначально сделали. Либо же настройте обычный VPN под ваши нужды и маршрутизируйте фиктивный диапазон и DNS-сервер из контейнера АнтиЗапрета.

Здравствуйте. Спасибо за контейнер. Поднял на бесплатном сервере от Oracle, под управлением Ubuntu 20.04. У меня пара вопросов, если вам не трудно:

1. Голый сервер вместе с контейнером занимают 83% от выделенного 1 Гб оперативной памяти. Я, честно говоря, рассчитывал на меньшее потребление. Дело в Ubuntu?
2. Из коробки не работает) Я добавил правила в ufw, разрешив порты, но это тоже не сработало. Помогло фактическое разрешение всего в iptables:

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -F
iptables --flush

Но данное решение мне не нравится, а квалификации в настройке iptables у меня 0. Может подскажете, какое правило надо добавить? Сейчас настройки (дефолтные) таковы:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable /* generated for LXD network lxdbr0 */
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps /* generated for LXD network lxdbr0 */
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     udp  --  anywhere             anywhere             udp spt:ntp
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             /* generated for LXD network lxdbr0 */
ACCEPT     all  --  anywhere             anywhere             /* generated for LXD network lxdbr0 */
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded /* generated for LXD network lxdbr0 */
ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable /* generated for LXD network lxdbr0 */
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp spt:domain /* generated for LXD network lxdbr0 */
ACCEPT     udp  --  anywhere             anywhere             udp spt:bootps /* generated for LXD network lxdbr0 */
InstanceServices  all  --  anywhere             link-local/16

Chain InstanceServices (1 references)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             169.254.0.2          owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.2.0/24       owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.4.0/24       owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.5.0/24       owner UID match root tcp dpt:iscsi-target /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.0.2          tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:domain /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.169.254      tcp dpt:domain /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.0.3          owner UID match root tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.0.4          tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     tcp  --  anywhere             169.254.169.254      tcp dpt:http /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:bootps /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:tftp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
ACCEPT     udp  --  anywhere             169.254.169.254      udp dpt:ntp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */
REJECT     tcp  --  anywhere             link-local/16        tcp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
REJECT     udp  --  anywhere             link-local/16        udp /* See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Заранее спасибо за помощь.

Нет, так и должно быть. Лист блокировок в оперативной памяти в knot-resolver занимает почти 700 мегабайт.

See the Oracle-Provided Images section in the Oracle Cloud Infrastructure documentation for security impact of modifying or removing this rule

Я не знаю, где настраиваются эти правила, т.е. какая система используется для их начальной установки. Вам лучше прочитать документацию, как пишут в комментарии.

А чтобы решить проблему, скорее всего нужно разрешить пакеты на порт 1194 в цепочке INPUT. Но, опять же, делать это нужно в той системе, где заведены правила.

Спасибо, помогло:

iptables -I INPUT -p tcp -m tcp --dport 1194 -j ACCEPT
iptables -I INPUT -p udp -m udp --dport 1194 -j ACCEPT
netfilter-persistent save   

Удалено

Возможно ли использовать для обхода блокировки twitter Контейнер VPN АнтиЗапрета для установки на собственный сервер ?
P.S.: добавление

twitter.com
t.co
twimg.com

в /root/antizapret/config/include-ips-custom.txt /root/antizapret/config/include-hosts-custom.txt не помогло

Добавлять домены следует в /root/antizapret/config/include-hosts-custom.txt. Файл include-ips-custom.txt предназначен для IP-адресов.

Прошу прощения, опечатался, изменения были внесены в /root/antizapret/config/include-hosts-custom.txt

А должно работать, только что проверил.

1. Добавить в /root/antizapret/config/include-hosts-custom.txt:

twitter.com
t.co
twimg.com

2. LANG=C.UTF-8 /root/antizapret/doall.sh, либо просто перезагрузить контейнер и подождать минуты три.

Спасибо за ответ!
Удалил все DNS серверы, кроме одного на роутере.
Возможно зря я дополнительные ipv6 DNS серверы прописывал.
Cпустя какое-то время заработало.

два вопроса, я “чайник”

1. нужно ли обновлять сам контейнер - я так понимаю, он редко, но обновляется - и если Да, то как?
2. новые ip-адреса/правила для вновь заблокированных ресурсов подгружаются автоматом, и если Да - то с какой периодичностью; нужно ли ребутить контейнер?

спасибо

Раз в 6 часов список обновляется автоматически.

Непосредственно контейнер автоматически не обновляется, как и скрипты антизапрета в нём, однако обновления безопасности системных программ дистрибутива устанавливаются автоматически (unattended-upgrades).
Значимых обновлений с момента первого релиза контейнера не было. Если они будут, их придётся выполнить вручную, я напишу как.

На второй вопрос уже ответили.

Подскажите пожалуйста, как запустить его на 443 порту?

lxc config device add antizapret-vpn proxy_443 proxy listen=tcp:[::]:443 connect=tcp:127.0.0.1:1194
lxc config device add antizapret-vpn proxy_443_udp proxy listen=udp:[::]:443 connect=udp:127.0.0.1:1194

Если вы планируете таким образом обойти (гипотетическую) блокировку протокола OpenVPN, то это, с большой вероятностью, не поможет.

Да я уже сам подумал. ИТшник блин… прочитать не прочитал строку нормально))) (это я про себя)

За ответ спасибо.

Нет, это обход корп прокси, там на выход разрешены только ограниченные порты

Если нужна будет тех помощь - обращайтесь.
Спасибо за ответ и за труд)

Помогите пожалуйста настроить. На моменте
“lxc file pull antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn”
получаю ошибку (в первых сообщениях темы это обсуждалось):
Error: Not Found

Зашел в контейнер, а там так:

root@drfischer:~# systemctl status openvpn-generate-keys
Unit openvpn-generate-keys.service could not be found.
root@drfischer:~# sudo lxc exec antizapret-vpn bash
root@antizapret-vpn:~# systemctl status openvpn-generate-keys

● openvpn-generate-keys.service - antizapret-vpn generate keys
Loaded: loaded (/etc/systemd/system/openvpn-generate-keys.service; enabled; vendor preset: enabled)
Active: failed (Result: exit-code) since Sat 2022-03-05 17:39:41 MSK; 26min ago
Process: 72 ExecStart=/root/easy-rsa-ipsec/generate.sh (code=exited, status=8)
Main PID: 72 (code=exited, status=8)

Mar 05 17:39:31 antizapret-vpn systemd[1]: Started antizapret-vpn generate keys.
Mar 05 17:39:41 antizapret-vpn generate.sh[72]: Can’t determine global IP address!
Mar 05 17:39:41 antizapret-vpn systemd[1]: openvpn-generate-keys.service: Main process exited, code=exited, status=8/n/a
Mar 05 17:39:41 antizapret-vpn systemd[1]: openvpn-generate-keys.service: Failed with result ‘exit-code’.
root@antizapret-vpn:~# /root/easy-rsa-ipsec/generate.sh
Can’t determine global IP address!
root@antizapret-vpn:~#

В контейнере комманда: systemctl status openvpn-generate-keys

openvpn-generate-keys.service - antizapret-vpn generate keys
Loaded: loaded (/etc/systemd/system/openvpn-generate-keys.service; enabled; v
endor preset: enabled)
Active: failed (Result: exit-code) since Sat 2022-03-05 19:54:42 M
SK; 2min 27s ago
Process: 72 ExecStart=/root/easy-rsa-ipsec/generate.sh (code=exited, s
tatus=8)
Main PID: 72 (code=exited, status=8)

Mar 05 19:54:30 antizapret-vpn systemd[1]: Started antizapret-vpn generate keys.
Mar 05 19:54:42 antizapret-vpn generate.sh[72]: Can’t determine global IP addres
s!
Mar 05 19:54:42 antizapret-vpn systemd[1]: openvpn-gener
ate-keys.service: Main process exited, code=exited, status=8/n/a
Mar 05 19:54:42 antizapret-vpn systemd[1]: openvpn-gener
ate-keys.service: Failed with result ‘exit-code’.

подскажите, куда копать?

Вероятно, в контейнере нет интернета. Если curl ifconfig.co не возвращает IP-адрес, то нужно разбираться, почему интернет отсутствует.

Попробовал. Вот так получилось:

root@drfischer:~# curl ifconfig.co
185.177.120.9
root@drfischer:~# sudo lxc exec antizapret-vpn bash
root@antizapret-vpn:~# curl ifconfig.co
curl: (6) Could not resolve host: ifconfig.co

А как можно разобраться с отсутствующим интернетом? Помогите пожалуйста.

Сложно сказать, проверяйте правила firewall’а вашего дистрибутива, или те, что вы добавили вручную. LXD по умолчанию инициализирует сеть автоматически и с ним у меня проблем никогда не возникало, поэтому причину нужно искать в особых настройках сети конкретно у вас.

Видимо,проблема была в файерволле,как вы говорили. В результате файл удалось получить, но по факту не работает
подключение.
Подскажите пожалуйста.

На винде если использую этот .ovpn - пишет Peer certificate verification failure

Видимо, у вас на этом IP-адресе, на порту 1194 другой OpenVPN-сервер запущен, проверьте.

Прошу прощения, а как это сделать? И отключить лишний, если что? Действительно при установке убунты на сервер отметил еще и openVpn установить.

Но как теперь убрать лишний?

UPD: Удалось выяснить это:

root@drfischer:~# netstat -anp|grep 1194
tcp 0 0 0.0.0.0:1194 0.0.0.0:* LISTEN 1680/openvpn

Что можно сделать теперь?

Если у вас OpenVPN не настроен и он вам не нужен, просто удалите его:
sudo apt remove openvpn
Возможно, потребуется передобавить маршрутизацию портов в LXD:

lxc config device add antizapret-vpn proxy_1194 proxy listen=tcp:[::]:1194 connect=tcp:127.0.0.1:1194
lxc config device add antizapret-vpn proxy_1194_udp proxy listen=udp:[::]:1194 connect=udp:127.0.0.1:1194

После чего перезапустите контейнер:
lxc restart antizapret-vpn

Сделал. Все равно не выходит.

Обратил внимание(может это имеет значение) если внутри контейнера запускаю curl icanhazip.com - в ответ получаю ip сервера. Так разве должно быть?

И еще, не знаю на сколько это тоже принципиально, но вот:

При попытке подключится через приложение получаю такой лог:

У вас, видимо, очень старая версия LXD. Подозреваю, что у вас Ubuntu 18.04 или старше, и LXD из репозиториев, она там больше не обновляется. Версия новее есть в Snap.

Да, именно так и должно быть.

TCP-соединение отвергается, т.е. пакеты не доходят до контейнера (либо OpenVPN внутри контейнера не запустился).

Все получилось! Ура!

1. Переустановил вирт машину с Ubuntu 20
2. Установил LXD из Snap

Далее все как по маслу…

Спасибо Вам!!!

Добрый день

• есть VDS в России
  можно ли на нем сделать обход запрета ресурсов, запрещенных на территории России?

делаю товарищу vpn для доступа к ресурсам на территории России, тк он не может получить к ним доступ
в фаил nano /root/antizapret/config/include-hosts-custom.txt
добавил нужные хосты
vk.com, mail.ru и тп, они открываются у него нормально
а вот например тот же рутрекер уже нет

Можно попробовать применить zapret, он эффективен во многих случаях.
Либо на отдельном VPN сервере, к которому и должны подключаться клиенты, маршрутизируйте IP-диапазоны по географическому признаку, в разные VPN.

Видел, думал как запасной вариант
получается на хостинге в России не обойти ограничения?

Я вам написал про zapret, попробуйте его.

В свете предстоящей блокировки Instagram,
т.к. контент тоже “тяжёлый” и вряд ли будет оперативно добавлен на основной антизапрет,

какие адреса для инстаграма нужно будет прописать на своём антизапрете в
lxc exec antizapret-vpn -- nano /root/antizapret/config/include-hosts-custom.txt
кроме основного instagram.com,
по F12 в браузере смотрел, но больше особо ничего не увидел

?

Как минимум еще их cdn - *.cdninstagram.com

Доброго. Можно подробней, не заходит.

Подскажите пожалуйста по поводу обновления списков еще раз:
например, 7 марта в “обычный антизапрет” был добавлен домен theins.ru.

На своём установленном контейнере делаю ./doall.sh;
Пробую зайти на theins.ru - не пускает.

Добавляю домен theins.ru ручками в include-hosts-custom.txt и всё работает.

Получается, что если doall-контейнера не подтягивает через три дня домен, который заблочен (и внесен в список доменов для обычного-антизапрета), то как бы получать список доменов “которые надо разблокировать” через include-hosts-custom.txt ?

include-hosts-custom.txt

instagram.com
cdninstagram.com

Спасибо!!!

Не совсем так. В контейнер автоматически (раз в 6-ть часов) подгружаются списки адресов с репозитория GitHub - zapret-info/z-i: Register of Internet Addresses filtered in Russian Federation , там появляется только то, что официально заблокированно (проверить можно на сайте ркн https://blocklist.rkn.gov.ru/). На примере theins.ru его нет в реестре, он блокируется на ТСПУ незаконно. Поэтому, @ValdikSS условно вручную на своем сервере добавил его в include-hosts-custom.txt, этот список не подгружается на серверы которые мы сами себе подняли (нам это тоже нужно делать вручную).

Вот, я тоже всё так понял, я к тому и клоню - можно ли попросить @ValdikSS дублировать “список по понятиям” include-hosts-custom.txt…

В 2019-2020 году, когда я делал этот контейнер для пользователей, внереестровые блокировки условно не существовали. Обновление подобных списков подразумевалось через include-hosts-dist.txt, но сейчас, если обновить скрипты в контейнере, вообще всё сломается. Посмотрю, в чём проблема, позже.

Часть доменов Твиттера, Фейсбука и Инстаграма заблокирована на ТСПУ, но не добавлена в Реестр Запрещенных Сайтов.
Чтобы эти сайты работали корректно, следует сделать следующее:

А должно работать, только что проверил.

1. Зайти в контейнер: (LXD) lxc shell antizapret-vpn или (machined) machinectl shell antizapret-vpn /bin/bash
2. Выполнить:

echo "t.co
twimg.com
fbcdn.net
cdninstagram.com
fb.com
messenger.com
theins.ru" >> /root/antizapret/config/include-hosts-custom.txt

3. Выполнить LANG=C.UTF-8 /root/antizapret/doall.sh, либо просто перезагрузить контейнер и подождать минуты три.

Может можно тогда не автоматизировано как-то списком делиться? Выложить где-нибудь файл, мы будем сами под свою ответственность синхронить/ручками ctrl+c/ctrl+v фигачить если что.

В предыдущем сообщении приведен такой список. Намерен его обновлять.

• tjournal.ru

Кстати, а что будет если условно мы вносим домены которые заблокированы на ТСПУ, но не добавлены в реестр, а потом бац, и добавят в реестр?
Контейнер от “двойного налогообложения” не сойдет с ума?

То есть, сейчас theins.ru - чисто на ТСПУ.
Завтра РКН бац, и внесет в реестр, реестр выгрузится к нам в контейнеры, и получается будет два theins’а (“тспушный ручной” и “реестровый автоматический”). Всё нормально будет?

Нет.

Уже в Реестре.

Добрый вечер! Спасибо за отличную работу!
Хотел спросить парочку вопросов:

1. Не планируется ли версия с Wireguard?
2. На машине с 1Гб пару дней назад начал отваливаться DNS резолвер, что вызвало полную потерю интернета в сети. Попав в консоль обнаружил, что свободно около ~30 мб памяти. Я так понимаю 2 ГБ в текущих реалиях это необходимым минимум? Пока ресайзнул дроплет до 2 ГБ - пару дней полет ОК, но не хотелось бы повторения истории, так как сеть офисная )

@ValdikSS Добрый день, перестал работать скрипт для установки." Установка на Vultr и Scaleway (с помощью cloud-init)", можешь посмотреть? или подсказать как по другому установить?

Снимок экрана 2022-03-15 в 14.28.102164×1524 604 KB

На Vultr нужно отключить ufw:

systemctl disable --now ufw
machinectl stop antizapret-vpn
machinectl start antizapret-vpn
sleep 20
machinectl copy-from antizapret-vpn /root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn /root/antizapret-client-tcp.ovpn

Спасибо, все заработало. Подскажите, сколько можно максимально подключить устройств через один профиль antizapret? или можно создать несколько antizapret1…2…3…

Ограничения по количеству подключений с одним конфигурационным файлом условно неограничено (2048, что ли).

Вроде бы, памяти требуется порядка 600-700 мегабайт. Можете настроить zram на 50-100% RAM, этого должно быть достаточно для работы на VPS с 1 ГБ памяти.

Нет.

Настроил все на свое впс серверы, все сайты работают открываются все ок. Но вот инстграм приложение вообще не грузит картинки, только текст. Почему так? С вашим конфигом для опен впн все ок,а в от когда сам устанавливаю контейнер то инстграм картинки не подгружает. Дополнительные действия проделал. В чем ещё может быть проблема?

Похоже, что cdninstagram.com не маршрутизируется. Проверьте, что не забыли добавить его. nslookup cdninstagram.com с вашего компьютера должен возвращать IP-адрес из сети 10.x.x.x.

Можно сделать так: контейнер на машине в России, но блокированное заворачивать в tor?

такая же проблема, все сделал по инструкции. nslookup инстаграма не заворачивается через 10.x.x.x

попробуйте nslookup scontent-frt3-2.cdninstagram.com вместо nslookup cdninstagram.com

@ValdikSS подскажи какие адреса вносить в include host; если заблокируют YouTube сегодня?

6 posts were split to a new topic: Как платить?

Как минимум:

youtube.com
ytimg.com
ggpht.com
googlevideo.com

Это возможно, но нетривиально. Используйте redsocks и аналоги.

Лист обновлён, добавлены:

messenger.com
fb.com

Обнаружено странное.
flibusta.lib - не резолвится (NXDOMAIN). nx.bit - без проблем. Похоже, если сайт из OpenNIC доменов в списке блокировки - происходит внутренний конфликт в knot-resolver.

У Вас, похоже, systemd-networkd.service маскирован.

Проверка:
sudo systemctl list-unit-files | grep systemd-networkd
не должно быть masked

Убрать маскирование:
sudo systemctl unmask systemd-networkd

А из exclude-hosts-dist.txt тогда их убирать надо будет?

Спасибо получилось поднять vpn на собственном vps, а возможно ли сделать чтоб на vps все днс запросы заворачивались в dnscrypt proxy? Хочу именно использовать днс от: Популярные DNS-провайдеры | AdGuard Knowledgebase
как по мне она хорошо исправляется с блокировкой рекламы

Не резолвятся сервисы google (nxdomain) если добавить news в include

Mail.google.com translate.google.com На своём сервере после добавления news.google.com в include не резолвятся, где-то в процессе фильтрации news отсоединяется от Google и в конечный список попадает весь гугл. Можно ли исправить, не добавляя весь гугл в список, а только news?

Скрипты заточены под обработку зон, а не отдельных доменов.
Можете попробовать добавить в файл /root/antizapret/scripts/getzones.awk, в длинную строку с доменами, в конец |google.

Примерно так:
…appspot|my1|hwcdn|google)\.[^.]+$/))

Где-то я накосячил, после того как я попробовал убрать фильтры doall выдал ошибку, вернул как было, обновил, прошло без ошибок, но теперь не подключается к серверу, в чём может быть проблема?
Контейнер перезапускал, полностью систему перезагружал - не помогает

и тогда можно в /root/antizapret/config/include-hosts-custom.txt добавить google news как домен третьего уровня,
т.е.

news.google.com
play.google.com

?

Да.

спасибо,
и play, и news - работают

эдак такими темпами чудачеств ркн к этому посту скоро понадобится дополнение,
возможно, что не последнее

Здравствуйте, можете немного прояснить правила iptables внутри контейнера, вида:

-A dnsmap -d 10.224.0.1/32 -j DNAT --to-destination 195.82.146.216
-A dnsmap -d 10.224.0.2/32 -j DNAT --to-destination 196.245.156.18
-A dnsmap -d 10.224.0.3/32 -j DNAT --to-destination 196.245.156.20
и т.д.,

Я так понимаю, что независимо от того, что контейнер устанавливается на своем vps некоторый трафик все равно заворачивается через ваши серверы?

Большое спасибо!

Здравствуйте.
Установил на VPS сервер российского хоста с местоположением в Нидерландах сервер антизапрета.
Устанавливал через systemd-container на ОС Debian 11. Всё заработало, проверял в основном на instagram’e скорость загрузки. Не понравилась скорость, немного долго подгружает, да и в целом скорость скачивания обычно на уровне 500-800 кбайт/сек.
Сначала прописал на хосте ip forwarding, добавил правила iptables как писали в комментариях тут, сделав перед этим очистку iptables. Также добавил в /root/antizapret/config/include-hosts-custom.txt некоторые домены, о которых здесь писали (в частности тут). Стало получше, но всё равно.

На хосте загрузка cpu выше 5% не поднимается, если бегать по instagram reels, скорость передачи обычно выше 10 mbit/s тоже не идёт. Сам хост имеет параметры: 1vcpu, 1gb ram, 30gb ssd, 100mbit/s unlim.
Может это и есть нормальное функционирование, а я просто не до конца понимаю принцип действия сервера
UPD: убрал всё добавленное в /root/antizapret/config/include-hosts-custom.txt, с инстаграмом стало получше, но если пробовать добавлять зоны для youtube, то получается что посмотреть видео 4k уже не получится, скорости не хватает
UPD2: Хм, где-то после часа работы скорость выросла, уже где-то 10-20 mbit/s на хосте (через nload смотрю), уже стало комфортно и быстро. Но всё равно не понимаю почему так

@ValdikSS Наблюдаю проблемы со входом в приложение Сбербанк, при включенном vpn антизапрета

photo_2022-03-27 16.47.21591×1280 20 KB

Это правила, которые перенаправляют запросы из внутреннего диапазона на настоящие IP-адреса заблокированных сайтов. Серверы АнтиЗапрета никаким образом не задействованы в контейнере.

Возможно, дело в блокировке российских DNS для доступа извне. Попробуйте отключить DNS-резолвер внутри контейнера и задействовать Яндексовский 77.88.8.8, может, поможет: Контейнер VPN АнтиЗапрета для установки на собственный сервер - #40 by ValdikSS

Разобрались с проблемой? В z-i произошли изменения, нарушающие работу скриптов в целом, но конкретно контейнер это, похоже, не затронуло.

Так и не понял почему не коннектилось, решил, что проще будет пересобрать скрипт, ибо ещё не успел разослать файл ovpn всем. После сброса контейнера и повторной настройки всё заработало

что то не получается по сфтп найти папку not-resolver и тем более файл kresd.conf

Он в контейнере, зайти можно так (если не меняли имя контейнера):
lxc exec antizapret-vpn bash

Я правильно понимаю, что они динамически добавляются в зависимости от запросов с клиентов?
Если так, то какое время хранятся данные правила и происходит ли их чистка.
Спасибо!

Правила хранятся до перезагрузки, чистка не производится.

Понял.
Еще вопрос, где хранятся правила iptables которые применяются при запуске контейнера по умолчанию.
Спасибо.

/etc/ferm/ferm.conf.

Спасибо большое.

можно более подробную инструкцию для не очень понимающих пожалуйста? а то тоже проблемы со сбером
а то у меня выходит следующее:
root@VPN:~# lxc exec antizapret-vpn bash
root@antizapret-vpn:~# /etc/knot-resolver/kresd.conf
bash: /etc/knot-resolver/kresd.conf: Permission denied
root@antizapret-vpn:~#

nano /etc/knot-resolver/kresd.conf

у меня все заработало

спасибо!

Попробовал кстати в целях избавления от рекламы использовать adguard dns, работает, однако отображение некоторых сайтов ломает. По крайней мере у меня.

@ValdikSS вчера добавил яндек dns последней строчкой, больше ничего не делал. Работать стало лучше, доступны стали большее количество приложений, но сегодня на утро снова ошибка

photo_2022-03-29 09.15.15591×1280 21.5 KB

Всё сработало, спасибо!
Было бы ещё хорошо настроить байпас, если возможно, чтобы если результат получается nxdomain он автоматом перенаправлял на прямое соединение, ибо это не первый раз когда я это вижу.

Сейчас из коробки и твитер и инст работают (у меня так). Но некоторые хосты, которые работают через расширение (rutracker, nnm и другие), не работают через этот контейнер и вот если их прописать, то работают, а если инст прописать, то не он перестает работать. Наверное накладывается друг на дружку)

Я переустановил и прописал по другому iptables. Дополнительно хосты не прописывал, из коробки сейчас тоже всё работает. Но со скоростью не могу разобраться. Дописывал для проверки хосты youtub’а. Иногда работает на полную и всё отлично, скорость на полный канал. Но через какое-то время скорость опять выше 5-10 mbit/s не поднимается, потом может опять восстановится. Почему так происходит не могу понять, даже не понимаю где искать причину

Добрый день!
После запуска контейнера пишет:
Error: Error occurred when starting proxy device: Error: Failed to listen on [::]:1194: listen tcp 0.0.0.0:1194: bind: address already in use
------------------------------
просмотр ошибки
------------------------------
lxc antizapret-vpn 20220404034950.633 WARN conf - conf.c:lxc_map_ids:3592 - newuidmap binary is missing
lxc antizapret-vpn 20220404034950.634 WARN conf - conf.c:lxc_map_ids:3598 - newgidmap binary is missing
lxc antizapret-vpn 20220404034950.634 WARN conf - conf.c:lxc_map_ids:3592 - newuidmap binary is missing
lxc antizapret-vpn 20220404034950.634 WARN conf - conf.c:lxc_map_ids:3598 - newgidmap binary is missing
lxc antizapret-vpn 20220404034950.634 WARN cgfsng - cgroups/cgfsng.c:fchowmodat:1252 - No such file or directory - Failed to fchownat(40, memory.oom.group, 1000000000, 0, AT_EMPTY_PATH | AT_SYMLINK_NOFOLLOW )
lxc antizapret-vpn 20220404034957.378 WARN conf - conf.c:lxc_map_ids:3592 - newuidmap binary is missing
lxc antizapret-vpn 20220404034957.378 WARN conf - conf.c:lxc_map_ids:3598 - newgidmap binary is missing
---------------------------------------
В чем может быть проблема?

на хосте отдельно openvpn не устанавливали? или как вариант, вы пытаетесь повторно запустить контейнер, хотя он уже запущен

сделайте: sudo netstat -pna | grep 1194

Да, отдельно запущен. Его надо удалить или можно параллельно?

Параллельно наверное можно, но порты разные надо использовать.
1194 это порт для opevpn по умолчанию.

@Andy верно написал, можете просто изменить порт подключения, для openvpn который установлен на хосте

Измените порт OpenVPN:

lxc config device add antizapret-vpn proxy_1194 proxy listen=tcp:[::]:1194 connect=tcp:127.0.0.1:1194

Также не забудьте поменять в клиентском файле конфигурации, допишите порт в конце строки remote.

@ValdikSS Добрый день, только на iPhone при включённом антизапрете не загружает контент из приложения YouTube, если зайти через браузер на YouTube, то все работает. Не сталкивались с такой проблемой ?

Спасибо, переустановил openvpn с другим портом. Ура все заработало!

Еще вопрос.

1. Как сделать дополнительный файл с ключами? или я могу использовать один и тот же на разных роутерах?
2. куда можно прописать определенный сервер, что бы при подключении к нему трафик шел через VPN?

Добрый день. Стал замечать, что при заходе на страницы пользователей ВКонтакте трафик идет через Antizapret (допустим, фото профилей грузятся существенно медленнее при включенном VPN). Это все касается только мобильного приложения, в веб-версии все работает корректно.
Можете подсказать где искать проблему?

Не сталкивался. Затрудняюсь предположить, в чём может быть проблема, но пальцем в небо: резолв определённых доменов из контейнера выдаёт «неправильные» адреса, которые, по какой-то причине, заблокированы или фильтруются.
Начните отладку со сбора адресов, это можно сделать через tcpdump:
tcpdump -n -i vpn-tcp port 53.

Можете использовать один общий конфигурационный файл. Дополнительные ключи можно создать вручную, например, так (внутри контейнера):

cd /root/easy-rsa-ipsec/easyrsa3
./easyrsa build-client-full "client2" nopass nodatetime

Файлы будут расположены в ./pki/issued/client2.crt и ./pki/private/client2.key. Конфигурационный файл OpenVPN необходимо будет создать вручную (замените сертификат <cert> и ключ <key> в существующем).

Не понял вопроса. Если речь о добавлении доменов (не из списка Реестра), которые должны маршрутизироваться через VPN, то вот здесь описано, как это сделать: Контейнер VPN АнтиЗапрета для установки на собственный сервер - #127 by ValdikSS

Фото профилей могут грузиться не из-за маршрутизации трафика через VPN, а из-за геораспределения IP-адресов на домене: VPN-серверу выдаются адреса, условно, той страны, где расположен сервер, а не Российские IP.
Можно начать отладку с tcpdump, как описано в этом посте выше. Смотрите, на какие домены идёт ответ с адресами 10.224.x.x — адреса из этого диапазона маршрутизируются в VPN.

У меня на компьютере под win настроен майнинг через пул ethermine.org, который заблокировал русских пользователей. Он использует сервер eu1.ethermine.org через порт 4444.
Прописать в host - эффекта нет. Приходиться гнать весь трафик через vpn.
Подскажите как добавить сервер в существующую конфигурацию?

