AntiZapret-VPN (НОВАЯ версия БЕЗ контейнера) + YouTube

В отличии от версии AntiZapret-VPN-Container, где запускается все в LXD контейнере, то запуск сервисов без LXD контейнера повышает максимальную скорость работы VPN раза в 2 и уменьшает потребление памяти

Следующим шагом в развитии будет попытка добавить в установку патченную версию OpenVpn, чтобы подключение не блокировалось ТСПУ

Ура! Спасибо за ваш труд

Спасибо за ваши старания. Строго ставить debian 10 или можно 12 версию тоже?

Строго Debian 10
В скрипте есть завязка на 10 версию Debian

Следующим шагом будет попытка поставить патченную версию OpenVpn чтобы подключение не блокировал ТСПУ, тогда возможно версии будут новее

Подскажите, пожалуйста, обновите гх с описанием тонкой настройки? Интересует конкретно проксирование своих сайтов и непроксирование ютуба (буквально вчера полностью заработал снова директом почему-то, даже аватарки есть)

Апд: отмена, увидел в сетап файле, единственное интересно, cloudfront и ftcdn в строке оставлять? Или полностью обе строки убирать?

Это является ошибкой?

image991×337 11.3 KB

нет, это не является ошибкой, теперь при ошибке выполнения скрипт остановит свою работу

для этого достаточно убрать лишние домены из include-hosts-custom.txt
файлы exclude, те исключения из исключений можно не трогать, это настройка исключения из include

В общем-то, просто убрать домены из инклуда и этого достаточно? Понял, спасибо
А как уже после первоначальной установки править инклуд, подскажите

PSA: Debian 10 не получает штатных секьюрити-обновлений с июня 2022 (Debian -- Debian “buster” Release Information), LTS поддержка закончилась в этом июне (LTS - Debian Wiki), а для того чтоб получать выборочные патчи через Frexian (LTS/Extended - Debian Wiki), его нужно явно прикрутить (https://www.freexian.com/lts/extended).

В общем, ничего личного, однако выпускать относящийся прайваси-инструмент, который работает только на устаревшей и зачастую уже небезопасной версии ОС - это не очень хорошая практика.

Все должны быть предупреждены. Было бы хорошим тоном сообщать об этих деталях сразу в README и первом сообщении здесь.

nano /root/antizapret/config/include-hosts-custom.txt

либо скачивать файлик по SFTP, править локально и загружать обратно

Нужно ли для Keenetic прописывать как и в прошлой версии?

pull-filter ignore block-outside-dns
route 192.168.1.1

На некоторых VPS нет Debian 10. Будет великолепно, если кто-нибудь займётся поддержкой актуальной версии, или даже напишет не авто-скрипт, а гайд с командами, как настроить себе с ванили PBR.

Нужно

А, просто нано. Понял, спасибо, сегодня поставлю

Спасибо за информацию. Оригинальный контейнер из которого вытащено содержимое был выложен автором антизапрета (ValdikSS) в (уже далеком) 2020 году и был настроен на использование только Debian 10: Bitbucket
В планах есть идея обновить и поставить патченный OpenVpn, соответственно обновится и версия linux, но мне нужно время чтобы разобраться, я linux знаю не очень хорошо и многое делаю впервые))

Docker-контейнер тем и был хорош, что мог работать на всём что горит, каким бы ни было окружение хостовой ОС. Это гораздо безопаснее, форварднуть наружу один порт из контейнера, чем выставлять в сеть машину целиком на устаревшей версии дистрибутива.

Проблемы безопасности решает сам администратор машины.

Docker-контейнер тоже есть, его делает другой автор Неофициальный docker-контейнер АнтиЗапрета
Как я понимаю, докер тоже отъедает некоторые ресурсы, а задача выжать максимальную производительность из самой дешевой и простой VDS

Спасибо за проделываемую работу. Как новичок очень ценю простые «общедоступные» инструкции. По вашей пока все удавалось проделать без проблем.

Проблемы безопасности решает сам администратор машины.

Если бы этот скрипт был ориентирован на полноценных администраторов, а не на юзеров, которые хватаются сейчас за любую соломинку не подумав - не было бы разговора.

задача выжать максимальную производительность из самой дешевой и простой VDS

Если задача сформулирована как “выжать максимум из самой простой VPS” - то явно выбирать надо не OpenVPN и не комбайны его использующие. Если задача в удобстве и одноклике - существующие варианты с Docker тоже вполне себе дружелюбны к чайнику.

Здесь же готовое решение аппелирует к удобству, при этом завязываясь на заведомо устаревшую версию дистрибутива - о том что Debian 10 EOL’нулся знают далеко не все, кто сунется ставить этот скрипт.

В любом случае, на VPS за 10 баксов в месяц LXD практически не будет заметен в контексте оверхеда, а скорость передачи данных всё равно упрётся в OpenVPN и полосу, которую 99% бюджетных хостеров всё равно оверселлят.

Хватит душить, автор же написал, что будет на Debian 12 проверять.

Если вопросы безопасности для вас - душнота, то мне больше нечего вам сказать. Пожалуйста, в дальнейшем игнорируйте на этом форуме меня, а я с удовольствием пройду мимо вас.

@Tyman - увидел от вас правку в README репозитория, большое спасибо. Мои претензии исчерпаны.

Камрады, кто хорошо разбирается в linux, попробуйте разобраться:

1. почему не работает, хоть и ставится, и подключается и заблокированные сайты резолвится верно на Debian 11
2. не ставится в Debian 12

Сейчас буду проверять работоспособность на дистрибутивах Ubuntu

Подскажите пожалуйста
Создал антизапрет впн на основе этого скрипта, пытаюсь засунуть в микротик ovpn файл. Коннект есть, однако обход не проходит
Не прям сильно шарю в микротике, но пытался скрестить вариант со скриптом вместе с инструкцией по настройке не селф-хостед антизапрета на микротике:

1. Сделал маскарад в NAT: Src. address локальная сеть, Out interface собственно openvpn подключение
   Стоит вторым после основного маскарада
2. Открыл порты 53,5353,1253 по tcp и udp
3. В PPPoE подключении интернета указал Use Peer DNS, а в DNS удалил все старые днски (галочка Allow Remote Requests стоит).
4. DHCP Server: в network в днс указал единицы и восьмерки
   Пункт 3 и 4 на случай если впн отвалится, а интернет еще жив.

Подозревал, что впску спалили, потому что немецкий хост по geoip оказался российским, однако через OpenVPN GUI в Windows обход работал почти успешно (кроме ютуба – скорость на нем была замедлена)

(RouterOS 7.15.3)

У докера нет никакого измеримого оверхеда в плане сети, CPU или памяти.
Вот выжимка из исследования IBM 10-летней давности:

Docker is nearly identical to native performance and faster than KVM in every category.

По сути докер это просто удобный способ для запуска процессов в другой cgoup.

Там есть некоторые особенности при работе с файловой системой контейнера (слои). Но в нашем случае нет никакой значимой нагрузки на диск, так что нерелевантно.

Докер вырос в гугле. У них все процессы, очереди и кроны завернуты в отдельные контейнеры (BORG/Kubernetis). При их нагрузках любой оверхед стоит миллионы или миллиарды долларов.

Наконец-то я понял зачем этот докер нужен, спасибо. Т.е. в случае, когда нет задачи ограничивать ресурсы, то докер не нужен?

Докер это не только ограничение ресурсов. На вскидку дает следующие плюшки:

1. Удобный мезанизм распространения ПО. Все зависимости уже есть в контейнере, не надо ничего ставить - скачал и запустил.
2. Возможность запуска новых ОС на старых хостовых ОС. Например у меня контейнер с 24 убунтой работает на хосте с 22 убунтой.
3. Из п1 следуют быстрые и простые откаты, обновления и возможность запуска разных версий одновремено.
4. Безопасность. Если что то произошло в одном контейнере, то оно никак не затронет хостовую систему или другие контейнеры.

Можно хранить и запускать весь софт в перемешку, но удобнее когда мухи от котлет отделены

Понятно, заканчиваю офтопик. Мне ничего из перечисленного никогда не требовалось, поэтому потребности в докере не испытывал. Собирал всегда проекты со статической компиляцией в монолитный бинарь и его только обновлял на машине с единственной ответственностью.

Спасибо, в статье есть указание что использование NAT снижает скорость, но как я понимаю, ты его не используешь для работы антизапрета в докере?

Ура, в Ubuntu 20.04 работает, использовать Debian 10 не обязательно…
UPD
Не работает в Ubuntu 20.04, версия gawk 5 - не верно обрабатывает awk файлы

Используется. Но кроме прочего, NAT - это основа работы антизапрета Это редиректы пакетов через iptables. Так что и без докера они останутся.

Если присмотритесь к графику, то задержки там измеряются долями миллисекунды. Если вы используете антизапрет для высокочастотного трейдинга, то, конечно, такие задержки ощутимы

Дебиан и убунта это родственные системы. Все одинаковое.

У меня вот так заканчивается и конфигов в /root/easy-rsa-ipsec/CLIENT_KEY нет, папка пустая. Пробовал и на Ubuntu 20.04, и на Debian 10

Снимок экрана 2024-08-13 2156431012×542 67.9 KB

Попробуйте скачать архив заново, в течении дня я правил, мог что то поломать, но текущая версия из гитхаба работает, только что проверил

@Tyman Огромная вам благодарность за проделываемую работу!

при настройке без контейнера, если у вас будет возможность, попробуйте сделать маршрутизацию не только через интерфейс vpn, но и чтоб в самой системе эта же схема с подменой ip работала. Или например чтобы можно было выбирать на какой интерфейс будет маршрутизация с “хитрого” резолвера.

если получиться, это снимет вопросы по транспортному каналу и сильно развяжет руки для будущих улучшений.

добавив в систему тот же xray и заворачивая с него трафик к примеру в tun0 через tun2socks было бы гораздо интереснее в плане обхода блокировок и с заделом на будущее.
а если будет на уровне системы эта схема с подменой ip работать, тогда дальнейшая настройка вообще кратно облегчится.

Безымянный1920×1080 264 KB

К сожалению не удалось установить данный контейнер, такая же ошибка. Ubuntu 20.04 чистая, вторая попытка была через полный сброс сервера, выполнения команды apt update && apt upgrade , результат идентичный

Также не получилось.Ubuntu 20.04 чистая.
Папка /root/easy-rsa-ipsec/CLIENT_KEY на сервере не появилась

2024-08-13_23-06-081822×600 29.8 KB

На предыдущей версии не удалось поднять vpn на Keenetic.
На телефоне работало с переменным успехом, а при добавление на роутер как-будто ничего не менялось, заблокированные сайты оставались заблокированными, YT ролики не стартовали.
В настройках прописывал:

pull-filter ignore block-outside-dns
route адрес ДНС

Народ кто сталкивался, Debian 10

Created symlink /etc/systemd/system/multi-user.target.wants/openvpn-server@antizapret-tcp.service → /lib/systemd/system/openvpn-server@.service.
root@debian10x64:~#

После этого сервер падает…
ЧТо интересно падает связь с сервером по ssh. По VNC сервер работает

image799×571 5.52 KB

все нормально, в конце скрипта перезагрузка чтобы загрузились перезаписанные настройки

Самый главный прикол, что перезагрузка есть а связи с сервером нима
Захожу ток по VNC смотрю че там как…

Судя по всему есть плавающая проблема в Ubuntu 20.04, и еще вижу что есть ошибка при выполнении doall.sh при разборе awk файла
Буду разбираться

В итоге заработало на старой версии плюс по настройке OpenVPN использовал решения из этой темы:
настройка openVPN
В итоге работает пока и на компе и на телефоне через wifi.

Это по моему вопросу? Я не на убунту ставил а на debian 10. И чет пока понять не могу че за фокусы конечно) Судя по тому что я вижу не поднимается инет на сервере, хотя в интерфейсе статика вбита…
Очень интересный факт… Попробую еще раз переустановить, и записать конфиг интерфейсов мож он там че редачит…

Интересная ситуация, был интерфейс у меня ens3 после установки стал eth0, и на eth0 тупо не пришел интернет, интересная ситуация. Буду разбираться пока что…

Глубокоуважаемый @Tyman , спасибо! Подскажи плиз, есть ли тут изменения в *tcp.ovpn касаемо скорости. В предыдущем скрипте на *udp.ovpn ютуб был в 4к/8k бесплатно и без смс, то на *tcp.ovpn было как-то грустно.

По TCP провайдер может скорость резать, у нас на сети в компании есть такая практика.

Чет вообще я не понимаю юмора, почему после установки скрипта интерфейс интернета ens3 переименовался в eth0 по итогу сервер сидит без интернета… + после перезагрузки командой reboot openvpn вообще не запустился и загруженных интерфейсов вообще нет…

надеюсь что есть, тк общая скорость увеличилась, тоже с удивлением видел когда ютуб тормозил по TCP, тут TCP есть, оно настроено, для тех у кого нет возможности подключиться по UDP

P.S.
По моим постам выше мб кто столкнется.
Решения если у вашего хостинга есть VNC подключаемся и пишем:

cd /etc/systemd/network
ls
rm удаляем все что видим

Как я понимаю файлы там могут быть разные. Но если интерфейс например ens переименовать в eth ничего работать не будет… Ваш сервер тупо останется без инета.
Благо был еще 1 сервер на debian 11 изучая скрипт, есть подозрение что команда
systemctl enable systemd-networkd
Может выводить сервер из строя @Tyman
Возьми на заметку, а то так промучаются люди)

Вот видимо и у меня такая же проблема, подожду пока @Tyman выкатит фикс или на более свежую платформу получится перейти))А пока откатился на контейнер

В момент установки ближе окончанию теряешь связь с сервером?
Ищи такую кнопку у своего хостинга:

Она будет работать даже если у твоего впс нет интернета, надо понимать тот факт что твой впс находится уже на рабочем сервере с KVM. А значит им можно управлять)
Совет первым делом введти:
ifconfig
Если на интерфейсе интернета нет IP адреса, значит да проблема аналогично моей.

Да у меня на хостинге есть такая панель,но пока делать не буду, вообще не понятно, скрипт рабочий или нет, и вообще ключи генерируются?(на данный момент папка с ключами пустая), поскольку если повторно запущу скрипт, произойдет тоже самое. А так я рад, что хоть кто-то, что-то понимает и содействует разработке, такие способы очень удобны))
p.s. посмотри мое сообщение выше, я прислал скрин с окончанием работы

Ну т.к. я debian люблю больше убунты, я решил сразу поставить на debian 10. Хотя очень хотел 11 debian поставить) ну по всей видимости пока что не судьба) Подожду апдейтов мож получится на 11 сделать там по больше всего. А на убунте он писал что есть там сложности определенные.

Версия от 14.08.2024 поддерживает установку на Ubuntu 20.04, в инструкции указал только ее, а на Debian 10 не проверял, ну и раз она уже устарела то и не буду, кто хочет - проверяйте, а так же проверьте на Debian 11 и Ubuntu 22

Для Ubuntu 20 нужно было установить пакет gawk 4.2.1 (как в Debian 10) для правильной обработки .awk файла
А новая версия gawk > 5, что шла с Ubuntu 20.04 не правильно обрабатывала .awk файл

В описании скрипта, для случая обновления с Антизапрета-в-Контейнере, указано:

“В папке root/backup будут лежать файлы для переноса ключей и настроек подключения, содержимое нужно сохранить на локальном компьютере и перенести на новый сервер в папку setup до запуска установки.”

Вопрос: На новом сервере в папку “Setup” надо переносить целиком папку “backup”? Или в “Setup” надо поместить папки с файлами, которые создались в папке “backup” на старом сервере?

Безымянный1920×1080 132 KB

Не удалось запустить, ошибка аналогична прошлой, папка с ключами так же пустая, связь с сервером не обрывается
P.s. Ubuntu 20.04, чистая

Установил на тестовый сервер все отлично! Только при установке терминал отключился, после переподключения ключи бы в указанной папке.

Единственная проблема, которая у меня есть это реклама. То ли причина в локации (судя по рекламе, германия), то ли в самом сервере.

этот вариант

ну это решается покупкой премиума на ютубе

Я решил эту проблему, перед запуском скрипта выполни команду

sudo systemctl unmask systemd-networkd.service

@Tyman оказывается все работает, просто на будущее в скрипт нужно добавить команду и все заводится))) благодарю, буду приступать к тесту сборки))

Казалось бы да, но на другом сервере, который в Нидерландах и на котором стоит версия скрипта от 09.08.2024 нет рекламы.
Эту же версию скрипта ставил и на этот VPS (германия), появилась реклама.

Спасибо, изменил скрипт, добавив эту команду перед активацией сервиса, проверьте пожалуйста скачав архив с гитхаба, у меня пока нет возможности протестировать

systemctl unmask systemd-networkd.service
systemctl enable systemd-networkd

У меня вчера вечером начала появляться реклама что странно до этого её не было
Сервер также находится в Нидерландах, из за этого даже думал что я что-то сделал не так, перепробовал и другие скрипты и адгуарт днс включал так нечего не помогло
Если кто решил эту проблему скинте решение плиз

Благодарю, займусь ночью этим вопросом, не охота днем тушить пусть люди пользуются. Debian 10 устарела на нее много чего не поставишь ток костылями пользоваться, увидел еще в скрипте есть .sh шник для создания сертификата для клиента, это новости хорошие) А то на контейнере я чет промучался, и сертификат не создал)

Еще какой косяк заметил не выполняется раз в 3ч doall.sh
Если добавил домен то автоматически часика через 3 он не заработает. Есть смысл внести в планировщик задачу в crontab

как проверяли?
doall.sh должен раз в 6 часов выполняться

Добавил домен intel.com решил оставить на ночь, утром проснулся проверил на компе, ну думаю мб куки мозги делают, запустил ноут аналогично ошибка что продажи в рф прекращены, на телефоне тоже самое. Запустил ручками doall.sh сразу полетело на всех устройствах.

Я еще тут дату изменения понаблюдаю, поменяется она или нет)

он и был, создает ключи при загрузке, если их еще нет
для создания дополнительных ключей можно поравить этот скрипт, но у меня пока нет задачи, я не смотрел что нужно изменить

Та я чуть по позже сделаю скрипт для создания и удаления сертификатов.

@vitalik6243 , @Tyman не подскажете, по какому пути находится конфиг, для изменения времени подгрузки сайтов из реестра?

Спасибо! Помогло.

Хотел еще добавить, для таких же чайников в Линуксе, как и я:

Так как Антизапрет установлен БЕЗ контейнера, то команды для обновления личного списка антизапрета будут выглядеть так:

# Антизапрет БЕЗ контейнера

# Изменить файл с личным списком антизапрета include-hosts-custom.txt
sudo nano /root/antizapret/config/include-hosts-custom.txt

# Потом выполните команды для обновления списка антизапрета и очистка кеша DNS
sudo /root/antizapret/doall.sh
sudo sh -c "echo 'cache.clear()' | socat - /run/knot-resolver/control/1"

Это можно добавить в инструкцию на Гитхабе.

/etc/systemd/system/timers.target.wants/antizapret-update.timer

Учитывая что на VPS скорее всего и так рут доступ, то можно всё делать без sudo
А последняя команда должна выглядеть вот так

echo 'cache.clear()' | socat - /run/knot-resolver/control/1

да, это я писал
по моему кеш днс чистить не обязательно, где то видел настройку чтобы через 2 минуты кеш протухал, но могу и ошибаться

/etc/knot-resolver/kresd.conf

cache.min_ttl(120)

ну да, 120 секунд, те 2 минуты, как я понимаю

Здравствуйте. А есть возможность создать пользователя с паролем и задать ему айпи адрес? Если нет, то подскажите в какую сторону копать. Спасибо

Параметр на сервере ifconfig-pool-persist позволяет это сделать.

автоматическое обновление работает, проверил
systemctl status antizapret-update.timer

а intel.com у меня не заработал через мой антизапрет, хотя адрес получает на 10

Работает. Я себе добавлял. Сначала перекидывает на плашку о запрете, но если клацнуть по логотипу интела, то работает норм.

точно! добавил интел на постоянную основу в исключения

а так, нашел целый список ресурсов к которым закрыт доступ из РФ: no-russia-hosts/hosts.txt at master · dartraiden/no-russia-hosts · GitHub

какие то я посмотрел, вполне нормально открываются, какие то как интел или страва - нет
если кто то сталкивается с тем что какой то ресурс заблокировал по ип, то пишите - буду добавлять

Кто себе уже поставил, отпишитесь по вашим наблюдениям стало быстрее по сравнению с версией через контейнер. На Ubuntu 20

Коллеги, раз пошла такая пьянка, может сразу обдумать неOpenVPN-вариант?

Я так понимаю, что если у нас кнот, сам “антизапрет” уже работает без контейнера, то осталось выбрать и поставить впн-сервер.
У OpenVPN’а есть push-route, кто еще умеет так же делать?

Цель: сделать чтоб на старых кинетиках это нормально работало, а не как сейчас 10 мегабит/сек.

Умеет еще делать это iPsec, но на моем роутере ASUS TUF GAMING AX4200 его почему то нету
Скорее всего он есть в очень дорогих моделях

Вообщем понаблюдал, да все обновилось, мож сбой какой то был либо ластовый домен не считывает.
Сегодня отбекаплю опять данные, попробую на debian 11 воткнуть, как мне показала практика debian по меньше ресурсов хавает особенно оперативки.

подождите немного, сегодня обновление выкачу - попробуете его поставить

О тогда не спешу. Бекапы hosts и сертификатов сделал, теперь можно ожидать)

На 10 Debian ситуация по потреблению вот такая:

На 11 ожидаю чуть хуже но в пределах такого же.
Чтобы помимо антизапрета можно было воткнуть какие то свои прикалюхи.
Т.к. с контейнером у меня жрало под 600-700мб на убунте.

Если есть возможность добавь скрипт для создания и удаления сертификатов,

function manageMenu() {
	echo "Welcome to WireGuard-install!"
	echo "The git repository is available at: https://github.com/angristan/wireguard-install"
	echo ""
	echo "It looks like WireGuard is already installed."
	echo ""
	echo "What do you want to do?"
	echo "   1) Add a new user"
	echo "   2) List all users"
	echo "   3) Revoke existing user"
	echo "   4) Uninstall WireGuard"
	echo "   5) Exit"
	until [[ ${MENU_OPTION} =~ ^[1-5]$ ]]; do
		read -rp "Select an option [1-5]: " MENU_OPTION
	done
	case "${MENU_OPTION}" in
	1)
		newClient
		;;
	2)
		listClients
		;;
	3)
		revokeClient
		;;
	4)
		uninstallWg
		;;
	5)
		exit 0
		;;
	esac
}

Можно вообще чет похожее намудрить, люди спрашивают. В целом даже если 2 скрипта add dell будет и то удобнее будет.

Спасибо огромное за то что ты есть и за твои труды.

немного обновил скрипт, благодаря камраду xtrime поправил parse.sh для правильной работы с новыми версиями gawk

Ща видосик на ютубе досмотрю и минут через 20 отпишусь по результату на debian 11.
В крайнем случае вернусь к убунте.

Такс есть беда на debian 11, OpenVPN поднялся, но нет маршрутизации почему то.
При выполнении doall.sh

iptables: No chain/target/match by that name.

Получаю вот такую темку под конец. Есть подозрения куда копать?

Чуть еще покопал, iptables не выполняется. Чет походу на debian есть костыли свои)

root@debian11:~/antizapret# iptables -w -A 103.246.200.0/22
iptables: No chain/target/match by that name.

На большое множество iptables предлагает использовать iptables-legacy
Чет чувствую не сварю я тут каши т.к. постров в целом правила iptables нет ничего с антизапретом…

Вообщем ушел я на ubuntu 20.04
Все вроде норм, пусть лучше будет так. Недомучал я debian 11…
Коротко о том что получилось:

1. Связь клиент - сервер есть.
2. Трансляции трафика нет.
3. Правила iptables в том виде в котором сейчас не принимаются.
4. Тут немного индивидуально под каждую из платформ…

Насчет скорости не знаю, на контейнере работало также быстро, но потребление ресурсов на VPS стало заметно меньше!

По скорости тоже есть прелести, проверил с компа с intel i9 по udp и tcp 8к 12 фпс легко и быстро, под 160-170 скорость поднималась. раньше в районе 80 была.

Добрый. Ругается на сигнатуру

GPG error: /repositories/home:/CZ-NIC:/knot-resolver-latest/xUbuntu_22.04 - openSUSE Download InRelease: The following signatures were invalid: EXPKEYSIG 74062DB36A1F4009 home:CZ-NIC OBS Project home:CZ-NIC@build.opensuse.org
E: The repository ‘/repositories/home:/CZ-NIC:/knot-resolver-latest/xUbuntu_22.04 - openSUSE Download InRelease’ is not signed.

Контейнер работает не только в LXD (который и правда может быть большим по памяти), но и в systemd-machined, а он потребляет килобайты.

А какие характеристики VDS?

@Tyman И еще заметил, часто разрывается соединение OpenVPN, с периодичностью 4-5 мин и через секунду сразу же восстанавливается и на роутере и на телефоне.
В логах инфа
Service: “OpenVPN”: unexpectedly stopped.
Есть какие-то предположения или как можно это победить?
Конфиг стоковый

Изменил скрипт, добавил (наверное временно) игнорирование ключей репозитория
Так же обновил easyrsa и файлы ovpn теперь сохраняются в /etc/openvpn/client

могу предположить что ваш провайдер блокирует OpenVpn, сравните с общедоступным антизапретом, его блокировать не должны

супер! Спасибо

Общедоступный работает и скрипт тоже работает, только с непонятной периодичностью просто пере подключается соединение, вот на роутере уже 51 мин без разрыва работает
p.s. чтобы еще не разводить оффтоп, Какими командами можно сделать бекап текущего антизапрета, к примеру для обновления или просто поверх ставить ?

Это версия для контейнера, сейчас его нет

Список файлов остаётся по факту тот же

/etc/openvpn/server/keys
/root/easy-rsa-ipsec/easyrsa3/pki
/root/easy-rsa-ipsec/CLIENT_KEY

Так надо архив с гитхаба заново скачать
В нем же установочные файлы
Надо потом сделать получение его при установке через curl но пока не дошли руки, пытаюсь понять почему на более новых версиях не работает

А, ну и ставить на чистую систему

Сейчас поставил на чистый сервер скрипт, все успешно завершилось, но ключи по пути /root/easy-rsa-ipsec/CLIENT_KEY отсутствую, даже папки нет CLIENT_KEY
p.s. Ubuntu 20.04

файлы ovpn теперь сохраняются в папку /etc/openvpn/client

Там теперь вызвать надо не iptables а iptables-legacy
Тк iptables теперь не iptables а nftables со своим синтаксисом

та я пробовал менять команду в process.sh но результата не дало, я вчера устал и мне лень уже было ковырять всю эту тему, надо setup.sh ковырять, и после установки в других sh смотреть где еще исполняется iptables, я уперся в то что у меня нет правил nat. Прописывал вручную не помогло, трафик никак не ходит и тормозится, на сервере. Да и в целом подумав вчера о поддержке скрипта, что врядли будешь делать версии отдельно для 11 дебки, а больше склонился к убунте решил сразу поставить убунту чтобы потом не заниматься каждый раз настройкой этих скриптов если например захочу обновиться. Но сразу скажу разница по потреблению на убунте 20.04 и дебиан 11 значительная, 100-150 мб разницы. Но после ухода от контенйнера на убунте 20.04 на 1 гиге оперативы вполне можно существовать, да и в крайнем случае можно файл подкачки больше сделать, как правило современные сервера на быстрых Intel серверных ссд с nvme. А скорости там дай боже…

Доброго. Это ошибка?
GPG error: http://download.opensuse.org/repositories/home:/CZ-NIC:/knot-resol ver-latest/xUbuntu_20.04 InRelease: The following signatures were invalid: EXPK EYSIG 74062DB36A1F4009 home:CZ-NIC OBS Project home:CZ-NIC@build.opensuse.org
E: The repository ‘http://download.opensuse.org/repositories/home:/CZ-NIC:/knot- resolver-latest/xUbuntu_20.04 InRelease’ is not signed.
N: Updating from such a repository can’t be done securely, and is therefore disa bled by default.
N: See apt-secure(8) manpage for repository creation and user configuration deta ils.

Папка /root/easy-rsa-ipsec/CLIENT_KEY
не создалась

Новая ошибка
rm: cannot remove ‘/var/lib/apt/lists/auxfiles’: Is a directory
rm: cannot remove ‘/var/lib/apt/lists/partial’: Is a directory
rm: cannot remove ‘/tmp/snap-private-tmp’: Is a directory
rm: cannot remove ‘/tmp/systemd-private-f16fb44e01164c17a13dc5c664460a3e-ModemManager.service-Wt7fih’: Is a directory
rm: cannot remove ‘/tmp/systemd-private-f16fb44e01164c17a13dc5c664460a3e-systemd-logind.service-6QZWMh’: Is a directory
rm: cannot remove ‘/tmp/systemd-private-f16fb44e01164c17a13dc5c664460a3e-systemd-resolved.service-96qyZg’: Is a directory
rm: cannot remove ‘/tmp/systemd-private-f16fb44e01164c17a13dc5c664460a3e-systemd-timesyncd.service-EG9L2i’: Is a directory
umount: /etc/resolv.conf: not mounted.
mv: cannot stat ‘/root/antizapret-process.sh’: No such file or directory

папка /etc/openvpn/client
пустая

попробуй перед установкой скрипта вручную прописать команды:

apt update
apt upgrade

Мож пакетов каких базовых нет либо они не обновлены.
И команда setup.sh работает 1 раз, дальше нужно переустанавливать ос либо удалять скрипты автозагрузку и тд и тп по отдельности ручками.

Вот в этом и была фича контейнера )

Не помогает.
Ошибка осталась

Screenshot_2024-08-15-22-13-05-966_com.sonelli.juicessh-edit1080×1981 306 KB

аналогичная ситуация.
чистая 20.04

Ну есть варнинг на knot-resolv, но установка продолжилась
В скрипте заметил что есть строгая привязка к пути /root/setup/setup.sh
Точно соблюдал путь, не переименовывал папку например?

тоже самое. Ничего не переименовывал. Просто перенес папку as is

@Tyman слушай, учитывая тот факт что вся эта тема не в контейнере по идее скрипт же должен работать на OpenVZ? Или аналогично только KVM? Не на чем проверить просто.

Перед установкой всегда качайте новую версию архива!!!

https://github.com/GubernievS/AntiZapret-VPN/archive/refs/heads/main.zip

Была такая же ошибка как сверху, переустановил систему, вылезла другая ошибка

Error: Head "https://antizapret.prostovpn.org/container-images/az-vpn": Unable t o connect to: antizapret.prostovpn.org:443 ([dial tcp 195.123.208.131:443: i/o t imeout])

вы ставите версию с контейнером, она обсуждается тут Скрипт для автоматического развертывания AntiZapret VPN Container + YouTube
у вас нет доступа к antizapret.prostovpn.org
возможно вы ставите на серевере в РФ, и это бессмысленно

не совсем.
может он попал на Неполадки АнтиЗапрета - #22 by ValdikSS

Так, вот сейчас перекачайте, там сейчас 100% рабочая версия

Таже ошибка, как поправить? Чего не хватает?

вы скачали новый архив с https://github.com/GubernievS/AntiZapret-VPN/archive/refs/heads/main.zip
распаковали его в новое место, а не поверх старого, загрузли папку сетап на заново переустановленую убунту и получили ту же ошибку?
вот сейчас переставил - все ок

Да, каждый раз переставляю ubuntu, скачиваю новый архив. И вот на 6 раз все получилось!
Спасибо!!!

Что там нового 28 минут назад добавилось?) Я вот думаю в дальнейшем ручками обновы ставить) чтобы не переустанавливать ос каждый раз)

Всё установилось, но почему то днс не работает, только по айпи открывает.

Подожди чуть чуть не спеши, пока doall.sh отработает пока днс в работу войдет, там не мгновенно начинает работать + браузер в некоторых случаях нужно ребутнуть.

Еще вопрос. С этим вместе будет работать?

нового сложно сказать, что то правлю, пока считайте это публичный тест))
из того что изменилось по сравнению с версией из контейнера - изменил кое какие пакеты, поправил parse.sh для работы с gawk версии 5 и выше что идет в убунте 20, обновил Easy-RSA, изменил папки куда генерятся ovpn файлы, у одного репозитория протух ключ - добавил игнорирование, полностью очищаю exclude-hosts-dist.txt

Принял в целом у меня пока работает стабильно не буду трогать. На днях поковыряю скрипт на генерацию и удаление сертификатов для клиента протестирую, закину в тему.

хороший вопрос, я сегодня проверю скрипт от angristan-а для установки WireGuard совместно с антизапретом, но точно скажу что WireGuard если и будет работать, то как обычный впн, не так как антизапрет, для его добавления нужно разбираться, признаюсь, я не большой спец по linux, если кто то разберется как повторить для WireGuard работу OpenVpn то я конечно добавлю это в свой скрипт, как минимум WireGuard гораздо меньше ест батарею телефона

Можно не тестировать и отдельно wireguard работает. У меня Xray-Ui стоит с wireguard и прочей фигней полет нормальный, до этого когда антизапрет был в контейнере делал антизапрет + wireguard тоже работало.
wireguard-install.sh (17,0 КБ)
Юзал вот этот скрипт, удобно с графическим интерфейсом QR кодами, мне зашло. Хотя себе на сервер поставил web-ui. Но слабый сервер UIшками не рекомендую грузить.
Единственное что не получилось подружить это маршрутизацию трафика с антизапретом. Конфиги статичны… Но в целом не критично.
У WireGuard каждому клиенту нужно настраивать разрешенные подсети.

Выглядит вот так, и вбить все заболоченные подсети это на уровне фантастики… + обновляй нужно каждый раз вручную у клиента… OpenVPN route подкидывает удаленно как правило.

все заработало, спасибо!

возьмите у меня обновленный generate.sh, я его правда тоже подсмотрел у камрада xtrime в его докере
какие команды нужны чтобы добавить пользователя, а удалить - достаточно просто удалить ключи из папки
ключи я перенес в папку openvpn

Взял файл, завтра думаю поковыряю.

Ура!

Теперь поддерживается Ubuntu 20.04/Ubuntu 22.04/Debian 11

В
Ubuntu 24 - не нашлось версии knot-resolver
Debian 10 - не проверял
Debian 12 - почему то не загрузилась

Спасибо! Всего тебе Best Of The Best!
Относительно предыдущего скрипта в *udp.ovpn изменений не заметил, всё также быстро. А вот в *tcp.ovpn скорость выросла в разы.

Посидел я щас подумал походу опять придется переустанавливать систему на Debian 11

На Debian можно воткнуть вот такую панельку, и блюдить за всеми

А подскажите для еще больших чайников, что делать
вчера развернул, но например сайт strava.com не открывается.
В списке include-hosts-custom.txt он уже был.
Ставил на ubuntu20 там команды socat нету и просто так не устанавливается…

Для начала скачать архив с новой версией, поставить - она 100% рабочая, сокат использовать не нужно, кеш чистится сам

А на убунту не встанет? Отпишись о результате, особого смысла в ней не вижу, но все равно интересно.

Ну скрипт на создание сертификата клиента я сделал, работает, но удаляю сертификаты ручками с сервера, но коннект все равно проходит… Тут подумать надо.

По поводу UI пишут что debian, надо попробовать и убунту мож и на убунте работать будет но что заметил там либо udp конфиг он будет понимать либо tcp конфиг, а у нас в антизапрете 2 конфига, и 2 отдельных сервиса запускается.

Чтобы клиент не мог подключится необходимо отозвать сертификат.

Можно два инстанса админки запустить.

Пробовал, файлы сертификатов остаются подключение продолжает работать.
Ну эт ладно пол беды погуглю еще исправлю

Можно тоже смотрел можно по разным папкам раскидать и запустить и упростить себе жизнь в целом с управлением OpenVPN. Надо пробовать так сказать)

Команда работает только в таком виде: ./easyrsa revoke test-client
Файлов нима зато клиенту пофиг коннект ip все как положено на месте)

Они должны оставаться, сервер пускает всех клиентов кроме указанных в crl.pem. Проверяйте, что crl.pem заполняется, crl-verify на сервере указан, и в логах crl.pem считывается без ошибок. Чтобы текущая сессия завершилась, надо её прибивать через management. Пользуйтесь админкой для упрощения.

Переустановил на ubuntu22, развернул с новым архивом (который обновлен 10 часов назад), на strava.com по прежнему заглушка от cloudfront, на Intel.com говорят что я из РФ… оба сайта по прежнему есть в include-hosts-custom.txt

Нужно еще что сделать?

по логотипу интела тыкните и всё будет норм

открывается и логинится

А вы кроме автоматической установки еще что то делали?

Мне пока для стравы и intel ничего не помогает, куда тока не тыкал, с каких тока брайзеров и компов не тестил))
Даже в какой то момент засомневался, что может у меня айпи из РФ на амстердамском сервере. Но нет пробовал поставить ovpn от angristan через него открывается как надо…

А другие ресурсы заблокированные открываются? nslookup strava.com или nslookup intel.com что возвращает?

Ага, я тоже добавил скрипт в гитхаб

Для добавления нового пользователя выполните команду и введите имя
/root/add-client.sh

При включенном впн strava 10.224.0.71-74
При выключенном 52.85.49.115…
Другие да норм, ютуб летает - 4к без задержек, instagram.com bbc.com и многие другие заблокированные отрываются.

страва збанила ип вашего сервера или считает его из РФ

думал над этой версией, поэтому буквально 3 часа назад ставил на этот сервер ovpn от angristan, там страва и интел открывались…

Зря время потратил ну ладно) С вебинтерфейсом ничего не вышло не на 11 debian не на Ubuntu. Поэтому отбой

Добавь еще 1 скрипт dell-client.sh
Команду для отзыва сертификата нашел
Единственное что заметил отзыв работает чуть с запозданием. но работает.
./easyrsa revoke $CLIENTNAME
А ну и добавь rm ovn файлов. щас глянул твой скрипт увидел что ты сразу генеришь ovn

“Its always dns”(c)
В DHCP-пуле вбил в DNS адрес роутера и всё поперло

Теперь как и многие ловлю рекламу на ютубе (Чехия)
На компе расширения, а вот на телеке – нет

никто не подскажет как при установке поменять порт на 1194?