Если по какой-то причине не работает с доменом, добавьте маршрут: Контейнер VPN АнтиЗапрета для установки на собственный сервер - #81 by ValdikSS

Есть проблема.
Не могу скачать lxd контейнер, ругается на версию tls.

root@am:~# lxc image import https://antizapret.prostovpn.org/container-images/az-vpn --alias antizapret-vpn-img
Error: Head “https://antizapret.prostovpn.org/container-images/az-vpn”: remote error: tls: protocol version not supported

сам lxd - свежий, поставлен через snap:
root@am:~# lxc version
Client version: 5.0.0
Server version: 5.0.0
root@am:~# snap list lxd
Name Version Rev Tracking Publisher Notes
lxd 5.0.0-c5bcb80 22826 latest/stable canonical✓ -

система - Debian 11:
root@am:~# uname -a
Linux am 5.10.0-13-amd64 #1 SMP Debian 5.10.106-1 (2022-03-17) x86_64 GNU/Linux

Помогло вот что:
systemctl edit snap.lxd.daemon
Затем сразу ПОД строчками

### Editing /etc/systemd/system/snap.lxd.daemon.service.d/override.conf
### Anything between here and the comment below will become the new contents of the file

добавляем это:

[Service]
Environment=LXD_INSECURE_TLS=true

(если добавить в конец файла, то изменения не сохранятся)
выполняем systemctl reload snap.lxd.daemon
и проблема уходит

Может, у вас какие-то устаревшие сертификаты, или еще что-то? На сервере сертификат актуальный, работает в любых браузерах. Вы обновляли систему (apt update && apt upgrade?)

Разумеется, первым делом.

Может кому будет полезна идея…
У меня такая ситуация - есть зарубежный vps, откуда есть доступ к заблокированным ресурсам.
Но.
Там мало оперативки, плюс уже крутятся некоторые сервисы, которые её тоже кушают.
То есть ставить дополнительно контейнер, который будет отъёдать ОЗУ - нецелесообразно.

На зарубежном vps уже поднят wireguard сервер.
В общем, не буду ходить вокруг да около - я запустил контейнер на своём сервере, у меня достаточно ресурсов. Затем зашёл в контейнер, установил там wireguard, в конфиге wireguard прописал подключение к своему удалённому vps, указав там в параметрах пира AllowedIPs = 0.0.0.0/0

Таким образом, контейнер ВСЕГДА выходит в интернет через туннель wireguard, любой трафик от него идёт через него, ничего не блокируется. Сам сервер, на котором работает контейнер, об этом ничего не знает, его задача лишь запустить контейнер. И соответственно, значительно снижаются требования к зарубежному vps, от него нужно лишь обеспечить работоспособность wireguard, с чем справится даже самый дохлый комп.
А контейнер с антизапретом можно запускать хоть на домашнем компьютере, главное требование - наличие белого IP адреса, если есть нужда подключаться к нему не только из дома.

у кого нибудь контейнер работает с pi hole на одном впс? никак не получается заставить их совместно работать
по отдельности нормально устанавливаются и работают
но если установлен уже контейнер и при попытке установить pi hole днс не работает(DNS service is NOT running)
если Pi hole установлен, то не получается поставить контейнер, после выполнения команды lxc file pull antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn выходит ошибка error

@ValdikSS
knot resolver какие upstream dns использует? Берёт из resolf.conf?
Там прописаны 8.8.8.8 и 9.9.9.9

Хочу добавить upstream серверы в исключения маршрутизации wireguard, чтобы запросы к ним шли не через туннель. Для того, чтобы если вдруг удалённая vps упадёт, чтобы хотя-бы незаблокированные ресурсы работали. Для этого надо знать, какие dns используются kresd для резолвинга.

Пофигу)

решил жёстко указать, чтобы не было сюрпризов.
В конфиг kresd.conf дописал:

policy.add(
   policy.all(
      policy.TLS_FORWARD({{'1.1.1.1@853', hostname='cloudflare-dns.com'}}),
      policy.TLS_FORWARD({{'8.8.8.8@853', hostname='dns.google'}}),
      policy.TLS_FORWARD({{'1.0.0.1@853', hostname='cloudflare-dns.com'}}),
      policy.TLS_FORWARD({{'8.8.4.4@853', hostname='dns.google'}})
   )
)

И в конфиге wireguard эти адреса исключил. Всё работает, как надо

И да, тут часто спрашивали, как сделать реализацию работы антизапрета для работы через wireguard. Да, это возможно, я у себя сделал, работает без проблем. Для мобильных и слабых устройств wireguard более предпочтителен, т.к. не кушает батарею - он просто не поддерживает коннект, сколько пакетов отправил - столько батареи на это и скушал.
Но тут и минус большой - в конфиге wg жёстко прописывается DNS сервер (который за туннелем wg) - и если какие-то проблемы с удалённым сервером, либо интернет каналом между клиентом и сервером - то вообще никак интернет работать на этом устройстве не будет, т.к. wireguard не предполагает проверки канала (как openvpn - если сервер недоступен, то соединение просто разорвётся и переназначенный удалённый dns просто сбросится). С wg ситуация будет такая - сервер недоступен - значит и dns недоступен.
Для тех, кому всё-же вариант работы через wg интересен, алгоритм такой:

1. на том сепвере, на котором запускаем контейнер (но не в самом контейнере) назначаем доп IP адрес на сетевой карте, статика, адрес брать из диапазона, который не используется в инфраструктуре (далее буду писать на своём примере, у меня дебиан 11), в моём случае в файле /etc/network/interfaces:

#Additional IP
auto ens192:0
iface ens192:0 inet static
address 172.31.31.1
netmask 255.255.255.0

2. на этом же сервере изменяем dns сервер по умолчанию, в файле /etc/resolf.conf прописываем:

nameserver 172.31.31.1

3. Делаем маппинг портов сервера dns вовнутрь контейнера:

lxc config device add antizapret-vpn proxy_53_udp proxy listen=udp:172.31.31.1:53 connect=udp:127.0.0.1:53
lxc config device add antizapret-vpn proxy_53_tcp proxy listen=tcp:172.31.31.1:53 connect=tcp:127.0.0.1:53

4. берём клиентский конфиг openvpn (я взял udp вариант), изменяем там адрес сервера на локалхост, также изменяю имя устройства на tun1 (у меня tun0 на том сервере уже использовалось для других целей) у меня получилось так (показываю лишь фрагмент, без раздела с ключами):

nobind
client

remote 127.0.0.1

remote-cert-tls server

dev tun1
proto udp

resolv-retry infinite
persist-key
persist-tun

setenv FRIENDLY_NAME "AntiZapret VPN UDP"
comp-lzo
status /var/log/openvpn/myvpn-status.log
log         /var/log/openvpn/myvpn-server.log
log-append  /var/log/openvpn/myvpn-server.log

# Keys

создаём systemd сервис с этим конфигом, ставим в автозагрузку
Перезагружаем.

Этими действиями мы сделали следующее - сам сервер, на котором запущен контейнер - теперь выходит в интернет используя DNS, работающий в этом контейнере.
Доп. IP адрес, который создавали - на нём теперь висит DNS сервер, работающий внутри контейнера. Адес этот нужен для того, чтобы его в дальнейшем указать в качестве DNS в клиентских конфигурациях wireguard.
Ну и wg конфиг сервера (это мой, нужно править под себя):

[Interface]
Address = 172.30.30.253/24
ListenPort = 443
PrivateKey = 2HzqsLYMf8RMbrhqLVkoMJghjkhBVlyB1+jfsFefO3k=
PostUp = iptables -A FORWARD -i wg1 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE; iptables -t nat -A POSTROUTING -o wg1 -j MASQUERADE; iptables -t nat -A POSTROUTING -o tun1 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg1 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens192 -j MASQUERADE; iptables -t nat -D POSTROUTING -o wg1 -j MASQUERADE; iptables -t nat -D POSTROUTING -o tun1 -j MASQUERADE

# client peer config 1
[Peer]
PublicKey = Ad0kcRSdsRjhf7pk7czy87X2o3sFfEpiTmDorZ7PFq0=
AllowedIPs = 172.30.30.251/32

Конфиг клиента:

[Interface]
PrivateKey = 3Onw2+iGnbUEoI2HbNys+NkN5d666clZWSw3x1olxHY=
Address = 172.30.30.251/32
DNS = 172.31.31.1

[Peer]
PublicKey = 2aAOFShy1ZjiI02gpAENIh2uvkTT7zZy7zw8xvSEdw3=
AllowedIPs = 10.224.0.0/15, 68.171.224.0/19, 74.82.64.0/19, 103.246.200.0/22, 178.239.88.0/21, 185.104.45.0/24, 193.105.213.36/30, 203.104.128.0/20, 203.104.144.0/21, 203.104.152.0/22, 172.31.31.1/32
Endpoint = vps.servername.zyx:443

В итоге - всё работает, незаблокированные адреса открываются напрямую, заблокированные резолвятся в фейковые адреса из подсети 10.224.0.0/15 и идут через туннель.
В AllowedIPs клиента включена подменная подсеть 10.224.0.0/15, адрес DNS 172.31.31.1/32 и остальные подсети, которые выводились в таблице маршрутизации на vps сервере при поднятом туннеле антизапрета. Предназначение их я не знаю, включил в конфиг wireguard просто так как они присутствуют в таблице маршрутизации при включенном туннеле openvpn.

Схема рабочая, но не для всех - для каждого клиента нужно создавать отдельный конфиг руками. Если сервер свой, делается для себя и устройств немного - то такой вариант имеет право на жизнь.

P.S.
п. 2 можно не делать, если сервер vps за бугром. Просто у меня он в РФ и мне даже для самого сервера надо обходить блокировки. Сам контейнер - на нём тоже поставил wireguard и весь трафик контейнера завернул за бугор, через ещё один vps

Никакие, это рекурсивный резолвер.

Удалено

Добрый день. Очень странный вопрос, но может кому-то тоже пригодится.

Ситуация следующая: развернул свой VPN Антизапрет, раздал друзьям профиль, а те раздали своим друзьям. Сейчас появилась необходимость сменить сервер (не хватает памяти), а полного списка пользователей нет даже у меня.

Возможно ли их как-то уведомить, что профиль нужно будет перекачать? Видел, что бесплатные VPN например встраивают свои баннеры на сайты, может у кого-то есть такой же кейс?

Если IP-адрес сервера не сменится, то ничего, кроме экспорта работающего контейнера и последующего его импорта в новую виртуальную машину, делать не нужно. Конфигурационные файлы продолжат работу.

А можно ли как-то посмотреть подключенных клиентов к серверу? Пока только через jorunalctl вижу подключения, но там не разберешь какой это клиент, если ip и версия клиента одинаковы. Точнее хотябы чтобы hostname можно было увидеть

Если вы настраивали контейнер с помощью LXD, то нельзя — настройка осуществляется с помощью прокси, который не сохраняет IP-адрес клиента.
Можете перенастроить с помощью маршрутизации (proxy nat=true), но в LXD это сделано не очень удобно, требует статического назначения IP-адреса контейнера. См. Instance configuration - LXD documentation

Что-то вроде:

lxc config device set antizapret-vpn eth0 ipv4.address='10.22.33.1'
lxc config device add antizapret-vpn proxy_1194 proxy listen=tcp:ВНЕШНИЙ_IP:1194 connect=tcp:10.22.33.1:1194 nat=true

Есть для windows вариант? Unix ни на одном компе нет. А виртуалку запускать не охота из-за ограниченых ресурсов машин

Хотел запустить такой сервер в домашней сети, но по описанию понял, что на все домашние устройства необходимо будет установить VPN-клиент. Можно ли сделать так, чтобы сервер являлся для устройств ну как бы просто шлюзом, без необходимости установления VPN?

Сервер необходимо устанавливать на канале без блокировок. Если в вашей домашней сети нет блокировок, то и контейнер АнтиЗапрета вам не нужен.

Каждый поддомен нужно отдельно добавлять, так и должно быть?
Напр, Twitter не работал, пока не указал:
twimg.com
abs.twimg.com

Не знает ли кто, какие домены или ip используются в приложении Strava? (блокировка России со стороны сервиса)
Сам домен strava.com я добавил include-hosts-custom.txt - через браузер сайт открывается, а вот приложение работать не хочет.

P.S.: Насколько вижу/понимаю, Strava шлет запросы на dns-сервер 8.8.8.8 и получает оттуда резолв своих доменов в обход VPN. Возможно ли это как-то побороть?

Нет, нужно добавлять зону, без поддоменов.

Да, добавьте маршрут до 8.8.8.8 через VPN.

это скорее как днс-сервер выступает, а не как шлюз, если на маршрутизаторе есть понтдержка опенвпн, например на микротике, то достаточно чтобы клиенты в домашней сети получали по дхцп айпишник днс сервера роутера и сё, не надо на каждом клиенте устанавливать опенвпн

Здравствуйте, с сегоднящнего дня netflix начал блокировать пользователей с российским айпи, прописал домены
netflix.com
nflxext.com
assets.nflxext.com
codex.nflxext.com
в include-hosts-custom.txt, но это не помогло. Может кто-нить знает, как обойти?

а вы уверены, что
netflix.com
и
nflxext.com
это все необходимые домены?

Здравствуйте. Как и от куда удалить не нужный хлам виде azino, casino, joycasino и.т.п ?

flxvpn.net
netflix.ca
netflix.com
netflix.com.au
netflixdnstest10.com
netflixdnstest1.com
netflixdnstest2.com
netflixdnstest3.com
netflixdnstest4.com
netflixdnstest5.com
netflixdnstest6.com
netflixdnstest7.com
netflixdnstest8.com
netflixdnstest9.com
netflixinvestor.com
netflix.net
netflixstudios.com
netflixtechblog.com
nflxext.com
nflximg.com
nflximg.net
nflxso.net
nflxvideo.net
btstatic.com

Может эти помогут

Эти домены содержатся в Реестре. Часть мусорных/неработающих зеркал вычищается скриптом /root/antizapret/config/exclude-regexp-dist.awk.

Всем привет, огромная благодарность автору(ам), у меня арендованный впс, подключен на впн с помощью роутера с прошивкой падаван, все отлично работает, но когда далеко уезжаю на телефоне тоже использую “свой” впн из другой сети, и хочется из телефона получать доступ к роутеру с падаваном, как это можно реализовать? Почему то от телефона до роутера и наоборот пинги не идут.

Связь между клиентами VPN заблокирована средствами межсетевого экрана.
В файле /etc/ferm/ferm.conf измените строку:
interface vpn+ outerface $EXT_INTERFACE ACCEPT;
на
interface vpn+ outerface ($EXT_INTERFACE vpn+) ACCEPT;
И перезапустите контейнер.

Добрый день. Разрабочики Canva ограничили доступ к своему ресурсу для пользователей из РФ. Вопрос - как добавить в правило что б это работало? добавил в файл custom hosts canva.com но все еще не работает.

Вопрос второй. Как создать файл конфигурации для vpn что бы весь трафик шел через VPN? Находил это но теперь не могу. Спасибо

Я добавил канву также, все работает.
А вы не забыли это:

lxc shell antizapret-vpn
sh -c "LANG=C.UTF-8 /root/antizapret/doall.sh"

По второму вопросу, рекомендую воспользоваться скриптом pivpn

curl -L https://install.pivpn.io | bash

даже перезагружал сервер. Спустя сутки все заработало.

Спасибо!

Подскажите пожалуйста:

1. Контрейнер крутится на виртуалке зарубежом.
2. На клиентах (Keenetic и маршрутизатор на линуксе с openvpn) прописаны днсы 1.0.0.1 и 8.8.8.8, завернуты на контейнер.
   Все заблокированные сайты работают.
   Но так же не работают и некоторые российские сайты.
   Например, клиент за кинетиком не может отрезолвить некоторые домены (тупо не определяет айпишник).
   При этом далеко не у всех сайтов.
   Если пинговать проблемный узел с самого контейнера - то всё четко (в /etc/reoslv.conf указаны 8.8.8.8 и 9.9.9.9, нужно ли в моем случае менять девятки на 1.0.0.1?)

Как лечить? Где бы логи посмотреть?

То есть итого:
контейнер резолвит ок, клиенты не резолвят.

В моменте policy.add(policy.all(policy.FORWARD({‘77.88.8.8’}))) + doall.sh помогло, но такое… У меня же с моей впс домен резолвится, а не резолвится с клиента, то есть имхо не так надо чинить…

UP: нашел тему с автодоком, чего делать пока не ясно.

Что правильнее, делать policy.FORWARD или же одним из серверов (например 1.0.0.1 в моем случае) заменить на 77.88.8.8?

спасибо! всё установилось!

канву добавилась так:
lxc shell antizapret-vpn
echo “canva.com” >> /root/antizapret/config/include-hosts-custom.txt
LANG=C.UTF-8 /root/antizapret/doall.sh

Knot-resolver, установленный в контейнер, самостоятельно рекурсивно резолвит домены от своего IP-адреса. Вероятно, на части российских доменов NS-серверы блокируют нероссийские и непопулярные резолверы, поэтому сервер не может к ним достучаться.

С сервера вы резолвите через публичные резолверы, а с VPN-подключения — напрямую с сервера, через knot-resolver.
Либо установите в resolv.conf 127.0.0.1, либо запускайте dig, например, так:
dig something.ru @127.0.0.1

Спасибо!

Но, в связи с тем, что гугл толи шейпят, толи блочат, вообще считаю, что нужно начинать городить другую схему. Допустим:

1. дефолтный сервер за рубежом.
2. дополнительно поднимаем сервер в РФ, прикручиваем тоннели между серверами.
3. Сервер за рубежом - дефолтный впн сервер для всего мира.
4. Трафик с сервера №1 в Россию заворачиваем через тоннель и сервер из пункта 2.

В результате у нас “весь мир” и “вся РФ” идет с региональных IP, и всё работает.

На собственном сервере где установлен контейнер Антизапрета выходят ошибки.
Как можно исправить ошибку и с чем это связана ?

Для веб версии и приложений на ТВ достаточно netflix.com.
Для приложений на мобильные устройства нужен еще api.fast.com.

Этих двух доменов достаточно для работы Netflix – при этом контент загружается с других доменов, и будет загружаться напрямую, не через VPN.

Ваша настройка не позволяет менять sysctl-переменные, относящаяся к сетевым таймаутам. Неприятно, но не критично. Ничего делать не нужно.

Да, я так и использую теперь, но для авторизации такой подход не верен, нужно найти домен, который используется для этого.

З.ы. при попытке входа в аккаунт пишет, что пара логин и пароль не верны, хотя это не так

Привет, решил написать в эту тему, просьба поправить, если ошибся. Захотел разблокировать себе play.google.com, для чего внёс этот домен в include-hosts-custom.txt. Однако побочным эффектом стало то, что трафик к другим сервисам Google и самому google.com стал тоже идти через VPN, чего не очень хотелось бы. Как сделать так, чтобы трафик через VPN шёл только к тому домену, который я указал в конфиге?

Контейнер VPN АнтиЗапрета для установки на собственный сервер - antizapret.prostovpn.org - NTC

Некоторые сайты выдают заглушки о недоступности в РФ даже после добавления доменов в include-hosts-custom.txt. Например, netflix.com (добавил по совету выше netflix.com и fast.com) и wikidot.com. При этом другие сайты (к примеру, canva.com и pexels.com) после добавления открываются нормально. В чем может быть проблема?

Вероятнее всего, нетфликс забанил сам пулл адресов этого впс хостера. У меня именно эта ситуация была. Решил переходом в другой впс. Посмотреть на впс можно так:

curl -Is https://netflix.com |grep 403

Если нетфликс сам забанил, ты выйдет строчка, а если вывод будет пустой, то, соответственно, нет)

определяется двухсторонний ping, из-за выключенного UFW.Если его включить Антизапрет перестает работать. @ValdikSS подскажи как включить ufw на своем сервере, что-бы Антизапрет остался работать

Кстати, намедни дебажил отсутствия маршрутизации на опенврт. Выяснил, что опенврт не смог прописать маршруты, что передает опенвпн сервак, в итоге дописал в клиентский конфиг эти строки, все сработало.
route 10.224.0.0 255.254.0.0
dhcp-option DNS 192.168.104.1

ufw allow 1194/tcp
ufw allow 1194/udp

Открывайте порты в впс’е, а не в контейнере антизапрета

Добрый день, как побороли? Я уже и согласно рекомендациям сделал в скрипте
sudo ufw allow in on lxdbr0
sudo ufw route allow in on lxdbr0 и 1194, перед командой machinectl enable antizapret-vpn. Не отрабатывают скрипты финальной настройки т.к. нет инета внутри контейнера. А фаерволл совсем выключать не хочется (

Большим жирным шрифтом. Если у вас интерфейс не lxdbr0, необходимо подправить команды.
Если у вас есть какие-то дополнительные запрещающие правила, необходимо также разобраться с тем, что они запрещают.

У меня не сработало. Новая машина Ubuntu 20.04 на Vultr по инструкции в ридми.

Last login: Sat Jun 18 16:26:27 2022 from 92.255.102.90
root@vultr:~# systemctl disable --now ufw
Synchronizing state of ufw.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install disable ufw
root@vultr:~# machinectl stop antizapret-vpn
root@vultr:~# machinectl start antizapret-vpn
root@vultr:~# sleep 20
root@vultr:~# machinectl copy-from antizapret-vpn /root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn /root/antizapret-client-tcp.ovpn
Failed to copy: No such file or directory

Как это вообще дебажить? Логин в контейнер требует пароль.

Когда-то ставил себе антизапрет на CentOS 7,
нашёл в своих заметках, может, кому ещё пригодится (на полную правильность всего не претендую, я не профессиональный линуксоид)

yum -y update
reboot

yum -y install epel-release
yum -y update

yum -y install yum-plugin-copr
yum -y copr enable ngompa/snapcore-el7

yum -y install snapd
systemctl enable --now snapd.socket

yum -y install http://download.zfsonlinux.org/epel/zfs-release.el7_4.noarch.rpm
yum -y install yum-utils
yum-config-manager --disable zfs
yum-config-manager --enable zfs-kmod
yum -y install zfs

grubby --args="user_namespace.enable=1" --update-kernel="$(grubby --default-kernel)"
grubby --args="namespace.unpriv_enable=1" --update-kernel="$(grubby --default-kernel)"
sh -c 'echo "user.max_user_namespaces=3883" > /etc/sysctl.d/99-userns.conf'
reboot

snap search lxd
snap install lxd
ln -s /var/lib/snapd/snap /snap

snap list
snap services

usermod -a -G lxd root

newgrp lxd
id

lxc list

lxd init

nano /etc/systemd/system/snap.lxd.daemon.service

[Service]
Environment=LXD_INSECURE_TLS=true

systemctl restart snap.lxd.daemon.service

lxc image import https://antizapret.prostovpn.org/container-images/az-vpn --alias antizapret-vpn-img
lxc init antizapret-vpn-img antizapret-vpn
lxc config device add antizapret-vpn proxy_1194 proxy listen=tcp:[::]:1194 connect=tcp:127.0.0.1:1194
lxc config device add antizapret-vpn proxy_1194_udp proxy listen=udp:[::]:1194 connect=udp:127.0.0.1:1194
lxc start antizapret-vpn
sleep 10
lxc file pull antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn

kscp -P 22 -pw <password> root@<ip_addr>:./antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn

Только что попробовал, взяв скрипт и добавив в самое его начало правила ufw — сработало. Обратите внимание, что по ссылке правила для LXD, а для systemd-machined необходимо изменить название интерфейса на “ve-antizapr+”. Вот полный текст скрипта (но у меня, почему-то, он не выполнился до конца, пришлось запускать вручную):

#!/bin/bash
ufw allow in on ve-antizapr+
ufw route allow in on ve-antizapr+
export DEBIAN_FRONTEND=noninteractive
export APT_LISTCHANGES_FRONTEND=none
apt update
apt -y install systemd-container dirmngr
mkdir -p /root/.gnupg/
gpg --no-default-keyring --keyring /etc/systemd/import-pubring.gpg --keyserver hkps://keyserver.ubuntu.com --receive-keys 0xEF2E2223D08B38D4B51FFB9E7135A006B28E1285

machinectl pull-tar https://antizapret.prostovpn.org/container-images/az-vpn/rootfs.tar.xz antizapret-vpn
mkdir -p /etc/systemd/nspawn/
echo -e "[Network]\nVirtualEthernet=yes\nPort=tcp:1194:1194\nPort=udp:1194:1194" > /etc/systemd/nspawn/antizapret-vpn.nspawn

systemctl enable --now systemd-networkd.service
machinectl enable antizapret-vpn
machinectl start antizapret-vpn
sleep 20
machinectl copy-from antizapret-vpn /root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn /root/antizapret-client-tcp.ovpn

machinectl shell antizapret-vpn для доступа внутрь контейнера.

Спасибо, уже прошло дальше, файл .ovpn появился, правда пришлось заново переустановить машину. Но VPN не подключается, таймаут. Подключается с выключенным файерволом:

systemctl disable --now ufw

Пробовал порт разрешать, но не помогло:

ufw allow 1194

Хорошо было бы обновить в итоге инструкцию в ридми для Vultr, а то она не рабочая получается.

Всем привет!

Не нашел готового докер контейнера, а по инструкции отсюда Bitbucket внутри контейнеров для LXD и systemd-machined небыло интернета.

Разбираться не стал и конвертнул образ LXD в docker. Через него все завелось!

Закинул на гитхаб:

Имхо старт получился проще, чем в LXD или systemd-machined. Если бы еще нативный Dockerfile сделать, а не конвертить, было бы шикарно…

@ValdikSS буду признателен за фидбэк! Если все ок, то мб можно перенести мой код в основной репо или добавить инструкцию в readme?

Docker предназначен для контейнеров приложений (application container): в контейнере, как правило, запускается единственная программа как init 1, образ не может самостоятельно обновляться (его необходимо коммитить), и т.п.
LXD и machined — системные контейнеры (system container) — предназначены для контейнеризации всей системы, по принципу виртуальной машины.
Я удивлён, что у вас в принципе запускается systemd (/usr/sbin/init) внутри — все эти годы Docker не поддерживал systemd. Docker — неподходящий инструмент для целей контейнеризации антизапрета.

Всем доброго времени!
Установил контейнер, но столкнулся с проблемой - при подключении к VPS с ОС Ubuntu 20.04, на котором поднят контейнер, страницы не открываются. Браузер весело посылает в тухес с сообщением “ERR_NAME_NOT_RESOLVED”.
В самом контейнере интернет есть.
Connected to machine antizapret-vpn. Press ^] three times within 1s to exit session.
root@antizapret-vpn:~# ping ya.ru
PING ya.ru (87.250.250.242): 56 data bytes
64 bytes from 87.250.250.242: icmp_seq=0 ttl=241 time=68.027 ms
64 bytes from 87.250.250.242: icmp_seq=1 ttl=241 time=68.049 ms
64 bytes from 87.250.250.242: icmp_seq=2 ttl=241 time=68.065 ms
64 bytes from 87.250.250.242: icmp_seq=3 ttl=241 time=67.992 ms
64 bytes from 87.250.250.242: icmp_seq=4 ttl=241 time=67.960 ms
64 bytes from 87.250.250.242: icmp_seq=5 ttl=241 time=67.998 ms
64 bytes from 87.250.250.242: icmp_seq=6 ttl=241 time=68.017 ms
^C— ya.ru ping statistics —
7 packets transmitted, 7 packets received, 0% packet loss
round-trip min/avg/max/stddev = 67.960/68.015/68.065/0.033 ms
root@antizapret-vpn:~# nslookup ya.ru
Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: ya.ru
Address: 87.250.250.242
Name: ya.ru
Address: 2a02:6b8::2:242

root@antizapret-vpn:~#
Подскажите, куда ковырнуть?
UFW отключен и не используется. Пробовал включать, в порядке бреда пробрасывать порт 1194 - то же самое. Голову сломал

Убедитесь, что DNS knot-resolver’а внутри контейнера работает:
dig ya.ru @127.0.0.1
systemctl status kresd@1

Привет!

Во-первых, всегда хотел сказать спасибо за антизапрет. Пользуюсь уже долгое время, никаких проблем не возникало.

Во-вторых, я потестил Docker-контейнер от xtrime, и он прекрасно работает, но я не совсем понял что под самостоятельным обновлением образа ты имел в виду. Мол, нужно будет поддерживать Docker-образ и обновлять его после новых коммитов в репо на Bitbucket или что-то другое?

В контейнере настроены автоматические обновления безопасности компонентов ОС, что позволяет не беспокоиться об актуальности софта без его пересборки. С Docker такое не получится, его концепция подразумевает «заморозку» образа, что несёт прямо противоположный эффект.

можно подробней пояснить про безопасность?

мне не совсем понятно, для чего в самом lxd-контейнере нужны эти обновления безопасности?
по сути – если обновляются только сами нужные для работы функционала списки,
проброшен только нужный порт,
к чему обновлять сам контейнер, не достаточно ли обновлять по безопасности только сам хост-сервер?

Добрый день, работало перу дней стабильно и без нареканий, вчера заметил что вечером не коннектится. Начал копать, выяснил что doall.sh ругается на закончившееся свободное место.

Сделал как вы сказали, но все равно пинги не идут

Отвечу сам на свой вопрос. 10Gb SSD не хватает на хост и контейнер. Может зря обновил ОС. Каталог cuda (в /usr/local/cuda/lib64) весит под 2.8 Gb, думаю, надо ли он? Тесновато под систему, работает пару дней, потом сама себя логами перегружает и все. Нет места. Делать апгред пакета за 3.5 уе до 5, в котором 25 гиг на SSD? Или можно почистить ручками ненужное?

10 хватает. Помимо антизапрета стоит еще один vpn-сервер на самом хосте, 2 месяца уже спокойно всё работает

UPD: полная конфигурация: 1 ядро, 1гб RAM, 10гб SSD, Debian 11, контейнер systemd, в общем всё занимает почти 4гб

Доброго времени! Спасибо за ответ.

root@antizapret-vpn:~# dig ya.ru @127.0.0.1

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> ya.ru @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21058
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;ya.ru.                         IN      A

;; ANSWER SECTION:
ya.ru.                  600     IN      A       87.250.250.242

;; Query time: 299 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Jun 22 12:57:28 MSK 2022
;; MSG SIZE  rcvd: 50

root@antizapret-vpn:~#

root@antizapret-vpn:~# systemctl status kresd@1
● kresd@1.service - Knot Resolver daemon
   Loaded: loaded (/lib/systemd/system/kresd@.service; enabled; vendor preset: e
nabled)
  Drop-In: /etc/systemd/system/kresd@.service.d
           └─override.conf
   Active: active (running) since Wed 2022-06-22 12:57:01 MSK; 2min 1
6s ago
     Docs: man:kresd.systemd(7)
           man:kresd(8)
 Main PID: 381 (kresd)
   CGroup: /system.slice/system-kresd.slice/kresd@1.service
           └─381 /usr/sbin/kresd -c /usr/lib/knot-resolver/distro-preconfig.lua
-c /etc/knot-resolver/kresd.conf -n

Jun 22 12:56:59 antizapret-vpn systemd[1]: Starting Knot Resolver daemon...
Jun 22 12:56:59 antizapret-vpn kresd[381]: [system] warning: hard limit for numb
er of file-descriptors is only 4096 but recommended value is 524288
Jun 22 12:57:01 antizapret-vpn systemd[1]: Started Knot Resolver daemon.
root@antizapret-vpn:~#

Судя по ответам - внутри контейнера все работает.
Что еще посмотреть? Влияют ли как то на работоспособность DNS сервера, которые я использую? Использую не провайдерские, а публичные.