не понял

Изменить конфигурацию OpenVpn сервера с UDP
nano /etc/openvpn/server/antizapret.conf

Потом перезапустить OpenVpn сервер
service openvpn restart

поменял и на серверном конфиги тсп и в клиентском
после перезапустил сервис, но что то вообще не соединяется…

так если tcp, то конфиг другой же ж будет /etc/openvpn/server/antizapret-tcp.conf , вроде

ну да я его и поменял, не совсем дурак))

так не просто так же ж меняли стандартный порт, может ваш пров блочит

не не блочит, в чем то другом есть хитрость еще где то что-то нужно поправить
UP заработало после полной перезагрузки машины
после внесенных изменений к конфиг тсп перезагрузка командой не помогла
service openvpn-tcp restart
service openvpn restart а эта я так понимаю по udp перезагружает

после установки папки dnsmap easyrsa3 можно удалять? или они используются для работы?
так же интересен процесс удаления. Удалить нужно просто папку в рут антизапрет и папку опен впн в etc ?

И еще интересно, чтобы сохранить ключи OpenVPN, достаточно просто папку скачать OpenVPN в etc ? А после новой установки закинуть ее обратно и рестануть сервер, так все заработает?))

Шикарно реализовал тему с статическим IP для каждого клиента, правда ручками нужно делать но главное работает! Правда пришлось чуть повозиться для tcp и udp и подправить скрипт, теперь я вообще доволен) ток забыл сертификаты забрать с убунты пришлось по новой делать ну эт ниче)))

Да действительно походу дело в этом, поставил снова angristan и там тоже intel.com говорит, что адрес из РФ, хотя все whois показывают Голландию. Если что хостинг aeza. Утром, когда тоже была сборка на этом сервере от angristan видимо страву из кэша открыл, поэтому думал что проблема в сборке… Извините если кого запутал…

Доброго.
Подскажите что изменить чтоб перенести с оригинального антизапрета
sudo lxc file pull -r -p antizapret-vpn/etc/openvpn/server/keys backup/etc/openvpn/server
sudo lxc file pull -r -p antizapret-vpn/root/easy-rsa-ipsec/easyrsa3/pki backup/root/easy-rsa-ipsec/easyrsa3
sudo lxc file pull -r -p antizapret-vpn/root/easy-rsa-ipsec/CLIENT_KEY backup/root/easy-rsa-ipsec

Не получается перенести

уже метод не работает, изменились пути, проще пересоздать

Будет вариант с простым обновлением без полной переустановки?

Та они и так есть, подкидывай просто измененные файлы к скрипту, ребут сервера и все работает, я лично так делал.

Пока не планировал

А подкидывать какие то файлы крайне не рекомендую, иногда их скрипт при установки дополнительно обрабатывает

Щас допишу скрипт сюда закину для удаления сертификатов и файлов пользователя.

Я еще не тестировал не кого было удалять, поправь если есть ошибки, просто под себя буду удалять еще Статик IP и прочее, т.к. я чутка под себя скрипт переделал.
dell-client.sh (1,1 КБ)

if [[ ! -f /etc/openvpn/client/keys/$CLIENT.crt ]] || \
   [[ ! -f /etc/openvpn/client/keys/$CLIENT.key ]]
then
    EASYRSA_BATCH=1 ./easyrsa build-client-full "$CLIENT" nopass nodatetime
    cp ./pki/issued/$CLIENT.crt /etc/openvpn/client/keys/$CLIENT.crt
    cp ./pki/private/$CLIENT.key /etc/openvpn/client/keys/$CLIENT.key
else
	echo "The specified client was already found, please choose another name"
fi

Удали этот код забыл, а загрузить заного не получилось…

Стоял WG. Сверху накатил Ваш Антизапрет. WG поломался. Переустановил по ссылке выше работает и WG и Антизапрет

пожалуйста, не выкладывайте скрипты которые не тестировалась, кто то скачает и ченить поломает

ну с удалением учетки не поломает. Но учту в будущем.

то что в скрипте все равно не работает, удаление файлов ключей - не запретит доступ

ну я добавил отзыв сертификата, по идее должно работать.

А походу разобрался dh2048.pem нужно обновлять этот файл походу дела после удаления сертификата…
./easyrsa gen-crl
как вариант и cpшкой перекинуть файл, попробую проверю закину если что.

./easyrsa revoke $CLIENT
if [ $? -ne 0 ]; then
    echo "Failed to revoke certificate for client $CLIENT"
    exit 1
fi
./easyrsa delete $CLIENT
if [ $? -ne 0 ]; then
    echo "Failed to delete certificate for client $CLIENT"
    exit 1
fi
./easyrsa gen-crl
cp pki/crl.pem /etc/openvpn/server/keys/dh2048.pem
if [ $? -ne 0 ]; then
    echo "Failed to update CRL"
    exit 1
fi
rm /etc/openvpn/client/$CLIENT-udp.ovpn
rm /etc/openvpn/client/$CLIENT-tcp.ovpn

Таким образом как думаешь будет работать полный отзыв сертификата?

Tyman комрад, спасибо. Поставил на Ubuntu добавил пользователей, полет нормальный. По сравнению с контейнером на мой взгляд стало быстрей да и для меня удобней, не люблю командами в терминале работать

Приветствую, сделал все по инструкции, все работало, ютуб в 4к можно было смотреть, но вот сегодня начались проблемы с ним, видео перестали вообще загружаться если загружаются, то скорость не превышает около 3000 kbps в статистике, соответственно в 1080p60fps смотреть невозможно. Пока писал это - главная страница ютуба практически не загружается, заблокированные сайты открываются, но тоже с задержкой (пример этот форум не может загрузится, а рутрекер загружает в полностью). Подключение использую по udp, по tcp намного хуже все. Я просто не знаю на что грешить, на хостинг, где арендован сервер, или попытки РКН блочить openvpn

видимо по умолчанию надо создавать пару пользователей, типа public и private - соответственно public раздавать а private себе

попробуйте поставить просто openvpn например этим скриптом https://github.com/angristan/openvpn-install и сравните скорость и качество работы

Я слабо разбираюсь в теме установки чего-либо на свой сервер, а уж тем более что-то там сравнить. Просто те файлы, которые создались после скрипта я перетащил на комп и открывал с помощью OpenVPN GUI на винде и все быстро работало до сегодняшнего дня

Спасибо за вашу работу.

Вопрос. Очень нестабильно с антизапретом работает твиттер.
Пробовал разворачивать на разных VPS в разных локациях не помогло.

Постоянно вылазит ошибка:
Access to script at ‘https://abs.twimg.com/responsive-web/client-web/main.db13350a.js’ from origin ‘https://x.com’ has been blocked by CORS policy: No ‘Access-Control-Allow-Origin’ header is present on the requested resource.

Или пишет на главной x.com Some privacy related extensions may cause issues on x.com. Please disable them and try again.

Расширений никаких нет, проходит время опять работает и потом тоже самое

В чём может быть проблема? Проявляется именно тогда когда включен антизапрет

Кстати тоже заметил такую тенденцию, то работает антизапрет, потом какой-то период не грузится ничего, потом опять начинает, при этом параллельно есть прошлая сборка и там прям сразу мгновенно все грузится. пока не выяснил в чем проблема
@Tyman добавил в конфиг параметр keepalive 10 120 реконнекты стали намного реже, пока что играюсь с цифрами, так же возможно стоит добавить в конфиг параметр tun-mtu 1420, для исключения фрагментации пакетов клиенту, что уменьшит нагрузку на сервер

по моему это по умолчанию значения, по крайней мере пинг идет через 10 секунд

мне кажется это сомнительно, а вот что то поломать влезая в настройки пакетов вполне можно

А если использовать обычный впн, проблема остается?

кстати заметил такую фигню, что в некоторых странах на серверах реально работает твитер проблемно, в нидерландах проблем нет по личному опыту.

Ну с MTU да, спорное, а вот эфир активности, прям эффект на лицо, и еще один момент (на IOS) вот листаешь инстаграмм, пока идет подгрузка запрещенных сайтов нет никакого переподключения, затем захожу в тиктик (к примеру) или просто выйти на рабочий стол,так через 1-2 мин начинается циклические перезагрузки конфигурации

Не знаешь в чем может быть проблема, стоит коннект на линукс Debian 11
Там постоянно отваливается OpenVPN, в логах сервера вот такая вот тема:

CLIENT_LIST,UNDEF,был мой ip:49765,192.168.100.30,,3408,4929,2024-08-17 22:15:47,1723922147,UNDEF,25795,33,AES-128-GCM
CLIENT_LIST,UNDEF,был мой ip:49765,192.168.100.30,,3408,4929,2024-08-17 22:15:47,1723922147,UNDEF,25795,33,AES-128-GCM
CLIENT_LIST,UNDEF,был мой ip:55700,192.168.100.26,,3408,5209,2024-08-17 22:11:37,1723921897,UNDEF,25787,26,AES-128-GCM
CLIENT_LIST,UNDEF,был мой ip:40507,192.168.100.16,,3480,6398,2024-08-17 21:46:29,1723920389,UNDEF,25737,1,AES-128-GCM
CLIENT_LIST,UNDEF,был мой ip:58370,192.168.100.18,,3480,6385,2024-08-17 21:50:39,1723920639,UNDEF,25745,13,AES-128-GCM
CLIENT_LIST,UNDEF,был мой ip:35640,192.168.100.31,,3408,4509,2024-08-17 22:19:57,1723922397,UNDEF,25803,43,AES-128-GCM

При этом на этом же ipшнике висит кинетик и с ним проблем нет, бывало такое когда была блокировка провайдера, но тут вообще другая история…

Подозреваю конечно по udp подключен кинетик и через него подключен так же по udp еще и Debian сервер, а там стоит прямой nat, хотя раньше проблем с портами подобного характера не было…

Через чистый VPN не пробовал. Через прокси, работающий через расширение в хроме всё ок.

Добрый вечер, можно попросить выложить результирующие файлы с адресами для обхода? Спасибо

Я не специалист, но точно не в антизапрете проблема, самое простое, проверить через другой браузер, желательно чистый.

В этот момент картинки и медиа отлетают и в приложении на телефоне.

Я немного подправил пару моментов в скрипте (поддержка Debian 12, Ubuntu 24.04, чутка упростил инструкцию по установке…). Отправил PR в репозиторий.

Спасибо! В ближайшее время добавлю ваши доработки!

Всем привет!

Как исключить google.com из правил кнота, в исключениях домена google.com нет, но маршрут прилетает и nslookup google.com отдается:

Non-authoritative answer:
Name:    google.com
Address:  10.224.0.51

Т.е. обход youtube.com оставить, а google.com - пускать через провайдера (как обычно)

chatgpt работает у кого-то?
Была версия lxc - работало, переставил “без контейнера” - всё работает, кроме chatgpt

В контейнере и здесь этот список:

Пока писал решил установить и проверить парочку других браузеров (на маке в сафари сижу, на айфоне в сафари и в приложении чатгпт):
хром и фаерфокс.
В хроме также как и в сафари:

в Фаерфоксе в гпт залогинился, работает без проблем через АЗ.

В сафари куки, данные “сайтов” подчищал.

Переставил сегодня утром, терпеливо ждал, что рассосется само.
Инкогнито в сафари и в хроме не помогают

Работает проблем нет.

Всем привет! Подскажите, пожалуйста, полному профану: возможно ли запустить скрипт на сервере timeweb?

Начал экспериментировать:

1. Установил ubuntu 20.04 на сервере Timeweb Москва
2. Через WinSCP загрузил папку setup в root
3. В консоли прописал chmod +x setup/setup.sh && setup/setup.sh
   Пошла установка. Потом, видимо, сервер перезагрузился, потому что консоль была пустая.
4. Скачал 2 файла tcp и udp.
5. Установил Merlin на Asus rt-ac88u
6. Загрузил antizapret-client-udp в OpenVPN профиль в роутере.
7. Выбрал в accept dns configuration: Exclusive. Больше никакие настройки не менял.
   Ютуб не открывается, скорость speedtest урезана вдвое по сравнению с тем, что было до манипуляций. Подскажите, пожалуйста, где ошибся?

Решено добавлением в exclude-hosts-custom - google.com

Я также интегрировал скрипт от angristan.
Разумеется все протестировал. Стало побыстрее и постабильнее работать.
Протестировать можно командой:

apt-get update && apt-get install -y git
git clone --branch script-optimization https://github.com/conradgg/AntiZapret-VPN.git
mv ./AntiZapret-VPN/setup /root
rm -rf ./AntiZapret-VPN
chmod +x setup/setup.sh && setup/setup.sh

Всем привет! Подскажите в чём может быть проблема. Есть vps на Ubuntu 22. Был настроен AmneziaWG + OpenVPN. Сначала тыкался в скрипт с контейнером, но получал ошибку:

Device proxy_443_udp added to antizapret-vpn
Device proxy_443_tcp added to antizapret-vpn
sed: can't read /root/easy-rsa-ipsec/CLIENT_KEY/antizapret-client-udp.ovpn: No such file or directory

после чего попробовал поставить версию без контейнера и получил следующее:

Cloning into '/root/antizapret'...
remote: Enumerating objects: 682, done.
remote: Counting objects: 100% (682/682), done.
remote: Compressing objects: 100% (678/678), done.
remote: Total 682 (delta 471), reused 3 (delta 0), pack-reused 0 (from 0)
Receiving objects: 100% (682/682), 39.20 MiB | 4.20 MiB/s, done.
Resolving deltas: 100% (471/471), done.
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100 73675  100 73675    0     0  69768      0  0:00:01  0:00:01 --:--:-- 2766k
mv: cannot stat '/root/EasyRSA-3.2.0/': No such file or directory

затем отвалилось подключение через амнезию. Как решить ситуацию?

Во время запуска скрипта вы находились под root пользователем в директории /root?

Сделал хардресет роутеру, и скорость вернулась на прежние значения. Затем повторил все манипуляции, но добавил несколько настроек роутеру с 4pda. Отключил также в браузее DoH, и все завелось. Че то не верится, что все так просто. Как вообще проверить что траффик ютуба идет через мой VPN на сервере timeweb?

Проверил в консоли винды nslookup youtube.com начинается с 10…, тоже самое и у рутрекера. У Яндекса: 77.88… Получается, все заработало?

tls-crypt попробую добавить опционально, как я выяснил, далеко не у всех он есть кто ставит антизапрет, например какие то роутеры не поддерживают, в будущем можно даже tls-crypt2 добавить

на Debian 12 чето не полетело, днс не меняет ip на 10 пока в ручную не запустить /root/antizapret/doall.sh

c GPT похоже с авторизацией проблема у меня и в яблочной среде.
Взял андроид телефон, который в гпт никогда не заходил - всё прошло почти идеально.
На маке - продолжает стабильно не работать в Сафари, хром иногда стал пропускать, но при попытке авторизоваться - фигушки. В фаербксе по прежнему ок.
На айфоне - утром начал открываться, но также нельзя авторизоваться. Включил ВПН (весь трафик через ВПН) - ГПТ завелся, авторизовался. Отключил и оставил только антизапрет на роутере. ГПТ работает.
Пока не могу понять что ему мешает полностью через АЗ запускаться.
По средствам разработчика смотрел в браузере - новых доменов не проскальзывает

Взял новый айфон - chatgpt.com - зашел.
Нажал авторизоваться и получил Unable lo load site (ip стоит, не vps). В адресной строке:auth.openai.com (он есть в исключениях)

Да, проблема аналогичная, на IOS в сборке без контейнера в чат не заходит, проблему так и не решил

мой косяк, в версию без контейнера попала proxy.py без патча для Apple, сейчас поправлю

Да, у меня 2 сборки с контейнером на Роутере(я оставил ее, тк более стабильно работает и все сразу же открывается) и без контейнера , на телефоне IOS тестирую, на всех IOS устройсвах не заходит, а еще не сразу происходит открытие сайта. вот сейчас к примеру, 1 раз открылся чат, закрыл браузер, захожу сразу же опять в него и сразу unable to load site, все действия произвожу в режиме инкогнито, конфиг подключения не перезагружаю и не отключаю, настройки никакие в антизапрете не менял, сборка последняя, установил вот 15 мин назад

обнови в ручную файл на сервере AntiZapret-VPN/setup/root/dnsmap/proxy.py at main · GubernievS/AntiZapret-VPN · GitHub

поправил косяк, почему то вместо патченной версии добавил не патченную

заменил содержимое proxy.py того что было на то что по ссылке proxy.py

Пока без изменений.
На ios открывается “unable to load site”

попробуй перезагрузить сервер и запусти /root/antizapret/doall.sh

так в итоге то что, на ios заработало что не работало?

У меня не заработало.

на ios кеш днс почистить попробуй, ребутни

macos: заработало
ios: chatgpt.com стал открываться, попытка авторизации [https://auth.openai.com] - “unable to load site”

Чистка кеша на ios:
1| Включить Авиарежим через настройки (через шторке не катит)
2) Ждём 10 сек
3) перезагружаем девайс

Вопрос следующего характера.

cipher AES-128-GCM
ncp-ciphers "AES-128-GCM:AES-256-GCM:AES-128-CBC"

С таким конфигом отвалились микроты, подключались по BF-CBC

Всё сделал по инструкции, всё работает. только реклама в Ютуб причем забугорная. Откуда она? Если в скрипте прописаны DNS adGuard? как-то можно убрать рекламу?

adblock, ublock, sponsorblock, мод приложуха youtube на андроиде

Понятно, сейчас верну
А BF-CBC убрана в версии OpenVpn 2.6 и вызывает ошибку если пытаться ставить скрипт на 24 убунту или дебиан 12

Щас попробую на микроте ручками выставить AES-128-GCM
Жду доступ, отпишусь по результату если все заведется то я думаю нет смысла менять.
Причем 1 из микротов начало шторить он пытается подключиться и создает хаус)

CLIENT_LIST,UNDEF,был ип:25894,,,230,2280,2024-08-19 11:56:09,1724057769,UNDEF,57,2,AES-128-GCM
CLIENT_LIST,Begun,был ип:26007,192.168.100.251,,1831,2618,2024-08-19 11:55:38,1724057738,UNDEF,54,0,AES-128-GCM
CLIENT_LIST,Begun,был ип:26064,192.168.100.251,,1831,2618,2024-08-19 11:55:59,1724057759,UNDEF,56,8,AES-128-GCM
CLIENT_LIST,Begun,был ип:25960,192.168.100.251,,1831,2618,2024-08-19 11:55:27,1724057727,UNDEF,53,7,AES-128-GCM

Подскажите, какой командой добавлять пользователя?

или AES-128-CBC
вернул BF-CBC для совместимости со старыми железками

телевизор на Tizen OS, некуда ставить ни Adblock ни мод-приложуху под андроид. Я думал это решается прописыванием DNS в самом скрипте

Иправил. Проблема была из-за зависимости скрипта в папке /etc/openvpn/server/ccd. Из-за этого antizapret-update.service заканчивал работу с ошибкой

Вот такой конфиг нужно выставить на микротике для работы с новыми параметрами, можешь вернуть как было для поддержки на Debian 12 я думаю поддержка многим людям важнее. Но добавить куда нибудь инструкцию для микротиков, т.к. по инструкции с форума не заведется…

Тут дело даже не поддержке. BF-CBC не зря выпили из новых версий OpenVPN. BF-CBC очень слабый алгоритм на данный момент.

ок! спасибо за доработку, пока я переделал у себя кое что, вынес setup.sh из папки setup, переименовал antizapret в antizapret-udp и все такое, наверное по чуть чуть попробую переносить твой код и проверять

Ну на этом алгоритме микротик 1 давал 30 мбит тот где щас изменил, другой 20 выдавал, но загрузка процессора на 100% постоянно)
На самом деле проблем исправить на микротиках авторизацию не составит труда, и двигаться к новым версиям OpenVPN.

возможно ошибаюсь, мы же openvpn только для обода блокировок, а не для объединения сетей с каким нибудь smb да ftp трафиком, а если гонять только трафик ютуба да https можно и не шифровать вовсе, что там можно перехватить, запросы днс? но вот например клиент под windows не поддерживает отключение шифрования

Поэтому AES-128-GCM оптимальный для этого. Хорошая надежность, высокая скорость.
Можно ведь и AES-256-GCM использовать, но он режет скорость на 40% относительно AES-128-GCM

Всем привет
А кто-то поборол работу WireGuard совместно с этим решением?
Ставил wg скриптом от angristan
Но через wg ни один сайт не открывается
Сервер ребутал…

Привет! Я полный 0 в этом, вот первый раз установил
Стандартно через OVPN работает youtube, но не работает insta, fb, этот форум тоже не работает. В чем может быть дело? Ubuntu 22

работает, через wg пускаю ютуб по IP маршрутам

С этим есть какая-то загвоздка, оно сначала не работает(видимо подгружает маршруты или даже не знаю), перезагрузи подключение несколько раз и периодически пробуй подключатся к сайтам и потом начинает работать

Нужно WG ставить после установки антизапрета тогда проблем не будет.

должно заработать через пару минут, при первой загрузки не обработался еще список для обхода, вы обратились на сервере - он вернул реальные адреса и закешировал их

А какие-то особые настройка для wg или OpenVPN были
Просто создаю чистый сервер
Ставлю этот антизапрет без контейнера
Ставлю wg

Антизапрет работает
wg ничего, кроме сервера не может открыть
Если без антизапрета, то отдельно wg работает(но в целом мне он нужен, как резервный на всякий случай)

Щас глянул конфиг как ты сделал
cipher AES-128-GCM
Чтобы заработал BF-CBC нужно закоментировать строчку cipher. Если оставить ее раскоментированной подключение увы не происходит… Поэтому либо возвращать прям как было изначально либо вообще отказываться от BF-CBC что я и сделал…

как я понял, если клиент не поддерживает протокол указанный в cipher, протокол подбирается из списка указанном на сервере в ncp-ciphers, если клиент поддерживает согласование протокола
можно еще добавить в сервер настройку data-ciphers-fallback BF-CBC

а как ты проверил? у меня нет клиента который бы поддерживал только BF-CBC

Абсолютно никаких, ставлю по этому скрипту 22 ubuntu
wget https://git.io/wireguard -O wireguard-install.sh && bash wireguard-install.sh
chmod +x wireguard-install.sh
./wireguard-install.sh -в дальнейшем каждый раз выполнять для добавления новых пользователей

До твоего изменения ручками сделал следующее:

ncp-ciphers "AES-128-GCM:AES-256-GCM:AES-128-CBC:BF-CBC"

Не закомментировал обратно cipher
И увы микротик не подключился.
Зашел на микротик вижу тупо ошибку link est
Понятное дело что авторизацию он не прошел.
Далее для проверки закоментировал cipher и микрот сразу автоматом подключился.
Далее поменял конфиг на микроте в status убедился что микрот подключился по AES-128-GCM
После чего вернул конфиг:

cipher AES-128-GCM
ncp-ciphers "AES-128-GCM:AES-256-GCM:AES-128-CBC

Ребутнул OpenVPN, подождал и все автоконнект случился, и проблема ушла.

Эхх, все также и Ubuntu 22
Но так ничего и не открывает
Буду думать

Ощущение что чуда не произойдет, пока вручную что-то не поправить

Я вчера на телефоне в настройках ovpn убрал галочку на запрет ipv6, оно заработало, а утром перестало снова

то есть просто в рандомный момент у вас заработало?

а можно конкретнее (для тупеньких) что куда прописывали? у меня поднят Антизапрет на кинетике по этой инструкции . Что там подправить?

Подскажите, какой командой добавлять нового пользователя?
Хочу сделать несколько отдельных.

переустановил сабж (10 мин назад).
На девственно чистом айфоне заработало с добавлением в хвост:

Если на айфоне ставить свой клиент openVPN и пускать через сотовую сеть (МТС Москва):

1. то работает только по TCP
2. по UDP интернет перестает работать совсем

add-client.sh

Всем привет, роутер тплинк, маршруты добпвлял, оставлял как есть, добавлял маршрут с днс с 4 pda , не работает, причем не работают сайты из списка, а обвчные сайты где нет редиректа на впн грузятся, куда копать?

А с клиента не на роутере работает?

да вот не проверял, но проверил и не работает да) тот же ютуб вообще не открывается с впном, это значит работает чтото, но не так))

Dell

Всем доброго времени суток. При попытке установить актуальную версию на сервере получаю такую ошибку:
Get:3 Index of /repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_11/ libknot12 3.1.1-cznic.1 [172 kB]Err:3 Index of /repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_11/ libknot12 3.1.1-cznic.1
File has unexpected size (171768 != 171772). Mirror sync in progress? [IP: 2a07:de40:401::70 80] Hashes of expected file:

• SHA256:83167b560eb7dd9b2a604be6886be7274ecabea2170b78c97bd103a58704b623 - SHA1:1b9a157981fa7d9a6cad4478c6e338217cb0e098 [weak]
• MD5Sum:69563232b92742457f4ef482777962b0 [weak] - Filesize:171772 [weak]
  Get:4 Index of /repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_11/ libzscanner4 3.1.1-cznic.1 [152 kB]Get:5 Index of /pub/opensuse/repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_11/ knot-resolver 5.7.4-cznic.1 [339 kB]
  Get:7 /repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_11 - openSUSE Download lua-psl 0.3-1 [8,304 B]Get:6 Index of /pub/opensuse/repositories/home:/CZ-NIC:/knot-resolver-latest/Debian_11/ knot-resolver-module-http 5.7.4-cznic.1 [137 kB]
  Fetched 956 kB in 4s (245 kB/s)E: Failed to fetch http://provo-mirror.opensuse.org/repositories/home%3A/CZ-NIC%3A/knot-resolver-latest/Debian_11/amd64/libknot12_3.1.1-cznic.1_amd64.deb File has unexpected size (171768 != 171772). Mirror sync in progress? [IP: 2a07:de40:401::70 80]
  Hashes of expected file: - SHA256:83167b560eb7dd9b2a604be6886be7274ecabea2170b78c97bd103a58704b623
  - SHA1:1b9a157981fa7d9a6cad4478c6e338217cb0e098 [weak] - MD5Sum:69563232b92742457f4ef482777962b0 [weak]
  - Filesize:171772 [weak]E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?
  Как исправить?

проверьте статус служб kresd@1 и dnsmap

systemctl status kresd@1

systemctl status dnsmap

попробуйте установить еще раз (можно поверх)

та же самая ошибка.

Всем доброго, установил - все запустилось - но вот инстаграмм не работает…
Есть тот, у кого работает?

А ну и такой еще вопрос какой бюджетный роутер подымит файлы .ovpn ?

Попробуйте установить другим скриптом

apt-get update && apt-get install -y git
git clone --branch script-optimization https://github.com/conradgg/AntiZapret-VPN.git
mv ./AntiZapret-VPN/setup /root
rm -rf ./AntiZapret-VPN
chmod +x setup/setup.sh && setup/setup.sh

Пробовали вручную перезагружать сервер?

Вот то же самое. Говорят что само должно заработать, но ничего подобного не происходит

да и переустанавливал на чистую ОС скрипт заного. тоже самое

Благодаря камраду conradgg произошли большие изменения в скрипте, за что ему выражаю от всех нас респект и уважуху!

Обновил только что скрипт

Установка:
Устанавливать на Ubuntu 20.04/22.04/24.04 или Debian 11/12
В терминале под root выполнить:

apt-get update && apt-get install -y git
git clone https://github.com/GubernievS/AntiZapret-VPN.git antizapret-vpn
chmod +x antizapret-vpn/setup.sh && antizapret-vpn/setup.sh

Дождаться перезагрузки сервера и скопировать файлы antizapret-client-udp.ovpn и antizapret-client-tcp.ovpn с сервера из папки /etc/openvpn/client

Эх,опять накатывать кстати, поставил предыдущий скрипт, использовал протокол TLS все идеально работает, сразу грузится, в тч чат, нет задумчивости при открытии страниц, единственное чувствуется помедленнее все, но это еще с ДНС поиграюсь
Вывод, возможно как-то блочат протокол UPD (ну или пытаются, тк коннект и открытие происходит раз, через раз, особенно если телефон полежит в режиме сна)

зато протестируешь!
tls-crypt попробую добавить в виде дополнительной настройки, но толку от него конечному пользователю особого не вижу и блокировку обходить не помогает

Я не против, я готов хоть 10 раз переустанавливать сервер))) у меня их все равно 5 шт разных сейчас приступаю к установке новой версии и еще, не подскажете путь для смены ДНС адресов? я не против адгуард, но считаю, что должен быть так же альтернативный (п.с. раньше в файле setup менял )

по умолчанию (вроде бы) 8.8.8.8, а адгуард добавлен опционально, можно удалить его и сейчас из setup.sh

по идее, очищаю кеш днс при перезагрузке и при пером запуске тупить и что то не резолвить не должен, как типа у кого то не резолвит инстаграмм но все остальное резолвит нормально

понаблюдайте

На какой протокол уделить внимание? TLS or UDP?
кстати, при первом запуске все идеально, начинается все потом, когда режим сна у устройсв

На уровне корня системы. Я так понимаю, что жестко провафлил этот важный момент?

На данный момент скрипт завязан на выполнение из директории /root

да пофигу, днс сервер один

Включаем DCO (Data Channel Offload) на OpenVpn 2.6+ скриптом Enable-OpenVPN-DCO.sh

скрипт меняет настройки сервера устанавливая шифрование только AES-128-GCM и AES-256-GCM

сброс настроек сети сделайте

Ураааа, дождался)

Ура) с последним скриптом все ок! =) и роут с соседней ветки
роутер AX5400 tp link
route 10.224.0.0 255.254.0.0
route 192.168.100.0 255.255.252.0
route 0.0.0.0 128.0.0.0 net_gateway
route 128.0.0.0 128.0.0.0 net_gateway
sndbuf 1048576
rcvbuf 1048576

Простите пожалуйста, а это куда прописывать?

в конфиге клиента, до # Keys после всего, если ошибся поправьте, но сделал так)

• убраны все ДНС в настройках на роутере

Спасибо!
Второй день разбираюсь с этой всей темой, ничего не понятно пока, но очень интересно!) Вчера скрипт установил, все заработало. Сегодня установил новую версию, и перестало работать. при запросе nslookup youtube.com получаю
DNS request timed out.
timeout was 2 seconds.
╤хЁтхЁ: UnKnown
Address: 8.8.8.8

Я так понял, рекомендация прописывать в конфиг для асуса уже не актуальна?
remote-cert-tls server
cipher AES-128-CBC
setenv opt tls-cipher DEFAULT:@SECLEVEL=0
resolv-retry infinite
setenv FRIENDLY_NAME “AntiZapret VPN TCP”
pull-filter ignore block-outside-dns
route 8.8.8.8 255.255.255.255 vpn_gateway
route 1.1.1.1 255.255.255.255 vpn_gateway
auth-nocache

Скинул рабочий dell-client.sh тебе личным сообщением, посмотри мб добавишь в следующем обновлении.

Как считаете, есть возможность под arm64 развернуть сервис ?

По идее всё должно быть норм. так как базируется на Debian у которого есть поддержка arm64.

Добрый день!
Не могли бы вы поделиться своим работающим вариантом настройки Mikrotik? Я тоже поднял ovpn на своем Mikrotik, коннект есть, но обход не работает. Возможно неправильно или DNS-ы прописал, или настроил правила натирования и применения.

Есть же тема с рабочим вариантом: Обход блокировки на mikrotik
Только есть тут 1 нюанс, нужно в профиле отключать шифрование по типо Use Compression, UPNP, IPv6 и тд и тп.
Лично у меня вечно выбивало подключение и не возможно было пользоваться. + если прописаны ручками днс в DHCP Client поставить автоматически, либо в теме поискать есть инфа для очистики поля DNS и при отключении от VPN он будет возвращать его обратно.

• Если стоит последнее обновление выше писал выставить вместо sha1 null и вместо blowfish > AES-128-GCM
• не забудь создать nat правило для своей локалки.

Яб последние 4 строки сделал) а вообще на 4 пда для асуса были инструкции че ставить, какой днс стрикс или ещё чето там, в общем как настроить все это. Там был пост с 3 шагами(ссылки на другие сообщения) думаю помогло бы, но пока найти не могу, возможно на пк открыто https://4pda.to/forum/index.php?showtopic=759060&st=6940 пока попробуйте так там есть скрины

Добрый день! Тут за меня немного ответили. Я частично взял методы из той инструкции

1. В NAT маскарад, где src address ип твоей локальной сети (напр. 192.168.1.0.24)
   В out interface подключение ovpn
   Добавить это после маскарада с твоим интернетом

2. Там же открыл порты
   /ip firewall nat add chain=dstnat action=redirect protocol=tcp dst-port=53,5353,1253
/ip firewall nat add chain=dstnat action=redirect protocol=udp dst-port=53,5353,1253

3. В DHCP Server в Networks указал в DNS адрес своего роутера

4. В DNS Settings поставил галочку на Allow Remote Requests. Днс-ки оставил пустыми, чтобы тянулись автоматом

5. В подключении интернета указать Use Peer DNS

У меня руки не дотягиваются, но в той инструкции хорошо описаны скрипты on-up/on-down, чтобы в случае отвала VPN ты получал не провайдерский НСДИ, а скажем 1.1.1.1.
Ну и не удобно, что это все равно раскидано по всему топику.

Если у тебя у провайдера внешний IP очень зря открыл 53 порт, не раз сталкивался на микротах по службе днс с загрузкой CPU в 100%.

от DNS Amplify хорошо помогает дропать все запросы dns не из локальной сети

add action=accept chain=input comment="accept dns from local" \
    connection-state=new dst-port=53 in-interface=!ether1-wan protocol=udp

add action=drop chain=input comment="drop dns from wan udp" connection-state=\
    new dst-port=53 in-interface=ether1-wan protocol=udp

благодарю, буду пробовать на малинке локально развернуть

Есть вопрос следующего характера, обновляю файл proxy.py
И полностью падает антизапрет ребут системы dnsmap ничего не помогает только если откатить файл обратно, если посмотреть статус dnsmap то пишет все впорядке, но на компе ошибка dns и добрый вечер. Не знаешь в чем может быть проблема?

image828×213 7.52 KB

Вы что-то делаете не так. Зачем локально разворачивать на малинке, если это должно быть на vps где нет цензуры?!

транспорт Ovpn не устраивает. цель получить быстрое и стабильное подключение к vps по vless.
как вижу решение:
поднять антизапрет локально на своем оборудовании, подключиться до него по OVPN (временно для тестов, потом поправить маршрутизацию), локально поднятый антизапрет подключить к vps по vless организовав в системе прозрачный прокси с маршрутизацией всего трафика через vless

Я над этим моментом воюю уже долго) пока не выходит, поднял на сервере xray осталось его подружить с dns map пока все четно, пробовал разные конфиги правила маршрутизации один фиг весь трафик заворачивается…

не понял, как обновляете и для чего? может перенос строк в файле при изменении с lf на cr lf меняется

а какую схему пробовали ? на vps поднимать xray, или вариант который я описываю?

мне видится следующее развитие событий. пока сильно не разбираться с dns, просто заворачивать вообще весь трафик через xray наружу в свободный интернет) а подключится по ovpn в домашней сети будет явно проще и стабильнее.
далее как эта схема заработает, уже пробовать убирать ovpn.
по сути получаеться одно дополнительное устройство, зато dns сервер расположен ближе, проблем с транспортом нет вообще, и менять внешние точки выхода удобно.

уже собрал тестовую конфигурацию (пока что на x86) прозрачный прокси в системе поднят, весь трафик с сервера успешно в xray заворачивается, но не работает DNS от антизапрета. Пока не разобрался почему, возможно потому что у меня в системе был установлен DNS Cloudflare с DoH.

На VPS поднять antizapret + xray с xray звонится dns антизапрета 192.168.100.1 например, делал маршрутизацию на основании dns. на vless у меня в моменте вообще перестали открываться рф сайты думаю победа значит понимание пришло, но vless на самих устройствах заворачивает весь трафик, последнее время мучаю конфиг чтобы работало по принципу route, ставить галочку на сервере vless на route эффекта не дало. Вообщем на этом моменте я и застопорился.

У меня версия где не поддерживается техника Apple как я понял, не так давно было обновление, вот решил обновить proxy.py
После обновления файла перестают идти маршруты, выше писал что можно просто заменить файл на сервере и все полетит. Но чет не заработало, попробую cr if поменять обратно на C If может заработает…

эту схему пробовал еще пока не было версии без контейнера, там мне показалась маршрутизация давольно сложной и я оставил эту идею.

сейчас при локальной реализации резолвер работает коректно, отдает адреса из подсети 10.224.0.0/15 для заблокированных ресурсов, для не заблокированных отдает реальные адреса. в этом плане все работает как должно. (при первом запуске действительно мешал CloudFlare DNS)

прозрачный прокси на сервере поднят и соединен с точкой выхода где нет блокировок. curl ifconfig.me показывает ip арендованной vps - значит vless работает. dns leak test показывает ip адрес vps и никаких других, вроде все как должно быть.

но проблема в том что, трафик на “подменных ip” не ходит. при этом не заблокированные ресурсы открываются но очень медленно из-за долго ответа dns

похоже что правила переадресации не работают, хотя создаются в цепочке dnsmap

В файле /etc/ferm/whitelist.conf написано, что он должен заполняться скриптом antizapret. Однако, этого не происходит. По логике это должно быть в process.sh, но там ничего нет про /etc/ferm/whitelist.conf. Соответственно, сразу после загрузки список azvpnwhitelist пуст.

Вот о том и речь, у меня нет желания заворачивать весь трафик в впн, т.к. даже при учете что у меня дома стоит система на Debian 11 подключен внешник и тариф 500 мбит/сек. Ping от того же мегафона до моего дома около 30 и ниже никак не сделать, все зависит от маршрутов провайдера где пользуешься так сказать… И полностью заворачивать трафик будет смысл тогда когда прикроют лавочку с подключениями, но пока предпосылок я думаю в этом плане нет, хотя те же мобильные операторы достаточно часто лочат порты впн…

да я полностью согласен и тоже не намерен заворачивать весь трафик. для этого и пытаюсь локально поднять антизапрет, через который будет идти трафик только на ресурсы для которых это актуально.
получаеться что днс на нем резолвит все сайты через туннель, далее все что не заблокировано идет напрямую, а то что заблокировано идет через маршрут на микротике на антизапрет, там переадресуется на нужный ip адрес и далее через vless выходит наружу

Камрады, тема интересная и актуальная, но обсуждение реализаций split tunneling надо вам вынести в отдельную тему, либо предлагать уже рабочие варианты способные заменить OpenVpn

решение то есть и даже с вебинтерфейсом.
я лично тестирую на GitHub - MHSanaei/3x-ui: Xray panel supporting multi-protocol multi-user expire day & traffic & ip limit (Vmess & Vless & Trojan & ShadowSocks & Wireguard)
но пока что предложить дельного решения не могу там есть маршруты есть работы с днсами и много чего еще, но много но на самом деле. лично у меня пока не получилось реализовать vless с готовой конфигурацией чтобы на устройсве клиента трафик ходил аналогично OpenVPN, но хочу сказать что это вполне возможно, да и скорость по vless радует сильно 340 мбит (на пк) с tsl что круто. 211 мбит по Wi-Fi на Galaxy S24 Ultra

Приветствую всех, а как добавить сайт netflix?