Ссылку на скриншот из настроек роутера прилагаю.
Спасибо еще раз за Ваш труд

Обновление unattended upgrades запускается в моем контейнере автоматически. Я чекнул docker diff и в списке измененных файлов есть лог. Правда apt ругается:

W: An error occurred during the signature verification. The repository is not updated and the previous index files will be used. GPG error: http://download.opensuse.org/repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_10  InRelease: The following signatures were invalid: EXPKEYSIG 74062DB36A1F4009 home:CZ-NIC OBS Project <home:CZ-NIC@build.opensuse.org>

apt update && apt upgrade руками выдает туже ошибку. Это точно проблема в докере, а не в самом образе? Если есть какая то команда, что бы прописать эту signature, то я добавлю ее в entrypoint и автообновление все будет работать.

Спасибо за критику! Согласен, что запуск нескольких приложений внутри одного контейнера противоречит docker-way концепции.
Но инструкции из readme у меня не сработали. А докер многим привычнее и запуск гораздо проще. И заработал сразу…
Из проблем которые вижу: если какой то процесс упадет - то докер не перезапустит контейнер. Нужно делать какой нибудь healthcheck. Хотя не уверен, что lxd как то решает эту проблему…
Хотя у меня все работает стабильно уже неделю, так что пока не горит

Починил apt update и запушил фикс в свой репо. Теперь система обновляется при сборке образа и автоматически при работе контейнера.

ValdikSS, flameshikari, спасибо за фидбек.

Ссори за холивар, но тут не соглашусь. Почему не получится? Образ это просто “основа” для контейнера. А контейнер никак не ограничивает работу с диском. Система в контейнере будет обновляться, и данные из файловой системы контейнера никуда не денутся даже при перезагрузках. Конечно, изменения записываются в отдельный “слой” файловой системы докера, но на практике это почти ни на что не влияет.

Согласен, что концепция докера не приветствует такие вещи, но на практике используется часто…

https://antizapret.prostovpn.org/help.html

‣ VPN АнтиЗапрета подключается, но заблокированные сайты не открываются

Убедитесь, что используете DNS-сервер внутри VPN-соединения, а не сторонний или провайдерский. Проверьте, что не используете DNS over HTTPS в браузере («Защищенный DNS»), Private DNS в Android, Private Relay в iOS.
Требование вызвано особенностями маршрутизации в VPN АнтиЗапрета.

У меня на Centos 7 появляется проблема с ferm, соответсвенно ничего не работает. Может подскажете как с этим быть:

Jun 30 14:40:39 antizapret-vpn ferm[199]: Starting Firewall: fermiptables-restore v1.8.2 (nf_tables):
Jun 30 14:40:39 antizapret-vpn ferm[199]: line 3: CHAIN_UPDATE failed (No such file or directory): chain FORWARD
Jun 30 14:40:39 antizapret-vpn ferm[199]: Failed to run /sbin/iptables-restore
Jun 30 14:40:39 antizapret-vpn ferm[199]: iptables-restore v1.8.2 (nf_tables):
Jun 30 14:40:39 antizapret-vpn ferm[199]: line 2: CHAIN_UPDATE failed (No such file or directory): chain FORWARD
Jun 30 14:40:39 antizapret-vpn ferm[199]: Failed to run /sbin/iptables-restore
Jun 30 14:40:39 antizapret-vpn systemd-journald[208]: Runtime journal (/run/log/journal/5b6e10df4f7b4a2b90bbb0a257aa5010) is 1.0M, max 8.0M, 7.0M free.
Jun 30 14:40:39 antizapret-vpn ferm[199]: failed!
Jun 30 14:40:39 antizapret-vpn systemd[1]: ferm.service: Main process exited, code=exited, status=4/NOPERMISSION
Jun 30 14:40:39 antizapret-vpn systemd[1]: ferm.service: Failed to kill control group /lxc.payload.antizapret-vpn/system.slice/ferm.service, ignoring: Invalid argument
Jun 30 14:40:39 antizapret-vpn systemd[1]: ferm.service: Failed to kill control group /lxc.payload.antizapret-vpn/system.slice/ferm.service, ignoring: Invalid argument
Jun 30 14:40:39 antizapret-vpn systemd[1]: ferm.service: Failed to kill control group /lxc.payload.antizapret-vpn/system.slice/ferm.service, ignoring: Invalid argument
Jun 30 14:40:39 antizapret-vpn systemd[1]: ferm.service: Failed to kill control group /lxc.payload.antizapret-vpn/system.slice/ferm.service, ignoring: Invalid argument
Jun 30 14:40:39 antizapret-vpn systemd[1]: ferm.service: Failed with result ‘exit-code’.
Jun 30 14:40:39 antizapret-vpn systemd[1]: Failed to start ferm firewall configuration.

Можно попробовать мой докер образ: GitHub - xtrime-ru/antizapret-vpn-docker: Docker container with antizapret-vpn for selfhosting.

Доброго дня! 5 простых правил UFW, имена интерфейсов правильные, порт открывал и на конкретном адаптере, и на всех сразу. Толку 0. В лог все равно падает UFW_BLOCK:

image1442×34 3.75 KB

В вашей хост-системе, вероятно, нет поддержки nftables. Можете попробовать переключиться на обычный iptables/netfilter, для этого внутри контейнера наберите:

update-alternatives --set iptables /usr/sbin/iptables-legacy
update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
update-alternatives --set arptables /usr/sbin/arptables-legacy
update-alternatives --set ebtables /usr/sbin/ebtables-legacy

У вас нет разрешающего forward-правила в интерфейс контейнера.

Здравствуйте. Установлен свой сервер антизапрета вне России.
Многие сайты делал обход блокировок через include-hosts-custom.txt в контейнере.
Но download.microsoft.com и microsoft.com это не работает. Возможно кто то сможет подсказать как сделать что бы можно было скачивать ISO образ, с сайта разработчика.
Методом добавления в include-hosts-custom.txt
Спасибо.

Вы делаете правильные действия. Убедитесь, что вы запустили обновление списка после добавления сайта и дождались его завершения.

Да спасибо, не знаю помогло или нет но с добавлением go.microsoft.com Всё начало качать. Возможно просто раньше не дождался обновления списка.

Подскажите пожалуйста, как правильно с точки зрения производительности добавлять новых клиентов?

Допустим, есть антизапрет-сервер и дефолтная пара ключей/конфигов.
И есть пять клиентов, которые нужно подключить к этому антизапрету.

Как лучше делать, цеплять всех по одному сертификату или генерировать под каждого пользователя новые?
Так-то, вроде и с одним все работает, айпишники получают разные… Но чот хз как корректно сделать.

Добавил ufw route allow proto tcp from any to any port 1194 и все заработало.
UPD: в ЛДНР начали блочить Вайбер. Я добавил пару правил amazonaws.com и viber.com - забегали. Правда на телефоне работает, а вот на кампе не хотело, подключенного по WiFi к тому же телефону.

Приветствую!
Существует ли инструкция, как запустить этот впн без контейнера?

ЗЫ
ValdikSS, у Вас есть возможность связаться со мной через лс или иным способом?

Такой инструкции нет. Я бы не советовал вам запусакть всё вне контейнера, так как, во-первых, демону dnsmap требуются root-привилегии для добавления правил iptables, а он был написан за очень короткое время и наверняка в нём есть ошибки, также он добавляет очень большое количество правил iptables (на каждый IP-адрес), что вы, с большой вероятностью, не хотите видеть на хост-машине.

Напишите мне самостоятельно, если у вас есть вопросы. А лучше задавайте их в этой теме.

Как отключить скачивание списка и оставить только свои маршруты и домены на собственном сервере ?

Такой возможности нет, только хакать скрипты.

Понял спасибо

Подскажите пожалуйста, может у кого идеи есть.
Антизапрет в Ubuntu 20/22 через lxc/snap.
По TCP всё работает чётко.
По UDP клиент (в моем случае либо опенвпн коннект для андроида, либо кинетик) подключается, трафик в тоннель уходит, но обратно не приходит, то есть “односторонний линк” получается.
ufw отключен, iptables/firewalld тоже.

Имхо, трафик не форвардится, но где копать в lxc/ubuntu в упор не понимаю.

UP: разобрался, всё таки косяк в конфиге с моей стороны, пытался использовать конфигурацию от tcp, когда надо было udp с правками (не удалил cipher, не добавил comp-lzo)

не могу понять как изменить dns сервер? в resolv поменял на 1.1.1.1 но почему-то выдает что у меня установлен dns как ip адрес сервера (на dnsleak проверке)

ubuntu 20.04

на сервере:
nslookup ya.ru
Server: 1.1.1.1
Address: 1.1.1.1#53

из контейнера antizapret:
root@antizapret-vpn:~# nslookup ya.ru
Server: 8.8.8.8
Address: 8.8.8.8#53

с сервера

resolvectl status
Global
       LLMNR setting: no
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
  Current DNS Server: 1.1.1.1
         DNS Servers: 1.1.1.1
Fallback DNS Servers: 1.0.0.1
          DNSSEC NTA: 10.in-addr.arpa
                      16.172.in-addr.arpa
                      168.192.in-addr.arpa
                      17.172.in-addr.arpa
                      18.172.in-addr.arpa
                      19.172.in-addr.arpa
                      20.172.in-addr.arpa
                      21.172.in-addr.arpa
                      22.172.in-addr.arpa
                      23.172.in-addr.arpa
                      24.172.in-addr.arpa
                      25.172.in-addr.arpa
                      26.172.in-addr.arpa
                      27.172.in-addr.arpa
                      28.172.in-addr.arpa
                      29.172.in-addr.arpa
                      30.172.in-addr.arpa
                      31.172.in-addr.arpa
                      corp
                      d.f.ip6.arpa
                      home
                      internal
                      intranet
                      lan
                      local
                      private
                      test

Link 7 (vethb042b929)
      Current Scopes: none
DefaultRoute setting: no
       LLMNR setting: yes
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: no
    DNSSEC supported: no

Link 3 (lxdbr0)
      Current Scopes: none
DefaultRoute setting: no
       LLMNR setting: yes
MulticastDNS setting: no
  DNSOverTLS setting: no

В контейнере установлен рекурсивный кеширующий dns-резолвер knot-resolver, самостоятельно и автономно занимающийся разрешением имён. Его настройки находятся в /etc/knot-resolver/kresd.conf, а то, что вы ищете, описано в сообщении Контейнер VPN АнтиЗапрета для установки на собственный сервер - #40 by ValdikSS.

Не нужно менять настройки без веской причины и добавлять внешние сущности без необходимости — ни к чему использовать внешний рекурсивный резолвер, когда уже есть точно такой же, настроенный и рабочий.

спасибо прописал

policy.add(policy.all(policy.FORWARD({‘1.1.1.1’})))

Подскажите, как разрешить доступ клиентов подключённых к контейнеру друг к другу? И если возможно, назначить им статические ip.

А есть в контейнере скрипт, для создания новых конфигов опенвпн, чтобы не юзать один и тот же? (Хочу иметь связанность между клиентами при помощи опенвпн с контейнера)

Дико извиняюсь что не по теме, в прошлом году вы писали пост о блокировке в Туркмении, и давали ссылку на CLOACK с помощью которой можно обходить эти блокировки, т.к от сферы IT я максимально далек, то я просто умоляю вас помочь мне разобраться с ней(

Помогите разобраться - в lxc контейнере на ubuntu 20.4 нет интернета (ping 8.8.8.8 не проходит) до тех пор, пока на основной виртуалке не ввести команду
iptables -P FORWARD ACCEPT

Мало понимаю в правилах iptables.
Но я так понимаю - это не совсем хорошая практика. Как правильно включить интернет на lxc?

Спасибо.

Вывод iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                        

Chain FORWARD (policy DROP 174 packets, 10508 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                        
  174 10508 DOCKER-USER  all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                        
  174 10508 DOCKER-ISOLATION-STAGE-1  all  --  *      *       0.0.0.0/0                                                                                                   0.0.0.0/0
    0     0 ACCEPT     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0                                                                                                   ctstate RELATED,ESTABLISHED
    0     0 DOCKER     all  --  *      docker0  0.0.0.0/0            0.0.0.0/0                                                                                         
    0     0 ACCEPT     all  --  docker0 !docker0  0.0.0.0/0            0.0.0.0/0                                                                                       
    0     0 ACCEPT     all  --  docker0 docker0  0.0.0.0/0            0.0.0.0/0                                                                                        

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                                        

Chain DOCKER (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                        

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                        
    0     0 DOCKER-ISOLATION-STAGE-2  all  --  docker0 !docker0  0.0.0.0/0                                                                                                   0.0.0.0/0
  174 10508 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                          

Chain DOCKER-ISOLATION-STAGE-2 (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                        
    0     0 DROP       all  --  *      docker0  0.0.0.0/0            0.0.0.0/0                                                                                         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                          

Chain DOCKER-USER (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                                        
  174 10508 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Такого скрипта нет, контейнер заточен под использование одного конфигурационного файла. Связность между клиентами можно настроить и с одним конфигурационным файлом, она заблокирована на уровне межсетевого экрана.

Проверьте правила NAT: iptables -t nat -vnL. Если там есть хоть какое-то упоминание LXD, то необходимо добавить разрешающее правило в таблицу filter FORWARD.
Если же там нет упоминаний LXD, то, вероятно, у вас используется комбинация iptables-nft и iptables-legacy, либо же nft + iptables, что гарантированно вызовет проблемы с приоритетами правил. В таком случае нужно оставить что-то одно.

Спасибо!
В итоге перешел на Debian 11 и проблема ушла сама. На убунту так и не удалось достичь стабильной работы.

Также на обоих дистрибутивах (Ubuntu 20.04 и Debian 11) возникает ошибка:

lxc image import https://antizapret.prostovpn.org/container-images/az-vpn --alias antizapret-vpn-img
Error: Head “https://antizapret.prostovpn.org/container-images/az-vpn”: remote error: tls: protocol version not supported

Как тут писали выше - решается отключением проверки сертификатов.

systemctl edit snap.lxd.daemon

Затем сразу ПОД строчкой (Важно!! Не в конец файла. Если добавить в конец файла, то изменения не сохранятся)
### Anything between here and the comment below will become the new contents of the file

добавляем это:
[Service]
Environment=LXD_INSECURE_TLS=true

Рестартим демона
systemctl reload snap.lxd.daemon

Я это к тому, что проблема действительно есть и как ее поправить без отключения проверки сертификата - не понятно.

A post was split to a new topic: Списки заблокированных IP-адресов для роутера

По поводу настройки knot на вышестоящие dns серверы.
Выяснилось, что публичные dns серверы google и cloudflare подменяют IP адреса сервиса tmdb на 127.0.0.1, если запрос приходит из РФ.
DoT и DoH - не помогают, это именно они подменяют, а не промежуточный провайдер с оборудованием от роскомпозора.

Также выяснилось, что публичные серверы от Quad9 такой фигнёй не страдают.
Так что, кому актуально, в конфиг knot нужно дописать вот это и всё будет хорошо:

policy.add(
   policy.all(
      policy.TLS_FORWARD({{'9.9.9.9@853', hostname='dns.quad9.net'}}),
      policy.TLS_FORWARD({{'149.112.112.112@853', hostname='dns.quad9.net'}})
   )
)

DNS-резолверы Google и Cloudflare ничего не подменяют в ответах, это NS www.themoviedb.org отдаёт 127.0.0.1 для российских IP-адресов.

$ dig +short +subnet=155.70.44.0/24 www.themoviedb.org @ns-1186.awsdns-20.org # US Centurylink subnet
65.8.243.116
65.8.243.55
65.8.243.89
65.8.243.8

$ dig +short +subnet=87.226.162.0/24 www.themoviedb.org @ns-1186.awsdns-20.org # Russia Rostelecom subnet
127.0.0.1

Да, я сегодня тоже к такому же выводу пришёл.
пробовал dig с разных подсетей, с разных стран и удивлялся.
А гугл с клаудфларом - у них же резолверы тоже в РФ имеются - по CDN их и цепляет.

В итоге развернул 2 персональных резолвера для себя на 2-х зарубежных vps, т.к. не нравится мне такой подход…
Quad9 тоже рано или поздно могут разместить сервер в РФ, и они отвалятся получается…

Настроил контейнер на своей vps, подключился роутером, все отлично. Вопрос, как добавить сайт который не заблочен в РФ,соответственно его нет в списке заблокированных, но владелец сайта блочит доступ с IP в РФ ?
зашел в контейнер добавил домен intel.com в файл config\include-hosts-custom.txt
запустил doall.sh
Не помогло, судя по скриптам адрес добавленного домена сверяется со списком заблокированных доменов?

Ваши действия правильны. Вероятно, вы не дождались выполнения doall.sh.

@ValdikSS и знатоки.

Хочу обсудить такую идею.
Вот, у нас получается есть два возможных вида подключения - tcp & udp.
tcp мы не трогаем, оставляем его “под мобилки с 3G”.

Что если, мы udp будем использовать под проводной интернет?

Выдвигаю на обсуждение следующие твики antizapret.conf

1. Убираем comp-lzo
2. txqueuelen поднимаем с 250 до 2000
3. Добавляем
   fast-io
   sndbuf 512000
   rcvbuf 512000
   push “sndbuf 512000”
   push “rcvbuf 512000”
   ncp-disable

на клиенте так же убираем comp-lzo.

Как в цифрах измерить изменения хз, субьективно стало быстрее.

Но, может я чушь порю, поэтому и предлагаю обсудить.

@fageoner в системных требованиях сказано, что нужен 1гиг RAM, у вас 512m

@ValdikSS Добавил вчера еще один сайт (goplay.tools), он стал открывать, а intel.com по прежнему не открывается, перенаправляет на страницу Communications
Как на компе проверить что запрос правильно идет и резолвится через vpn ?

@cloud, в требованиях немного меньше 1 гб - цитата с bitbucket:

минимум 384 МБ оперативной памяти

nslookup intel.com что выдает?

выдает

╚ь : intel.com
Address: 10.224.0.113

как и другой сайт, добавление которого в список помогает, только с intel.com беда

╚ь : keepsolid.com
Addresses: 10.224.0.110
10.224.0.111
10.224.0.112

Настроенно все верно. Вообще если переходить именно на рускоязычную версию сайта, то будет плажка. Попробуйте перейти на американскую Intel | Data Center Solutions, IoT, and PC Innovation будет у вас открываться?

Я на русскоязычную разве перехожу? При переходе по вашей ссылке также переадресует на ту же страницу ru-banner-inside

Тоже с этим столкнулся. Настроен и антизапрет на своем vps в Нидерландах и отдельно для wireguard конфиг есть, но при попытке открыть Intel.com, intellicast.com, Netflix.com почему-то сайты эти не открываются.
upd в include-hosts-custom.txt сайты добавлены

Зайдите на страницу непосредственно с VPS. У вас либо проблема в браузерном кеше, либо в IP-адресе VPS.

непосредственно с vps curl netflix.com также показывает “Not Available”. Выходит IP vps-ки также забанен, других вариантов нет?

Похоже на то, а какое гео ip впски?
Что выдаст команда curl ipinfo.io ?

curl ipinfo.io выдает

“city”: “Amsterdam”,
“region”: “North Holland”,
“country”: “NL”,
“loc”: “52.3740,4.8897”,
“org”: “AS207651 Hosting technology LTD”,
“postal”: “1012”,
“timezone”: “Europe/Amsterdam”,
“readme”: “Get the full potential of IPinfo - IPinfo.io”

у кого curl netflix.com проходит, скиньте где vps брали с беспроблемной оплатой в РФ.

Собственно, это и ответ на ваш вопрос, данная AS - AS207651 российскому провайдеру, в гео RU

Как вариант — добавить swap, оптимальнее всего — в виде zram.

apt install zram-tools

Затем поправить /etc/default/zramswap, увеличив значение в процентах до 70, и systemctl restart zramswap.

Спасибо! Вроде помогло)

Помогите решить проблему с доступом на сайт meta.com, имеется шлем VR, который необходимо привязать к аккаунту META, установлен собственный сервер с помощью LXD, всё работает хорошо, но вот сайт meta.com никак не хочет открываться, подскажите куда копать. Заранее спасибо.

Вопрос решился после добавления домена в include-hosts-custom.txt, правда пришлось подождать некоторое время, чтобы он начал пропускать.

Добрый день, есть ли возможность как нибудь использовать днс резолвер как сервер, а не тунельный с блокировкой днс компьютера? Но при этом чтобы впн так же работал только на заблокированных сайтах. из-за этого windows постоянно говорит что нет сети, хотя она есть. Это на работоспособность в основном не влияет, но раздражает немного, особенно когда приложения доверяют винде в определении доступности интернета.

Коллеги, как диагностировать такое поведение:

1. Ночью пропал интернет на VPS на полчаса.
2. С утра проснулся, смотрю - был даунтайм. Лезу проверять сайты - работают частично (например инстач пашет, твиттер-тижорнал не пашет, пишет Could not resolve DNS, пинги и в правду не резолвят имя).
3. Начал смотреть клиентскую часть - по перетыкал соединение, по перезагружал роутер. Не помогло.
4. Подключился с OpenVPN клиента с телефона через 4G / tcp - тоже сайты открываются частично. То есть, проблема не на клиенте, а на сервере.

Смотрю на сервер, там с аптаймом все в порядке, curl / telnet по запрещенным ресурсам без проблем ходит. Перезагрузил виртуалку, всё заработало.

Может ли быть, что kresd как то отваливается из-за долгого отсутствия интернета? Как добиться его (кресда) стабильной работы?

Перестал отдаваться контент гугл-фото ( lh3.googleusercontent.com )
Прописал домен в include-hosts-custom.txt, но, видимо, блокируется как-то по-другому.

PS C:\Users\ArchimedRT> tracert lh3.googleusercontent.com

Трассировка маршрута к googlehosted.l.googleusercontent.com [142.250.185.65]
с максимальным числом прыжков 30:

  1     4 ms     1 ms     1 ms  MI-R3G [192.168.1.1]
  2     1 ms     1 ms     1 ms  10.16.255.135
  3     1 ms     1 ms     1 ms  10.16.248.225
  4     3 ms     3 ms     3 ms  10.16.248.218
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     3 ms     3 ms     3 ms  10.16.248.253
  7    53 ms    53 ms    54 ms  ae10-493.rt.itp.kzn.ru.retn.net [87.245.231.206]
  8    60 ms    61 ms    65 ms  ae5-9.rt.sl.spb.ru.retn.net [87.245.233.13]
  9    26 ms    27 ms    26 ms  gw-google.retn.net [87.245.228.199]
 10    26 ms    26 ms    27 ms  74.125.244.132
 11    39 ms    31 ms    30 ms  142.251.61.219
 12    32 ms    32 ms    32 ms  72.14.232.87
 13     *       64 ms    63 ms  142.251.239.32
 14    66 ms    63 ms    62 ms  209.85.245.31
 15    61 ms    59 ms    60 ms  108.170.251.193
 16    63 ms    62 ms    62 ms  142.250.62.151
 17    61 ms    61 ms    60 ms  fra16s48-in-f1.1e100.net [142.250.185.65]

Трассировка завершена.

Как понять, где проблема, и как ее исправить?

Такое может быть, попробуйте очистить кеш резолвера:
echo "cache.clear()" | socat - /run/knot-resolver/control/1

В контейнере версия kresd старая, но насколько помню, версии новее требовали перенастройки для корректной работы со stub-резолвером, перезаписывающим адреса, коим является репамминг-резолвер, так что лучше его не обновлять.
В свободное время соберу обновлённую версию контейнера, где такой проблемы, надеюсь, не будет.

Удалите домен googleusercontent из config/exclude-hosts-dist.txt.
Когда скрипты АнтиЗапрета создавались, они резолвили IP-адреса заблокированных доменов и добавляли IP’шники в список. На тот момент были вредоносные домены, устанавливающие себе IP-адреса легитимных, поэтому был создан такой список. С тех пор многое изменилось, а список остался. В то время не предполагалось, что такие крупные домены могут блокироваться гос. структурой.

Кстати, описаная мной проблема если что есть и на старой (из коробки версии антизапрета), так и на новой.

Под новой я вот что понимаю:
внутри LXC контейнера прописал свежие ключи и запустил apt update && apt-upgrade.
В итоге, сейчас у меня kresd 5.5.2, всё работает, но вот такая канитель случается.

Спасибо за очистку кэша, как-нить выцеплю и попробую полечить (а может есть даже смысл в крон прописать, нехай он каждую ночь чистит)

Не помогло.
А вот когда подключаюсь через альтернативный конфиг (пуск всего трафика по инструкции), то все работает корректно.

Вероятно, вы забыли обновить лист после редактирования файла исключений, либо же googleusercontent еще где-то присутствует в качестве исключения.

Присоединяюсь, тоже не грузят гуглфото и аватарки в гуглтаблицах.

Удаление googleusercontent.com из exclude-hosts-dist.txt и добавление в include-hosts-custom.txt (после этого естественно был выполнен doall, сброшен кэш кнота и выждано время) - не помогло.
Симптомы - пинги до *.googleusercontent.com не заворачиваются в тоннель (а идут через интернет как у Архимеда).

но в exclude-regexp-dist.awk был обнаружен еще (/googleusercontent.com/) {next}.
и вот удаление его вопросики порешало, то есть итого:

1. Удаляем строку гуглюзерконтент из exclude-hosts-dist.txt;
2. Добавляем строку в include-hosts-custom.txt;
3. Удаляем строку из exclude-regexp-dist.awk
   Затем doall, и погнали

Я пробовал удалять и из файла exclude-regexp-dist.awk, но после этого у меня даже пинг до lh3.googleusercontent.com не идет.
Причем, с альтернативным конфигом с пуском всего трафика тоже перестает открываться

Убедитесь, что после изменения не забыли запустить doall, а также очистите кеш knot-resolver (если домен резолвится в настоящий IP-адрес, а не в 10.224.x.x, то дело в кеше либо knot, либо ОС).

может вы прям lh3.googleusercontent.com добавляете в include-hosts-custom.txt?
я все фигачил без сабдомена (ведь они меняются).

То есть, еще раз:

1. exclude-hosts-dist.txt - удаляем googleusercontent.com;
2. include-hosts-custom.txt - добавляем googleusercontent.com;
3. exclude-exclude-regexp-dist.awk - удаляем (/googleusercontent.com/) {next}
4. Дальше LANG=C.UTF-8 /root/antizapret/doall.sh и echo “cache.clear()” | socat - /run/knot-resolver/control/1
   И пинговать lh3.googleusercontent.com с компьютера-клиента, должен резольвиться 10.224.х.х. Если резольвится и пинги идут, то всё огонь.

Да все так и делал, и, наконец, после очередной попытки завелось.
Не знаю, что это было, возможно, помогла перезагрузка всех узлов сервер/роутер/комп. Хотя обычно правки применялись без таких заморочек

Скажите пожалуйста как заставить работать photos.google.com ?
в список include-hosts-custom.txt добавил, на телефоне приложение начало показывать фото и видео, но в веб версии на компьютере по прежнему нет
может еще какие то адреса нужно добавить?

мы тут 11 дней это обсуждаем, проскрольте вверх.

я в точности проделал все что вы написали в комментарии, но что то у меня в веб версии не показывает картинки все равно. у вас работает?

у меня рабоатет. Подождите какое-то время, возможно закэшировалось на компе/роутере.

я бы на компе с виндой уже сделал ipconfig /flushdns, перегрузился бы и иконгнито чекнул гугл-фото.
(ну и пинг lh3.googleusercontent.com само собой)

Проблема правда есть, помогите пожалуйста разобраться:

1. На MacOS и iOS все отлично – сразу же заработало и стало грузить фото и домен lh3.googleusercontent.com резольвится с 10.224
2. На Windows и Android не работает вообще, при попытке пингануть “При проверке связи не удалось обнаружить узел lh3.googleusercontent.com”

Перезагружал и ПК, и роутер, и VPN, и сервер)

Вестимо дело в кэше конкретных устройств.

Подождите часик.

Что удивительно, все также, даже на компьютере без кэша
А на MacOS и iOS все работает на нескольких разных устройствах

Домен не пингуется с VPN, сразу выдается ошибка “При проверке связи не удалось обнаружить узел lh3.googleusercontent.com”

то же самое на win desktop

Ну дак чекайте шаг за шагом.
Раз винда не пингует, а с соседних устройств при подключении к тому же роутеру все ок, то дело в винде.
Флушайте днс, проверяйте днс серверы (что бы не было публичных внешних днс), попробуйте принудительно выдать компу с виндой другой айпишник в локальной сети (если антизапрет на роутере).

так а чего там чекать-то?
правки внесены,
сервер перезагружен,
десктоп перезагружен

PS C:\Users\pc> nslookup lh3.googleusercontent.com
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

Не заслуживающий доверия ответ:
Не заслуживающий доверия ответ:
╚ь : lh3.googleusercontent.com

фсё

остальные правки по нетфликсу,
гугломаркету,
и проч…
прекрасно заводились с полпинка,

метод где-то недоделанный

хе-хе,

а вот

PS C:\Users\pc> nslookup lh4.googleusercontent.com
╤хЁтхЁ: UnKnown
Address: 192.168.1.1

Не заслуживающий доверия ответ:
╚ь : googlehosted.l.googleusercontent.com
Address: 10.224.0.3
Aliases: lh4.googleusercontent.com

прогружается

о чем я и говорю - дело в кэше.
у вас кинетик? выдайте принудительно конечному устройству другой айпишник, что бы кинетик (или любой другой роутер) сбросил привязку конечное устройство <> узел назначения. Можете на компе вбить статикой какой-нибудь рандомный ип из 192.168.1.х и чекнуть.