Добрый вечер!
Если хорошенько поискать на форуме, то можно увидеть, что добрые люди добавляют себе в файл include-hosts-custom.txt следующие домены:
netflix.com
api.fast.com

Если поискать еще лучше, на случай если не поможет, то там где-то выкатывали огромный список доменов, связанных с нетфликсом

спасибо большое. У меня сейчас другая проблема. решил перейти на Антизапрет без контейнера. поставил ubuntu 20.04 запустил скрипт. все как по инструкции 3 команды. все установилось, единственное из puty выкинуло во время установки я снова подключился, скачал на комп два файла openvpn и через утилиту на компьютере подключаюсь. все пишет подключено но интернет на компьютере моем не открывает ни один сайт от слова совсем.

при этом через утилиту puty я подключаюсь на сервер и даже от туда вбиваю команду ping ya.ru и на сервере интернет идет а у меня нет. что делать не подскажете?

возможно что последние изменения что то поломали на 20 убунте, рекомендую поставить дебиан 12

вычеркнул 20 бунту из поддерживаемых, уже нет смысла

Сейчас попробую. команды такие же ?

1. Устанавливать на Ubuntu 20.04/22.04/24.04 или Debian 11/12
2. В терминале под root выполнить:

apt-get update && apt-get install -y git git clone GitHub - GubernievS/AntiZapret-VPN antizapret-vpn chmod +x antizapret-vpn/setup.sh && antizapret-vpn/setup.sh

3. Дождаться перезагрузки сервера и скопировать файлы antizapret-client-udp.ovpn и antizapret-client-tcp.ovpn с сервера из папки /etc/openvpn/client

все поднялось. На Debian 12
спасибо большое.

Вопрос:
на роутере Kenetic от провайдера интернет идет по PPOE( логин пароль) , установил дополнение openVPN, и пишет что соединение vpn установлено( по инструкции дописал строчку для Kenetic, было в инструкции) - в итоге интернет работает но ни ютуб ни другие сайты не подключаются. но если за роутером поставить еще один такой же то все работает. как обойтись одним роутером , видимо PPOE мешает

не мешает, там на некоторых прошивках если у тебя установлен компонент интернет фильтр, то нужно с помощью него настраивать кинетик, по другому работать не будет.

Спойлер

image1948×1033 131 KB

image2018×1206 262 KB

cipher AES-128-GCM

pull-filter ignore block-outside-dns
route 94.140.14.14
route 94.140.15.15
route 77.88.8.8
route 77.88.8.1

Конфиг в опенвпн

а можете рассказать что именно там настраивать?

Отредактировал сообщение выше с фото.

обрати внимание на снятие галочки транзита трафика. важный момент, яндекс днс нужен на случай падения AdGuard днс чтобы у тебя хоть какие то сайты работали.

попробую, спасибо. а что за адреса 94…
77…
верхняя строчка была прописана на днс провайдера и не помогало
pull-filter ignore block-outside-dns
route 10.200.72.1

94 это днс adguard на блокировку рекламы. из за интернет фильтра самого факта его установки, обычный проброс на роутер не работает, т.к. компонент что то меняет у себя в компонентах.
77 яндекс днс, https и тд и тп использоваться нельзя только днс без шифрование, антизапрет другие не понимает.

вот тут если можно поподробнее с галочкой))

просто сними галочку приведи вот в такой вид.

вы лучший))

@Tyman добавь информацию в инструкцию по настройке кинетик чтобы люди не мучались, про интернет фильтр либо его сносили с роутера, либо настройку делали через него. Там в самой базе маршрутизации чет меняет кинетик и обычный проброс днс 192.168.1.1 погоды не сделает, ток щас увидел что ты инструкцию сделал)

для владельцев Mikrotik поделюсь проверенным конфигом, с таким шифром заводиться аппаратная разгрузка шифрования и openvpn сильно меньше грузит железо работает на arm и arm64

cd /etc/openvpn/server
mode server
proto udp
port 443
dev-type tun
dev vpn-udp
topology subnet
server 192.168.100.0 255.255.252.0
#push "route 192.168.100.0 255.255.252.0"
push "route 10.224.0.0 255.254.0.0"
push "dhcp-option DNS 192.168.100.1"
push "block-outside-dns"
cipher AES-256-CBC
txqueuelen 1000
keepalive 15 30
persist-tun
persist-key
fast-io
user nobody
duplicate-cn
#log logs/openvpn-udp.log
status logs/status-udp.log 30
client-config-dir ccd
ca keys/ca.crt
cert keys/antizapret-server.crt
key keys/antizapret-server.key  # This file should be kept secret
dh keys/dh2048.pem
ncp-ciphers "AES-128-GCM:AES-256-GCM:AES-128-CBC"

Интересный момент… у меня лично AES-256-CBC скорость режет на микроте почти в 2 раза… я ставил его. если с шифрованием AES 128 скорость около 20 держится на не очень дорогом микротике, то с AES-256 у меня кое как 11 на ютубе в 4к доводилось видеть… Но ты прав за счет падения скорости за счет более меньшего пропуская трафика загрузка микрота упадет…
А проблема отвала antizapret на микротик решается правильной настройкой профиля.

на hap ac2 дает 200+ на hap lite 18-20 мбит

ну вот у меня на hap lite при шифровании AES-256 было 11 мбит это трагично…
А на AES-128 дает 20-23 где то ±
Но была проблема с вечным отвалом антизапрета, причем так что впн держится а трафик вообще никуда не ходит, по итогу настраивал профиль и проблема ушла.
Щас клиентов наблюдаю по статистике когда они реконектятся и тд и тп.

image753×58 5.64 KB

Не имею микротиков, но по логике 128 будет давать меньшую нагрузку при той же скорости, те условно 10 мбит будет грузить микротик меньше если шифр 128 битный

у меня именно так и работает как в инструкции, возможно что если днс провайдера на 10… то что то ломается в роутинге, и нужен днс не провайдера, я проверить не могу, у меня днс на 192…

У тебя сам компонент интернет фильтр установлен? Если нет понятное дело пофиг и будет работать.
Как я писал сам факт установленного компонента интернет фильтр не дает прямо пользоваться днс ip роутера.
Я когда 1 раз настраивал тоже мучался хотя у меня днс всю жизнь ручками вбиты были

image979×775 31.4 KB

Установлен, но на вкладке “Контентный фильтр” режим фильтрации - Выключен

Как то тебе если честно повезло, у меня такой конфиг не сработал, а хотя у меня там AdGuard профиль стоял вот видимо поэтому и не работало

Господа, подскажите пожалуйста, сумел поднять сервак на дебиане и успешно запустить впн на клиенте. Но с роутером никак не выходит. Padawan tp-link. В впн-клиенте в расширенных прописывал данные с файла и ключи, дополнительно по инструкции с гитхаба прописал route. Какие ещё необходимо сделать действия, в сетях немного профан. Ростелеком оператор.

Кстати накатил я последние апдейты особенно касаемые последних изменений с конфигом OpenVPN и хочу сказать что последнее время клиенты вообще не отваливаются от сервера и стабильно на нем висят на разного типа устройствах. Я в 11-12 часов примерно делал рестарт сервера когда возился с proxy.py и с того момента разрывов нет, разве что у кого мобильные телефоны подключены.

image1301×415 33.7 KB

это хорошо, а Enable-OpenVPN-DCO.sh накатил?

А я ручками обнову поставил, а вот будет работать Enable-OpenVPN-DCO.sh в Debian 11 под вопросом надо тестировать.
Я хочу потом попробовать снести антизапрет без OpenVPN сервера или как минимум без сертификатов чтобы потом обновления можно было ставить без переустановки ос. а то я так каждый раз xray заного накатываю сертификату генерирую времени вагон уходит…

тут вся суть в аппаратном ускорении. сейчас на тестовом стенде проверил.
Состав стенда: два hap AC2 (firewall+Capsman+wifi wave2+Queue Tree+Mangle+SSTP 5 Туннелей)
Результат следующий следующий:

null 202 mbit/s 68% cpu
aes128-cbc 182 mbit/s 58% cpu
aes256-cbc 188 mbit/s 54% cpu
blowfish-128 130 mbit/s 85% cpu

в общем для ютуба точно хватит )

А реально ли здесь сделать профиль, через который весь трафик прогоняться будет?

если OpenVPN 2.6 поставишь

нет, да и зачем

Еще есть вопрос в порядке установке всего этого, установил антизапрет, сейчас хочу установить DCO (Data Channel Offload) на OpenVpn 2.6+ скриптом Enable-OpenVPN-DCO.sh
для этого закинул скрипт в папку root, выполнил команду chmod +x Enable-OpenVPN-DCO.sh && ./Enable-OpenVPN-DCO.sh
В итоге получил:

root@a178398612:~# apt-get install -y openvpn-dco-dkms
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
E: Unable to locate package openvpn-dco-dkms

DCO ставится на OpenVpn 2.6+ который идет в Ubuntu 24.04 или Debian 12

А можно как-то посмотреть, что DCO установлен?
И почему-то в последнем апгрейде скрипта снова скорость по tcp печальная, в предыдущем все ок было.

Вопросов не имею, а я по старинке на 22.04, и еще вопрос если ли смысл переходить на 24.04? есть ли какой-то прирост скорости на DCO OpenVPN? озу на VDS 4gb

Скажу по своему опыту, разницы не увидел, только по tcp скорость очень низкая стала, что с DCO, что без него.

openvpn --version
будет указана DCO version

Переименовал (в enable-openvpn-dco.sh) и перенес скрипт включения DCO в root
И добавил скрипт для отключения DCO disable-openvpn-dco.sh

По моим тестам DCO повышает скорость закачки, исключение аплоад по TCP

Нашел вот…

помогите разобраться с микротиком плиз. не предидущих релиза все работало с шифрованиеуь blowfish, решил обновиться и теперь не то что blowfish - а вообще никакие не подходит. пробовал менять в конфиге сервера на cipher AES-256-CBC - с ним тоже не “але”.

Разобрался, чтобы скорость выросла на TCP с установленным DCO надо прописать tun-mtu 1420, в обе стороны по TCP больше 300 мбит
UDP не заметил чтобы изменилось поле изменения tun-mtu - остались 200 мбит
мерил iperf3

upd

с tun-mtu 1420 не грузятся некоторые сайты, например habr.com
и по моему оно не повлияло на скорость, сейчас tcp 400 мбит без изменения tun-mtu
но это понятно, канал разгрузился

Так же какая-то проблема , взял новый хостинг, залил последнюю вашу сборку, антизапрет все четко работает
Ставлю поверх WG по скрипту:

wget https://git.io/wireguard -O wireguard-install.sh && bash wireguard-install.sh
chmod +x wireguard-install.sh
./wireguard-install.sh

прокинул маршруты в Keenetic файлом
Only_YouTube+inst+GPT.bat (6,8 КБ)
по итогу соединение есть, а по маршруту вообще не грузится, какие-то кб/с и все
p.s. ubuntu 24.04
возможно что-то и на хостинге, на предыдущих сборка так все работало, просто тоже человек писал как-то выше

работало наверное с версией в контейнере, теперь хост только под антизапрет, к сожалению я не знаю как запустить антизапрет и еще какой то впн, если кто то знает как не сломать антизапрет и настроить нат для другого впн то поделитесь

А если компонент интернет фильтр установлен, но выключен, тоже не будет работать с
route 192.168.1.1? до провайдера pppoe.

Спасибо! Это я все давно сделал) Просто там есть строчка cipher AES-128-CBC, а уважаемый Tyman написал, что нужно оставить шифрование только AES-128-GCM и AES-256-GCM, отсюда возник вопрос- актуальны ли эти строчки для Асуса.

remote-cert-tls server
cipher AES-128-CBC
setenv opt tls-cipher DEFAULT:@SECLEVEL=0
resolv-retry infinite
setenv FRIENDLY_NAME “AntiZapret VPN TCP”
pull-filter ignore block-outside-dns
route 8.8.8.8 255.255.255.255 vpn_gateway
route 1.1.1.1 255.255.255.255 vpn_gateway
auth-nocache

Accept DNS configuration выбрал Exclusive (пробовал strict, разницы не почувствовал)
VPN director 192.168.1.0/24
DHCP server DNS: 8.8.8.8, 1.1.1.1

1. Что из этого выше нужно и правильно прописано для нормальной работы на роутере Асус с мерлином? Я думаю, многим бы пригодилось. Сейчас все работает, но рутрекер через раз открывает, инсту открывает, но после авторизации сразу выдает ошибку входа. ChatGPT выдает unable site. Ютуб вроде стабильно стал работать.
2. Подскажите, я вот не совсем догоняю. Можно ли в качестве сервера использовать сервер в России? У меня это timeweb Москва. Я так понимаю по логике разницы нет, какой использовать сервер, и где он будет находиться. Или все же есть разница? Может мои проблемы с инстой (к слову, я там не сижу, это как проверочный ресурс в моем случае) и chatGPT связаны как раз с московским VPS?
3. Enable-OpenVPN-DCO.sh Этот скрипт нужно же запускать на сервере или на роутере/компьютере с OpenVPN? А то у всех Нидерланды…
4. Чем отличаются файлы include-hosts-dist и include-hosts-custom? В одном прописаны одни ресурсы, в другом- другие.

может будет кому-то полезно:

провайдер домашнего инета дает канал 100Мбит
VPS в Нидерландах 300Мбит
роутер TP-Link Archer AX55

антизапрет работает, но долго не мог добиться, чтобы 4K HDR видео на телевизоре показывало без лагов
YouTube статистика для сисадминов показывает, что канал не больше 25 Мбит
iperf3 -s 0.0.0.0 на vps
iperf3 -c 192.168.100.1 -V -t 50 в домашней сети
показывает аналогичные 15-20 Мбит

смена TCP/UDP, включение DCO, игры с буфером - ничего не помогает
нагуглил, что проблема в ПО роутера (в принципе OpenVPN клиент на AX55 не тянет больше 25Мбит)

Помогла смена прошивки роутера на пре-релизную 1.3.3 (вышла 09.08.24) - и ютуб, и iperf показывает порядка 50Мбит. Завтра еще попробую скорость от Ростелекома со 100 до 250 Мбит поднять, посмотрим повлияет ли на OpenVPN канал

Если нужно открывать ресурсы, заблокированные в РФ, сервер антизапрета должен быть не в РФ

Я балбес значит) думал, что сервер любой подойдет, а там антизапрет сам там как-то туннелирует на нем трафик в обход блокировок.

этот скрипт предназначен для сервера

p.s. DCO можно и на клиенте включить, если он там доступен, но точно не этим скриптом

Но ведь в скрипте этой темы разворачивается OpenVPN 2.5.9, в которой нет поддержки DCO. Его никак не включишь.

автор выше писал, что если разворачиваться на Ubuntu 24.04, то там встает OpenVPN 2.6.9, в ней DCO есть

Еще относительно DCO - после отработки скрипта есть смысл посмотреть
ip -details link show
на наших интерфейсах vpn-tcp и vpn-udp должна показываться опция ovpn-dco
Если не показывается - в конфигурации антизапрета есть какие-то неподдерживаемые dco параметры (у меня так было)

Благодарю!

Пробовал поставить скрипт на Ubuntu 24.04. Зависает на стадии установки: Clone antizapret (дословно не помню, что написано). Долго висит, потом пишет, что нет к чему-то доступа (не записал). Поставил Debian 12, все установилось.

Ну я об этом писал ранее, но у @Tyman все работает с выключенным интернет фильтром с чего я очень удивился. Но могу заметить может у него в домашней сети указан DNS 192.168.1.1 ручками, а Keenetic с завода там оставляет пустое поле, хотя клиенту приходит DNS именно 192.168.1.1…

Посмотрите на гитхабе, надо добавить репозитории для убунту 22, тогда будет 2.6, которая умеет работать с DCO

После установки скрипта на сервере домены стали резолвиться по 5+ секунд.
Есть ли у кого-то такой же эффект?

Я бы сказал, что где-то появилась пауза ровно на 5 секунд (или таймаут чего-либо), и затем за 0.01 секунду происходит резолвинг. Что можно проверить?

curl -s -w "time_namelookup: %{time_namelookup}, time_connect: %{time_connect}, time_appconnect: %{time_appconnect}, time_pretransfer: %{time_pretransfer}, time_redirect: %{time_redirect}, time_starttransfer: %{time_starttransfer}, time_total: %{time_total}\n" -o /dev/null https://ntc.party/

time_namelookup: 5.010232, time_connect: 5.043032, time_appconnect: 5.348027, time_pretransfer: 5.348502, time_redirect: 0.000000, time_starttransfer: 5.715256, time_total: 5.715516

это на сервере curl такие тайминги выдает?

у меня так:
time_namelookup: 0.007588, time_connect: 0.015413, time_appconnect: 0.114740, time_pretransfer: 0.115210, time_redirect: 0.000000, time_starttransfer: 0.414292, time_total: 0.414496

ставил скрипт на чистую Ubuntu 24.04 + DCO

на компе в домашней сети (OpenVPN клиент на роутере) вот так:
time_namelookup: 0.054601, time_connect: 0.104708, time_appconnect: 0.363023, time_pretransfer: 0.363209, time_redirect: 0.000000, time_starttransfer: 0.691225, time_total: 0.691413

Да, тайминги с сервера.

Самое интересное, что нa Win 10 (OpenVPN Connect), подключенной к этому же серверу, тайминги вполне приличные.

time_namelookup: 0.014711, time_connect: 0.061648, time_appconnect: 0.473568, time_pretransfer: 0.473940, time_redirect: 0.000000, time_starttransfer: 0.839787, time_total: 0.840126

Откуда берется 5 секунд на сервере - не понимаю пока.

у меня тоже все шустренько:
time_namelookup: 0.007841, time_connect: 0.024682, time_appconnect: 0.124834, time_pretransfer: 0.125023, time_redirect: 0.000000, time_starttransfer: 0.546219, time_total: 0.546304

чистая Ubuntu 24.04 + DCO

а dig ntc.party на сервере тоже 5 сек?

dig ntc.party
;; communications error to 77.8.8.8#53: timed out
;; communications error to 77.8.8.8#53: timed out

Помогло поменять в /etc/resolv.conf на 1.1.1.1, так что действительно был таймаут, и потом все мгновенно резолвилось.

Только вопрос, это Яндекс забанил айпи VPS на днс-сервере (такое бывает вообще?), или что-то из конфигурации антизапрета не дает подключиться?

Погоди, а откуда у тебя на VPS взялся dns 77.8.8.8?
И у Яндекса другие же адреса…

В процессе заметил, что и на клиенте не получается сделать nslookup ни к какому серверу, кроме как к .104

Директиву block-outside-dns из серверного конфига VPN убрал (и через systemctl перезагружал, и даже ребутом), но все равно не работает, интересно выяснить, почему. Возможно, какие-то настройки OpwnVPN Client на винде, тогда не очень интересно.

Днс 77.8.8.8 прописан в образе Убунту от хостера, вероятно, сам я его точно не ставил

с 77.8.8.8 косяк конечно
Это ip немецкого провайдера O2
Имелось ввиду 77.88.8.8 наверное, но вот накосячили

У меня в телефоне в логах такое стало с обеда
17:36 TUN write exception: write_some: I/O error
И все заблокированные сайты не открывается, хотя сервер работает, пишет подключенно

Привет все удалось, по твоей инструкции обошел я этот PPOE
теперь такой вопрос - в самом скрипте написано что п.4 опционально
Для включения DCO в OpenVpn 2.6+ выполните команду

/root/enable-openvpn-dco.sh

я посмотрел у меня в этой папке вообще нет такого скрипта. и не понятно у меня включена эта опция или нет. как узнать.

посмотреть бы antizapret-???.conf

Узнать:
journalctl -u openvpn-server@antizapret-udp

В журнале должны быть такие строчки
openvpn[929]: OpenVPN 2.6.12 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]
openvpn[929]: DCO version: 0.2.20240619-1+jammy

Если таких строчек нет, то DCO не работает, нужно включать.

Если файлов нет, могли качать папку до того, как файлы были добавлены в репозиторий. Скачайте их вручную с гитхаба и положите в папку /root на сервере

а как открыть этот журнал?
зашел в каталог /var/log/
alternatives.log btmp faillog lastlog post-install.log private runit
apt dpkg.log journal openvpn post_install.log README wtmp

Так вот же команда:
journalctl -u openvpn-server@antizapret-udp

Или смотри
ip -details link show
на наших интерфейсах vpn-tcp и vpn-udp должна показываться опция ovpn-dco

vpn-udp: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq state UNKNOWN mode DEFAULT group default qlen 1000
link/none promiscuity 0 allmulti 0 minmtu 68 maxmtu 65535
tun type tun pi off vnet_hdr off persist off addrgenmode random numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 tso_max_size 65536 tso_max_segs 65535 gro_max_size 65536

4: vpn-tcp: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq state UNKNOWN mode DEFAULT group default qlen 1000
link/none promiscuity 0 allmulti 0 minmtu 68 maxmtu 65535
tun type tun pi off vnet_hdr off persist off addrgenmode random numtxqueues 1 numrxqueues 1 gso_max_size 65536 gso_max_segs 65535 tso_max_size 65536 tso_max_segs 65535 gro_max_size 65536

не нашел про DCO

Что логично, если вы его не включали. Понять бы ещё, какая у вас версия Openvpn установлена, эта информация есть в выводе команды

journalctl -u openvpn-server@antizapret-udp

не включена значит
проверь openvpn --version
если 2.6.+, скачивай и запускай скрипт для dco
с другой стороны - если все работает и скорость устраивает - в целом это лишнее телодвижение

OpenVPN 2.6.3 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] [DCO]

а ссылка есть откуда качать? пишут что типа нагрузку снижает и скорость увеличивается

Выполнить
openvpn --version
Если DCO стоит то будет указана DCO version
DCO ставится на OpenVpn 2.6+ а она идет c Ubuntu 24.04 или Debian 12
На Ubuntu 22 или Debian 11 нужно ставить OpenVpn 2.6 в ручную, по инструкции OpenvpnSoftwareRepos – OpenVPN Community

В скрипте все пакеты ставятся из официальных стабильных репозиториев
Можно конечно ставить более новые версии, например OpenVPN из их репозитория, но гарантии что оно будет работать как надо никто не даст, по моему проще переставить сервер на Ubuntu 24.04 или Debian 12

DCO version: N/A
скорее всего не стоит. сейчас посмотрю. спасибо
у меня Debian 12

DCO ставится на OpenVpn 2.6+ а она идет c Ubuntu 24.04 или Debian 12
Если она идет уже Debian 12 как ее запустить?