кстати, линуксоиды,
как сделать правильно команду
lxc exec antizapret-vpn – “echo “cache.clear()” | socat - /run/knot-resolver/control/1”

если делать так – ругается на кавычки

хз,
при чём здесь кэш именно в этом случае,
раньше роутер у меня больше месяца иногда работал, ничё с ним не делал,
только правки на сервер вносил,
для гарантии сервер рестартил и комп – хватало всегда

но спорить не буду

Смена айпишника внутри сети помогла?

Мне - нет
VPN приложение на ПК, роутер не поддерживает

перед кавычками около кэш.клира поставить бэкслеши \ ( \"cache.clear()\" )

обычно, в такие моменты когда все настроено корректно (а у вас настроено верно, т.к с мака проблем нет) - я обычно забиваю на вопрос до завтра, и с утра всё работает. ))

Хз короче что делать, если перезагрузка всего не помогла. Только имхо ждать

@ValdikSS я в курсе, что ipv6 вырезан в контейнере… Может есть какой-то способ включить его? Понятно, что на свой страх и риск, но все же… Потестить бы интересно было.

Подтверждаю, на всех устройствах с Windows заработало спустя сутки
Видимо на них есть какой-то кэш, который не сбрасывается ни с ребутом, ни с ipconfig /flushdns

а сюда
lxc exec antizapret-vpn – nano /root/antizapret/scripts/getzones.awk
…appspot|my1|hwcdn|googleusercontent).[^.]+$/))
не надо было добавлять?
спрашиваю потому, что не разбираюсь во внутренней логике

нет.
Пользуйтесь lxc exec antizapret-vpn -- /bin/bash, удобней же.

Доброго времени суток! В связи с тем что на впске и так много чего у меня крутится, и того мало свободных ресурсов на нем. Сработает ли такая схема. Дома ставлю сервак, протягиваю тунель до впски(Wireguard, Zerotier или какойнить ipsec), и весь его трафик кидаю туда. И если оно так сработает, мб получиться тогда завести контейнер под rpi3?

Как ни странно схема сработала. Только в ovpn файле поменять айпишник на локальный надо. Думаю можно любой платный/безплатный впн под это дело включить. Осталось все это дело под малинкой запустить

Да, сработает. У меня так настроено.
wg туннель из контейнера на удалённую vps всего трафика, в исключение нужно поставить ip адрес vps.
Калькулятор AllowedIP для wireguard легко гуглится

Привет. Использую контейнер АнтиЗапрета на сервере Oracle Cloud. Подключение настроено на роутере. В пятницу заметил, что при поднятом VPN не резолвится citilink.ru. На всякий случай переустановил контейнер. Из контейнера citilink.ru нормально резолвится, а вот с хоста Oracle Cloud почему-то нет.
ubuntu@instance:~$ nslookup citilink.ru
Server: 127.0.0.53
Address: 127.0.0.53#53

** server can’t find citilink.ru: SERVFAIL
Странная ситуация, но насколько я понимаю, проблемы хоста не должны мешать, или я не прав?
Пробовал добавить citilink.ru в exclude-hosts-custom.txt (запускал doall, очищал кэш) не помогло. Есть идеи почему такая проблем возникла и как с ней побороться?

Вероятно, NS-серверы домена заблокировали сетевой доступ для IP-адреса вашего сервера.
Можно настроить резолв конкретно этого домена через публичный DNS-резолвер. Добавьте в конец конфигурационного файла /etc/knot-resolver/kresd.conf:

policy.add(
    policy.suffix(
        policy.FORWARD(
            {'77.88.8.8'}
        ),
        policy.todnames({'citilink.ru.'})
    )
)

Этой ночью опять отпадал провайдер VPS на десять минут, и опять с утра когда я полез проверять обнаружил следующее:
0. Отпадала именно сеть на VPS, аптайм ништяк.

1. OpenVPN-соединение восстановилось без проблем и сразу как появился инет.
2. “Легальные” сайты грузились и резольвились так же ок.
3. А вот все что заворачивается внутрь контейнера не работали. Клиенты просто получали Could not resolve www.instagram.com

Очистка кэша не помогла. На всякий случай пересоединил OpenVPN и тоже не помогло. Помогла перезагрузка VPS.

Всё это странно (странно, что условный ya.ru продолжает резольвиться нормально, а запрещенка нет. У нас же все DNS-запросы идут через kresd. И вот он, легальное пропускает, а нелегальное даже не резольвит до ребута…

Может я путаю конечно, и на самом деле DNS запросы шли через условные 1.0.0.1 (который прописан в антизапрете у меня), но фиг знает.
В любом случае, как бы это всё покрасивее исправить? Что бы не топорный ребут “раз в сутки/по потере сети”, а как-нибудь элегантнее бы…

Возможно, dnsmap-сервер перестаёт отвечать.
В следующий раз, когда пропадёт интернет на сервере, запустите:
dig ya.ru @127.0.0.4.

@ValdikSS
Добрый день, подскажите как устранить утечку dns внутри контейнера антизапрета?

Снимок экрана 2022-10-07 в 15.50.011562×664 38.8 KB

Утечки DNS нет, это IP-адрес вашего сервера.

Удалено

Прошу прощения, если вопрос глупый и/или уже явно задавался, но подскажите, работает ли контейнер на arm архитектуре?

Тоже интересно.
Хочу развернуть на Armbian. Был ли у кого опыт?
Сам не имею опыта, настроил PiVPN и хотел бы дополнительно использовать “Антизапрет” для использования на своем VPN.

Спасибо!

@faligor, @mvrvntn, код должен работать на ARM, но готовый образ контейнера не собирался под эту архитектуру. Можете попробовать собрать его самостоятельно.

айфон и андроид openvpn - инстаграм не может загрузить часть постов и видео
они не открываются по ссылке, а в ленте профиля вообще отсутствуют
если подключить любой бесплатный впн, то проблема пропадает

• я пробовал делать 2 сервера на разных впс на разных локациях (hetzner)
  один сервер LXD и второй systemd-machined, не помогает

• я настроил outline vpn на том же хостинге и локации и через него все посты видно

• я пробовал добавлять вручную в include hosts custom

• проблема не только в приложении инстаграм но и через браузер

не понимаю как такое возможно?
вот пример такого видео https://www.instagram.com/reel/CjxYKmII0Sz/?igshid=YmMyMTA2M2Y=

Откройте инструменты разработчика браузера (F12), перейдите во вкладку “сеть” и посмотрите, на какие домены отправляются запросы.

Я полный нуб в юниксах и компилировании из реп. Такой вопрос,
если я хочу чтоб антизапрет работал из под малинки 3B+ то мне достаточно просто запустить build.sh из репозитория?({стоит убунту серв 22.10}понятно что надо еще установить нечто mkosi и вроде все? ну и после lxd или по machinectl уому что больше нравится)
Просто для RPi3B+ это скорее всего будет ну ооочень долго компилиться, можно ли как-то на своем компе собрать для малинки?(желательно с картинками для таких как я)
А может кто-то собрал для такой малинки? Не поделитесь опытом, что, да как там все? (тоже с картинками пояснениями)

Выходит такая ошибка, кажется ему не хватает некоторых пакетов
I: Base system installed successfully.
Reading package lists… Done
Building dependency tree… Done
Note, selecting ‘bind9-host’ instead of ‘host’
E: Unable to locate package knot-resolver
‣ Error: Workspace command /usr/bin/apt-get --assume-yes --no-install-recommends --auto-remove install inetutils-ping vim-tiny sipcalc idn dbus gawk wget dnsuti ls ipcalc iptables knot-resolver systemd ferm ca-certificates unattended-upgrade s openvpn openssl host bash systemd-sysv python3-dnslib procps git bsdmainutils libpam-systemd nano curl returned non-zero exit code 100.
‣ (Unmounting Package Cache)
‣ (Unmounting image)

Подскажите, как изменить время обновления списков блокировки? Сервер слабенький, раз в шесть часов интернет зависает на продолжительное время.

А можно узнать насколько слабый сервер и в какое время суток обновляются базы?

Процессор: 1 ядро, Память: 512 Mb, Диск: 5 GB SSD. Базы обновляются каждые шесть часов начиная с момента запуска контейнера. Проблему решил переустановкой.

Хорошо, спасибо, а то я установил на такую же конфигурацию, посмотрю как будет работать)

Возвращаясь к непонятной проблеме с пропаданием кнота (точнее резольвинга через туннель).
dig www.instagram.com @127.0.0.1

; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> www.instagram.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56723
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;www.instagram.com. IN A

;; Query time: 0 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Nov 02 13:36:15 UTC 2022
;; MSG SIZE rcvd: 46

Диг делаю изнутри lxc контейнера, то есть контейнер не может отрезольвить инстач.

После ребута виртуалки, тот же самый диг изнутри контейнера четко резольвит всё.

Контейнер крутится на впске с 1гб рам и за две недели аптайма с 833мб занимает уже 918. Это нормальная работа, или через несколько дней он уткнется в нехватку места?

У меня на debian 11 с 1gb ram уже больше полугода аптайм

top -i
MiB Mem : 976.4 total, 162.4 free, 462.7 used, 351.3 buff/cache

Надо еще понимать что какая-то часть памяти уходит под кэш, то что её мало в free еще ни о чем не говорит

Я тоже подумал что возможен такой вариант, поэтому и хотел спросить как у других работает на таком объеме памяти, спасибо!

MiB Mem : 991.4 total, 75.8 free, 751.3 used, 164.3 buff/cache

Добрый день.
Решил разгрузить свой роутер и поднять отдельный контейнер на сервере, чтобы гонять через него трафик. Решил поделиться решением, возможно у кого-то какие-то дополнения ещё будут.

НАТить всё это дело оказалось неправильным решением, поэтому я анонсировал свою локальную сеть в контейнере антизапрета банально через ip r add 192.168.1.0/24 dev vpn-tcp. На роутере прописал маршрут до 192.168.104.0/22 через свой контейнер, всё пингуется, супер.
Захожу в контейнер антизапрета, открываю /etc/ferm/ferm.conf, добавляю переменную для своей сети и видоизменяю правила по аналогии с существующими, у меня получилось вот так:

table nat {
        chain dnsmap {}
        chain PREROUTING {
                # DNS redirection
                saddr $VPNUDP_RANGE daddr ! $VPNUDP_DNS proto udp dport 53 mod u32 u32 '0x1C & 0xFFCF = 0x0100 && 0x1E & 0xFFFF = 0x0001' REDIRECT to-ports 53;
                saddr $VPNTCP_RANGE daddr ! $VPNTCP_DNS proto udp dport 53 mod u32 u32 '0x1C & 0xFFCF = 0x0100 && 0x1E & 0xFFFF = 0x0001' REDIRECT to-ports 53;
                saddr $LOCAL_NET daddr ! $VPNTCP_DNS proto udp dport 53 mod u32 u32 '0x1C & 0xFFCF = 0x0100 && 0x1E & 0xFFFF = 0x0001' REDIRECT to-ports 53;

                # dnsmap
                saddr $VPNUDP_RANGE daddr $VPNUDP_DNS ACCEPT;
                saddr $VPNTCP_RANGE daddr $VPNTCP_DNS ACCEPT;
                saddr $LOCAL_NET daddr $VPNTCP_DNS ACCEPT;

                saddr ($VPNUDP_RANGE $VPNTCP_RANGE $LOCAL_NET) daddr ! $DNSMAP_RANGE CONNMARK set-mark 1;
                saddr ($VPNUDP_RANGE $VPNTCP_RANGE $LOCAL_NET) daddr $DNSMAP_RANGE jump dnsmap;
        }
        chain POSTROUTING {
                saddr ($VPNUDP_RANGE $VPNTCP_RANGE $LOCAL_NET) MASQUERADE;
        }
}

Сохраняю, перезапускаю контейнер антизапрета, захожу на роутер, прописываю маршрут до 10.224.0.0/15 через айпи своего контейнера, пингую rutracker.org:

[admin@home-01] > ping rutracker.org
  SEQ HOST                                     SIZE TTL TIME       STATUS        
    0 10.224.0.2                                 56  56 50ms329us 
    1 10.224.0.2                                 56  56 49ms718us 
    2 10.224.0.2                                 56  56 49ms510us 
    3 10.224.0.2                                 56  56 49ms713us 
    4 10.224.0.2                                 56  56 49ms914us 
    sent=5 received=5 packet-loss=0% min-rtt=49ms510us avg-rtt=49ms836us 
   max-rtt=50ms329us

И наконец:

[admin@home-01] > /tool/fetch https://rutracker.org
  status: failed

failure: closing connection: <301 Moved Permanently location="https://rutracker.or
g/forum/index.php"> 10.224.0.1:443 (5)

Редиректит куда надо, а значит всё супер.

Нюанс - из-за duplicate-cn могут возникнуть проблемы, если вашим конфигом овпн пользуются много людей. В моём случае, у контейнера в 99% случаев айпи адрес не изменяется

upd.
Всё-таки не совсем всё супер.
С роутера адреса прекрасно прогружаются и всё работает, но с компьютера всё равно работает процентов на 20. Пытаюсь открыть рутрекер - не грузится, но пингуется. Пингую компьютер с контейнера антизапрета - не пингуется. Проходит какое-то время - начинает пинговаться и открываться. Открываю другой заблоченый сайт - не открывает и перестаёт пинговаться. Роутер, при этом, с контейнера стабильно отвечает. Мистика какая-то.

Короче, ровно 15 суток без падений и контейнер перестает резольвить.
15 дней 28 минут аптайм, при том что сама виртуалка за эти 15 суток имеет 100% аптайм.

@ValdikSS , там в конфигах ничего не происходит на 15 суток 30 минут случайно? Например каждые 360 часов что-то должно произойти, или типа того…

В итоге у меня осталось 2% оперативки и работать вся эта конструкция перестала)) перезагрузил вирт машину, заработала, но все равно занимает места больше заявленного: 850 мб озу и 5,5гб. С чем мб связано? Если это какой-то кэш, разве он должен сам очищаться?

Список актуален?

Подскажите, какие минимальные разрешения нужно выдать на файрволле для работы контейнера на базе nspawn? На сервере из коробки, где вообще никакого файрволла не стояло всё работало. Теперь написал простенький конфиг, ограничив input и forward (разумеется разрешив 1194 по TCP/UDP) всё сломалось.

Кажется разобрался. Для работы потребовалось добавить два правила:

1. iifname ve-antizaprBO3Q accept в input цепочку.
2. iifname ve-antizaprBO3Q accept в forward цепочку.

И теперь важно перезапустить ещё и systemd-nspawn@antizapret-vpn.service:

$ sudo systemctl restart systemd-nspawn@antizapret-vpn.service

Так как systemd сверху накидывает NAT-правила для systemd-nspawn.

Всем привет. Совершенно неожиданно сервис стал считать страницу входа в ЛК налоговой заблокированной: lkfl2.nalog.ru
Несмотря на то, что через мобильный интернет спокойно можно войти.
Но это полбеды, указанный домен просто отказывается резолвиться:
dig lkfl2.nalog.ru @127.0.0.1 выдаёт SERVFAIL, хотя
dig lkfl2.nalog.ru @127.0.0.4 работает.
Добавление доменов в exclude-hosts-custom.txt не помогло. Кто-нибудь может объяснить, что вообще произошло и что нужно сделать?

Сутки скачать не могу , скорость около 64 кб и после 5% ошибка

https://antizapret.prostovpn.org/container-images/az-vpn/rootfs.tar.xz

Тоже не скачивается. Ни rootfs.tar.xz, ни container-images/az-vpn
Сейчас какие-то проблемы на серверах с образами?

HTTP request to https://antizapret.prostovpn.org/container-images/az-vpn/rootfs.nspawn failed with code 404.

Это налоговая заблокировала не-российские резолверы DNS.

Добавьте в конфигурационный файл правило, переадресующие резолв этого домена через Яндекс DNS, например: Контейнер VPN АнтиЗапрета для установки на собственный сервер - #372 by ValdikSS

@xirrurg, @Gmarapet, сейчас должно быть нормально. Хостинг-провайдер ограничивает скорость канала сервера из-за нарушение fair use policy.

@Ulta, так и должно быть, это не ошибка.

Не могу сказать. Можете добавить zram на ваш сервер, в качестве временной меры.

Нет, ничего такого.

ну, короче у меня как по расписанию, на каждые 14 сутки нафиг все работает перестает.
В итоге ребутаю виртуалку по крону раз в неделю ночью, так работает стабильно

Добрый день. Не получается выполнить первый шаг

root@xxxxxxx:~# lxc image import https://antizapret.prostovpn.org/container-images/az-vpn --alias antizapret-vpn-img
Error: read tcp x.xxx.xx.xx:60516->195.123.208.131:443: read: connection reset by peer

lxc --version
5.9

Distributor ID: Ubuntu
Description:    Ubuntu 22.04.1 LTS
Release:        22.04
Codename:       jammy

@ValdikSS

Первый этап заменить на это:

curl -OLC - https://raw.githubusercontent.com/nzkhammatov/container-images/main/az-vpn/lxd.tar.xz

lxc image import lxd.tar.xz --alias antizapret-vpn-img

Скачает со стороннего ресурса. Сравните отпечатки с файлом:
https://antizapret.prostovpn.org/container-images/az-vpn/lxd/lxd.tar.xz

Спасибо. Вчера вечером получилось скачать с https://antizapret.prostovpn.org/container-images/az-vpn/lxd/lxd.tar.xz и импортировать как локальный образ

Привет. Развернул на scaleway инстанс с антизапретом, все работает, супер. Но подскажите - как добавить доменное имя в список проксируемых через VPN? Конкретно хочется ChatGPT попробовать, а в РФ как известно не дают.

Ваш вариант наверное вот этот: machinectl shell antizapret-vpn

Списки находятся здесь: cd /root/antizapret/config

Добавить сюда: nano include-hosts-custom.txt

Применить изменения: /root/antizapret/doall.sh

Добрый день. Установил контейнер на сервер с помощью systemd-machined по инструкции. Все хорошо работает, но результат работы по инструкции это один файл ovpn. Как сделать несколько для разных устройств/друзей/родственников? Если я буду делиться этим единственным файлом, то будут проблемы так как все начнут под одной учеткой долбиться на сервер.

Не будет проблем, там в конфиге OpenVPN на сервере включена поддержка множественных подключений.

Multiple clients are allowed to connect to the OpenVPN server using the same pair of cert/key if duplicate-cn (allowing duplicate common name) is present in OpenVPN server’s configuration file.

Я делал по этой инструкции Bitbucket
Не знаю как он настроен и есть ли там duplicate-cn

То есть я просто ввел нужные команды и все заработало, но по опыту знаю, что одним файлом для всех пользоваться плохая затея.

Если изначально контейнер настроен так, что одним файлом можно пользоваться, то вопрос снимается.

всем привет,
кто может подсказать в чем проблем - на padavan’е не хочет подключаться в личному серверу antizapret’а, при том с подключением к vpn.antizapret.prostovpn.org проблем нет
в теории же достаточно заменить адрес и сертификаты с ключом, правильно? но никак не работает(

лог:

openvpn-cli[1346]: DEPRECATED OPTION: --cipher set to 'AES-128-CBC' but missing in --data-ciphers (AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-128-CBC' to --data-ciphers or change --cipher 'AES-128-CBC' to --data-ciphers-fallback 'AES-128-CBC' to silence this warning.

openvpn-cli[1347]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts

с vpn.antizapret.prostovpn.org тоже бывают такие ошибки, но подключается без проблем
конфиг: 2023-01-07-13-37-06 — ImgBB

доп параметры:

### If your server certificates with the nsCertType field set to "server"
remote-cert-tls server

### Process priority level (0..19)
nice 0

### Syslog verbose level
verb 0
mute 10

auth-nocache
ignore-unknown-option block-outside-dns

#adguard home
route 9.9.9.10
route 149.112.112.10

а не, сейчас подкючился, спустя 40 минут после ребута
магия какая-то

upd
оказалось, что личный сервак чувствителен к точности времени, в отличии от vpn.antizapret.prostovpn.org
роутер не коннектилсяя ко старым ntp сервакам, поменял их и всё взлетело

Всем привет, развернул LXC на VPS ВДСины. При попытке присоедениться к некоторым сайтам (например insta) появляется ошибка с таймаутом, другой сайт лицокнижной компании, грузится и пишет “Error” в title. Кто нибудь сталкивался с этой проблемой? Некоторые сайты работают нормально. По IP видно что резолвятся VPNские имена. Когда использовал общий сервис то по этим сайтам запросы проходили.

Скрин

Зависание1097×660 29.4 KB

Ubuntu 22.04 Процессор: 1 core Память: 1 ГБ

Проверьте: Контейнер VPN АнтиЗапрета для установки на собственный сервер - #327 by cloud

…

Большое спасибо, извиняюсь за то что потревожил, по ошибке создал VPS в РУ сегменте. А я ещё удивлялся почему это пинг 3

Добрый день. А инстаграм у всех работает? Ранее настроил контейнер на своем сервере и добавил соц. сети по инструкции Контейнер VPN АнтиЗапрета для установки на собственный сервер - #127 by ValdikSS

Все работало несколько дней, а сегодня инстаграм перестал работать. Другие заблокированные сайты работают.

Сегодня все само заработало)

А можно как нибудь в контейнере добавить поддержку AES-256-CBC ?

Добрый день, а не поделитесь своими настройкам для openvpn ? В идеале если есть compose для Docker

Ответа не получил, но нашел compose файл для docker antizapret-vpn-docker/docker-compose.yml at master · xtrime-ru/antizapret-vpn-docker · GitHub. Теперь уже проблема при установке - вылетает с ошибкой. Никто не подскажет что надо поправить?

rpc error: code = Unknown desc = failed to solve with frontend dockerfile.v0: failed to read dockerfile: open /var/lib/docker/tmp/buildkit-mount1393985058/Dockerfile: no such file or directory

Добрый день.
Подскажите, какие значения используются в модуле c32 для iptables и что они “выделяют” и для чего?
Не могу найти описание именно этих параметров, так как никогда с ними не работал

# DNS redirection
saddr $VPNUDP_RANGE daddr ! $VPNUDP_DNS proto udp dport 53 mod u32 u32 '0x1C & 0xFFCF = 0x0100 && 0x1E & 0xFFFF = 0x0001' REDIRECT to-ports 53;
saddr $VPNTCP_RANGE daddr ! $VPNTCP_DNS proto udp dport 53 mod u32 u32 '0x1C & 0xFFCF = 0x0100 && 0x1E & 0xFFFF = 0x0001' REDIRECT to-ports 53;

Подскажите пожалуйста.
Signature verification succeeded.
Failed to rename to final image name to /var/lib/machines/.tar-https:\x2f\x2fantizapret\x2eprostovpn\x2eorg\x2fcontainer-images\x2faz-vpn\x2frootfs\x2etar\x2exz.\x225eebbbf7-38c92f8\x22: Operation not permitted

В ubuntu 22.04 не работает shell

root@antizapret:/# machinectl shell antizapret-vpn
Connected to machine antizapret-vpn. Press ^] three times within 1s to exit session.

Connection to machine antizapret-vpn terminated.

никак не могу побороть нерабочий инстаграм на компьютерах! причем на мобильных устройствах работает через приложение - работает, а через браузер - белый экран везде. Что посоветуете?

Попробуйте это, напимер: Не работает Instagram - #22 by ValdikSS.
И не пишите свой вопрос в первую попавшуюся тему, используйте поиск.

Здравствуйте! Огромное спасибо за проделанную вами работу.

Развернул по инструкции контейнер на VPS, всё работает, захотел в список сайтов добавить youtube:

root@antizapret-vpn:~# cat antizapret/config/include-hosts-custom.txt
ytimg.com
ggpht.com
googlevideo.com
youtube.com

Это работает:

C:\Windows\system32>ping youtube.com

Обмен пакетами с youtube.com [10.224.0.1] с 32 байтами данных:
Ответ от 10.224.0.1: число байт=32 время=271мс TTL=114
Ответ от 10.224.0.1: число байт=32 время=195мс TTL=114
Ответ от 10.224.0.1: число байт=32 время=195мс TTL=114
Ответ от 10.224.0.1: число байт=32 время=195мс TTL=114

Статистика Ping для 10.224.0.1:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 195мсек, Максимальное = 271 мсек, Среднее = 214 мсек

Но youtube не загружается до конца: открывается его главная страница с ошибкой “Нет доступа к интернету” (скриншот во вложении)

Добавлял найденный в интернете “полный список доменов youtube” - не помогло.

Подскажите, как починить?

screenshot1101×675 34.2 KB

Добавить сюда

/root/antizapret/config/include-hosts-custom.txt

youtube.com
youtu.be
ytimg.com
ggpht.com
googleusercontent.com
googlevideo.com
google.com
googleapis.com

Удалить отсюда
В скобках количество записей требующих удаления.

/root/antizapret/config/exclude-hosts-dist.txt

youtube.com (2)
youtu.be (1)
ytimg.com (3)
ggpht.com (2)
googleusercontent.com (1)
googlevideo.com (0)
google.com (0)
googleapis.com (0)

Тоже удалить

/root/antizapret/config/exclude-regexp-dist.awk

(/googleusercontent.com/) {next}

Выполнить

/root/antizapret/doall.sh

никак не хочет открываться rt.ru
добавление в exclude-host(s)-custom.txt не помогает
в чем может быть проблема?

Большое спасибо, всё получилось! Youtube работает корректно и страну определяет правильно.

Подскажите, а можно как-то весь траффик пустить через АнтиЗапрет?

если кто тоже столкнулся с проблемой с доступом к rt.ru, как у меня, то всё решилось добавлением вот этих строчек в конце файла /etc/knot-resolver/kresd.conf

policy.add(
    policy.suffix(
        policy.FORWARD(
            {'77.88.8.8'}
        ),
        policy.todnames({'rt.ru'})
    )
)

Если речь о вашем сервере (в этом топике обсуждается именно установка на свой сервер), то настройте OpenVPN по любому мануалу с пропуском всего трафика, зачем вам Антизапрет? Мануалов как настроить на своём сервере OpenVPN в интернете просто уйма.

Если речь об antizapret.prostovpn.org, то нет, нельзя, трафик у хостера не бесплатный и пока трафика сравнительно немного, то расходы покрываются донатами. Если пропускать весь трафик (один ютуб генерирует уйму трафика), то расходы на трафик и нагрузка на серверы заметно вырастут.

Установил контейнер АнтиЗапрет на свой VPS Нидерланды. Работает норм, но захожу на deviantart.com сайт открывает, а вот картинки нет. Кто нибудь сталкивался? Подскажите ребят?

привет, добавь wixmp.com в include-hosts-custom.txt

Заработало! Спасибо)

Глупый вопрос: при редактировании в нано например include-hosts-custom.txt после перезапуска все домены сливаются в одну строчку и перестают работать. Через «echo…» все работает понятное дело. Что я делаю не так?)

Парни проверьте пожалуйста на личном Анизапрете сайт почта ру открывает не? На общем норм и если у кого работает, то какие домены вписывали в include…?

Речь о моем сервере. Но, я не хочу постоянно проксировать весь трафик, антизапрет включен всегда, но иногда возникает необходимость попасть на какой-то сайт через VPN, например если он сам блокирует российские адреса. Поэтому возможность быстро переключиться на проксирование всего трафика была бы достаточно удобна.

Это выделение байтов, характерных для DNS-запроса. Конкретно — Flags: recursion и questions: 1

Вы точно редактируете в nano, а не в Windows, через SFTP? Может, вы вставляете из блокнота из Windows? Похоже на несовместимость в переносах строки.

Помогите пожалуйста, при использовании общедоступного антизапрета - инстаграм работает отлично везде.
Но тот, который собрал я - не дает работать инстаграму в браузере на всех устройствах! только в приложении.
в сафари белый экран, в хроме HTTP ERROR 429

вот это решение помогает. но нужно на всех браузерах же это делать? Не работает Instagram - #21 by ValdikSS

может есть глобальное решение? в обычном антизапрете же как то сделали!

У вас сам веб-сервер ответ возвращает? Соединение устанавливается, HTTPS-сертификат корректный?
Если да — вас блокирует сам сервис.

Точно не винда – делал в терминале мака. Потом попробовал то же самое в Термиусе, там все отлично)
Спасибо вам за работу!

Нет готового списка для include-hosts тех сайтов что запрещают доступ из рф? Каждый сам сейчас добавляет в свой список, но так замучаешься.

Подскажите пожалуйста:

google.com почему-то заворачивается через антизапрет-контейнер, а google.ru при этом всё ок.
gofile.io аналогично заворачивается в контейнер.
добавление в exclude-hosts-custom помогло, но вопрос: из-за каких правил оно вообще туда попало?

UP: по gofile.io понятно, заблокирован.
Тогда усложню вопрос, как в контейнере оставить gofile.io, но исключить *.gofile.io, ибо на файлообменнике все файлы лежат на субдоменах, и заблокирована, наверное, только морда

такой ответ нормально?

Доброго! Кому не сложно можете посмотреть что не так https://firstbyte.ru тариф MSK-KVM-SSD-START да в России но работает единственное инста притормаживает приложение пишет что нет инета но потом работает и так постоянно

Не занимайтесь мазохизмом и используйте VPS не в России.

Такой возможности в существующих скриптах нет.

Часть провайдеров блокируют всю зону. Иными словами, блокировка gofile.io равнозначна блокировке *.gofile.io.

добрый день! удалось решить проблему? у меня такая же проблема именно при работе со своим сервером, причем указанное по ссылке решение тоже не работает, решение работает только если сам сайт Instagram открывается, но не проходит авторизация, у меня не грузится ничего - сайт сразу выдает ошибку 429

Проблема в сервере, а не софте. Сам сайт блокирует доступ с IP-адреса вашего сервера.

Перенес сервер на другой IP, проблема осталась, все та же 429 ошибка, не может Instagram блокировать свежий IP, который не использовался ещё, так что, думаю, все же проблема не в блокировке IP, может, по какой-то причине происходит многократное обращение к серверам instagram?

Добрый. Какие то манипуляции надо делать на сервере в связи с этой новостью? Необходимо обновить файл VPN

Не

Нет.

не пора ли обновить контейнер?

Screenshot 2023-03-16 1815321287×46 19.9 KB

Доброго. Подскажите как пересоздать конфиг для клиентов с новыми ключами?

Добрый день.
Давно замечал, но уже прям совсем плохо стал работать инстаграм на антизапрете (не публичный, свой). Еле грузится, подвисает и т.д причем когда как, но в основном плохо. Ну стоит переключиться на этом же сервере на wireguard, когда весь трафик гоняется через впн, то там летает инста. С чем это может связано? Установлен через systemd-machined.

А иногда бывает, приходится start stop контейнера делать, чтобы стали открываться хоть какие то закрытые сайты. Но это другая думаю история.

Хотя вот кажется после ребута сервиса, инстаграм прям отлично работать начинает.

Возможно я ошибаюсь, но в имидже контейнера отсутствует файл /root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn и установка ломается.

fine, i’ll do it myself (c)

кароч попытался самолично обновить контейнер - поменял source.list на “свежий” дебиан 11, итого теперь не работает сеть в контейнере, куча демонов в состоянии failed и проч, как говорится - “не пытайтесь повторить это дома”, сейчас буду из бэкапа разворачивать…

Этот файл создаётся автоматически при первом запуске контейнера. Если у вас он не создаётся, скорее всего, у вас нет интернета в контейнере.

Mar 27 16:08:04 antizapret-vpn systemd[1]: Failed to start Knot Resolver daemon.
root@antizapret-vpn:~# systemctl status kresd@1.service
● kresd@1.service - Knot Resolver daemon
   Loaded: loaded (/lib/systemd/system/kresd@.service; enabled; vendor preset: enabled)
  Drop-In: /etc/systemd/system/kresd@.service.d
           └─override.conf
   Active: failed (Result: signal) since Mon 2023-03-27 16:08:04 UTC; 1min 13s ago
     Docs: man:kresd.systemd(7)
           man:kresd(8)
  Process: 480 ExecStart=/usr/sbin/kresd -c /usr/lib/knot-resolver/distro-preconfig.lua -c /etc/knot-resolver/kresd.conf -n (code=killed, signal=KILL)
 Main PID: 480 (code=killed, signal=KILL)

Mar 27 16:08:04 antizapret-vpn systemd[1]: kresd@1.service: Service RestartSec=100ms expired, scheduling restart.
Mar 27 16:08:04 antizapret-vpn systemd[1]: kresd@1.service: Scheduled restart job, restart counter is at 5.
Mar 27 16:08:04 antizapret-vpn systemd[1]: Stopped Knot Resolver daemon.
Mar 27 16:08:04 antizapret-vpn systemd[1]: kresd@1.service: Start request repeated too quickly.
Mar 27 16:08:04 antizapret-vpn systemd[1]: kresd@1.service: Failed with result 'signal'.
Mar 27 16:08:04 antizapret-vpn systemd[1]: Failed to start Knot Resolver daemon.

Что не так?

Возможно, oom-killer убивает процесс. Проверьте dmesg.

root@antizapret-vpn:~# dmesg
dmesg: read kernel buffer failed: Operation not permitted

root@antizapret-vpn:~# /usr/sbin/kresd -c /usr/lib/knot-resolver/distro-preconfig.lua -c /etc/knot-resolver/kresd.conf -n
[system] warning: hard limit for number of file-descriptors is only 4096 but recommended value is 524288
environment variable $SYSTEMD_INSTANCE not set
Killed

ubuntu 20.04
Cores 1 / RAM 0.5 Gb / Disk 5 Gb
machinectl

Update:
[ 4209.874638] Out of memory: Killed process 4944 (kresd) total-vm:407996kB, anon-rss:274432kB, file-rss:0kB, shmem-rss:0kB, UID:1237450857 pgtables:688kB oom_score_adj:0

Необходим минимум гигабайт RAM. Описание в репозитории касательно требований устарели.

Понятненько, обидно. Спасибо за помощь. Попробую тариф обновить до гига.

Update:
Все сразу завелось.

а контейнер по адресу
https://antizapret.prostovpn.org/container-images/az-vpn
доступен?

не могу скачать

upd: была проблема у провайдера vps с маршрутами

https://antizapret.prostovpn.org/container-images/az-vpn/lxd/lxd.tar.xz
https://antizapret.prostovpn.org/container-images/az-vpn/rootfs.tar.xz

Добрый день.
Проблема с chat.openai.com

1. Добавил ссылку в include-hosts-custom.txt
2. Пингую, заворачивает в 10.224
3. Захожу на сайт по ссылке, Access denied и ниже мой реальный IP адрес

В чем может быть проблема?

Сегодня была такая же фигня — первый раз. До этого месяцы работало как часы. Тупо рестартнул контейнер и всё опять заработало.

доброго времени суток

прошу помощи
на днях потребовалось переустановить контейнер на CentOS 7 по этой инструкции

но что-то пошло не так,
по-моему я забыл ещё какие-то манипуляции записать сюда,
и теперь суть такая:
openvpn подключается,
домены резолвятся,
на незаблокированные с компа хожу, на заблокированные “десятки” – нет, пинга тоже нет

захожу на сам контейнер – с него все ресурсы тоже пингуются (заблокированные – по своим реальным ip) и трасировка ходит

что-то с “десятками” какая-то проблема на выход из контейнера

что-то с сетевыми интерфейсами там,
маршрутизацию между интерфейсами подкрутить,
бридж создать/прописать,…

я не помню…

В общем,
поставил пока на Ubuntu 20.04

apt-get update

apt-get -y upgrade

apt-get -y install nano mc lxd
• v.4

reboot

apt-get -y autoremove

lxd init
• What IPv6 address should be used? (CIDR subnet notation, “auto” or “none”) [default=auto]: none

reboot

lxc image import https://antizapret.prostovpn.org/container-images/az-vpn --alias antizapret-vpn-img
lxc init antizapret-vpn-img antizapret-vpn
lxc config device add antizapret-vpn proxy_1194 proxy listen=tcp:[::]:1194 connect=tcp:127.0.0.1:1194
lxc config device add antizapret-vpn proxy_1194_udp proxy listen=udp:[::]:1194 connect=udp:127.0.0.1:1194
lxc start antizapret-vpn
sleep 20
lxc file pull antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn

ufw default deny incoming
ufw default allow outgoing
ufw allow ssh
ufw allow 1194/tcp
ufw allow 1194/udp
ufw allow in on lxdbr0
ufw route allow in on lxdbr0

ufw enable

ufw status numbered

так сразу работает

пробовал с другими разными дистрибутивами ubuntu, и debian в т.ч., где в т.ч. lxd через snap ставится – везде какой-то геморрой,
надо пилить,
я недопилил

на machinectl с брандмауэром и так и эдак – победить тоже так и не смог

применил пока только эти твики:
• Контейнер VPN АнтиЗапрета для установки на собственный сервер - #329 by ValdikSS
• Контейнер VPN АнтиЗапрета + опциональный пуск всего трафика через VPN (на личном сервере) - #2 by ValdikSS
насчёт актуальности остальных надо посмотреть

p.s.: по CentOS

всё же если кто-то что-то подскажет – для меня актуально остаётся

p.p.s: всё-таки нужны доп. твики по google и fb (твиттор)

lxc exec antizapret-vpn – nano /root/antizapret/config/include-hosts-custom.txt

t.co
twimg.com
fbcdn.net
cdninstagram.com
fb.com
messenger.com
theins.ru
news.google.com
play.google.com
photos.google.com
netflix.com
api.fast.com
googleusercontent.com

lxc exec antizapret-vpn – nano /root/antizapret/scripts/getzones.awk

…appspot|my1|hwcdn|google|fast).[^.]+$/))

lxc exec antizapret-vpn – nano /root/antizapret/config/exclude-hosts-dist.txt
удаляем
googleusercontent.com

lxc exec antizapret-vpn – nano /root/antizapret/config/include-hosts-custom.txt
добавляем
googleusercontent.com

lxc exec antizapret-vpn – nano /root/antizapret/config/exclude-regexp-dist.awk
#(/googleusercontent.com/) {next}

lxc exec antizapret-vpn – bash
apt-get update
apt-get install socat -y
LANG=C.UTF-8 /root/antizapret/doall.sh
echo ‘cache.clear()’|socat - /run/knot-resolver/control/1
exit

Добрый день. Подскажите, как с минимальным вмешательством настроить контейнер антизапрета, чтоб он выступал локальным днс сервером в домашней сети и прозрачно для клиентских устройств обходил блокировки без использования openvpn?
p.s. подключить контейнер к VDS в Европе у меня получилось uplink в интернет без ограничений у контейнера есть, вопрос именно в том, чтоб другие пк в локальной сети могли к нему обращаться и маршрутизировать запрещенный трафик через него

Конфиг в роутер (например, keenetic) с поддержкой OpenVPN

самый простой и очевидный способ

Запустил контейнер с антизапретом на своем VPS, подключил на роутере и столкнулся с тем, что некоторые сайты не подподающие под запрет перестали открываться. Браузер ругается на DNS_PROBE_FINISHED_NXDOMAIN.
Например www.synology.com на компьютере не резолвиться
nslookup www.synology.com
Address: 192.168.1.1
DNS request timed out.
timeout was 2 seconds.

Попробовал на самой VPS, там все нормально.
nslookup www.synology.com
Server: 127.0.0.53
Address: 127.0.0.53#53
Non-authoritative answer:
Name: www.synology.com
Address: 52.85.49.76

В /etc/systemd/resolved.conf прописано DNS=94.140.14.14 149.112.112.112
В /etc/network/interfaces тоже прописано dns-nameservers 94.140.14.14 149.112.112.112

На команду systemd-resolve --status | grep ‘DNS Servers’ -A2
Выдает
DNS Servers: 94.140.14.14
149.112.112.112
DNSSEC NTA: 10.in-addr.arpa

Пробовал указывать другие сервера, результат не меняется.
В чем может быть проблема и где копать ?

В контейнере установлен рекурсивный резолвер, сторонние DNS-резолверы используются разве что для обновления листа и других системных целей.

Чтобы выполнить команду через резолвер, используйте:

host www.synology.com 127.0.0.1
dig www.synology.com @127.0.0.1

Возможно, с вашего IP-адреса недоступны NS-серверы этого домена.

host www.synology.com 127.0.0.1
;; connection timed out; no servers could be reached

Ответ есть только при указании 127.0.0.53

host www.synology.com 127.0.0.53
Using domain server:
Name: 127.0.0.53
Address: 127.0.0.53#53
Aliases:
www.synology.com has address 143.204.215.4
www.synology.com has address 143.204.215.73
www.synology.com has address 143.204.215.27
www.synology.com has address 143.204.215.53

dig www.synology.com @127.0.0.53
; <<>> DiG 9.16.1-Ubuntu <<>> www.synology.com @127.0.0.53
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 53375
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 65494
;; QUESTION SECTION:
;www.synology.com. IN A
;; ANSWER SECTION:
www.synology.com. 49 IN A 143.204.215.53
www.synology.com. 49 IN A 143.204.215.27
www.synology.com. 49 IN A 143.204.215.73
www.synology.com. 49 IN A 143.204.215.4
;; Query time: 0 msec
;; SERVER: 127.0.0.53#53(127.0.0.53)
;; WHEN: Wed Apr 05 23:47:37 MSK 2023
;; MSG SIZE rcvd: 109

Доброго времени суток! Не знаю, может быть не по адресу.
Установил свой сервак на vdsina.ru (ubuntu 22.04, 30 гигов места, гиг оперативки), есть проблема: ровно раз в месяц сервак просто отваливается. Нет соединения по адресу, хотя всё пингуется. Перезагрузка, в том числе и жёсткая, не помогает. Приходится восстанавливать из резервной копии, тогда начинает работать, но только на месяц. Раньше было меньше места под сервак, так он работал пару-тройку дней, и отваливался. Такое чувство, что просто место забивается, возможно логами, и сервак даёт дуба. Есть ли какие-нибудь советы? Заранее благодарен.

Меняйте поставщика услуг.

Спасибо. Можете что-нибудь посоветовать? Главное, чтобы хостинг за рубежом был, и платить можно было без проблем.

Inferno

https://cp.inferno.name/knowledgebase/12/Oplata-uslug
https://cp.inferno.name/cart.php?gid=37

Попробуйте, несколько раз упоминали здесь.
Сам их услугами пока не пользуюсь.

Такой конфигурации будет достаточно

Inferno Solutions765×410 50.1 KB

Спасибо большое, попробую.

а что с етими не так? я взял себе дешман варикант якобы в нигерландах, только почему то половину сайтов палят етот айпишник как российский и не пускают соответсвенно на сайт(dell.com, intel.com, cisco.com), а 2ip ваще показывает что провайдер некий “точка доступа”, я что то сомневаюсь что в нигерландах есть такие), тем не менее по whois показывает что country NL, а в тех. понтдержке говорят что ето прост админисраторы сайтов не обновили свои geoipdb

сегодня обратил внимание,
что в twitter не прогружаются видео: “Содержимое недоступно” на белом фоне
при этом фото – всё ок
настройки в include-hosts-custom.txt как тут Контейнер VPN АнтиЗапрета для установки на собственный сервер - #486 by kirill
как пофиксить?

upd. на домашнем проводном интернете всё ок,
какая-то борода на “мобилке”
буду разбираться

вопрос в принципе снят

Подскажите, пожалуйста, как сбросить кэш в DNS-сервере?
Команда /root/antizapret/doall.sh этого не делает.
Зашел на заблокированный домен, он попал в кэш с TTL 3600 секунд, далее добавил его в /root/antizapret/config/include-hosts-custom.txt и сделал LANG=C.UTF-8 /root/antizapret/doall.sh. И всё-равно отдаётся оригинальный IP-адрес.

echo "cache.clear()" | socat - /run/knot-resolver/control/1

@ValdikSS спасибо. Теперь другой вопрос. Как создать дополнительные .ovpn профили для других устройств?

Спасибо большое. Поставил своим родным и друзьям профиль на роутер, всё работает как часы

@ValdikSS клиент twitter на ios с недавнего времени использует dns-запрос типа ‘HTTPS’ для CDN-ов с картинками. Подозреваю, что клиенты Instagram и Facebook работают так же. В логе имеется вот это:

|Type|Domain|Client|Status|Reply|
|HTTPS|api-0-4-6.twitter.com|10.6.0.2|OK, answered by 192.168.104.1#53|SERVFAIL (1939.6ms)|

Как результат картинки не грузятся. Мой локальный контейнер не умеет обрабатывать тип dns-запроса ‘HTTPS’. Публичный конетйнер антизапрета успешно резолвит эти запросы. Помогите, пожалуйста.

так вот оно что,
а то я тут голову сломал

устал уже в инстаграме ленту по двадцать раз обновлять,
чтобы что-то на iOS прогрузилось,
да и в твиттер видео через раз – содержимое недоступно пишет

Не работает. Хорошо, что на месяц заплатил. Проблема в установке LXD, на последних этапах он ругается, что не может соединиться к серверам Ubuntu. Соответственно, не устанавливается контейнер Антизапрета.
Пробовал скрипт установки от YouROK, вроде бы кубатурит что-то, но в итоге не выдаёт файл конфига OpenVPN на последнем этапе.
Так что пока остаюсь на прежнем хостинге, буду раз в месяц его восстанавливать из архива…

Проблема где-то у вас — никаких проблем с инстой на iOs не появилось, всё работает как и раньше.

такой многозначительный вывод вы сделали лишь на основе того, что именно у вас всё работает?

Предоставьте вывод обеих команд:

dig TYPE65 api-0-4-6.twitter.com @127.0.0.1
dig TYPE65 api-0-4-6.twitter.com @127.0.0.4

iphone + megafon + vpn

$ dig TYPE65 api-0-4-6.twitter.com @127.0.0.1
; <<>> DiG 9.9.7-P3 <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.1
;; connection timed out; no servers could be reached
$ dig TYPE65 api-0-4-6.twitter.com @127.0.0.4
; <<>> DiG 9.9.7-P3 <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.4
;; connection timed out; no servers could be reached
$

Эти команды необходимо выполнить в контейнере.

root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @127.0.0.1

; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 31244
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;api-0-4-6.twitter.com.		IN	TYPE65

;; Query time: 1833 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Apr 18 21:39:01 UTC 2023
;; MSG SIZE  rcvd: 50

root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @127.0.0.4

; <<>> DiG 9.11.5-P4-5.1+deb10u8-Debian <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.4
;; global options: +cmd
;; connection timed out; no servers could be reached
root@antizapret-vpn:~#

А если
dig TYPE65 api-0-4-6.twitter.com @8.8.8.8

у меня так:

root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @127.0.0.1

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56688
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;api-0-4-6.twitter.com.         IN      TYPE65

;; Query time: 1835 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Wed Apr 19 10:23:47 MSK 2023
;; MSG SIZE  rcvd: 50

root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @127.0.0.4

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.4
;; global options: +cmd
;; connection timed out; no servers could be reached
root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @8.8.8.8

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> TYPE65 api-0-4-6.twitter.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49662
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;api-0-4-6.twitter.com.         IN      TYPE65

;; AUTHORITY SECTION:
twitter.com.            289     IN      SOA     a.u06.twtrdns.net. noc\@twitter.com. 2023041201 3600 600 604800 180

;; Query time: 4 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Wed Apr 19 10:24:12 MSK 2023
;; MSG SIZE  rcvd: 115

Аналогично и у меня

доброго. а нас коснется?

apt remove python3-dnslib && apt -y install python3-pip
pip3 install dnslib

Установил, перезагрузил, всё равно так:

root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @127.0.0.4

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.4
;; global options: +cmd
;; connection timed out; no servers could be reached

У меня теперь работает. Большое спасибо!

root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @127.0.0.1

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24827
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;api-0-4-6.twitter.com.         IN      TYPE65

;; AUTHORITY SECTION:
twitter.com.            95      IN      SOA     a.u06.twtrdns.net. noc.twitter.com. 2023041201 3600 600 604800 180

;; Query time: 60 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu Apr 20 15:11:00 MSK 2023
;; MSG SIZE  rcvd: 118

dig TYPE65 api-0-4-6.twitter.com @127.0.0.4

Тоже работает?

работает

root@antizapret-vpn:~# dig TYPE65 api-0-4-6.twitter.com @127.0.0.4

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> TYPE65 api-0-4-6.twitter.com @127.0.0.4
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40030
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;api-0-4-6.twitter.com.         IN      TYPE65

;; AUTHORITY SECTION:
twitter.com.            38      IN      SOA     a.u06.twtrdns.net. noc.twitter.com. 2023041201 3600 600 604800 180

;; Query time: 15 msec
;; SERVER: 127.0.0.4#53(127.0.0.4)
;; WHEN: Thu Apr 20 15:30:36 MSK 2023
;; MSG SIZE  rcvd: 107

да,
теперь
dig TYPE65 api-0-4-6.twitter.com @127.0.0.4
отрабатывает успешно,

да и instagrem и twitter субъективно (точнее сказать не могу – мне непонятно, что это было и как повлияло) открываются теперь влёт

ValdikSS, можно вкратце пояснить?

есть вопрос по работе контейнера, нужно ли его перезапускать периодически для стабильной работы? или все должно работать максимально долго без каких либо проблем

Чуть более 3 лет использую, ни разу не приходилось таким заниматься.

Доброго времени суток. Добавил в include-hosts-custom.txt нужные мне хосты, а именно: 6pm.com и netflix.com, через какое-то время сайты стали открываться, потом опять перестали. И вот так периодечски то начинают работать “волшебным” образом, то опять перестают. В чем может быть проблема?
Заранее спасибо за ответ

Как проверить почему не работают OpenNIC домены?
Та же flibusta.lib не пингуется прям из контейнера (unknow host), dig @127.0.0.4 то же не знает о данном адресе ничего.

Кусок

policy.add(
    policy.suffix(
        policy.STUB(
            {'172.104.136.243', '176.126.70.119', '87.98.175.85', '193.183.98.66'}
        ),
        policy.todnames({'bbs.', 'chan.', 'cyb.', 'dyn.', 'geek.', 'gopher.',
                         'indy.', 'libre.', 'neo.', 'null.', 'o.', 'oss.', 'oz.',
                         'parody.', 'pirate.', 'free.', 'bazar.', 'coin.',
                         'emc.', 'lib.', 'fur.', 'bit.', 'ku.', 'te.', 'ti.', 'uu.'
                         }
        )

на месте.

Перестал работать инстаграм, хотя ничего не менял в настройках. Перезагружал, результата нет. Еще у кого-нибудь появились проблемы?

И gpt через раз открывается, периодически показывает сообщение «доступ запрещен»

Все перечисленные в конфигурационном файле резолверы мертвы.

а на своём сервере как эту опцию применить?

Как применить на свой сервер?

@kirill, @Mr.Alex

Примените патч:

cd /root/dnsmap
patch -i p.patch

p.patch (1.4 KB)

bash: cd: /root/dnsmap: No such file or directory

Список необходимых патчей для сохранения работоспособности частного контейнера АнтиЗапрет

Выполнять внутри контейнера

root@antizapret-vpn:~#

Для входа в lxd

lxc exec antizapret-vpn bash

Для входа в systemd-machined (cloud-init)

machinectl shell antizapret-vpn /bin/bash

Обновить пакет dnslib

apt update
apt remove --purge python3-dnslib -y
apt autoremove -y
apt install python3-pip socat patch -y
pip3 install dnslib

Применить патч файл

wget https://raw.githubusercontent.com/nzkhammatov/antizapret_ios_patch/main/p.patch -O /root/dnsmap/p.patch
cd /root/dnsmap
patch -i p.patch

Заменить выделенную строку

https://bitbucket.org/anticensority/antizapret-pac-generator-light/src/c73e0d901feb5b862a14f6e0f13670e590fb49ea/parse.sh#lines-10

nano /root/antizapret/parse.sh

На вот это

awk -F ';' '{print $2}' temp/list.csv | sort -u | awk '/^$/ 
{next} /\\/ {next} /^[а-яА-Яa-zA-Z0-9\-\_\.\*]*+$/ {gsub(/\*\./, ""); 
gsub(/\.$/, ""); print}' | grep -Fv 'bеllonа' | CHARSET=UTF-8 idn > 
result/hostlist_original.txt

Выполнить

/root/antizapret/doall.sh

echo "cache.clear()" | socat - /run/knot-resolver/control/1

Перезагрузить контейнер

bash: patch: command not found

lxc file push /root/p.patch antizapret-vpn/root/dnsmap/p.patch
lxc exec antizapret-vpn -- bash
chmod 755 /root/dnsmap/p.patch
cd /root/dnsmap
patch -i p.patch
>> patching file proxy.py

А контейнеры на bitbucket уже с патчем и если нет, то будет ли он туда добавлен?

После применения данного патча перестаёт резолвить домены из блок листа. Незаблокированные резолвит

у меня такой проблемы не наблюдается

C:\Users\kirill>chcp 65001
Active code page: 65001

C:\Users\kirill>nslookup rutracker.org
Server:  UnKnown
Address:  192.168.1.1

Non-authoritative answer:
Name:    rutracker.org
Addresses:  10.224.0.96
          10.224.0.97

У меня на этом месте нет ответа от сервера, к сожалению. С самого контейнера все, само собой, резолвится. Пробовал на двух контейнерах на разных серверах. Результат идентичный.

у мен в конфиге все форвардится на клоудфларевские днсы, всё работает безо всяких патчей ЧЯДНТ?!

>> ЧЯДНТ?!
не вникаешь в тему перед тем, как что-то про неё написать

>> всё работает безо всяких патчей
можно поздравить

Подтверждаю, после накатывания патча не резолвит заблокированные домены.

Может в этом дело,

Блин, а после этого перестаёт пинговаться 10.224.0.1

Ради интереса развернул новый контейнер и проделал в нём всё вышеуказанные изменения. На новом контейнере всё сработало и без проблем резолвит. Отличия нового от текущего только в том, что в текущем я добавлял

policy.add(
policy.all(
policy.TLS_FORWARD({{‘94.140.14.14@853’, hostname=‘dns.adguard-dns.com’}}),
policy.TLS_FORWARD({{‘1.1.1.1@853’, hostname=‘cloudflare-dns.com’}}),
policy.TLS_FORWARD({{‘8.8.8.8@853’, hostname=‘dns.google’}}),
policy.TLS_FORWARD({{‘1.0.0.1@853’, hostname=‘cloudflare-dns.com’}}),
policy.TLS_FORWARD({{‘8.8.4.4@853’, hostname=‘dns.google’}})
)
)

policy.add(policy.all(policy.FORWARD({‘94.140.14.14’})))

Это тоже нужно проделать, да.

Получилось:
#apt remove python3-dnslib && apt -y install python3-pip
#pip3 install dnslib

Затем
применение патча:
положить файл p.patch в /root/dnsmap
#cd /root/dnsmap
#patch -i p.patch

Спасибо ValdikSS
p.patch (1,4 КБ)

@ValdikSS Подскажите, пожалуйста.
Установил на 2 vps, оба территориально Нидерланды. Настройки на обоих одинаковые, но при подключении к одному прекрасно с устройств открывает image.tmdb.org, ко второму то работает, то перестает работать, причем само.
Chrome выдает ошибку ERR_CONNECTION_TIMED_OUT
При подключении с устройств nslookup image.tmdb.org на обоих выдает 10.224.0.1, что, как я понимаю, говорит о том, что запросы идут через туннель.
В какую сторону копать?

ах ета тема, сам напарывался - на ббс картинки не грузило т.е. один сраный домен не проходил хотя всё шло через туннелль вроде как. решил - сменой хостера) у того айпишник какойто мутный был - вроде нидерланды а куча сайтов всё равно палило что якобы российский айпишниг

@ValdikSS Добрый день. Как добавить кастомные IP-адреса, чтобы они проксировались через antizapret container?

Сперва проверьте, что это не сетевая проблема. Иными словами, проверьте с самого сервера, не используя АнтиЗапрет.

Привет ребята! Установил антизапрет на вновь приобретённый vps, а чего то блокированные сайты не хочет открывать. Пару месяцев назад арендовал на aeza vds и ещё на другом хостере так же установил антизапрет и всё работает, даже несколько доменов добавил в include-hosts-custom работают отлично. На новом vps на том же хостере aeza уже не хочет, но устанавливается антизапрет без проблем и ошибок. Есть какое решение?

После скачивания почему то вылетает ошибка парсера, может быть подскажите как починить?.

root@antizapret-vpn:~/antizapret$ ./parse.sh
idn: tld_check_4z (position 5): Code points prohibited by top-level domain

Скачивается вроде как без проблем:
root@antizapret-vpn:~/antizapret$ ./update.sh
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 15.3M 100 15.3M 0 0 372k 0 0:00:42 0:00:42 --:–:-- 3707k
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 491k 100 491k 0 0 9836k 0 --:–:-- --:–:-- --:–:-- 9836k

В Реестр попали домены с кириллическими именами в названии, которые не соответствуют правилам наименования. Вероятно, кто-то распознал домен с бумаги и скопировал распознанные символы, либо еще что-то.

https://reestr.rublacklist.net/ru/?q=bеllonа

В качестве временной меры вот эту строку:
https://bitbucket.org/anticensority/antizapret-pac-generator-light/src/c73e0d901feb5b862a14f6e0f13670e590fb49ea/parse.sh#lines-9:10

Замените на
awk -F ';' '{print $2}' temp/list.csv | sort -u | awk '/^$/ {next} /\\/ {next} /^[а-яА-Яa-zA-Z0-9\-\_\.\*]*+$/ {gsub(/\*\./, ""); gsub(/\.$/, ""); print}' | grep -Fv 'bеllonа' | CHARSET=UTF-8 idn > result/hostlist_original.txt

Спасибо. Я видел, что затыкается на белоне, но не подумал, что там домен в перемешку с кириллицей записали.

ане проще прост в конфиг /root/antizapret/config/include-ips-custom.txt прописать?

домемы с керилицей?! свят-свят-свят)

Ошибка

lxc file pull antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn
Error: Not Found

Тоже самое, пробовал в контейнере запустить скрипт через /root/easy-rsa-ipsec/generate.sh

выдает

generate.sh: 14: generate.sh: [[: not found
generate.sh: 14: generate.sh: [[: not found
generate.sh: 14: generate.sh: [[: not found
generate.sh: 14: generate.sh: [[: not found
generate.sh: 14: generate.sh: [[: not found
generate.sh: 17: generate.sh: [[: not found
generate.sh: 26: generate.sh: Syntax error: "(" unexpected (expecting "do")

Интернет в контейнере есть

root@antizapret-vpn:~# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=120 time=1.147 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=120 time=1.465 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=120 time=1.467 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=120 time=1.164 ms
64 bytes from 8.8.8.8: icmp_seq=4 ttl=120 time=1.139 ms

Переустановил контейнер, файл создался, но впн не работает после подключения интернет отваливается, что на роутере (Прошивка ASUSWRT Merlin) что на клиентской машине, надо ли устанавливать дополнительно apt install lxc-utils ?

Подскажите, пожалуйста, как правильно проверить.
Команда с самого сервера curl -Is http://image.tmdb.org/ |grep 403 ничего не выдает.
Также на сервере поднят Wireguard, если с утройств подключаться к нему, то image.tmdb.org открывается нормально (видимо тогда проблема не сетевая?), а просто антизапрет, то открывается, то нет. Чаще не работает.

Помогите пожалуйста завести, настроил всё по инструкции через lxd, только порт поменял на 1195, т.к. докером уже занят стандартный порт. Пробую через телефон на Андроиде, приложение “OpenVPN для Android”, всё замечательно коннектится, но заблокированные ресурсы не открываются. При этом если использовать общедоступный антизапрет профиль, то всё точно также коннектится и заблокированные ресурсы прекрасно открываются. Выглядит так что проблема в том что девайс не использует DNS контейнера. VPS находится в штатах. Подскажите куда копать? Может быть дело в кастомном порте?