sudo apt-get -y install openvpn-dco-dkms
``` так ?

потом reboot

Вот это выполнить

ООО!!! Спасибо. сейчас попробую

после всех этих команд нужно что то еще делать? или она потом сама будет работать.

проверь после ребута
ip -details link show
что у интерфейсов ovpn_dco появилась
если да - более ничего не надо

проверил выше командой версию openVpn
там пишет DCO N/A

тоже самое что и раньше в интерфейсах

привет всем
подскажите поожалуйста как mikrotik настроить?
коннект поднялся

image883×653 10.4 KB

проверял конфигурацию на клиенте пк, там все ок

apt-get install -y openvpn-dco-dkms
modprobe -r ovpn_dco_v2
modprobe ovpn_dco_v2

А это всё без ошибок выполнилось?
ребут сделал?

скрипт установки от 16.08

после первой команды пошли загружаться пакеты. подождал , пока не появится приглашении новых команд и ввел две других( они молча ввелись) потом команда reboot выбило из puty переподключился а дальше начал выше командами проверять

попробуй в серверную добавить
keepalive 10 30
tun-mtu 1420

с первым параметром сильно стабильнее соединение держится
второй чаще всего с ошибками как у тебя связывают (может помочь)

ДОБАВЛЯТЬ НЕ НАДО, а keepalive 15 30 уже прописан

что делает
keepalive 15 30 - пинг сервера\клиента раз в 15 секунд, если клиент в течении 30 секунд не получил пинг или другую информацию от сервера идет реконект
по сути он не добавляет стабильности

у sanek992 не прописан keepalive
и у меня без keepalive клиент на андроиде стабильно отваливался каждые 10 минут

apt list openvpn-dco-dkms
что выдает?

Развернутый скрипт будет автоматически добавлять заблокированные ресурсы?
Или теперь самому надо периодически править /root/antizapret/config/include-hosts-custom.txt?

будет, если ресурсы заблокированы по решению суда и домены есть в списке ркн

@Shredder @Tyman спасибо, прописал keepalive 15 30, mtu трогать не буду работает и так.
Если сервер по ip смогут заблокировать, через добавление ip в exclude-ips-custom.txt поможет разблокировать?

Чем отличаются файлы include-hosts-dist и include-hosts-custom? В одном прописаны одни ресурсы, в другом- другие.

провайдер домашнего инета дает канал 100Мбит
VPS в Германии 100Мбит
роутер Keenetic Giga kn-1011

UDP режим, включён DCO
iperf3 -Vc 192.168.100.1 -u -R -t 60 -b 100M -l 1400
показывает 25-30 Мбит, статистика для сисадминов на YouTube не более 25.

Как выше поднять? 4k видео на компе подлагивает

Wireguard дает 90 Мбит, но там неудобно, маршруты надо периодически править/добавлять…

в файле exclude-hosts-dist.txt вредоносные домены, устанавливающие себе IP-адреса легитимных, поэтому был создан такой список.

нет, надо в include-ips-custom.txt (но я не проверял, по идее эти ип в добавятся в роутинг)

dist - правит ValdikSS, как и все dist
custom - правим мы

@Tyman, если отваливается сервер (можно сэмулировать через systemctl stop), то на устройствах в домашней сети становится невозможным резолвинг доменов, при этом нет проблем с установкой соединения по айпи.

Самостоятельно, конечно, можно зайти в админ-панель роутера и отключить там VPN, но при использовании этого решения, например, на роутере пожилых родственников, возникает критическая ситуация. Мне кажется, что можно добавить альтернативный днс, например, 1.1.1.1, тогда в случае недоступности днс на сервере антизапрета мы потеряем только заблокированные сайты, но возможность использовать незаблокированные сайты останется.

Я пробовал добавлять альтернативный днс через push “dhcp-option DNS 1.1.1.1” и убирать block-outside-dns из серверного конфига, однако это не помогает, в логах openvpn появляется альтернативный днс, но на клиентах резолвинг идёт только через VPS. Как вы относитесь к такому предложению, и нет ли у вас идей, почему может не работать мое решение?

Я бы начал с локализации проблемы
Если клиента openvpn не на роутере запустить, а на компе - какая скорость?
Если сильно больше 20Мбит, то проблема в роутере, можно погуглить, что там предлагают
Если всё то же самое - то можно дальше копать, что там на сервере и с каналами

Подскажите пожалуйста. Роутер Keenetic GIGA, все настроено по инструкции. Свой сервер VPS + AntiZapret. При подключении к VPN в роутере, заблокированные сайты начинают работать, но перестает работать весь остальной интернет. С чем может быть связано?
Не удается получить доступ к сайту
Не удалось найти IP-адрес сервера **.

Прошивка 4.1.7

Явно что-то не так с DNS, но не разобраться никак.

Добрый.В последнем обновлении для keenetic указано, что если DNS начинается с 10 - то врятли будет работать.DNS начинается 109.192, - не будет работать?
Вчера сделал - все гуд - сегодня переделываю на ВПС другой локации
Подключение роутера впн проходит - соед есть, преоритет идет на подключение через впн.
И я не нашел информации как поменять DNS провайдера .
Авторизация стоит через
PPPoE
Если кто может подсказать напишите пжлст в телеграм trixxyydev

а просто кфг опенвпн - работает !

Настройка роутеров отдельная тема, у меня есть два роутера - на них мной описана настройка и проверена, должно работать, и при отключении впн, не должен пропадать основной интернет

Keenetic Giga kn-1011 не будет больше 20 мбит тянуть, многие роутеры сильно ограничены в производительности, лучше поменять на последнюю ультру

Ип на 10 и 109 это разные ип, днс на 109 должен работать если прописать его в роуте

Как может быть так, что при подключении VPN заблокированные сайты работают, а все остальные нет?

мой комент выше.keenetic voyager pro будет тянуть?

Может платно кто то может помочь???
Очень нужно, убил весь день.

Роутер Keenetic GIGA, все настроено по инструкции. Свой сервер VPS + AntiZapret. При подключении к VPN в роутере, заблокированные сайты начинают работать на всех устройствах в сети, но перестает работать весь остальной интернет.
Отключаешь, наоборот, работают все что не заблокировано. С чем может быть связано?

С пк ошибка:
Не удается получить доступ к сайту
Не удалось найти IP-адрес сервера **.

Прошивка 4.1.7

Явно что-то не так с DNS, но не разобраться никак.

для начала напиши или скриншотами выложи, какие DNS-сервера отдает провайдер роутеру
и выложи .ovpn клиентский, который загружаешь на роутер (адрес vps не надо)

Конфигурация

nobind
client
remote 185.159..
remote-cert-tls server
dev tun
proto udp
port 443
cipher AES-128-GCM
resolv-retry infinite
persist-key
persist-tun
setenv FRIENDLY_NAME “AntiZapret VPN UDP”
pull-filter ignore block-outside-dns
route 195.208.4.1 255.255.255.255 vpn_gateway
route 1.1.1.1 255.255.255.255 vpn_gateway
route 62.76.62.76 255.255.255.255 vpn_gateway
route 9.9.9.10 255.255.255.255 vpn_gateway

Keys

А вы nat настроили?

Пункт 7 в этой инструкции: Обход блокировки на mikrotik

В src nat указывайте подсеть ваших устройств

Получилось настроить, но hAp ac lite выдает 12 мбит по статистике ютуба. DCO на сервере активно, на ноутбуке получается добиться 60 с каналом в 100+ домашнего интернета и 200++ на сервере. Что-то результаты миротика совсем не устраивают

Поставил последнюю версию скрипта на VPS Ubuntu 24.04 (с DCO) за пределами РФ.
Подключаюсь, на разные ресурсы хожу с адресом из РФ.
При попытке зайти на chatgpt.com, который есть в списке (include-hosts-custom), ChatGPT ругается, что я пришел с адреса из РФ и не доступно.

Что делаю не так?

Так, обновил, добавил скрипт для удаления клиентов delete-client.sh, и теперь, ну вот с версии от 22.08.24 вроде можно не ставить на чистую, а и обновлять установленную

Какой IP на странице chatgpt - ваш или сервера где впн? Если сервера то chatgpt считает что это IP адрес из России, попробуйте сменить IP адрес или перезаказать сервер чтобы получить другой IP

Мой, российского провайдера.

Привет, можете подсказать как настроить блокировку рекламы на openwrt вместе с антизапрет? установил adblock но на ютубе реклама все равно отображается

и еще подскажите пожно ли добавить сайт blizzard в антизапрет только для себя, если до то тоже подскажите как сделать

Всем привет!

Подскажите пожалуйста, в чем может быть проблема, при подключении к VPN не работает сеть вообще, подключение постоянно отваливается.

Вчера на Германии накатил Debian 12, скрипт и включил DBO. Больше ничего не делал.
До вчерашнего дня всё работало отлично.

Ошибки в журнале OpenVPN

Снимок экрана 2024-08-22 100307881×679 46.3 KB

спасибо,nat настроил ютуб с горем пополам работает
но почему то не работает разблокировка ntc.party rutracker.org ,нужно их куда то руками добавить?
для проверки фб и инста открывается когда впн поднят до сервера

vps взяд в aeza расположение usa

udp почемуто не хочет работать , как можно попровить?
в логах openvpn
TLS Error: Unroutable control packet received from [AF_INET]xxxxxxxxxxxxxx (si=3 op=P_CONTROL_V1)

Добрый день, такая проблема, вчера вечером отвалился свой антизапрет на ubuntu 24. Сегодня переустановил на всякий, но проблема осталась. nslookup говорит что не могу достучатся до ДНСки при подключенном ovpn. Подскажите пожалуйста что можно попытаться сделать, или что предоставить.

Журнал OVPN

Screenshot 2024-08-22 095148697×574 42.4 KB

Подскажите, по скрипту я получаю профиль и все равно остаюсь в России, хотя ютюб и иснта работают.
Но у меня есть другой профиль (поднимал по другой инструкции) и там я уже полноценно не в России.
Так и должны быть, что по профилям из скрипта я все ещё в России?

Screenshot_2024-08-22-12-18-49-92_40deb401b9ffe8e1df2f1cc5ba480b121079×1964 83.3 KB

Screenshot_2024-08-22-12-16-05-28_40deb401b9ffe8e1df2f1cc5ba480b121079×1912 76.8 KB

Так и должно быть, сервер обрабатывает только заблокированные в РФ адреса и адреса из собственного списка, а остальные пускает через обычный интернет.

Очень ждем

Расширение канала домой до 500 Мбит на скорость YouTube не повлияло, так и осталась 50 Мбит, видимо всё-таки Archer AX55 не тянет больше

Проблема точно в нём, так как если использовать клиента OpenVPN не на роутере, а на телефоне, тот же YouTube показывает скорость 120-200 Мбит

В настройках интерфейса выбран Auth: sha1?

Провел такой эксперимент:

В серверном конфиге прописал
cipher none
data-ciphers none
push “replay-window 10000”

В клиентском (для UDP)
cipher none
replay-window 10000
в некоторых случаях (если соединение не будет подниматься) на клиенте также надо указать
data-ciphers none

Нужно перезапустить openvpn на клиенте и сервере для обновления конфигурации.

Скорость по проводу с 12 мбит поднялась в 4 раза. Но есть минусы: в OpenVPN Connect 3.+ не поддерживаются соединения без шифрования, везде написано, что это НЕБЕЗОПАСНО (хотя я не вижу тут проблемы, провайдер не получит о вас больше информации, чем имеет при выключенном VPN). Можете попробовать.

Upd. И ещё раз по поводу безопасности: отключать шифрование, безусловно, плохая идея, но допустимая в контексте того, что большинство хочет просто смотреть Ютуб в 4к, а без шифрования вашему роутеру будет сильно легче.

Патченая версия не помогла обойти серьёзные блокировки, те у тех у кого не работает обычный опенвпн и публичный антизапрет, патчи не помогут

Но на микротике, например, не нашел возможности указать replay-window, поэтому при скорости по проводу с отключенным шифрованием близкой к лимиту провайдера, по Wi-Fi результаты остаются печальные - те же 12 мбит.

А вот на очень древнем кинетике применение этих опций улучшило результаты и по Wi-Fi.

А есть провайдеры, которые любой OpenVPN-траффик блочат, а не до конкретных IP известных VPN-сервисов?

а
push “replay-window …”
не канает?

Тоже подумал, но пока не пробовал. Отпишусь.

На Android через “OpenVPN для Android” (не Connect) получил без шифрования до 76 мбит (с роутером без обхода). Не тянет разве что 4k60fps на х2, но это уже извращение (можно смотреть на 1.75))

15:46 Options error: option ‘replay-window’ cannot be used in this context ([PUSH-OPTIONS])

Судя по всему, нет, надо прописывать на клиенте

Upd. Это лог из Openvpn на Android.
А вот через микротик получил 33 мегабита по Wi-Fi, так что похоже, все же можно так опцию пропихнуть. Добавил в пост.

Свою проблему решил покупкой другого VPS сервера.

Проблема “OpenVPN без шифрования” в том, что по сути это такая же временная мера, как бесплатные VPN-сервисы: чуть-чуть подкрутят DPI и опять ютуб работать перестанет

P.S. облизываюсь на Ubiquiti ER-X, вроде недорогая игрушка, а вопрос с сортировкой траффика и туннелями за границу закроет надолго

напишите на каком хостинге были проблемы и на какой ушли где проблем нет
смотрю, какая то поломка у многих вчера возникла, знакомый на digital ocean делал vpn - со вчера не пашет, такая же беда и с бесплатным от freevpn.me

Ранее использовал:

• HSHP, сервер Германия (DE-E1) - доступ к серверу есть, не работает интернет после подключения к VPN.
• FirstByte, сервер Германия - сервер недоступен.

На данный момент использую aeza, сервер Швеция. А также есть AdminVPS, сервер Казахстан, чисто для тестов, работает ютуб по крайней мере…

А есть ли возможность блокировать некоторые сайты с помощью данного решения?
В том числе и вернуть блокировку инстаграмм (чтобы не открывался совсем)?

Привет у меня старая версия без DCO пока нет времени этим заниматься по DCO не подскажу, меня устраивает скорость шифрование и тд на старой версии я внес некоторые коррективы в старую OpenVPN и пока нормально.

Ситуация 1 в 1. Роутер Asus на стоковой прошивке. После отвала сервера, nslookup не резолвит ничего. Есть идеи как это починить?

Пробовали добавлять в серверный конфиг?

push “dhcp-option DNS 1.1.1.1”

При этом надо оставить там строчку с DNS 192.168.100.1 (вставить push после нее)

Я не вижу причин, по которым в таком случае при недоступности основного ДНС не используется альтернативный, однако почему-то не используется. Попробуйте у себя на асусе, будет интересный эксперимент)

Лучше сделать бэкап серверной конфигурации, чтобы все вернуть как было в случае чего

Это бесполезно. Все запросы к днс на впн сервере перехватываются

Как вариант, задайте по роутеру вопрос в ветке модели роутера на 4pda.to может даже ответ быть и в ветка других моделей, где такая же прошивка

Добавить сайты в exclude-hosts-custom

Очередная проблема, в логе роутера наблюдаю:

read UDPv4 [EMSGSIZE Path-MTU=1476]: Message too large (fd=4,code=97)

AEAD Decrypt error: bad packet ID (may be a replay): [ #972393 ] -- see the man page entry for --no-replay and --replay-window for more info or silence this warning with --mute-replay-warnings

Что с этим делать?

Подскажите пожалуйста в Асус AX88U надо прописывать в клиенте, что то дополнительно?
Youtube не открывается. Если прописать pull-filter ignore block-outside-dns
route “провайдера ДНС”, то прет реклама и почему то на китайском))

https://www.reddit.com/r/ProtonVPN/comments/118ud29/comment/j9nj9ii/?utm_source=share&utm_medium=mweb3x&utm_name=mweb3xcss&utm_term=1&utm_content=share_button

В клиентском конфиге для UDP добавить:
replay-window 10000

Поменяйте в файле /etc/knot-resolver/kresd.conf в нижних строчках айпишники 94.140.х.х на 1.1.1.1 и 8.8.8.8 соответственно.
После чего перезагрузите сервис kresd (либо полный reboot)

Ну и поставьте ublock, конечно.

@Tyman, может, есть смысл поправить в setup.sh на общеизвестные днс? Не всем нравится adguard.

Если не нравится адгуард, можно просто закомментировать эти две строки
Тогда kresd будет пользоваться DNS машины с VPS

Не совсем пойму зачем адгвард менять на гугель?

Коммент думаю будет не плох. Спасибо

Соглашусь с вашим мнением. У меня такое ощущение что Adguard вообще тормозит сеть. АнтиЗапрет стоит в локации Швеции, а когда используется DNS Adguard, то в dnsleaktest определяется что запросы идут через Амстердам и страницу грузит в 2 раза дольше
Так что при каждой установки я удаляю строки связанные с Adguard

# Потом перезапустить OpenVpn сервер
# service openvpn-udp restart

Пишет ошибку Failed to restart openvpn-udp.service: Unit openvpn-udp.service not found.
Так какой командой перезапустить, service openvpn restart?

systemctl restart openvpn-server@antizapret-udp
systemctl restart openvpn-server@antizapret-tcp

Спасибо!

Спасибо за подсказку, нашел, что изменить это можно в /etc/ferm/ferm.conf, но смысла это не имеет: считаем, что VPS упал/заблочен/и т.д., тогда нужен резолвинг вообще вне openvpn. Но если убирать директиву block-outside-dns, то вторичный днс, вероятно, будет отвечает быстрее, чем днс антизапрета, и даже в нормальном режиме (когда все работает) подключение к заблокированным сайтам не будет происходить через 10.х.х.х

Вероятно, можно посмотреть в сторону параметров keepalive / ping-restart и т.д.

del

systemctl restart openvpn-server@antizapret-udp
systemctl restart openvpn-server@antizapret-tcp
Для ребута.

если убрать адгуард, то и так будет использоваться 8.8.8.8
добавление адгуард спецом оставил в скрипте - кому не нужен, можно удалить или изменить
как вариант, можно добавить отдельным скриптом, как включение dco или спрашивать при установке… пока лень и не вижу особо смысла
по опыту адгуард довольно шустрый днс, пинг с сервера до 8.8.8.8 - 1мс, до адгуарда 94.140.14.14 - 2 мс
если есть подозрение что тормозит адгуард то попробуйте посмотреть пинг до него

Установлен vpn на роутере Асус. vps Финляндия. Не могу понять, почему на одном тв идёт YouTube с рекламой, на втором без. Собсно вопрос реклама должна быть или нет?

Можете подсказать, по каком причине может не подниматься коннект на микротике? На старой версии с контейнером все работало стабильно, на новом не устанавливает tls hanshake (коннект просто не поднимается). На других клиентах работает хорошо, проблема именно с микротиком.

Изменения в клиентском конфиге никакого эффекта не принесло,
попробовал внести изменения на сервере /etc/openvpn/server/antizapret-udp.conf.
Если это корректно конечно. Вроде все нормализовалось, пока понаблюдаю.
PS: ничего не изменилось, все так же

read UDPv4 [EMSGSIZE Path-MTU=1476|EMSGSIZE Path-MTU=1476]: Message too large (fd=4,code=97)
read UDPv4 [EMSGSIZE Path-MTU=1476]: Message too large (fd=4,code=97)

отличие разе что в отсутствии BF-CBC для совместимости с openvpn 2.6
вот что было в серверном конфиге опенвпн раньше
ncp-ciphers “AES-128-GCM:AES-256-GCM:AES-128-CBC:BF-CBC”
будет работать если openvpn 2.5 (идет в убунте 22 или дебиан 11)

Для ребута.

Спасибо

при udp соединении sha1 выбираю ,но всеравно не поднимается
tcp поднимается только когда null стоит
вот с такими параметрами tcp работает

Спойлер

image871×649 9.57 KB

устанавливал два раза стандартно

apt-get update && apt-get install -y git
git clone GitHub - GubernievS/AntiZapret-VPN antizapret-vpn
chmod +x antizapret-vpn/setup.sh && antizapret-vpn/setup.sh

2. копирую готовые .ovpn

3. ипортирую udp .ovpn в микротик
   после импорта правлю параметры

Спойлер

image872×652 10.7 KB

4. в нат 3 правила
   
   

   image1163×74 4.23 KB

при попытке поднять подключение в логах на серере

время на серере и микроте одинаково

помгите победить udp подключение

Появилась идея, что не плохо бы антизапрет совместить и с обычным впн, слишком часто и много проблем - то телега отвалится, то еще какой сайт не открывается, не каждый раз же в исключения прописывать… так вот, идея добавить и обычный опенвпн, например на 80 порт, чтобы тоже не было проблем где нибудь на каком нибудь условно рабочем wifi

Что думаете, камрады?

Спасибо за наводку.
Заработало с такой конфигурацией
Пришлось отказаться от openvpn 2.6, как и от DCO, ubuntu 22.04
В настройках etc/openvpn/server правим конфиги, добавляя:
ncp-disable
ncp-ciphers “AES-128-GCM:AES-256-GCM:AES-128-CBC:BF-CBC”
Верхний аргумент вырубает проверку cipher, работает только на openvpn 2.5, на 2.6 он удален.
В микротике по обычной инструкции загружаем сертификаты, настраиваем соединение, auth=null и cipher=aes 128 gcm

К сожалению по другому это латышское чудо-юдо так и не заработало (версия ROS 7.15-7.16rc)
В микротике еще не работает автопереключение днс в случае, если сервер станет недоступен или будут потери пакетов, интернет к сожалению пропадет, надо городить огород скриптами.
На Keenetic работает идеально.

Всеми руками и ногами ЗА!

выглядит как блокировка,особенно учитывая что это мобильный интернет, наблюдал такое на одном хостинге
почему кое как но коннектится на мобиле - хз

Я больше предположу, что блокировка протокола…
Так как уже 4 впс в разных дата центрах (NY, испания, италия и еще где-то) одно и тоже поведение (нужно много попыток включая, выключая чтобы заработало)
На мобильном интернете всегда одно поведение (openVPN, l2tp, ikev2)

если отключили шифрование на сервере то на клиенте зачем указывать? попробуйте убрать и на клиенте

Работает только если указано aes 128 gcm
Если убрать или поставить что-то другое, разрывает соединение с ошибкой unsupported cipher.

Вообще ovpn и mikrotik что-то очень плохо совместимое, я бы ушел от mikrotik, если бы он был не в виде CHR (установлен на серваке).
На железных микротиках есть дополнительный баг в виде - если процессор роутера получит нагрузку 100%, соединение отвалится, но будет стоять со статусом R, короче очень много проблем)

Чтобы не падало соединение настрой профиль созданный для OpenVPN

image353×501 7.42 KB

image358×507 5.14 KB

image353×506 6.31 KB

Развернул на Debian 12, включил DCO.
На андроид все ок, а вот на ios вылетает ошибка

IMG202408230907211920×2560 158 KB

Да, вот этого очень хотелось бы

Да, уже настроено) К сожалению проблема с падением соединения не фиксится и связано со слабым железом routerboard’а (на chr и четырехядерных arm не падает).

Логично, у меня hap lite с 1 ядром на 400 мгц прекрасно работает постоянно в 100% загрузки и потоком трафика 20 мбит/сек. проблема фиксится прекрасно. Как раз на версии 7.15(stable) выставляешь как на скрине и полет вообще нормальный без нареканий.
Вот пример hap lite с 1 недоядром

image1280×58 3.41 KB

Мыслители, есть кто победил сбер тв и антизапрет?
Заметил тенденцию что походу в телеке стоит свой прокси или свои dns, и просто в настройках вафли задать днс роутера не помогает. Мб кто сталкивался как исправляли?

А в настройках IP телека нельзя руками DNS указать?

Screenshot_20240823_161359_Chrome1398×1026 159 KB

я их указал и в настройка телека прокси не указан, ip и днс уже вбил, чет ощущение что апкашник сбер какой то подкидывает т.к. по DNS Leak Test выдает не то что нужно, а меняется то гугл днс то еще какая то фигня, и это 100% дает не роутер т.к. на том же роутере яндекс тв висит и там норм все.

друзья, а каких порекомендуете VPS-провайдеров, чтоб сервер в Европе, платить российской картой, канал нормальный и чтоб ChatGPT как VPN не опознавал

firstbyte

Всё работало исправно и сегодня на ровном месте

nslookup google.com
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ:  UnKnown
Address:  192.168.100.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Превышено время ожидания запроса UnKnown

Переустановка, не помогла… Заново переустановил сервер, тоже не помогло. В чём может быть проблема?

сервер DNS настроен правильно
если он не отвечает - значит либо к нему неправильный маршрут, либо подключения блокируются, либо лежит сервис

Заходишь на VPS, выполняешь
dig @192.168.100.1 yandex.ru
если ответ есть- значит сервис не лежит

Посмотреть, по какому маршруту идет, на клиенте
tracert 192.168.100.1

На VPS ответ есть

; <<>> DiG 9.18.28-0ubuntu0.22.04.1-Ubuntu <<>> @192.168.100.1 yandex.ru
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48292
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
;; QUESTION SECTION:
;yandex.ru.                     IN      A

;; ANSWER SECTION:
yandex.ru.              591     IN      A       5.255.255.77
yandex.ru.              591     IN      A       77.88.44.55
yandex.ru.              591     IN      A       77.88.55.88

;; Query time: 79 msec
;; SERVER: 192.168.100.1#53(192.168.100.1) (UDP)
;; WHEN: Fri Aug 23 17:44:10 UTC 2024
;; MSG SIZE  rcvd: 86

А вот на клиенте

tracert 192.168.100.1

Трассировка маршрута к 192.168.100.1 с максимальным числом прыжков 30

  1     *        *        *     Превышен интервал ожидания для запроса.
  2     *        2 ms     2 ms  vlgd-b21-k30.ti.ru [212.1.254.208]
  3     *        *        *     Превышен интервал ожидания для запроса.
  4     *        *        *     Превышен интервал ожидания для запроса.
  5     *        *        *     Превышен интервал ожидания для запроса.
  6     *        *        *     Превышен интервал ожидания для запроса.
  7     *        *        *     Превышен интервал ожидания для запроса.
  8     *        *        *     Превышен интервал ожидания для запроса.
  9     *        *        *     Превышен интервал ожидания для запроса.

И так бесконечно

могу точно сказать что пашет хорошо, вот регайся со скидкой 10% тут The first professional hosting of cloud VPS/VDS servers - VDSina

на этом сервере скрипты работают без проблем

пробовал еще хосты, где то тупо до них блочат опенвпн(

OpenVPN клиент где запущен?
На машине с виндой, откуда nslookup делаешь или на роутере?

Да, винда. С ПК делаю, не роутер.

покажи, что route print выдает после запуска vpn client’а

Это?

===========================================================================
Список интерфейсов
 12...00 ff 60 2b ed 50 ......TAP-Windows Adapter V9 for OpenVPN Connect
 10...04 42 1a ea 30 2c ......Realtek Gaming 2.5GbE Family Controller
  8...........................OpenVPN Data Channel Offload
 20...a0 e7 0b 5f 34 63 ......Microsoft Wi-Fi Direct Virtual Adapter
  3...a2 e7 0b 5f 34 62 ......Microsoft Wi-Fi Direct Virtual Adapter #2
  5...a0 e7 0b 5f 34 62 ......Intel(R) Wi-Fi 6 AX201 160MHz
 13...a0 e7 0b 5f 34 66 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.103     35
       10.224.0.0      255.254.0.0    192.168.100.1    192.168.100.2    257
     68.171.224.0    255.255.224.0    192.168.100.1    192.168.100.2    257
       74.82.64.0    255.255.224.0    192.168.100.1    192.168.100.2    257
    103.246.200.0    255.255.252.0    192.168.100.1    192.168.100.2    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     178.239.88.0    255.255.248.0    192.168.100.1    192.168.100.2    257
     185.104.45.0    255.255.255.0    192.168.100.1    192.168.100.2    257
    185.195.69.73  255.255.255.255      192.168.0.1    192.168.0.103    291