UPDATE:
Проверил на ПК, ситуация та же. Если выполнить nslookup, то пишет что используется адрес моего VPS, но адреса возвращаются внешние, а не 10.* как должно.

Раз:

Два:
LANG=C.UTF-8 /root/antizapret/doall.sh

возьму платную консультацию по установке и настройке контейнера, пишите в личку - дам прямой контакт

Завелось, спасибо!

Привет всем.
Ни в какую не хочет гонять через vpn хосты из /root/antizapret/config/include-hosts-custom.txt
Вроде по инструкции всё
echo “cache.clear()” | socat - /run/knot-resolver/control/1
LANG=C.UTF-8 /root/antizapret/doall.sh
Вшитые хосты - например linkedin.com работает прекрасно
А вот например 2ip.ru не хочет.

Сунулся логи посмотреть - в /var/log/ нет ничё. Как включить логи резолвинга чтобы проследить за процессом и понять что не так.

Добрый день. Прошу подсказать: есть роутер, за ним NAS на дебиан - оба в зоне блокировок, есть слабенький VPS вне зоны блокировок, тоже на дебиан. Желание поставить у себя на NAS Антизапрет и уже из контейнера отправлять только блокированный трафик на VPS, остальное обратно через роутер в сеть. Можно реализовать?

См. конфиги в /etc/knot-resolver

Настройте VPN-соединение внутри контейнера на вашу VPS.

Может кто нибудь подскажет куда копать?

Могу предположить, что вы каким-то образом пытаетесь запустить скрипт не через bash, а через другой шелл. Запускайте штатным образом, через bash.

Подскажите, как можно заново сгенерировать ovpn конфиг? Поменялся IP, да, можно просто подставить в уже полученный конфиг актуальный адрес, но заинтересовало как правильно сгенерировать заново с новым публичным IP и с новыми ключами, при ситуации что конфиг окажется в сети - может понадобится.

Не совсем понял что я не так запустил, контейнер работает, подключение идет, но интернет отрубается сразу после подключения к антизапрету.

либо этот метод

не работает, либо я что-то не так сделал

совершенно случайно провёл эксперимент,
зашёл на http://flibusta.site качнуть книгу

там на главной странице ссылка на зеркало
https://flibusta.lib
которое не резолвится ничем, кроме

вписал я, значит,
policy.add(policy.all(policy.FORWARD({‘195.10.195.195’})))
перезагрузил контейнер
сконнектился с компа по openvpn – и не резолвится flibusta.lib

причём если дать на компе
nslookup flibusta.lib 195.10.195.195
то всё резолвится

иначе говоря, при изменении в конфиге на свой днс с помощью текущей конфигурационной строки
полный форвардинг всех запросов всё-таки на этот днс не осуществляется,
хотя должен, если я правильно всё понял, как этто должно работать
я так это понимаю

upd.
разобрался

просто в разделе
– Resolve OpenNIC, EMCDNS and Namecoin domains
перечисленные ip нерабочие

поменял – и резолвинг пошёл

Подскажите пожалуйста. Такая проблема.
Установил контейнер, все завелось, подключаюсь спокойно. Но ни один из запрещенных сайтов не открывается через браузер, приэтом пингается все корректно. Посмотрел Nslookup DNS используется из виртуальной сети все в порядке, отвечает вроде корректно

instagram.com
╤хЁтхЁ: UnKnown
Address: 192.168.104.1

Не заслуживающий доверия ответ:
╚ь : instagram.com
Addresses: 2a03:2880:f276:e8:face:b00c:0:4420
157.240.251.174

При этом если я добавляю в спиcок include-hosts-custom то он тоже соответственно перестает открываться в браузере

использовал фикс о котором говорилось выше и после шага 2 вот что выдает
root@antizapret-vpn:~# LANG=C.UTF-8 /root/antizapret/doall.sh
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 15.3M 100 15.3M 0 0 14.6M 0 0:00:01 0:00:01 --:–:-- 14.6M
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 470k 100 470k 0 0 3922k 0 --:–:-- --:–:-- --:–:-- 3922k
awk: cmd. line:1: error: Invalid range end: /^[1]*+$/
Blocked domains: 21 result/hostlist_zones.txt
iplist_all: 48431 result/iplist_all.txt
iplist_special_range: 9 result/iplist_special_range.txt
iplist_blockedbyip: 1167 result/iplist_blockedbyip.txt
iplist_blockedbyip_noid2971: 1167 result/iplist_blockedbyip_noid2971.txt

1. а-▒▒-Яa-zA-Z0-9-_.* ↩︎

Вы что-то не так скопировали, добавились непечатаемые символы.

1. а-▒▒-Яa-zA-Z0-9-_.* ↩︎

IPv6 отключи…

Крче все снес переделал заново, получилось, извиняюсь за беспокойство

@ValdikSS общедоступный vpn antizapret развивается и дополняется, а планитуется ли обновление и дальнейшее развитие контейнера, а так же обновление приложений внутри контейнера? А то ему уже 3 года исполнилось

i tried this before, no luck https://ntc.party/t/vpn/129/474

Ага. И @ValdikSS поему то игнорирует такие вопросы…

Вопросы так и остались без ответа. К серверу подключение проходит успешно, но интернет тогда вообще не работает.

Все перечисленное проделали внутри контейнера?

Для начала исполните эту команду: apt update
И далее по списку…

Выполнить
/root/antizapret/doall.sh

Внутрм контейнера прописал:
policy.add(
policy.all(
policy.TLS_FORWARD({{‘хх.хх.хх.1@853’, hostname=‘,мой днс’}}),
policy.TLS_FORWARD({{‘хх.хх.хх.2@853’, hostname=‘мой днс’}}),
policy.TLS_FORWARD({{‘хх.хх.хх.3@853’,
hostname=‘мой днс’}})
)
)
Когда первая строчка к примеру умирает, то впн перестает функционировать и все клиенты точки доступа(VPN) без интернета. Это можно как то побороть? Но если первая строчка работает она выполнят большую часть резольва, а две другие резольват меньший объём запросов (тоже работают пока работае первый сервер) когда первая строчка умирает(тех обслуживание), сервер не обращается ко втрой и третьей строчке, а просто отрубается весь интернет всем клиентам VPN

Может так?

https://knot-resolver.readthedocs.io/en/stable/quickstart-config.html#forwarding-to-multiple-targets

With the use of policy.slice function, it is possible to split the entire DNS namespace into distinct “slices”. When used in conjunction with policy.TLS_FORWARD, it’s possible to forward different queries to different remote resolvers. As a result no single remote resolver will get complete list of all queries performed by this client.

Здравствуйте, подскажите пожалуйста как происходит маршрутизация dnsmap. Фейк адрес перенаправляется таким образом

iptables -w -t nat -A dnsmap -d "$fake_addr" -j DNAT --to "$real_addr"

А как его потом маскарадить или SNAT’ить?)

Спасибо получилось.

Ничего дополнительно делать не нужно, всё уже настроено.

@ValdikSS Даёшь обновление народу! …пожалуйста

Здравствуйте, как удалить контейнер который установлен на vps? Хочу все переустановить.

Если не затруднит, можете ответить в лс)

внезапно вчера перестал работать instagram на собственном сервере. ничего не делали, до этого год все было нормально. остальные сайты открываются
не подскажете куда копать?

Извините ещё раз, столкнулся с тем что мой сервер с 2 гига памяти полностью перестал работать из-за нехватки памяти

20230719_1509041920×419 44.4 KB

Работает на 1гб, плюс своп на 2 гига, без сбоев

Проверяйте, что именно вызвало нехватку памяти. См. dmesg, там должны быть записи out-of-memory.

На АнтиЗапрете под VPN используются VPS c 2 ГБ RAM, не помню, чтобы что-то падало из-за нехватки памяти.

Перестал работать скрипт

root@antizapret-vpn:~# LANG=C.UTF-8 /root/antizapret/doall.sh
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 14.2M  100 14.2M    0     0  32.9M      0 --:--:-- --:--:-- --:--:-- 32.9M
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  424k  100  424k    0     0  13.3M      0 --:--:-- --:--:-- --:--:-- 13.3M
List 2 size differs

Еще раз запустите, какой-то из внутренних запросов, который не видно, неудачный.

Сработало, ничего не менял. Благодарю.

После добавления сайта в include-hosts-custom.txt и выполнения LANG=C.UTF-8 /root/antizapret/doall.sh получаю ошибку:

idn: tld_check_4z (position 5): Code points prohibited by top-level domain

Раньше не было такого, с чем мб связано?

Раньше не было такого, с чем мб связано?

С юникод-символами в доменном имени. .рф, например. Возможно, требуется кодирование доменного имени в punycode.

Неа, не добавлял таких…

Несколько сообщений выше

Почему-то на собственном сервере перестал открываться alfabank.ru, приложение тоже не грузит. пробовал с нуля заново создать, то же самое. Но на публичном профиле все работает как надо. Пробовал добавить в exclude-hosts-custom, не помогло.

C:\Program Files (x86)\VMware\VMware Player\bin>ping alfabank.ru
При проверке связи не удалось обнаружить узел alfabank.ru.
Проверьте имя узла и повторите попытку.

Трассировка маршрута к 217.12.104.100 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  KEENETIC-6256 [192.168.2.1]
  2    <1 мс    <1 мс    <1 мс  192.168.3.254
  3     6 ms     3 ms     4 ms  100.117.0.1
  4     3 ms     1 ms     3 ms  mpts-ss-51.msk.mts-internet.net [212.188.1.6]
  5     *        *        4 ms  mag9-cr03-be12.51.msk.mts-internet.net [212.188.1.5]
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     4 ms     4 ms     4 ms  as20764.asbr.router [212.188.11.11]
  8     4 ms     4 ms     4 ms  msk-m9-cr5.ae2-171.rascom.as20764.net [80.64.98.149]
  9    16 ms     4 ms     4 ms  equant-gw.msk.rascom.as20764.net [80.64.98.150]
 10    26 ms     4 ms     5 ms  umbrella-pe01-ae0-0.rosprint.net [195.151.234.228]
 11    23 ms     5 ms     6 ms  moscow-gin-pe11-ae2-0.rosprint.net [195.151.241.161]
 12     *        *        *     Превышен интервал ожидания для запроса.
 13     *        *        *     Превышен интервал ожидания для запроса.
 14     *        *        *     Превышен интервал ожидания для запроса.
 15     *        *        *     Превышен интервал ожидания для запроса.
 16     *        *        *     Превышен интервал ожидания для запроса.
 17     *        *        *     Превышен интервал ожидания для запроса.
 18     *        *        *     Превышен интервал ожидания для запроса.

Статистика Ping для 217.12.104.100:
    Пакетов: отправлено = 4, получено = 0, потеряно = 4
    (100% потерь)

Спасибо, заработало!

Купил vps с убунту 20.04, поставил snapd, через него curl и lxd, сделал lxd init по дефолту, затем установил антизапрет по инструкции, переустановил dnslib, добавил домены в include-hosts-custom.txt, добавил беллону. OpenVPN на пк подключается к vps, интернет работает; curl icanhazip.com выдаёт ip-адрес vps в Нидерландах, с моего пк мой российский ip, dnsleaktest тоже показывает Нидерланды (не знаю, насколько это важно), но заблокированные сайты так и не открываются, сейчас вот выдаёт ERR_NAME_NOT_RESOLVED, видимо проблема с днс, но хрен знает куда копать

UPD: сейчас попытался подключить OVPN на роутере, если выбирать “направлять весь трафик через впн”, то интернет не работает вообще, если не выбирать эту опцию, то так же не открываются заблокированные сайты, только с DNS_PROBE_FINISHED_NXDOMAIN

UPD2: снёс систему, сделал всё заново, без понятия как, но заработало

Доброго дня. Подскажите пожалуйста!
Пытаюсь добавить свои сайты в Include Hosts далее запускаю скрипт
LANG=C.UTF-8 /root/antizapret/doall.sh
после чего выдается ошибка ну и соответственно сайты через ВПН не ходятся

% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 14.3M 100 14.3M 0 0 14.3M 0 0:00:01 0:00:01 --:–:-- 14.3M

iconv: relocation error: iconv: symbol __gconv_create_spec version GLIBC_PRIVATE not defined in file libc.so.6 with link time reference

Мне не помогло; пробовал даже на новом контейнере. В итоге в parse.sh после awk -F ';' '{print $2}' temp/list.csv добавил через пайп grep -vP '[ЁёА-я]' и заработало.

В итоге такая строка: awk -F ';' '{print $2}' temp/list.csv | grep -vP '[ЁёА-я]' | sort -u | awk '/^$/ {next} /\\/ {next} /^[а-яА-Яa-zA-Z0-9\-\_\.\*]*+$/ {gsub(/\*\./, ""); gsub(/\.$/, ""); print}' | idn > result/hostlist_original.txt

Подскажите еще пожалуйста, с включенным собственным антизапретом не открываются картинки по адресу:
_https://ak.picdn.net/shutterstock/videos/1107009801/thumb/1.jpg

пишет

403 ERROR

The request could not be satisfied.

Request blocked. We can’t connect to the server for this app or website at this time. There might be too much traffic or a configuration error. Try again later, or contact the app or website owner.
If you provide content to customers through CloudFront, you can find steps to troubleshoot and help prevent this error by reviewing the CloudFront documentation.

C:\Program Files (x86)\VMware\VMware Player\bin>tracert ak.picdn.net

Трассировка маршрута к d1vkbdka4exaka.cloudfront.net [10.224.0.213]
с максимальным числом прыжков 30:

  1    <1 мс    <1 мс    <1 мс  KEENETIC-6256 [192.168.2.1]
  2    50 ms    49 ms    51 ms  10.224.0.213
  3    50 ms    50 ms    51 ms  10.224.0.213

пробовал в exclude добавлять ak.picdn.net и cloudfront.net, не помогает. на публичном конфиге проблем нет

Если с сервера такая же ошибка, то адрес вашего сервера заблокирован на сайте. Проверьте curl’ом.

curl выдает тоже 403… но без vpn все открывается, почему может не срабатывать exclude?

Я попробовал исключить их вот так
/root/antizapret/scripts/getzones.awk

(/picdn/) {next}
(/cloudfront/) {next}

/root/antizapret/doall.sh

Результат такой

Screenshot from 2023-08-06 13-11-12759×322 37.7 KB

Оба хоста теперь не отсвечивают здесь и имеют одинаковые наборы адресов
/etc/knot-resolver/knot-aliases-alt.conf

Со вчерашнего вечера постоянно идет переподключение к серверу.
Думал, опять начали блочить протокол, но почему-то vpn.antizapret.prostovpn.org продолжает работать.
@ValdikSS в чем секрет?

спасибо большое! заработало добавив только
(/picdn/) {next}
в /root/antizapret/scripts/getzones.awk

А подскажите еще пожалуйста, не открываются картинки bbc
_https://ichef.bbc.co.uk/wwhp/304/cpsprodpb/1F65/production/_130673080_gettyimages-1581269141.jpg
пробовал добавить bbc.co.uk в include-hosts-custom.txt - не помогло

Удалить отсюда
/root/antizapret/config/exclude-hosts-dist.txt

akamaiedge.net

Добавить сюда
/root/antizapret/config/include-hosts-custom.txt

bbc.co.uk
akamaiedge.net
edgekey.net

/root/antizapret/doall.sh

Добавление CDN может вредить другим ресурсам, имейте в виду.

Тоже мегафон-волга стал блочить мойсервер, идут переподключения каждые 2 секунды.
Не понятно что нужно сделать

сделал как написали, не помогает(((

image825×449 16.8 KB

image825×449 15.6 KB

image1103×639 13.2 KB

Покажите результаты из контейнера

cat /etc/knot-resolver/knot-aliases-alt.conf | grep bbc.co.uk
cat /etc/knot-resolver/knot-aliases-alt.conf | grep edgekey.net
cat /etc/knot-resolver/knot-aliases-alt.conf | grep akamaiedge.net

И со стороны клиента

nslookup ichef.bbc.co.uk
nslookup ichef.bbc.co.uk.edgekey.net
nslookup e3891.dscf.akamaiedge.net

Все в порядке за исключением этого хоста ichef.bbc.co.uk
Его не ресолвит вовсе.

У меня вот так

Сложность в этом полагаю.

Из контейнера этот хост доступен?
dig +short ichef.bbc.co.uk

И из самой машины, где запущен контейнер тоже.

root@antizapret-ams3-02:~# lxc shell antizapret-vpn
root@antizapret-vpn:~# dig +short ichef.bbc.co.uk
ichef.bbc.co.uk.edgekey.net.
e3891.dscf.akamaiedge.net.
23.209.236.241
root@antizapret-vpn:~# logout
root@antizapret-ams3-02:~# dig +short ichef.bbc.co.uk
ichef.bbc.co.uk.edgekey.net.
e3891.dscf.akamaiedge.net.
23.46.75.239
root@antizapret-ams3-02:~#

Сложность на стороне клиента возможно, я сдаюсь

Можете эту ерунду еще попробовать добавить сюда
/etc/knot-resolver/kresd.conf

policy.add(
    policy.suffix(
        policy.FORWARD(
            {'77.88.8.8'}
        ),
        policy.todnames({'bbc.co.uk'})
    )
)

удивительно, но само заработало через полдня спасибо большое за помощь!

Извините, а можно тоже чуток настроек для своего сервера ? а то второй день мегафон не даёт подключаться к впн, при этом Ваш файл работает без проблем.

Для тех у кого установлен контейнер будет какое-то решение в связи с последними событиями?

Присоединяюсь к вышестоящему вопросу

@Oleg, @mafiacheb, @dark321985, см. Механизмы обхода блокировки vpn - #5 by ValdikSS

Похоже, что это не единственный случай – просто именно в этом случае idn падает.
как минимум есть ещё пара случаев, когда tld .cc записан кириллицей:

# awk -F ';' '$2~/[a-z]+[а-я]+/{print$2}' temp/list.csv
dog-house.cс
mine-money.cс
p2p4x.cс
s1.dog-house.cс
www.bеllonа.no
www.bеllonа.ru
www.bеllonа.оrg

# awk -F ';' '$2~/[a-z]+[а-я]+/{print$2}' temp/list.csv | CHARSET=utf-8 idn --no-tld
dog-house.xn--c-7tbmine-money.xn--c-7tb
p2p4x.xn--c-7tb
s1.dog-house.xn--c-7tb
www.xn--bllon-8ve4a.no
www.xn--bllon-8ve4a.ru
www.xn--bllon-8ve4a.xn--rg-emc

Предлагаю добавить в вызов idn флаг --no-tld, чтобы он не проверял правила tld для каждой зоны (и не падал на зоне .no, например)

Оно, кстати, работает ещё в два раза быстрее, если эти проверки отключить (проверял несколько раз в разном порядке, дело именно во флаге)

# <temp.txt CHARSET=utf-8 time idn >/dev/null
1.48user 0.40system 0:01.90elapsed 98%CPU (0avgtext+0avgdata 2176maxresident)k
0inputs+0outputs (0major+130minor)pagefaults 0swaps

# <temp.txt CHARSET=utf-8 time idn --no-tld >/dev/null
0.71user 0.32system 0:01.05elapsed 97%CPU (0avgtext+0avgdata 2176maxresident)k
0inputs+0outputs (0major+116minor)pagefaults 0swaps

Добрый день.

Уже имел опыт установки антизапрета с помощью systemd-machined и все работало. Приходится переезжать =(

Настраивал все также, но не резолвит заблокированные ресурсы. На прошлом сервере если делать ping instagram.com (любой другой), то выдавал IP 10.224.1.102, теперь выдает instagram-p42-shv-01-hel3.fbcdn.net, ping любого ресурса: заблокированного РКН или добавленного вручную, выдает оригинальный dns (не впн-а). Можете подсказать, в чем проблема?

Debian 11, KVM, если я верно понимаю стоит nftables

p.s. Взял сервер у ruweb в Нидерландах, если поднять wireguard или socks5 через ssh, то заходит на все заблокированные ресурсы за исключением, что 2ip показывает локацию РФ, другие сервисы определения геолокации по IP выдают Нидерланды.

upd. Команда dig instagram.com @127.0.0.1 внутри контейнера выдает

; <<>> DiG 9.11.5-P4-5.1+deb10u1-Debian <<>> instagram.com @127.0.0.1
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 49463
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;instagram.com.			IN	A

;; ANSWER SECTION:
instagram.com.		300	IN	A	157.240.214.174

;; Query time: 8 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Tue Aug 15 23:01:15 MSK 2023
;; MSG SIZE  rcvd: 58

Разобрался и нашел случайно ответ среди комментариев, дело в “В Реестр попали домены с кириллическими именами в названии”. Как удалить сообщение не нашел, прошу прощения за беспокойство =)

Подскажите пожалуйста, как удалить контейнер антизапрета, без переустановки всей виртуальной машины? Интересно для общего познания, нигде просто не нашел информации в этой теме

Наконец то получилось установить, по совету форумчан, на хостинг от Inferno. Взял сервер в Японии, от меня не далеко, да и оптика туда идёт с Находки. По началу долго не мог понять, почему не работает, пока не полистал сообщения за последние полгода. Вроде бы не палится, что российский, weather.com открывается, завёл скрипт на роутер Asus, чтобы светодиоды включались и включались по данным от weather. com. Всем большое спасибо.
Ранее, был сервер от хостинга Vdsina, но он раз в месяц тупо зависал, приходилось восстанавливать из бэкапа. Да и ценник у них стал не детский, плюс комиссия дикая.

А подскажите, пожалуйста, как можно подключиться непосредственно к файловой системе контейнера через WinSCP?

Обыкновенно. Прописать в WinSCP адрес, логин (root) и пароль супер пользователя от своего сервака. Протокол SFTP, 22 порт

подскажите пожалуйста, если так получиться что протокол опен впн будет заблокирован, как можно восстановить работоспособность контейнера через прокси? т.е на впс установлен контейнер антизапрет и 3X-UI(там есть протоколы влес, шадосокс, сокс итд) Можно ли как то в конфиге опенвпн антизапрета подшаманить чтобы он выходит в инет через прокси?

Внутри контейнера

apt update
apt install net-tools openssh-server -y

netstat -npl | grep ":22"

Добавить это в файл
nano /etc/ssh/sshd_config

Port 25545
AddressFamily inet
PasswordAuthentication yes
PermitRootLogin yes

Перезапуск сервиса

systemctl restart ssh
systemctl status ssh
netstat -npl | grep ":25545"

Задать новый пароль для пользователя root
passwd root

На хостовой машине - не внутри контейнера

lxd

lxc config device add antizapret-vpn proxy_25545_ssh proxy listen=tcp:[::]:25545 connect=tcp:127.0.0.1:25545
lxc config device list antizapret-vpn

systemd-machined & cloud-init

echo -e "[Network]\nVirtualEthernet=yes\nPort=tcp:1194:1194\nPort=udp:1194:1194\nPort=tcp:25545:25545" > /etc/systemd/nspawn/antizapret-vpn.nspawn

iptables -A INPUT -p tcp -m tcp --dport 25545 -j ACCEPT

ssh -p 25545 root@127.0.0.1
Пароль пользователя root

OpenVPN поддерживает HTTP и SOCKS-прокси: опции http-proxy и socks-proxy соответственно.
Также можно настроить локальный клиент на «проброс порта» до конкретного удалённого хоста и порта, в этом случае в конфигурационном файле OpenVPN нужно подключаться к localhost и настроенному порту, без прокси. Не забудьте в таком случае добавить маршрут до настоящего IP-адреса сервера директивой route, а то получите петлю маршрутизации.

не затруднит ли вас, написать подробный гайд как это делается для не очень опытных людей? ну т.е по аналогии с инструкций по установки контейнера. пытался самостоятельно найти видео на ютубе или статью как это делается, но что-то ничего не смог найти понятного для простых людей

Добавить в файл antizapret-tcp.ovpn
Строку http-proxy 51.75.70.203 3128

Connecting To An OpenVPN Server Via An HTTP Proxy. | OpenVPN

спасибо получилось
засунул в конфиг антизапрета вот так:

http-proxy 192.192.192.192 3456 auto
<http-proxy-user-pass>
ЛОГИН
ПАРОЛЬ
</http-proxy-user-pass>

вместо 192.192.192.192 3456 вводите свои данные т.е IP и порт
ну логин и пароль вроде понятно(вставляете туда логин и пароль который создали при создании http прокси), решил себя ими обезопасить

Первая команда выдает

W: GPG error: /repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_10 - openSUSE Download InRelease: The following signatures were invalid: EXPKEYSIG 74062DB36A1F4009 home:CZ-NIC OBS Project home:CZ-NIC@build.opensuse.org
E: The repository ‘/repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_10 - openSUSE Download InRelease’ is not signed.
N: Updating from such a repository can’t be done securely, and is therefore disabled by default.
N: See apt-secure(8) manpage for repository creation and user configuration details.

Вторая

E: Unable to locate package pip3
E: Unable to locate package install
E: Unable to locate package dnslib
Третья

bash: cd: too many arguments

В общем не работает никак этот контейнер.

Что то мне подсказывает что контейнер пора обновить чтобы все работало как и задумано (Потрать 5 минут и все работает). Но так как это бесплатное решение ничего требовать не могу.

Применить cd /root/dnsmap patch -i p.patch

cd /root/dnsmap patch -i p.patch
bash: cd: too many arguments

Не работает…

Работает
Попробуйте выполнять действия в контейнере через lxc exec antizapret-vpn –

Пример:
lxc exec antizapret-vpn – wget https://raw.githubusercontent.com/nzkhammatov/antizapret_ios_patch/main/p.patch -O /root/dnsmap/p.patch
lxc exec antizapret-vpn – patch -i /root/dnsmap/p.patch
И т.д.

Символ “–” - это два дефиса

lxc exec antizapret-vpn – patch -i /root/dnsmap/p.patch
Error: unknown shorthand flag: ‘i’ in -i

Тоже не работает

А подскажите, пожалуйста, ответ на пару вопросов:

1. Один конфиг - одно устройство? Или один конфиг OpenVPN со своего сервера можно пушить на весь парк девайсов?
2. После перезагрузки сервера контейнер с антизапретом поднимается сам или нужно стартовать вручную?

Да, верно

что-то не могу сообразить как в kresd.conf добавить в net.listen условный 192.168.104.1:5353 который будет всегда отдавать адреса вида 10.224.X.X не зависимо от содержимого списков, как это происходит при обращении к 127.0.0.4

Никто, случаем, не знает список доменов bbc для добавления в include-hosts-custom ?

как то так.
www.bbc.com - urlscan.io смотреть domain tree
www.bbc.com - urlscan.io

Спасибо. С вебом вопрос решился. Не могли бы еще подсказать, как посмотреть хосты для мобильного приложения на iOS? BBC Russian не хочет заводиться

как вариант Charles for iOS • Charles Web Debugging Proxy или другие прокси
via network - How to find the URLs accessed by iOS Apps? - Ask Different

Прикол в том, что чарликом я уже поснифал и добавил домен, связанный с bbc. Пуши airship и фаирбейс не стал добавлять

Видимо после вызова news-app.api.bbc.co.uk должны быть еще редиректы, которые я почему-то не вижу

Кажется проще пустить все приложение по другой VPN целиком. Так и сделаю, спасибо за советы

Подскажите, есть какой-нибудь способ завернуть antizapret с vps сервера через ShadowSocks (ну или что там сейчас не блокируется))?
Рабочие схемы по подобной работе в связке с mikrotik мб?

Подскажите плз, для чего нужен exclude-hosts-dist.txt ?
Я в нем вижу 4 хоста, с которых прилетают обложки и превьюшки в ютуб:
yt3.ggpht.com
yt4.ggpht.com
s.ytimg.com
i.ytimg.com

yt3.ggpht.com и i.ytimg.com заблокированы и есть в реестре. Про yt4.ggpht.com и s.ytimg.com не нашел информацию, И, что интересно, yt3.ggpht.com и yt4.ggpht.com ходят через антизапрет. А s.ytimg.com и i.ytimg.com ходят через обычный интернет. И у меня периодически перестают прилетать превьюшки в YouTube mob app под антизапретом. Думаю из за того, что i.ytimg.com ходит через обычный интернет

Я могу выпилить хосты из exclude-hosts-dist.txt и добавить в include-hosts-custom.txt ?

Снимок экрана 2023-09-11 в 11.24.56885×152 46.9 KB

Снимок экрана 2023-09-11 в 11.25.15895×122 32.6 KB

Снимок экрана 2023-09-11 в 11.24.36865×118 30.8 KB

Снимок экрана 2023-09-11 в 11.24.14844×115 37.8 KB

Заработало. Спасибо

P.S. С проигрыванием ютуба даже лучше стало. Раньше из за отключения кеш серверов были проблемы с автокачеством. Оно не выбиралось автоматически на максимально доступное, очень медленно повышалось, могло остановиться на fhd

Сейчас изи ставится на максимально доступное

Снимок экрана 2023-09-12 в 09.27.56774×272 75.9 KB

Добрый день
Перестал подключаться на провайдере Дом.ру, бесконечно реконнектит к VPN. Кто нибудь сталкивался с подобным?

У меня тоже, хотя у меня выход настроен через прокси

Добрый день, тема обширная, быстро поискал по запросу DNS в теме, и искал в интернете по запросу DNS Антизапрет.
Пытаюсь понять рациональность, и нужен ли мне Антизапрет на собственном сервере
Сейчас все настроено в роутере и работает без нареканий. Но в качестве резолвера я вижу
51.75.75.245 anticensorship-proxy.antizapret.prostovpn.org.OVH SASGermany
а иногда французские сервера.

Мой вопрос, если я настрою антизапрет на своем сервере, у меня в качестве ДНС резолвера будет другой сервер? - тот на котором у меня установлен контейнер…
Можно ли как то сделать при работающем Антизапрет, что бы при проверке на сайтах, таких как dnsleaktest.com например, я получал в результатах другие адреса DNS, например гугл?

Спасибо

8.8.8.8 – это Google.
77.88.8.8 – это Яндекс.

Думаю, что тот, который будет работать внутри контейнера на сервере. К нему VPN заврочивает все DNS-запросы.

Из README:

На VPN-сервере запущен специальный DNS-резолвер, устанавливающий отображение (соответствие, маппинг) настоящего IP-адреса домена в свободный IP-адрес большой внутренней подсети, и отдающий запрашиваемому клиенту адрес из внутренней подсети.

Несколько дней стал очень медленно загружаться инстаграм в ios-приложении. Перезагружал и контейнер, и сервер целиком. На других ресурсах падения скорости не наблюдаю.

На собственном сервере скорость выше + работает стабильнее + возможность кастомно заворачивать доменные зоны на свой антизапрет

Это нормально для публичного конфига. Так понимаю, что владелец антизапрета хостится на тех серверах

Все верно. Читать про особенности маршрутизации - Bitbucket

Тогда антизапрет не будет работать

Вы можете сделать так, что ваш сервер, на котором запущен контейнер, будет в качестве апстрима использовать Google DNS. При посещении dnsleaktest.com с клиента вы будете видеть адрес своего сервера (потому что клиент резолвит через ваш сервер, где поднят контейнер), но по факту, это будет Google (т.к. ваш сервер использует Google DNS как апстрим). Тут как в анекдоте “что вам важнее: шашечки или ехать”.

Подскажите плз, я получу какой-то реальный прирост производительности резолвера если повыкидывать все из exclude файлов? Или даже заморачиваться не стоит?

Здравствуйте. Развернул антизапрет на сервере в Казахстане. Работает вроде всё норм, но замечаю что через какое-то время адреса становятся недоступны. Если подождать минуту и пару раз перезагрузить страницу, то снова всё открывается. Подключаюсь через openwrt на роутере. Подскажите, что может быть за проблема?

Здравствуйте! Хотелось бы узнать где вы списки берете?

Здравствуйте, помогите пожалуйста, использую “собственный” сервер, все было хорошо, не знаю что случилось, заметил проблему 3-5д. назад, клиенты к серверу без проблем подключаются но обход перестал работать, заблокированные ресурсы не открываются

Мой сервер днс резолвит из adguard-dns, при проверке через dnsleaktest.com днс от адгуарда отображается

не знаю что случилось, после ребута сервера начала работать как положено

Всем привет. На мегафоне и МТС через iOS приложение OpenVPN постоянное переподключение происходит. Можно ли как-то пофиксить?

Все претензии в РКН

Хочу поблагодарить за совет с --no-tld!

Последние пару дней чинил свой контейнер с антизапретом. Вот, что получилось.

Без удаление интернациональных доменов knot начинал работать, но быстро переставал. В журнале ошибок не увидел. Без таких доменов работает. Добавил в сборку:

sed -i -E "s/(CHARSET=UTF-8 idn)/\1 --no-tld | grep -Fv 'xn--'/g" /root/antizapret/parse.sh

Так же почему то отвалился системный DNS в контейнере, пришлось хотфиксить с помощью добавления в entrypoint:

echo "nameserver 1.1.1.1" >> /etc/resolv.conf

Еще заметил, что мои провайдеры начали резать udp: проходит несколько пакетов и все. tcp пока работает.

Ребята подскажите плз какие домены пустить через VPN чтобы заработал Copilot на W11 23H2

Его и без впн можно запустить.
через dns от comss.ru
Как включить Windows Copilot с чатом Bing в Windows 11
(в моём случае, прописывал эти dns не в системе, а в браузере edge)

Здравствуйте.
Стабильно раз в месяц отваливается обход блокировок, перестает выдавать IP сайтов " DNS request timed out. timeout was 2 seconds", такое может произойти даже сразу после чистой установки с применением всех требуемых ручных изменений (патч, правка строки), достаточно сделать перезагрузку контейнера lxc либо всей системы.
Базируется на EC 2 от Amazon на Ubuntu 22 и пробовал на 20, ничего от версии не меняется.

В чем может быть проблема? Если это из-за хостинга, то хотелось бы понять причину.

Почему-то начал отваливаться туннель. Если пинговать запрещённые домены, то всё в порядке, трасса идёт через контейнер, но если попытаться на этот же домен через браузер, то туннель тут же падает. p.patch на кириллицу в доменах и dnsmap накатил, как писали выше, но это не помогло. Да и не понятно, почему всё прекрасно обновлялось и работало столько времени, а буквально вчера сломалось с концами. Причём, если идти через АнтиЗапрет, то всё в порядке, так что, думаю, проблема именно с конфигурацией контейнера

Подскажите пожалуйста как отключить автообновление списка доменов или настроить это обновление в определенное время… Сервер с 1 процом и 1Гб оперативки (которая забивается >90%) при обновлении списка грузит процессор но 100% от 5 до 20 минут, при этом интернет почти не работает. Кстати если перезагрузить сервер при этом, то оживает и обновляет все в разы быстрее. Очень напрягает, хочется поставить это обновление например в 4 часа ночи, или вообще отключить и запускать вручную по необходимости…
Причем раньше такое замечал раз, два в месяц, а последнее время 3-4 раза в неделю. Патч применял, без него вообще не обновлял список, но и работал почти без отвалов ))

Перестало работать приложение XBox для Windows, так же вообще не заходит в клиент League of legends при работающем антизапрет на роутере, не могу понять куда копать , потому что замена днс на провайдерские или на те которые не идут через туннель антизапрета, решает проблему. Патчи последние применены. Самое интересное что все обходы или простые сайты работают нормально

Дня два назад еще все работало нормально , не понимаю что случилось , ничего не трогал
Через “Общий” антизапрет такая же беда

lxc shell antizapret-vpn nano “/etc/systemd/system/antizapret-update.timer”

Продиагностировать можно вот так, там же написана и возможная причина.

xbox.pcapng (1,5 МБ)
ничего красного нет почти, но не грузятся картинки и приложение не работает

Блокируется доступ к catalog.gamepass.com (104.109.143.31).
Любые HTTPS-запросы к этому IP-адресу блокируются на ТСПУ, независимо от домена.

Проблемы оказались не только с xbox и лигой , так же внезапно перестали открываться картинки в додопицце
CNAME: dodopizza-a.akamaihd.net.edgesuite.net.
CNAME: a1211.dscd.akamai.net.
A: 104.109.143.21
A: 104.109.143.27
Почти все проблемы которые у меня возникли это с этим akamai, мой сервер в нидерландах резолвит для него 104.109.143.* которые судя по всему в рф не работают.

Выполнять внутри контейнера
root@antizapret-vpn:~#

systemctl stop antizapret-update.timer
systemctl disable antizapret-update.timer

nano /etc/systemd/system/antizapret-update.timer

[Unit]
Description=Run antizapret-vpn update at 5:00:00

[Timer]
OnCalendar=*-*-* 5:00:00 Asia/Yekaterinburg
Persistent=true

[Install]
WantedBy=timers.target

timedatectl list-timezones | grep "Yekaterinburg"
timedatectl list-timezones | grep "Moscow"

systemctl enable antizapret-update.timer
systemctl restart antizapret-update.timer

Вчера пытался по инструкции поднять антизапрет на своем впс и уперся в то что нет инета внутри контенера. Как не мучался так и не понял как заставить его работать и плюнул. Далее на гитхабе увидел докер с антизапретом. И он сразу завелся и работает. Так вот вопрос есть какие-то подводные камни при использование докера?

Настроил antizapret на mikrotik роутере в офисе, всё работало шикарно, но через неделю перестали резолвиться адреса Google, а через пару дней начались проблемы с Apple App Store. Перезагрузка контейнера помогла. Можно ли как-то исправить этот баг? Заметил что такое происходит при большом количестве клиентов (у нас в офисе 60 устройств)

Пробуйте

Если речь про свой контейнер

Поделись ссылкой на докер контейнер, потому что здешний антизапрет у меня точно так же как у тебя не работает. Нет инета и все. Копался копался и точно так же как ты плюнул на это дело.

Снова возникла проблема с сервисами Apple (App Store, Apple Music).
Почему-то домены aod.itunes.apple.com, mvod.itunes.apple.com, apptrailers.itunes.apple.com, apptrailers.itunes.g.aaplimg.com и другие резолвятся на какой-то украинский IP-адрес, а не на IP-адрес Apple:

image1268×1410 111 KB

Перезагрузка antizapret контейнера не помогает.

Кстати, этот IP-адрес 193.57.46.176, AS60159 (EUROLINE UKRAINE LLC) отдаётся DNS-сервером Hetzner в Финляндии и из России не пингуется.

Другие же DNS-сервера отдают IP-адреса 17.253.15.196, 151.101.131.8 и тому подобные, они пингуются при этом.

Получается нельзя использовать Hetzner DNS, попробую 1.1.1.1.

Пришлось в /etc/dnsmap/proxy.py поменять default upstream dns с 8.8.8.8 на 1.1.1.1

Подскажите поставил на vps контейнер lxc. Подключаюсь к серверу vps по tcp. С подключенного ПК делаю запросы с запрещенным сайтам и получаю адрес реального ip а не ip в туннель vpn.
Ответ DNS:
nslookup instagram.com
╤хЁтхЁ: UnKnown
Address: 192.168.104.1

Не заслуживающий доверия ответ:
╚ь : instagram.com
Addresses: 2a03:2880:f213:e4:face:b00c:0:4420
157.240.205.174

Подскажите, что исправить.

p.s. патч применял
выполнял как в посте 552

Отлично работает , почему-то в разы быстрее чем поднимать по инструкции с сайта.

antizapret-container все-равно почему-то использует рандомные DNS сервера в качестве апстрима, судя по tcpdump. Как явно указать какие upstream dns сервера использовать? @ValdikSS

Получилось пофиксить это. Прописал в /etc/knot-resolver/kresd.conf следующую строчку в самом конце:
policy.add(policy.all(policy.FORWARD({'77.88.8.8'})))

Это решило проблему с geo-балансировкой сайтов, когда в разных регионах отдаются разные IP-адреса DNS-серверами. Но это также создало две проблемы:

1. Увеличилось время резолва, поскольку моему VPN-серверу в Финляндии приходится обращаться к DNS-серверу в Москве. В идеале бы DNS-сервер антизапрета разместить в РФ, а сам VPN-сервер оставить в Финляндии.
2. Для сайтов, которые открываются через VPN, по-хорошему нужно использовать рекурсивный резолвер. Как этого добиться?

Доброго времени суток. Возможно ли сделать так, чтобы определенный домен открывался через vpn? Пример, антизапрет стоит на vps в Германии, а домены ChatGPT открываются через vpn в США?

Подскажите вот перестал работать image.tmdb.org.
Проверяю nslookup image.tmdb.org и вижу Address: 10.224.0.1. Но в браузере вижу ошибку от cloudfare как будто идет запрос не через антизпрет.
Подрубаю через wg к этому же серверу и начинает работать.
Что-то можно сделать чтобы заработало ?

Возможно, у вас в браузере используется не системный DNS. Нажмите F12 - Network и посмотрите, на какой адрес уходит запрос.

Коллеги, возникли проблемы со Steam’ом. Почему-то траффик идет через контейнер, из-за чего не могу открыть главную. Главная html открывается, хоть и тянется явно из другого ip, но вот остальные реквесты вообще не отвечают (как например store.akamai.steamstatic.com или avatars.akamai.steamstatic.com). Все патчи и правку кириллицы ставил.

В nslookup с подключением к antizapret и без.

При этом, я все необходимые хосты добавил в:
/root/antizapret/config/exclude-regexp-dist.awk
/root/antizapret/config/exclude-hosts-dist.txt
/root/antizapret/config/exclude-hosts-custom.txt

Добрый день, сделал всё строго по инструкции “С помощью LXD” под Ubuntu 20.24.

Скармливаю файл кинетику, включаю соединение, пишет “Нет соединения”. Настройки следующие:

Снимок экрана 2023-11-30 в 03.45.041388×1020 81.6 KB

Я же правильно понимаю, что в случае с self-hosted антизапретом (поставил на vps в Нидерландах), никакие настройки DNS на роутере делать не следует? Возможно, есть ли какой-то чуть более развёрнутый гайд?

Заранее простите за возможное невежество.

Недавно развертывал для изучения этот контейнер
Он не встанет как надо сразу. Там ошибка скрипта идет, без правки ничего не получилось.
Если не можете разбить “черный ящик” на части и проверить работу каждого по отдельности (например, хотя бы подключиться БЕЗ роутера с клиента виндовс могли же ? проверить , что есть процесс openvpn на сервере, что порт прослушивается ) . А вот так взять скопипастить команды и чтобы сразу. Не начинайте лучше. Или готовьтесь разбираться

Мне пришлось закомментировать “set -e” в /root/antizapret/parse.sh, потому что IDN выдавал ошибку, и это завершало скрипт. Он не генерил файлы, необходимые для запуска openvpn сервер

#!/bin/bash
#set -e

Могу только в клиенте под iOS проверить. Вот такой лог, если есть возможность направить приблизительно куда копать, буду крайне благодарен.

[Nov 30, 2023, 12:34:57] START CONNECTION

[Nov 30, 2023, 12:34:57] ----- OpenVPN Start -----
OpenVPN core 3.8.3connect1 ios arm64 64-bit

[Nov 30, 2023, 12:34:57] OpenVPN core 3.8.3connect1 ios arm64 64-bit

[Nov 30, 2023, 12:34:57] Frame=512/2112/512 mssfix-ctrl=1250

[Nov 30, 2023, 12:34:57] NOTE: This configuration contains options that were not used:

[Nov 30, 2023, 12:34:57] Unsupported option (ignored)

[Nov 30, 2023, 12:34:57] 7 [resolv-retry] [infinite]

[Nov 30, 2023, 12:34:57] 8 [persist-key]

[Nov 30, 2023, 12:34:57] 9 [persist-tun]

[Nov 30, 2023, 12:34:57] EVENT: RESOLVE

[Nov 30, 2023, 12:34:57] Contacting 178.208.90.43:1194 via TCP

[Nov 30, 2023, 12:34:57] EVENT: WAIT

[Nov 30, 2023, 12:34:57] Connecting to [178.208.90.43]:1194 (178.208.90.43) via TCP

[Nov 30, 2023, 12:34:57] EVENT: CONNECTING

[Nov 30, 2023, 12:34:57] Tunnel Options:V4,dev-type tun,link-mtu 1559,tun-mtu 1500,proto TCPv4_CLIENT,cipher AES-128-CBC,auth SHA1,keysize 128,key-method 2,tls-client

[Nov 30, 2023, 12:34:57] Creds: UsernameEmpty/PasswordEmpty

[Nov 30, 2023, 12:34:57] Sending Peer Info:
IV_VER=3.8.3connect1
IV_PLAT=ios
IV_NCP=2
IV_TCPNL=1
IV_PROTO=990
IV_MTU=1600
IV_CIPHERS=AES-128-CBC:AES-192-CBC:AES-256-CBC:AES-128-GCM:AES-192-GCM:AES-256-GCM:CHACHA20-POLY1305
IV_AUTO_SESS=1
IV_GUI_VER=net.openvpn.connect.ios_3.4.1-5463
IV_SSO=webauth,openurl,crtext


[Nov 30, 2023, 12:34:57] VERIFY FAIL: depth=1, /CN=AntiZapret CA, signature: RSA-SHA256 [self-signed certificate in certificate chain]

[Nov 30, 2023, 12:34:57] Transport Error: OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2640 status=-1: error:0A000086:SSL routines::certificate verify failed

[Nov 30, 2023, 12:34:57] EVENT: CERT_VERIFY_FAIL OpenSSLContext::SSL::read_cleartext: BIO_read failed, cap=2640 status=-1: error:0A000086:SSL routines::certificate verify failed [ERR]

[Nov 30, 2023, 12:34:57] EVENT: DISCONNECTED

[Nov 30, 2023, 12:34:57] EVENT: CORE_THREAD_DONE

[Nov 30, 2023, 12:34:58] EVENT: DISCONNECT_PENDING

[Nov 30, 2023, 12:34:58] Raw stats on disconnect:
  BYTES_IN : 2531
  BYTES_OUT : 349
  PACKETS_IN : 3
  PACKETS_OUT : 3
  SSL_ERROR : 1
  CERT_VERIFY_FAIL : 1


[Nov 30, 2023, 12:34:58] Performance stats on disconnect:
  CPU usage (microseconds): 34556
  Network bytes per CPU second: 83342
  Tunnel bytes per CPU second: 0

Копать в сторону неправильного конфига с неверным сертификатом CA
Там в /root есть easy_rsa, где есть скрипт, создающий готовый конфиг для клиентов. Вот оттуда и надо брать конфиг, а не править в стандартном антизапрет конфиге IP адрес
После прогона generate.sh может понадобится перезапустить openvpn сервер внутри контейнера или сам контейнер целиком, чтобы точно ключи совпадали

Здравствуйте @ValdikSS в связи с этой новостью Нужен АнтиЗапрет в 2024? Голосуй!
если уж так вдруг случиться что сервис перестанет существовать, на своем впс он продолжит работу и просто списки не будут обновляться? или тоже ничего работать не будет?

Обнаружил, что длинные хосты из файла include-hosts-custom.txt, похоже не перенаправляются через свой DNS. Например, nslookup chat.openai.com.cdn.cloudflare.net или api.app.prod.grazie.aws.intellij.net возвращает “родные” ip-шники.

А nslookup chat.openai.com – отрабатывает нормально. Есть какое-то ограничение по длине хоста? Патч установил, doall выполнился без ошибок, кэш очистил. Куда копать?

Доброго времени суток.
Ни с того ни с сего перестал работать антизапрет.
Хостинг - Perfect Quality. Страна - Нидерланды.
Контейнер живой. Соединение с ним есть, но не открываются сайты даже не из списка, т.е. вообще никакие. Контейнер перезагружал, сам сервер тоже.

Приветствую.
Подскажите как завернуть весь трафик pornhub через контейнер для страны откуда он запрещен полностью?
Удалял домены из exclude, добавлял pornhub.com, rt.pornhub.com и другие домены в include, но в итоге перестает резолвиться rt.pornhub.
Спасибо.

Доброго времени суток! Сталкивался кто-нибудь с проблемой загрузки превьюшек в ютубе? Причем то грузит без проблем, то частями, то все пустые. Можно ли завернуть какие-то из адресов в список антизапрета?

На личном VPN, помогло с отображением привью это добавление обращений к play.google.com через туннель.

Перестали открываться сайты НЕ из include-host — до этого месяца работало как часы, безо всяких замен.

В итоге удалил контейнер, переустановил заново, отредактировал parse.sh для доменов с кириллицей, но не могу установить патч:

root@v684041628:~# lxc exec antizapret-vpn -- bash
root@antizapret-vpn:~# cd /root/dnsmap
root@antizapret-vpn:~/dnsmap# patch -i p.patch
bash: patch: command not found

Никакие заблокированные сайты при этом не открываются — ни из include-list, ни из общего списка.

Аналогичная проблема на Vultr. Не могу понять, в чем проблем и как продиагностировать. При этом к коммунальному все подключается и загружается… РКН что-ли накрутил чего…

спрашивал там заблочили тогда спрошу здесь можит кто нить знает как насроеть коньтэйнер чтобы все домемы по маске (например *.ua) шли через его ане по одному закидывать в include-hosts-customs?!

Внутри контейнера нужно установить patch.
Типа apt install patch

Спасибо!

Люди добрые помогите.
Пробовал поднимать lxc на трех серверах (2 российских и 1 во франции)
Убунта 20.4
Установка проходит без ошибок. lxc ставил через snap
ovpn файл создается, подключается с ip 192.168.104.2. С компа на 192.168.104.1 пинг проходит.
Из контейнера antizapret-vpn на 192.168.104.2 пинг так же проходит.
но рутрекер не открывается как и другие сайты из запрещенки.
В контейнере интернет есть соответственно.

каким обранизом понтключаешетсь? как днс контэйнера на сроутэре\компе или через опенвпн программа? если днс как используется то надо проверить если оно работает должно возвращать например nslookup rutracker.org заблокированые который как из 10.хх.ххх понтсети если оно работает если опенвпн программу то надо чтоб версия самой программы старая была ане самая новая у меня такая тема была возьмиете какую нето 2.5.1 не выше тогда проканает ето потому что оно даже пре понтключении предупреждает что некторые опции которые заданы в конфиге deprecated а чтобы было всё збс надо сам контейнер обнволять а валидкасс не хочет)

ps
а может ваще провайдер блочит етот палевный опенвпн протокол?
у меня например по ночам отваличается контейнер на микротеке логи видно что оно отваливается ночью днём всё збс

@ValdikSS Добавил yt3.ggpht.com в include-hosts-custom.txt, иногда резолвятся оба адреса сразу: Локальный 10.224.5.178 и публичный 74.125.131.198.

В чём может быть проблема?

Если добавить wide-youtube.l.google.com в include-hosts-custom.txt то весь трафик до google.com начинает идти через VPN, а мне это не нужно. Можно ли это как-то исправить?

Похожая история с play.google.com, хочется только этот домен зароутить в VPN, а роутится весь google.com целиком

он уже отвечел про ето тут я так сделаль на свойём контэйнере и стало норм тока невс и плэй прокидыватся ане весь гугол

Добрый вечер. Появилась проблема с доступностью Антизапрета через мобильный МТС. У кого-нибудь есть решение этой проблемы?

При подключении бесконечные попытки подключиться и реконнект.

топ, помогло.
Но вот с wide-youtube.l.google.com проблема, он резолвит иногда публичный адрес, иногда приватный. Не понимаю в чем проблема.

image1040×588 31.4 KB

А иногда вовсе резолвит только публичный IP:

image1068×626 108 KB

Всем привет, можно ли как то настроить контейнер чтоб TOR browser тоже работал?

Всем привет. Подскажите, есть варианты реализации контейнера на Shadowsocks? OpenVPN у нас все чаще блокируется…

Всё продолжит работать, контейнер автономен и не скачивает никакую информацию с веб-сайта.

Проверяйте работу DNS, в первую очередь. Если домены разолвятся через VPN, то смотрите маршрутизацию — возможно, что-то сломалось на хосте, например.
Если домены не резолвятся, см. kresd, его конфигурационные файлы и логи. Возможно, его убил oom-killer из-за перерасхода памяти.
Для работы контейнера нужно применять охапку патчей, если вы его только установили.

А с вашего сервера он вообще резолвится напрямую? Некоторые NS’ы блокируют диапазоны хостингов.
$ dig +short rt.pornhub.com @ns13.digicertdns.net.

Возможно, в кеше. Хотя TTL низкие, кеш бы давно протух. Не знаю, нужно разбираться.

А что с ним? Он и так работает.

На «голом» прокси такое сделать не получится. В комбайнах вроде v2ray можно реализовать, но с оговорками.

Tor не подключается, бесконечно стоит на bootstrapped 5%, для tor приходится использовать сторонние ВПН, а не “свою”

Сделал как вы сказали, но так и не работает

image1110×620 24.5 KB

image1109×623 25.3 KB

как используя эту конструкцию заворачивать резолвинг всех доменов .ru, .рф, .su (вроде все?) на один днс,
а всех остальных – на другой
?

так
добавить в конце
/etc/knot-resolver/kresd.conf

-- *.ru, *.рф, *.su
policy.add(
    policy.suffix(
        policy.STUB(
            {'77.88.8.1', '77.88.8.8'}
        ),
        policy.todnames(
            {'ru.', 'рф.', 'su.'}
        )
    )
)

-- OpenDNS
policy.add(policy.all(policy.FORWARD({'208.67.222.222', '208.67.220.220'})))

?

Актуализирую вопрос, не получил ответа

Похоже на правду.

Попробуйте прописать эту строку в самый (или почти самый) верх конфигурационного файла.
И не забудьте очистить кеш:
echo "cache.clear()" | socat - /run/knot-resolver/control/1

Так и не заработал

image1112×618 35.6 KB

image1115×622 32.5 KB

Адрес 192.168.104.1 разве не назначен VPN-интерфейсу внутри контейнера? Вы в knot-resolver указываете апстримом сам же knot-resolver, создавая кольцо запросов.

Просто понять не могу какой ip прописать в knot-resolver

image933×491 29.9 KB

image1021×470 64.9 KB

У меня тоже были рандомные проблемы с серверами apple. Очень нестабильно работали обновления, apple music.

Добавил в /root/antizapret/config/include-hosts-custom.txt apple.com и mzstatic.com

У вас запущен AdGuard в качестве DNS-сервера на этом же сервере? На хосте (не в контейнере)?
Если он запущен в контейнере, который создаёт свой сетевой интерфейс, то укажите IP-адрес этого интерфейса (но он может меняться, см. настройки системы контейнеризации, в котором запускаете).
Если вы запускаете на хосте, то попробуйте указать внешний IP-адрес сервера.

Спасибо за ссылку. А что в итоге надо сделать? Из коробки у меня не работало. Даже на свежем rootfs.tar.xz. Сейчас apple music работает, а вот приложения из app store не скачиваются.

UP: прописал 1.1.1.1 в proxy.py, перезапустил контейнер - вроде стало лучше.

Нужно добавить исключение, как описано, например, здесь:

proxy.py править не нужно!

тоже не совсем понятно, что нужно сделать, чтобы пускать этот домен через проксю

тут
Контейнер VPN АнтиЗапрета для установки на собственный сервер - antizapret.prostovpn.org / АнтиЗапрет на собственном сервере (self-hosted) - NTC
я так понимаю схема для домена третьего уровня, а
osxapps.itunes.apple.com
домен четвёртого

как было исправлено

?

Если вам нужно решить проблему с apple.com, то его не нужно для этого добавлять в список проксирования.
См. сообщение выше.

Проблема в том, что мы хостим DNS сервер в другой стране, что создает большое количество проблем с сайтами, которые используют DNS-based Geo-балансировку (а не anycast, что более логично), то есть такие домены резолвятся на ближайшие IP-адреса к вашему DNS-серверу за границей а не к вам, что может в целом замедлять работу даже незаблокированных сайтов.

Я в итоге пришел к такой конфигурации. В Москве (где я живу) я взял виртуалку и поднял там knot-resolver, который для незаблокированных сайтов форвардит DNS запросы на 1.1.1.1, а для заблокированных сайтов форвардит всё на мой собственный DNS сервер в Финляндию (самая ближайшая локация к Москве с пингом около 16мс), с него уже отдаются фейковые IP-адреса для заблокированных сайтов.

Иными словами нужно резолвить адреса там, где вы будете к ним обращаться.

Сейчас в списке заблокированных больше 400 000 доменов, у Вас knot нормально справляется с маршрутизацией каждого DNS-запроса по такой немаленькой таблице?
Сам эту задачку решаю, но пока что планировал в фоне логи запросов к своему DNS-серверу обрабатывать и корректировать маршруты, т.к. был уверен, что в real time не взлетит.

Работает хорошо, подгрузил через RPZ.
Правда при запуске около 20 секунд лагает)

workers: auto
logging:
  level: info
network:
  listen:
    - interface: wg0@53

cache:
  prediction: true

lua:
  script: |
    policy.add(
      policy.rpz(
        policy.FLAGS({'NO_EDNS', 'NO_0X20'}),
        '/config/domains.rpz',
        true
      )
    )

    policy.add(
      policy.rpz(
        policy.STUB('fd86:ea04:1116::1'),
        '/config/domains.rpz',
        true
      )
    )

    policy.add(policy.all(policy.STUB('1.1.1.1')))

Я по итогу сделал свой antizapret на wireguard и NAT64 (Jool в kernel mode), а мой DNS64 сервер резолвит Embedded IPv4 in IPv6 адреса вместо фейковых IPv4, таким образом не нужно поддерживать маппинг fake ip → real ip в iptables, архитектура получилась stateless и очень прозрачной и эффективной.
Можно даже маршрутизирующий knot-resolver разместить на своём домашнем роутере для отказоустойчивости и околонулевого latency.

image1066×504 19.7 KB

Единственный минус такой схемы, вам нужны IPv6 адреса на ваших устройствах в вашей сети. Но если публичных IPv6 адресов нет то можно заанонсить ULA IPv6-префикс через RA.

Спасибо за подробные пояснения, но, честно говоря, не понял, зачем Вам вообще фейковые адреса и IPv6. Разве не достаточно просто использовать для каждого доменного имени ресолвер в той стране, через которую мы предполагаем маршрутизировать трафик к соотв. серверу?
Или Вы таким образом решаете не только проблему, когда для разных геолокаций отдаются разные адреса, но и проблему, когда в рамках одной геолокации рандомно отдаются разные адреса из некоего пула?

Под фейковыми адресами я подразумевал то, что отдает antizapret dns (10.241.x.x).

Долго задавался вопросом как переделать antizapret на wireguard и при этом решить проблему резолва адресов для НЕзаблокированных сайтов там, где я нахожусь, в итоге пришел к такому архитектурно простому решению дабы не заморачиваться со скриптами, которые поддерживают состояние iptables

Разве не достаточно просто использовать для каждого доменного имени ресолвер в той стране, через которую мы предполагаем маршрутизировать трафик к соотв. серверу?

Если я правильно понял вы предполагаете использовать, например, Yandex DNS в качестве резолвера, который будет использоваться в антизапрете, (если мы предполагаем что антизапрет находится в другой стране). То есть Antizapret будет обращаться к DNS серверу яндекса в Москве.
В таком случае будет достаточно высокий latency на резолв для ЛЮБЫХ сайтов. Ваш компьютер в Москве будет обращаться к антизапрету в Финляндии (допустим), а он в свою очередь будет посылать запрос к DNS серверу яндекса в Москве, затем получать ответ и возвращать вам.
Гораздо лучше будет если DNS запросы не будут улетать за пределы Москвы и будут оставаться в пределах пары миллисекунд.

Сорри, я в эту тему подключился исключительно после Вашего комментария про распределение DNS-запросов, что для меня тоже актуально. Продукт от antizapret не использую и откуда и зачем в нём берутся фейковые адреса - не знаю (P.S. Почитал, понял, хитроумное решение, но очень уж нишевое )

У меня своя VPN-сеть с точками в нескольких странах и маршрутизацией через эти точки по правилам, специфичным для каждой страны (скажем, из России заблокированные IP через Голландию, а из-за пределов России российские IP через Россию и т.п.) Списки префиксов для маршрутизации, в т.ч. путём ресолвинга доменных имён, формирует свой сервер и раздаёт всем остальным узлам сети по BGP в отдельных community. Все пользователи моей сети используют мои DNS-ресолверы (для уменьшения latency и отказоустойчивости у меня их 2 - в России и в Голландии).

И вот тут я сталкиваюсь с аналогичной проблемой - при построении списка маршрутов сервер может получить для доменного имени один IP, а пользователь при обращении по этому имени - другой, к которому правильный маршрут не построен. Я эту проблему планировал решать, написав работающий в фоне парсер логов DNS-ресолвера, который проверяет все запросы на соответствие доменам из списка и обновляет маршруты при появлении для этих доменов новых IP. В этом случае пользователь с первого раза всё равно получит проблему, но хотя бы при повторном обращении (обновлении страницы) через некоторое время нужный маршрут уже успеет появиться. Но вот если можно действительно расикдать и DNS-запросы, сохранив приемлемую производительность ресолвера, то часть проблем (вызванные несоответствием геолокации, а не балансировкой нагрузки) это сняло бы сразу.

По поводу latency DNS я вообще не переживаю. У меня сейчас вообще рекурсивные ресолверы, которые ходят по всей цепочке от корневых серверов, и никакой особой latency это не привносит, затраты времени же только на первый запрос, дальше всё в кэше. Медианное время выполнения рекурсивного запроса для российского ресолвера около 80 мс, для европейского - около 30 мс. Переход от собственных ресолверов к сторонним, где бы они ни находились, эти цифры только улучшит. И мой компьютер в Москве не ходит к иностранному серверу без нужды, как и иностранный к российскому.

благодарю, прочитал внимательно, в чём дело

действительно, для osxapps.itunes.apple.com это рабочее решение

ну раз уж задал вопрос про проксирование конкретных доменов четвёртого уровня (мало ли, пригодится), то метод для доменов третьего уровня
Контейнер VPN АнтиЗапрета для установки на собственный сервер - antizapret.prostovpn.org / АнтиЗапрет на собственном сервере (self-hosted) - NTC
вероятно нерабочий

можно этот вопрос осветить?
спасибо

День добрый! А никто не в курсе, у нас могут как-то трекать впны, расположенные в близлежащих странах (конкретно Финляндия), или это админы самого сайта делают такие интересные вещи? Имею впску в Финляндии, на которой крутится контейнер антизапрета, сегодня наткнулся на один сайт из реестра, который при попытке его открыть перекидывает на сайт fsb.ru, в нетворке пролетает NS_BINDING_ABORTED (Firefox); пытался включить “полный” впн (решение через добавление bypass-dhcp в конфиг) - не работает, включаю отдельный впн в браузере на условную Австрию (пробовал несколько разных стран) - работает, включаю на Финляндию - не работает, снова редирект. Или, может, где-то произошло какое-то условное кэширование и меня теперь по геоайпи как-то блочит? С контейнера сайт пингуется, доступ есть.

Ответы HTTP 301, 302, 303, 307 выдаёт веб сервер, настроенный администратором сайта. Фильтрация доступа может осуществлятся например по данным GeoIP, размеру MTU, разнице времени браузера и локации IP.

Я, конечно, немного дилетант в плане сетей и прочего, но в какой момент в этой всей системе вылезает редирект на сайт фсб? Я даже раньше, кажется, такого не видел - обычно при попытке доступа либо заглушка с баннером была про то, что сайт заблокирован, либо относительно недавно начала вылетать PR_CONNECT_RESET_ERROR и никакого редиректа. В моем понимании если идет блок какого-либо вида со стороны сайта, то там будет опять же либо какая-то заглушка (как делают сейчас многие сайты, блокирующие доступ пользователям из РФ), либо редирект на условный гугл, но уж никак не на сайт российского фсб - тем более что без впна я на этот сайт даже не заходил. Пробовал включить Эстонию/Латвию/Литву/Норвегию (что близко географически) - с ними все замечательно открывается, ощущение что “виноват” был именно первый коннект через антизапрет, который по каким-то причинам был где-то задетекчен.

В браузере открываете Web Developer Tools, владку Network и должны увидеть код HTTP редиректа на первом запросе страницы. “Виноват” скорее всего администратор веб сервера, который добавил IP в блок лист.

Что-то я сомневаюсь, что там админ сервера так заморочился. Может, просто Ваш финский VPS по GeoIP бьётся как российский? Такое, вроде, встречалось в отношении площадок, которые наши хостеры арендуют (или в недавнем прошлом арендовали) за рубежом.

Ну вот пример где содомитов мужеложцев перенаправляли.

Сайт, как оказалось, принадлежит той же компании, что и в этом треде. Проверил этот, симптомы абсолютно такие же - без впна нет коннекта, с финским впном/финской прокси из UrbanVPN (мой хостится на Aeza, прокся на Creanova) 302 + редирект на фсб, с финской проксей hide.me (Hetzner) или с другими странами все работает. Видимо, все-таки владельцы шаманят на своей стороне. Не до конца, правда, понятно, что это за магический геоблок такой, который отработал на два разных хостинга в пределах одной страны и не отработал на третий, ну да ладно.

Вы проверьте свои IP, например, тут, тут и тут, - может, магия и разоблачится…

На мою впску первые два указывают Финляндию, третий по каким-то причинам Швецию (хотя, кажется, когда у меня был рабочий Хецнер, с ним была похожая история - периодически выдавало Германию вместо Финляндии), на втором при этом есть упоминание runexis.ru в качестве домена - единственная зацепка? На урбанвпновской проксе три честных Финляндии.

Не знаю. Вариантов много. Или они берут GeoIP из какого-то другого источника, на котором светится Россия (если там упомянут российский домен - возможно, раньше этот блок IP числился напрямую за российской компанией, а базы GeoIP могут быть древние необновлённые). Или какой-то российский пользователь/бот с VPN у этого же провайдера засветился индивидуально так, что заставил админов соотв. диапазон добавить вручную.

В любом случае, версия, что они как-то детектят именно Антизапрет и добавляют “засветившиеся” адреса в вечный бан, кажется самой маловероятной. Во-первых, не видно со стороны сервера никаких критериев, по которым можно так определять. Во-вторых, Антизапрет - точно не самый популярный способ обхода блокировок для россиян. В-третьих, ну это до какой степени надо упороться

Большое спасибо)

Доброго.
ПОдскажите что за ошибки
Job for kresd@1.service failed because a fatal signal was delivered to the control process.
See “systemctl status kresd@1.service” and “journalctl -xe” for details.

Данные об ошибке по сервису увидите, набрав journalctl -xe в терминале

Здравствуйте @ValdikSS. А как на своём сервере можно сменить время обновления списков?

/etc/systemd/system/antizapret-update.timer

Спасибо.

Контейнер VPN АнтиЗапрета для установки на собственный сервер - antizapret.prostovpn.org / АнтиЗапрет на собственном сервере (self-hosted) - NTC

Здравствуйте, возникла проблема: резко перестал работать обход блокировок. Текущий конфиг: lxd контейнер на арендованном сервере в Германии, настроен OpenVPN на роутере Keenetic, причем сам роутер уверяет, что с соединением все в порядке и оно работает. С чем может быть связана проблема, кто сталкивался?

С чем угодно, от изменившегося типа подключения к провайдеру (например, начиная с прошивки 3.8, нужно задействовать интернет-фильтры, иначе, при использовании PPPoE или добавлении на роутер ещё одного VPN-туннеля всё ломается) до внесения изменений в сетевые настройки на клиенте (в настройках сетевого адаптера указали кастомные DNS, включили DoH в браузере и так далее).

Долго мучался и перебирал различные варианты. Оказывается достаточно просто добавить строку
ua
в include-hosts-customs.txt.
Теперь все сайты вида *.ua открываются через антизапрет. Кстати так же сделал со всеми доменами стран ЕС. Может тоже пригодится:

at
be
bg
uk
hu
de
gr
dk
ie
es
it
cy
lv
lt
lu
mt
nl
pl
pt
ro
sk
si
fi
fr
hr
cz
se
ee

Del

Заметил странное — часть доменов, добавленных в include-hosts-custom.txt не заворачиваются через контейнер, например:

--@Mini ~ % nslookup abobe.com       
Server:		192.168.104.1
Address:	192.168.104.1#53

Non-authoritative answer:
Name:	abobe.com
Address: 3.33.243.145
Name:	abobe.com
Address: 15.197.204.56

Твики, связанные с добавлением символом кириллицы давно применил, никаких ошибок в процессе не показывало. С чем мб связано, кто сталкивался?

Здравствуйте @ValdikSS. Как можно это сделать на своём сервере? И можно ли всю AS16625 или 104.109.143.0/24 пропустить через VPN?

В листе, который в result, домен имеется? Если да, то нужно сбросить кеш knot-resolver. Если нет, то нужно отлаживать.

Спасибо @ValdikSS. А как вы сделали так?

Добавил перенаправление с отдельных проблемных IP-адресов (104.109.143.31, 104.109.143.4, 104.109.143.28) на почти что случайные другие

Я как понял, вы из dns ответа исключили эти ip адреса и сделали так, чтобы выдавались другие?

@ValdikSS попробовал сделать как вы написали, но не сработало. В файле iplist_special_range.txt присутствует подсеть 104.109.143.0/24. При nslookup к домену выдаёт 104.109.143.77. В контейнере изменён только DNS адрес, но я не думаю, что из - за этого могут быть проблемы.

Так и должно быть. Переподключитесь к VPN, вам придёт маршрут для этой сети.

Спасибо. Заработало, но странно, обычно домены выдавали ip адреса из под сети 10.224.0.0/24, а в этот раз без подмены ip адреса. А как вы исключили из ответа dns заблокированную подсеть?

Спасибо.

Добрый день! Развернул контейнер на забугорном vps по инструкции, создал подключение на роутере аналогично обычному антизапрету, все подключается, dnsleaktest показывает ip моего vps, но заблокированные сайты не открываются. Также заметил что в папке root нет ничего касающегося антизапрета кроме текстового файла antizapret-client-tcp.ovpn. Подскажите пожалуйста куда копать?

Доброго времени суток! Возможно задавался данный вопрос, но к сожалению не нашел по поиску. Дело вот в чем: Развернул антизапрет на своем сервере. Внес необходимые правки и применил патч. Все работает на всех устройствах. До этого не обращал внимания но в логе присутствует данная строка:

21:05 DEPRECATED OPTION: --cipher set to ‘AES-128-CBC’ but missing in --data-ciphers (AES-256-GCM:AES-128-GCM:CHACHA20-POLY1305). OpenVPN ignores --cipher for cipher negotiations.

Все работает как надо. Проблем нет. Но данное уведомление меня все таки заинтересовало. В итоге заменил метод шифрования предложенный в уведомлении(AES-128-GCM). Все так же работает нормально, но уведомление пропало.
Правильно ли я понимаю что шифрование не работало? Или это не столь важно?

Подскажи пожалуйста о каких правках и патче речь?

Подскажите, пожалуйста, какие патчи нужно применять?

Для запуска помогло:

1. Это.

Для работы на устройствах IOS:

1. Это.

Ну для редактирования всего этого ещё пару манипуляций провести надо. Там все описано если читать далее по комментариям.

Применить патч

wget https://raw.githubusercontent.com/nzkhammatov/antizapret_ios_patch/main/p.patch -O /root/dnsmap/p.patch
cd /root/dnsmap
patch -i p.patch

Сделал это, не помогло

Разобрался, патч применять не потребовалось, переустановил контейнер и отредактировал parse.sh

после этого все заработало.

Патч, если я правильно помню, для возможности запуска на iOS устройствах. Так на этих устройствах не работало у меня. Но после тоже в самом приложении одну галочку убрать надо.

Доброго дня! Может кто-нибудь скинуть оригинальные файлы:
/root/antizapret/config/include-hosts-custom.txt
/root/antizapret/config/exclude-hosts-dist.txt
/root/antizapret/config/exclude-regexp-dist.awk
А то я там намудрил, а бекапов не делал…

Подскажите пожалуйста, почему может не работать следующее:

• антизапрет у меня на vps
• в include-hosts-custom.txt добавил ntc.party
• сделал doall.sh и очистку кеша, перезапустил контейнер, но на форум не пускает.
  Может нужно что-то другое еще сделать?

На эту строчку предупреждение выводит скрипт:

awk: командная строка:1: предупреждение: regexp escape sequence `\_' is not a known regexp operator

Так и должно быть?

Здравстуйте! Какая конфигурация лучше для роутера? TCP или UDP?

Любая.

Да.

Отлаживайте. Смотрите, какие домены попали в результирующий файл, какие отсеялись. Проверяйте директории temp и result.

Оригинальные файлы есть в репозитории. Так как git-репозиторий есть в самой директории, можно выполнить git checkout с нужными путями файлов. Либо скачать их из интернета заново.

Это, если правильно помню, было сделано для совместимости со старыми клиентами OpenVPN (2.4), которые не поддерживают data-ciphers.

Сорри, я ламер, можно поподробнее порядок действий? Заранее благодарен.
З.Ы. А почему сайт стал открываться без впн?

https://bitbucket.org/anticensority/antizapret-pac-generator-light/src/master/config/

Большое спасибо!

установил все по инструкции, патчи и изменения применил, но при открытии заблокированных сайтов в барузере DNS_PROBE_FINISHED_NXDOMAIN

Могут ли через UDP быть потери в онлайн играх? Потеря пакетов и телепорт персонажей. Почему то когда использую UDP как раз это все и происходит в игре PUBG MOBILE. Возможно мне просто так везет на нестабильные сервера

Сравни PCAP дампы с антизапретом и без (выполняя перед этим ipconfig /flushdns). Возможно это происходит из-за сломанного GeoDNS — в ответе на разрешение имени приходит ближайший IP к VPS, а не к вам, тогда необходимо посмотреть какие домены игра запрашивает и добавить для них отдельные forward правила для восстановления работоспособности.

Вы сказали возможно это происходит из-за сломанного GeoDNS. У меня стоят на роутере адреса 1.1.1.1 и 8.8.8.8 и на сайте DNS leak test с отключеным АнтиЗапретом DNS подключается к этим локациям. Смена на Яндекс допустим может решить проблему?

image993×322 9.94 KB

Нет. Во-первых необходимо убедится что проблема в этом (для этого сравнить нужно дампы). Во вторых, правила нужно добавить в локальный DNS сервер вашей LAN именно для имён используемых в игре, и форвардить их на DNS IPS либо на второй инстанс DNS сервера работающий в режиме recursive resolution, чтобы NS сервер игры выдавал ближайшие игровые сервера к вашей ASN.

У вас маршрутизируется трафик игры через контейнер? Речь о каком IP-адресе, каком домене?

Да, у меня происходит маршрут через АнтиЗапрет. Изучаю WireShark чтобы предоставить более подробную информацию

спасибо за информацию!

@zzr

Дополнение для интересантов

al
be
bg
ca
hr
cz
dk
ee
fi
fr
de
gr
hu
is
it
lv
lt
lu
me
nl
mk
no
pl
pt
ro
sk
si
es
se
tr
uk
us
at
cy
ie
mt
ua

Первый раз с таким столкнулся, куда смотреть?

root@v684041628:~# lxc shell antizapret-vpn
Error: LXD unix socket "/var/snap/lxd/common/lxd-user/unix.socket" not accessible: Get "http://unix.socket/1.0": dial unix /var/snap/lxd/common/lxd-user/unix.socket: connect: connection refused

При этом впн работает

Попробуйте так

lxc stop antizapret-vpn
lxc list
lxc delete antizapret-vpn
lxc image list
lxc image delete antizapret-vpn-img
lxc network list
lxc network detach-profile lxdbr0 default
lxc network delete lxdbr0
echo '{"config": {}}' | lxc profile edit default
lxc storage delete default

apt remove --purge lxd* -y
snap remove --purge lxd
apt autoremove -y

snap install core; snap refresh core
snap install --classic lxd
snap refresh lxd --channel=5.20/stable
snap refresh --hold lxd

shutdown -r 0

lxd --version

5.20

lxd init

Это получается все с нуля настроить? А почему поломалось, с чем мб связано?

Патчи для контейнера

https://ntc.party/t/129/537

Благодарю!

Я так понимаю не только у меня сегодня антизапрет сломался? А что случилось то?

Есть ли смысл в обновлении lxd контернера с выходом новой версии?

Как я понял, дело было в очередном обновлении ядра Linux на VPS. У меня Ubuntu 20.04 LTS. LXD пытается запуститься, но в итоге бесконечно сыплет ошибками типа couldn’t find the CGroup blkio.weight в логах. Долго копался, но разобраться с проблемой так и не удалось. Пока откатился на бэкап и отключил автообновление в Ubuntu. Кстати, обновление релиза на 22.04 решает вопрос работоспособности LXD, но внутри контейнера пропадает интернет, так как не назначается IPv4-адрес. Здесь разобраться тоже не получилось: lxd init с перенастройкой bridge не помог.

А так ?
lxc network create lxdbr0 ipv4.address=10.10.10.1/24

lxd init

Would you like to configure LXD to use an existing bridge or host interface? (yes/no) [default=no]: yes

Name of the existing bridge or host interface: lxdbr0

echo 'GRUB_CMDLINE_LINUX=systemd.unified_cgroup_hierarchy=false' > /etc/default/grub.d/cgroup.cfg

update-grub

Не помогло, к сожалению

Сделал так после обновления на 22.04. После прохождения всех этапов lxd init получил такую ошибку:
Error: Failed to update profile “default”: Device validation failed for “eth0”: Cannot use “nictype” property in conjunction with “network” property

Бридж настроен, lxd init прошёл успешно, но IP-адрес из подсети бриджа контейнер всё равно не получает. Идей пока нет. Наверное, придётся удалять всё полностью и ставить LXD заново

1706×139 30.3 KB

3450×532 48.5 KB

lxc info | grep firewall

Что показывает?

Вот это

- network_firewall_filtering
- firewall_driver
  firewall: nftables

Попробуйте docker удалить

apt remove --purge docker.io -y
apt autoremove -y

И firewall почистить от правил docker, которые могли быть сохранены ранее с целью восстановления после перезагрузки.

Или вовсе все правила убрать, для теста.

shutdown -r 0

Получит ли контейнер после этого адрес?

Спасибо, что натолкнули на верный путь) Дело было в docker и файерволле ufw. Docker мне нужен, поэтому удалять не стал. Решение обнаружилось в официальной документации.
Настроил правила ufw для lxdbr0 по инструкции, а потом прописал настройку sysctl для IPv4-форвардинга, которая начинает действовать до старта сервиса docker:

echo "net.ipv4.conf.all.forwarding=1" > /etc/sysctl.d/99-forwarding.conf
systemctl restart systemd-sysctl

Теперь всё выглядит вот так:

Настройки проводил на обновлённом дистрибутиве Ubuntu 22.04.4 LTS.

Несмотря на то что докер не очень подходит, попытался собрать контейнер нативно на alpine.
Чем можно заменить dnsmap ? Сбилдить этот или переделать под dnsmasq?

Не совсем понимаю для чего он

обновил убунту в надежде на решение проблем, но при попытке установки контейнера, получил следующее, помогите плиз:
lxc image import https://antizapret.prostovpn.org/container-images/az-vpn --alias antizapret-vpn-img
lxc init antizapret-vpn-img antizapret-vpn
lxc config device add antizapret-vpn proxy_1194 proxy listen=tcp:[::]:1194 connect=tcp:127.0.0.1:1194
lxc config device add antizapret-vpn proxy_1194_udp proxy listen=udp:[::]:1194 connect=udp:127.0.0.1:1194
lxc start antizapret-vpn
sleep 10
lxc file pull antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-tcp.ovpn antizapret-client-tcp.ovpn
To start your first container, try: lxc launch ubuntu:22.04
Or for a virtual machine: lxc launch ubuntu:22.04 --vm

Image imported with fingerprint: 05c09dfe5e7f843b150bdaa65832f1e253b90b35cbc505b5a1283aadab12b51f
Creating antizapret-vpn
Device proxy_1194 added to antizapret-vpn
Device proxy_1194_udp added to antizapret-vpn
Error: Not Found

Можете показать как произвели настройку?

Я заново не переустанавливал контейнер. На Ubuntu 20.04 lxd внезапно вообще перестал запускаться, но после обновления на 22.04 завёлся. Осталось только решить проблему с отсутствием интернета внутри контейнера, что и было сделано

Поставил контейнер, применил патчи, почитал ветку. Вроде все ок, но сервер постоянно пока что под 100% нагружен. Взял слабый? По спецификации подходит, 500 оперативка и 1 ядро. Или надо подождать? В htop parse.sh обычно половину ЦП отбирает и knot, всё ок или нужен сервер мощнее? Ставил lxd, если что. Поставил конфиг на кинетик роутер по инструкции, добавлял нужные строчки, которых нет в оригинальном конфиге (на паблик версии у меня работает всё), но пока ничего не работает. Что мог сделать не так?

UPD: нагрузка не падает, 100%+. впн так и не работает

Требования старые указаны. В текущем исполнении от 1гб.

Так я и спрашивал как решить проблему, у меня была такая же…

А вот это кто то без сноса контейнера победил?

Выше же чувак писал

что просто обновил убунту и донастроил.

Полностью переустанавливал контейнер и систему ни на Ubuntu 20.04 ни на 22 не завелся, патчи не ставятся пишет

root@antizapret-vpn:~/dnsmap# patch -i p.patch
bash: patch: command not found

Очень обидно, пока просто опен впн установил, не знаю даже как описать свою проблему почему у меня вдруг перестал работать

sudo apt install patch…

Спасибо, вроде всё сделал по инструкции кроме

Заменить выделенную строку

https://bitbucket.org/anticensority/antizapret-pac-generator-light/src/c73e0d901feb5b862a14f6e0f13670e590fb49ea/parse.sh#lines-10

nano /root/antizapret/parse.sh

На это

awk -F ';' '{print $2}' temp/list.csv | sort -u | awk '/^$/ {next} /\\/ {next} /^[а-яА-Яa-zA-Z0-9\-\_\.\*]*+$/ {gsub(/\*\./, ""); gsub(/\.$/, ""); print}' | grep -Fv 'bеllonа' | CHARSET=UTF-8 idn > result/hostlist_original.txt

не могу найти такую строку в файле и всё равно не работает

Вот эту строку (десятая строка):

awk -F ';' '{print $2}' temp/list.csv | sort -u | awk '/^$/ {next} /\\/ {next} /^[а-яА-Яa-zA-Z0-9\-\_\.\*]*+$/ {gsub(/\*\./, ""); gsub(/\.$/, ""); print}' | CHARSET=UTF-8 idn > result/hostlist_original.txt

На вот эту:

awk -F ';' '{print $2}' temp/list.csv | sort -u | awk '/^$/ {next} /\\/ {next} /^[а-яА-Яa-zA-Z0-9\-\_\.\*]*+$/ {gsub(/\*\./, ""); gsub(/\.$/, ""); print}' | grep -Fv 'bеllonа' | CHARSET=UTF-8 idn > result/hostlist_original.txt

parse.txt (2,5 КБ)

У меня вот такой файл

Вот исправил.
parse.txt (2,5 КБ)

1. а-яА-Яa-zA-Z0-9-_.* ↩︎

Спасибо! Всё заработало

Подскажите, почему может не резолвиться домен browser.events.data.msn.com когда добавляешь msn.com в include-hosts-custom.txt? Притом просто msn.com резолвится нормально на antizapret.

Возможно, из-за dnssec

Попробовал добавить trust_anchors.remove(‘.’) в /etc/knot-resolver/kresd.conf , потом сделал echo “cache.clear()” | socat - /run/knot-resolver/control/1 и LANG=C.UTF-8 /root/antizapret/doall.sh но как-то не помогло. Или с этим в принципе ничего не поделать?

Отлаживайте средствами dig, tcpdump и самого knot-resolver. Сходу вряд ли кто-то что-то подскажет, причин может быть множество.

Коллеги, не подскажите, у кого-нибудь проявляется последние два дня проблема с chatGPT? Они перенесли отправку сообщений на wss с http и теперь при отправке сообщения он пишет, что возникла проблема. Если перезайти в чат через минуту, то ответ от нейронки будет сформирован.

Через F12 в wss коннекте от сервера ничего не поступает и через 5 секунд соединение закрывается. Проверил, хост для wss в VPN “заворачивается”. Думал, что может проблема именно с заворачиванием при использовании wss, но накидав скрипт на Python, хост все также корректно “заворачивается” в VPN и даже корректно отвечает, правда с 403(но это нормально, тк я использовал “протухший” токен).

Неверную ссылку прислал, вот тут ещё жаловались:

Это верные ссылки. ChatGPT перестал работать как раз пару дней назад как у человека выше

эту строку нужно добавить в конце файла?

Лучше ближе к началу, после объявления портов (директивы listen). Я добавляю после modules.

Здравствуйте. Устанавливал туннель, который ведёт на мой сервер в Нидерландах, на Mikrotik по инструкциям с этого форума и всё прекрасно работало уже больше года. В последнее время стали отваливаться некоторые домены, которые не попадают под блокировку (например, gentoo.org, reddit.com и другие). Если отключить VPN, то на сайты заходит без проблем. С включенным VPN сайты нормально пингуются, трафик идёт напрямую, но все HTTP/HTTPS запросы падают по таймауту без какого-либо ответа. В плане софта для обхода блокировок ещё не силён, так что попробовал прописать отваливающиеся домены в exclude-*.txt и в getzones.awk, но ни один вариант не сработал. Прошу подсказки, как это можно поправить

8 posts were split to a new topic: DNS-резолв при нескольких VPN-подключениях в Windows

Спасибо!

Забыл уточнить - эту строку надо добавлять только если AGH установлен на том же VPS что и антизапрет? Если AGH стоит на роутере, то не надо добавлять? У меня какая-то странная ситуация, я уже устал искать проблему - если подключить ваш антизапрет, то рутрекер грузится нормально, если “мой” то в яндекс.браузере грузит без картинок, какой-то полусайт и он не работает нормально, мог бы стерпеть что картинок нет, а в Edge все ок! Если я отключаю AGH, то грузится везде? но в яндексе все равно некоторых картинок не хватает, хотя уже гораздо лучше все и сайт рабочий. Отсюда я сделал вывод что проблема то ли в их сочетании, то ли в настройках моего антизапрета, но тут я уже не знаю что еще можно сделать… может кто подскажет куда копать?

Вероятно, резолверу сервера отдаются адреса, заблокированные в РФ.

Что-то конкретное сказать можно только по выяснении причины проблемы. Разобраться в ней вам поможет F12 - Network в браузере и nslookup на проблемные домены.

Проблема как раз в том что F12 ничего криминального не показывает, как и AGH, ничего не блокируется, а nslookup выдает все ок, два ip - 10.224…

Перестал открываться рутрекер. И org, и net. Доьавил на всякий случай оба адреса в include-list, безрезультатно. При этом DIG показывает правильные ответы, с 10.224….
Куда копать, кто сталкивался?

Диагностировать проблему на сервере. Если с сервера не открывается сайт, то это не проблема контейнера.

Пробовали добавить домен rutracker.cc?

Спасибо большое! Заработало)

блин, а почему мне раньше никто не сказал этого, хотя я тут в разных ветках про руткрекер ныл)

Я пошел дальше и добавил домен com в include-hosts-custom.txt Все хорошо, но появилась побочка в виде рекламы на youtube по понятным причинам( Добавление youtube.com и его вспомогательных хостов в exclude-hosts-custom.txt не дает нужного результата - youtube.com уходит на 10.224… Есть ли решение для этой задачи? Нужно исключение на исключение.

Но предупреждаю что это сломает резолвинг в скрипте, если его не используете - ок.

Настроил по инструкции Bitbucket
с помощью LXD. Ubunto 20.04 LTS. Ошибок не было.
Заблокированные сайты не открываются. Что можно проверить?

Починилось после применения патча

А никто не сталкивался с проблемой загрузки яндекс-карт при подключении через аз? Либо просто нет картинки, либо появляется после очень длинной паузы. И в приложении, и в браузере, и в embedded картах в других приложениях.

У меня тоже самое. Карта в Авито приложении на телефоне и карта в ютеке не подгружается. Стоит выключить антизапрет, все норм. Кто знает какие адреса нужно добавить или как то решить проблему?

Почему не открывается rutracker.org? С публичного antizapret все прекрасно работает

Добавь rutracker.cc в include

Не подскажешь как?

lxc exec antizapret-vpn -- nano /root/antizapret/config/include-hosts-custom.txt

я хз,
помимо всевозможных правок файлов, которые уже и не вспомнить все толком,
я для себя сделал так (можете кидаться тапками)

lxc exec antizapret-vpn -- nano /etc/knot-resolver/kresd.conf

-- *.ru, *.рф, *.su
policy.add(
    policy.suffix(
        policy.STUB(
            {'195.208.5.1', '195.208.4.1'}
        ),
        policy.todnames(
            {'ru.', 'рф.', 'su.'}
        )
    )
)

-- Quad9 resolver
policy.add(policy.all(policy.FORWARD({'149.112.112.10', '9.9.9.10'})))

и у меня всё резолвится как надо

добрый день! а что это дает?

Все домены зон ‘ru.’, ‘рф.’, ‘su.’ будут напрямую отправляться на НСДИ

А можете рассказать чуть подробнее, в чем преимущество?

Насколько реально заменить в этом контейнере OpenVPN на какой-нибудь OpenConnect например? Просто смущает, что OpenVPN постепенно блокируют, и видимо скоро придётся переходить на более устойчивые альтернативы

Не совсем понимаю, в чём проблема. Сервер же и так получает адреса и, если они оказываются заблокированными, отдаёт свой IP вместо настоящего IP сайта

А тут рф. в punycode не надо переводить? Или он и так его поймет?

хороший, кстати, вопрос

я не в курсе

upd. но на всякий случай себе поменял, спасибо

-- *.ru, *.рф, *.su
policy.add(
    policy.suffix(
        policy.STUB(
            {'195.208.5.1', '195.208.4.1'}
        ),
        policy.todnames(
            {'ru.', 'xn--p1ai.', 'su.'}
        )
    )
)