      192.168.0.0    255.255.255.0         On-link     192.168.0.103    291
    192.168.0.103  255.255.255.255         On-link     192.168.0.103    291
    192.168.0.255  255.255.255.255         On-link     192.168.0.103    291
    192.168.100.0    255.255.252.0         On-link     192.168.100.2    257
    192.168.100.2  255.255.255.255         On-link     192.168.100.2    257
  192.168.103.255  255.255.255.255         On-link     192.168.100.2    257
   193.105.213.36  255.255.255.252    192.168.100.1    192.168.100.2    257
    203.104.128.0    255.255.240.0    192.168.100.1    192.168.100.2    257
    203.104.144.0    255.255.248.0    192.168.100.1    192.168.100.2    257
    203.104.152.0    255.255.252.0    192.168.100.1    192.168.100.2    257
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.100.2    257
        224.0.0.0        240.0.0.0         On-link     192.168.0.103    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.100.2    257
  255.255.255.255  255.255.255.255         On-link     192.168.0.103    291
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    331 ::1/128                  On-link
 12    281 fe80::/64                On-link
  5    291 fe80::/64                On-link
  5    291 fe80::324d:c47c:9cae:ec19/128
                                    On-link
 12    281 fe80::d8de:a17a:83f3:9301/128
                                    On-link
  1    331 ff00::/8                 On-link
 12    281 ff00::/8                 On-link
  5    291 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

192.168.100.0 255.255.252.0 On-link 192.168.100.2 257

Вот так не должно быть
Щас напишу что сделать

Все сделал по инструкции, контентный фильтр убрал и расставил галочки. Все равно ya.ru и т.д. не пингуются, а все заблокированное работает…

2024-08-23_2148071288×837 205 KB

2024-08-23_2149001287×794 182 KB

2024-08-23_215024713×502 68.6 KB

2024-08-23_223241876×523 107 KB

Друзья. ни у кого такой ошибки не возникало?
после выполнения команды:

sudo /root/antizapret/doall.sh

выдает ошибку:

Job for kresd@1.service failed because the control process exited with error code.
See “systemctl status kresd@1.service” and “journalctl -xeu kresd@1.service” for details.

посмотрел статус:

Active: failed (Result: exit-code) since Fri 2024-08-23 22:33:45 MSK; 19s ago

иии

Starting Knot Resolver daemon…
[system] warning: hard limit for number of file-descriptors is only 65535 but recommended value is 524288
[system] error while loading config: /etc/knot-resolver/knot-aliases-alt.conf:634: unexpected symbol near ‘$’ (workdir '/var/lib/knot-resolv>
kresd@1.service: Main process exited, code=exited, status=1/FAILURE
kresd@1.service: Failed with result ‘exit-code’.
Failed to start Knot Resolver daemon.

что делать?

заходишь на сервер
nano /etc/openvpn/server/antizapret-udp.conf

там надо раскомментировать строчку
push “route 192.168.100.0 255.255.252.0”

Ctrl+S
Ctrl+X
systemctl restart openvpn-server@antizapret-udp

на потом на всякий случай клиента перезапусти
потом пробуй, работает ли DNS
если нет - присылай, что в route print

P.S. хотя кажется еще полезно было бы route delete 192.168.100.0 сделать до всех манипуляций

сам себе отвечу:
добавлял парочку доменов в файлик: include-hosts-custom.txt
после этого все сломалось((
вернул назад работает)

Попробуй по этой инструкции, пропуская пункт 1.

а еще тогда вопрос.
а где поправить дефолтные ДНС на которые ходят запросы. я так понимаю там сейчас стоят adguard’овские. а если я хочу свои туда поставить?

nslookup ya.ru
что вернет?

А зачем на кинетике выставлять выход в интернет и включать nat если у кинетика прекрасно работает маршрутизация…

Да, действительно, ставить галочку Использовать для выхода в интернет не обязательно
Но та инструкция что описана у меня рабочая, проблем нет

кто шарит в правилах фаервола ferm? пытаюсь на одном с антизапретом хосте поднять wireguard (для примера), wireguard с ferm подружил, но когда добавляю правила антизапрета то wg ломается и трафик не ходит

К сожалению не помогло, по сути поведение не поменялось.

===========================================================================
Список интерфейсов
 12...00 ff 60 2b ed 50 ......TAP-Windows Adapter V9 for OpenVPN Connect
 10...04 42 1a ea 30 2c ......Realtek Gaming 2.5GbE Family Controller
  8...........................OpenVPN Data Channel Offload
 20...a0 e7 0b 5f 34 63 ......Microsoft Wi-Fi Direct Virtual Adapter
  3...a2 e7 0b 5f 34 62 ......Microsoft Wi-Fi Direct Virtual Adapter #2
  5...a0 e7 0b 5f 34 62 ......Intel(R) Wi-Fi 6 AX201 160MHz
 13...a0 e7 0b 5f 34 66 ......Bluetooth Device (Personal Area Network)
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.103     35
       10.224.0.0      255.254.0.0    192.168.100.1    192.168.100.2    257
     68.171.224.0    255.255.224.0    192.168.100.1    192.168.100.2    257
       74.82.64.0    255.255.224.0    192.168.100.1    192.168.100.2    257
    103.246.200.0    255.255.252.0    192.168.100.1    192.168.100.2    257
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
     178.239.88.0    255.255.248.0    192.168.100.1    192.168.100.2    257
     185.104.45.0    255.255.255.0    192.168.100.1    192.168.100.2    257
    185.195.69.73  255.255.255.255      192.168.0.1    192.168.0.103    291
      192.168.0.0    255.255.255.0         On-link     192.168.0.103    291
    192.168.0.103  255.255.255.255         On-link     192.168.0.103    291
    192.168.0.255  255.255.255.255         On-link     192.168.0.103    291
    192.168.100.0    255.255.252.0    192.168.100.1    192.168.100.2    257
    192.168.100.2  255.255.255.255         On-link     192.168.100.2    257
   193.105.213.36  255.255.255.252    192.168.100.1    192.168.100.2    257
    203.104.128.0    255.255.240.0    192.168.100.1    192.168.100.2    257
    203.104.144.0    255.255.248.0    192.168.100.1    192.168.100.2    257
    203.104.152.0    255.255.252.0    192.168.100.1    192.168.100.2    257
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link     192.168.100.2    257
        224.0.0.0        240.0.0.0         On-link     192.168.0.103    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link     192.168.100.2    257
  255.255.255.255  255.255.255.255         On-link     192.168.0.103    291
===========================================================================
Постоянные маршруты:
  Отсутствует

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    331 ::1/128                  On-link
 12    281 fe80::/64                On-link
  5    291 fe80::/64                On-link
  5    291 fe80::324d:c47c:9cae:ec19/128
                                    On-link
 12    281 fe80::d8de:a17a:83f3:9301/128
                                    On-link
  1    331 ff00::/8                 On-link
 12    281 ff00::/8                 On-link
  5    291 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

идейно выглядит так, что первый маршрут (0.0.0.0 на роутер) имеет наименьшую метрику, т.е. наивысший приоритет и всё заворачивает на себя

предлагаю его удалить и добавить с бОльшим значением метрики
в худшем случае всё перестанет работать, но вылечится перезагрузкой

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.0.1 metric 300 if 192.168.0.103

VPS на ZOMRO, скрипт ставится, подключение есть, но почему то не работают заблоченные сайты и ютуб тоже не работает. переустанавливал много раз, менял ОС, запускаю на телефоне через клиента, что глянуть можно?
сейчас стоит debian 12
как узнать что овпн заблочен на VPS? хотя использовал тампросто впн(на другом серве пару недель назад, было все ок)

Друзья, добрый день.
Третий день бьюсь с ютубом, ничего не получается. Прошу помочь мне советом. Пробовал 2 разных хостинга сначала на nuxt.cloud, потом как автор советовал vdsina (конечно по рефералочке ). Ни там, ни там эффекта нет.
Провайдер Ростелеком + от него роутер хуавей для оптоволокна, он уже подключен в Keenetic Giga.
Из того что получилось - добавил в список include-hosts-custom сайт kino.pub, он отлично открывается, вопросов нет. Но тот же ютубчик - не хочет. Куда копать?

tracert yt1422×538 25 KB

Ютуб в браузере не открывается?
Посмотри, может включен безопасный DNS (в файрфоксе по умолчанию так)

p.s. на nuxt.cloud нормально все работает, буквально вчера вечером там поднял на дебиане антизапрет скриптом по умолчанию, всё работает

Юзаю данное решение на работе, виндовым клиентом, при подключении пропадает поступ к локальным ресурсам по имени. Можно как-то это пофиксить?
P.S. решил кто-то проблему коннекта с микротика по upd?

Перечитал обе темы, с контейнером и без, долго курил редми на гитхабе, но так и не понял как сделать на кинетике без включения интернет-фильтров. В принципе и так норм, но не покидает чувство недоделанности (

Нет, пробую на андроид тв и айпаде. Я вот не знаю, либо у меня руки кривые и я что-то не то делаю, либо проблема в Ростелекоме.

Не понимаю, как роутер провайдера включается в кинетик? или оптика в гигу приходит, а за ним хуавей? И что из этого оборудования является роутером, где все авторизационные данные прописаны?

В квартиру заведен кабель оптоволокна, его в кинетик не воткнуть, поэтому он воткнут в хуавей от ростелекома, от него патчкорд в Кинетик. Вообщем Хуавей выступает как переходник с оптики на витую пару)

А че за проблема? у меня по udp и tcp микроты работают без проблем. на 7.15.3

А хуавей как бридж настроен?

А хз, вроде ничего не трогал, сейчас коннект идет по UPD… До этого 3 дня не мог законнектиться. Прошивка на микроте такая же. Сервер писал:

TLS Error: Unroutable control packet received from [AF_INET](si=3 op=P_ACK_V1)
TLS Error: Unroutable control packet received from [AF_INET](si=3 op=P_CONTROL_V1)

У нас вроде как вообще tls не используется… у тебя any выставлен в tls mode в микроте?

Да, tls any

Screenshot_2614×674 14.9 KB

Хм ну тут странно, у меня на прошивке 7.12 beta после обновления с 6.49 были проблемы.
Потом ушел на 7.15.3 (stable) проблем нет…

Если ты хуавей в режим моста не перенастраивал, может тут проблема быть, т.к. получится два nat, два dhcp.

А как весь трафик завернуть через VPN на микроте? Иногда бывает надо. Пробовал делать 0 роут через впн, не работает, галочку создания def роута в клиенте тоже пробовал ставить.
interface vpn+ mod connmark mark 1 REJECT в /etc/ferm/ferm.conf закоментирована

Ставить отдельно WG/Xray

А кто-нибудь разобрался как сделать чтобы при подключении к роутеру с телефона через впн работал интернет?
у меня до этого было настроено на официальный бесплатный антизапрет (тоже через openvpn) и все нормально работало в таком сценарии.
поменял на решение на впс сервере и перестал работать. на домашнем компьютере все отлично работает и на телефоне через вайфай. но вот когда удаленно подключаюсь к роутеру нет.
есть предположение, что надо дописать какойто маршрут именно в серверной части, потому что на роутере ничего не менял (кроме файлика open vpn)
upd.
вернее работает только сайт google что удивительно.
хотя видимо нет, польку dns на роутере используюся 8.8.8.8

Спасибо за помощь, но к сожалению ничего не помогло. Я так понял, что провайдер блочит OpenVPN поэтому не работает ничего… У друга на другом провайдере завёлся vpn.

Вчера настроил на роутере Асус ovpn. К дефолту клиента дописал только одну строчку, маршрут к днс провайдера route ."... в общем как и для кинетика. До сегодняшнего дня все работало превосходно на всех тв шел YouTube без рекламы. Сеголня какого-то хрена пошла чешская реклама, хотя vps Франция. Ниче не понимаю, или это сервер антизапрета каким то образом вмешался?

Мбда…купил vpn, ни Openvpn ни WireGuard ни Outline на моём провайдере не работает… заблочили

тоже с подобным столкнулся. антизапрет на двух vps в германии и финляндии. и там и там ютуб видит меня как из Чехии и показывает японскую рекламу

И такое тоже было. Два VPS В общем и на компьютере уже не работает, постоянно отвалы. Явно пров заблочил. В общем над городить vless и спрыгивать с антизапрета

работаю над этим. но пока что у антизапрета одна из лучших реализаций fakedns которые мне попадались. как будет решение со сколько-нибудь удобоваримым результатом, создам отдельную тему. пока что смотрю в сторону dns fwd записей на микротике и отдельного шлюза.

Отлично камрад! Вы правки не вносили в последние сутки? Переустановил vps и пока на компе завелся.

По сути без разницы на каком поднимать ВПН . По хорошему ябы на кинетике поднял .
Я так понимаю у тебя не работает . А ты доп настройки ДНС делал ?У меня без настроек тоже не завелся.
Игнорирование Днс в подключениях включил ?
В параметрах подключения VPN галочку “Получать маршруты от удаленной стороны” Поставил ?

мне помогла данная инструкция

Спойлер

pull-filter ignore block-outside-dns
route 195.208.4.1
route 1.1.1.1
route 8.8.8.8
route 8.8.4.4

Новый точечный рисунок (7)1783×932 138 KB

Новый точечный рисунок (3)991×1001 130 KB

и

32)1920×1080 261 KB

Всё работает в ключая Ютуб на телевизоре из за чего собственно всё и делал

Очень классная работа, можно ли сделать адаптацию под Rocky linux 9? у меня он на VPS поставлен.

17 posts were split to a new topic: АнтиЗапрет на ASUSWrt-Merlin

Не получается завернуть весь трафик через VPN, делал по этой инструкции. Если не прописывать в конфиг “redirect-gateway def1 bypass-dhcp”, то все работает как обычно, если прописываешь, то интернет совсем отваливается
Пробовал на разных клиентах, винда андроид микрот openwrt. Пробовал кто-нибудь с данным скриптом?

Сейчас тестирую версию, где по OpenVpn будет доступен не только вариант с антизапретом, но и самый обычный впн, на случай если что то через антизапрет не будет открываться а прописать новые исключения нет возможности

Обновил версию, теперь еще и обычный впн создается

чтобы ставить с 0 надо сохранить ключи и те конфиг файлы что были, достаточно сохранить и перед установкой вернуть папку /root/easyrsa3

пользователей если каких то создавали то надо в ручную скопировать в папку сервера ключи

по умолчанию, при создании пользователя добавляется к имени-ключу префикс “antizapret-” сделано для совместимости со старыми ключами

Было бы классано, попробовать как-то Outline прикрутить. Потому что OpenVpn почти на всех крупных провайдеров уже пару недель заблочили. Так как и wireguard, к сожалению. У меня кроме Outline ничего не работает.

В скрипт можете добавить установку 3x-ui. Спокойно сосуществует с антизапретом без контейнера, нужно только tcp OVPN отключить, чтоб веб морде не мешал. Антизапрет при этом не ломается.
Проверено на ubuntu 22.04.
Маршрутизация не работает, а как дополнительный туннель “для всего” вполне работоспособно.
Проверял в следующем порядке:
-на чистую VPS с ubuntu 22.04 поставил антизапрет скриптом
-выключил OVPN на 443 порту TCP
-установил 3x-ui и настроил vless прокси

Списался в личке с автором скрипта. Причина, по которой не работало, надо отключить любую обработку DNS в браузере. В моем случае было завернуто на CloudFlare в Fifrefox.

OpenVpn чем хорош - он поддерживает Split tunneling, функция позволяющая подключаться к одним сайтам через VPN, а к другим в обход него, не меняя настройки сети и не отключая VPN

А OpenVpn уже стоит на сервере, я подумал, так почему бы просто не добавить и обычный VPN - покопался пару ночей, добавил, и пока добавлять что то другое в скрипт не планирую, а 3x-ui и Outline-ы можно отдельно поставить, кому что нужно

Если бы был какой то распространенный и не блокируемый VPN с возможностями OpenVpn…

Еще вариант настроить и завернуть OpenVpn в Cloak, но тут возникает вопрос, а надо ли, и как пользоваться на мобильнике и тд, и может проще уже поставить в два клика Amnezia Vpn и не париться

та там вроде как ничего тестировать не надо

у меня на lxd так и работает прекрасно

OpenVPN клиент на роутере TP-Link Archer AX55
В целом всё работает и устраивает, но если теряется коннект с сервером (например принудительно остановить systemctl stop openvpn-server@antizapret-udp), роутер это видит (статус openvpn-сервиса меняется с Подключен на Подключение), но видимо не переключается на свои DNS, соответственно все клиенты без интернета - по IP всё незапрещенное открывается, а имена хостов незапрещенных в IP не разрешаются.

Если б роутер был просто машинкой под линуксом, можно было бы прикрутить скрипт на событие ping-restart
А что можно сделать с тплинковским роутером (прошивки ddwrt или openwrt не существует)?

изменений после контейнера накопилось довольно много, где то мог допустить ошибку
я не проверял способ по ссылке, сейчас была добавлена поддержка работы обычного впн параллельно работе антизапрета

А зачем сохранять, чтобы ставить с нуля? А для просто обновления, я так понимаю, достаточно тот же самый скрипт экзекьютнуть, что и при установке, и всё? К слову, опечатка на гх, “исхоники”. Проще тут написать, чем создавать issue ради одной очепятки.

Если подключения прописаны в устройствах, разданы куче людей, и чтобы заново не раздавать, то можно сохранить папку /root/easyrsa3, а после переустановки сервера залить ее обратно, потом запустить установку и все, все старые подключения остаются работоспособными

очепятку исправил, спасибо

То есть просто обновиться через скрипт не вариант? Я попробовал, старый конфиг всё так же работает, создался также новый с фуллпроксом, ключи те же, разница только в порте, однако интернет отваливается при подключении

вариант, по идее должно работать, по идее, но гарантий не дам, изменений много, в том числе и в структуре папок и файлов
сейчас лучше переустановить заново

А почему ютуб счиатет что я нахожусь в Арабских Эпиратах теперь? какбы сервер впс находится в амстердаме, и если напрямую к нему подключится через впн без антизапрета, то показывается нормально - NL.
а что с антизапретом? почему АЕ ?

Понял, спасибо. Печально то, что у меня хостер не даёт сразу переустановить на уб24, приходится ручками с 22 обновляться

Обычного VPN, это какого? И что нужно сделать чтобы обновить? У меня версия недельной давности. Не нашел информации как обновлять это.

все так. и на телефоне тоже. если там включали.

Подскажите, старая команда отключает оба тсп: в аз и в фуллпрокс? Есть смысл сейчас искать её? А то вы по видимому убрали её.

Ничего не поменялось при чистой установке.

по моему для начала надо менять такого хостера, у меня были на тесте хостинги с которых бочили опенвпн
вот за 1 евро на аезе промо тариф в Стокгольме, вот по ссылке Modern cloud hosting provider | Aéza будет с бонусом 15% (бонус действует 24ч)
работает без проблем, сегодня взял

с вашего ип раньше арбаб сидел, у гугла своя привязка к геоип

старая естественно не работает для 2-х, да и нет смысла отключать, ресурсы не тратит
хотите отключить смотрите что выполняет в скрипте systemctl и выполните наоборот или закомментируйте

ну вы знаете что такое впн? ну вот, добавлена возможность подключаться к впн, самому обычному, как другие впны
рекомендую переставлять с 0

Понял, спасибо за ответ. Насчёт аезы: а сохраняется ли вообще эта промо цена в виде одного евро спустя месяц? Вот, что интересно. Вообще в целом видел сомнительные высказывания касательно аезы, да собственно как и касательно вдсины, что майорская тема, причём ещё много лет назад, когда они только появились, и когда ещё в моде был шэдоусокс, а про какой-нибудь хтлс реалити никто и не думал, ибо его и не было даже. Грустно, кстати, что канал 100, а не 1000. У меня сейчас в целом хороший хостер, пико сервер 3 евро, просто вот по скрипту установка убунту идёт от 16 до 22, а так никаких проблем с ним никогда не было, много лет пользуюсь, причём там даже оплаты в рублях уже нет, что приятный плюс для параноиков, как я

да, сохраняется
про 100 мбит, ну для антизапрета этого вполне хватит, ибо через впн только заблокированные сайты ходят

Ну, собственно, да: аеза это та же вдсина и есть, на Стокгольмовском сервере в итоге российский айпи, и от того же проксирования 4пда смысла вообще никакого.

с вдсины все открывается, а с аезой - проверил, действительно, пока считает что ип из рф, ну я оплатил уже на месяц, посмотрим, обновят ли геобазы

Раздумываю над тем, чтобы в скрипт добавить простое но надежное средство маскировки трафика под https

Что там есть под эти задачи, Cloak? Что еще?

Желательно иметь возможность использовать на разных устройствах и на разных платформах - андройд, windows, ios

Как создать пользока, если я накатывал скрипт еще до появления этой возможности? Вроде, обновил все по инструкции. Файлов не появилось. Скачал и залил вручную. Но теперь при попытке добавить пользователи пишет “Permission denied”. Ubuntu 20.04

И еще такая проблема. На телефоне и других устройствах постоянные дисконнекты профиля. Кроме роутера. Я грешу на авторизацию с одного профиля. Но обычный антизапрет же работает нормально. Я, конечно, настроил автоподключение. И уведомления отключил. Но один хрен. Такая херня на все системах: android, ios, widnows. Стабильно работает только на моем роутере Asus

Не подскажите через какое время меняется привязка, примерно?

На Keenetic Sprinter (сток) развернул, работает — спасибо. Вопрос насущный: можно ли блокать рекламу на YouTube непосредственно на VPS, роутере или SmartTV (Tizen)?

DNS от Adguard не помогают.

Да может и никогда, это стандартная практика

прочитайте инструкцию, 20 убунта не поддерживается, ставьте 24 и заново скрипт

скорее всего нет, тк блокировщики рекламы в браузере влезают и меняют скрипты, тем самым блокируют код загружающий рекламу

на vps и роутере, кажется, нельзя

для телека можно нагуглить инструкцию, как открыть режим разработчика и поставить сторонний проигрыватель (например, Vanced) YouTube без рекламы

Еще можно взять VPS, который по факту за границей, но geo-ip гугл распознает как РФ и тогда рекламы не будет (у меня так). Это плохой способ, если нужно открывать закрытые в РФ разделы 4pda, chatgpt и так далее

кажется, выкрутился, но вероятно только для этого роутера
через push dhcp-option dns отдаю роутеру два dns-сервера - наш и гугловый (8.8.8.8)
DNS leak test показывает, что всё хорошо (только один сервер vps)
А когда коннект к серверу пропадает - имена начинают распознаваться через гугловый днс
День как тестирую, каких-то недостатков не нашёл (ну кроме того, что с этой конфигурацией работает нормально только роутер, для других устройств приходится в .ovpn файле добавлять pull-filter ignore “dhcp-option DNS”

спасибо за информацию, а не пробовали в конфиге для роутера просто прописать днс?
dhcp-option DNS 8.8.8.8

Тоже об этом подумал, вечером попробую

на 20 убунте не работает? установил но что-то не открывает ничего

Снимок экрана 2024-08-27 в 14.49.481580×342 34.5 KB

7 сообщений тому назад писали про это

а где почитать про этот способ? в редми на гитхабе нет ни слова.
Или это оно?

Во спасибо
Просто пушка
10/10

у меня три одинаково настроенных vps с антизапретом: хостеры ztv (NL), nuxt (DE) и firstbyte (DE)

именно сегодня firstbyte работает максимально похабно, постоянно реконнекты, не отвечает dns

грешу на кривые руки, уже переустанавливать все с нуля хотел, но внезапно после очередного ребута заработало

при этом через ztv работает стабильно

не, ничего настраивать не нужно, теперь в папке /etc/openvpn/client создается 4-е ovpn файла для подключения, два из которых это обычное впн подключение к серверу, те весь ваш трафик, в отличии от антизапрета, будет идти через ваш сервер

хм, надо бы наверное в root пернести папку создание файлов для подключения

так вот, там 2 файла с vpn-… это оно и есть, самое обычное впн соединение

Просто добавить в клиентский конфиг роутера dhcp-option DNS 8.8.8.8 - не работает: этот сервер становится основным и, соответственно, заблокированные хосты ресолвятся не на 192.168.100.1 и не открываются

добавить dhcp-option DNS 182.168.100.1 и dhcp-option DNS 8.8.8.8 - работает, но не так, как нужно: сначала заблокированные сайты открываются, а после временной недоступности vps и автоматического реконнекта клиента на роутере перестают открываться, имена разрешаются не на vps

Итого корректно работает, если в клиентский конфиг для роутера (TP-Link Archer AX55) добавить следующее:

pull-filter ignore "dhcp-option DNS"
dhcp-option DNS 192.168.100.1
dhcp-option DNS 77.88.8.8  # любой внешний DNS

nobind
client
remote XXX.XXX.XXX.XXX
remote-cert-tls server
dev tun
proto udp
port 1979
fast-io
pull-filter ignore "dhcp-option DNS"
dhcp-option DNS 192.168.100.1
dhcp-option DNS 77.88.8.8  # любой внешний DNS

cd /etc/openvpn/server
data-ciphers "AES-128-GCM:AES-128-GCM"
mode server
proto udp
port 1979
dev-type tun
dev vpn-udp
topology subnet
server 192.168.100.0 255.255.252.0
push "route 192.168.100.0 255.255.252.0"
push "route 10.224.0.0 255.254.0.0"
push "route 0.0.0.0 128.0.0.0 net_gateway"
push "route 128.0.0.0 128.0.0.0 net_gateway"
push "dhcp-option DNS 192.168.100.1"
txqueuelen 1000
keepalive 15 30
persist-tun
persist-key
fast-io
user nobody
duplicate-cn
ca keys/ca.crt
cert keys/antizapret-server.crt
key keys/antizapret-server.key  # This file should be kept secret
dh keys/dh2048.pem
sndbuf 1048576
rcvbuf 1048576
push "sndbuf 1048576"
push "rcvbuf 1048576"
verb 4

На 11 винде постояно идет рестар.
два разных ноута и везде одно и то же.

2024-08-28 01:20:24 Initialization Sequence Completed
2024-08-28 01:20:28 Connection reset, restarting [-1]
2024-08-28 01:20:28 Unblocking outside dns using service succeeded.
2024-08-28 01:20:28 SIGUSR1[soft,connection-reset] received, process restarting
2024-08-28 01:20:29 TCP/UDP: Preserving recently used remote address: [AF_INET]94.131.120.86:443
2024-08-28 01:20:29 TCP_CLIENT link local: (not bound)
2024-08-28 01:20:29 TCP_CLIENT link remote: [AF_INET]94.131.120.86:443
2024-08-28 01:20:29 [antizapret-server] Peer Connection Initiated with [AF_INET]94.131.120.86:443
2024-08-28 01:20:30 Preserving previous TUN/TAP instance: OpenVPN Data Channel Offload
2024-08-28 01:20:30 Blocking outside dns using service succeeded.
2024-08-28 01:20:30 NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.
2024-08-28 01:20:30 IPv4 dns servers deleted using service
2024-08-28 01:20:30 Unblocking outside dns using service succeeded.
2024-08-28 01:20:30 dco-win doesn't yet support reopening TUN device
2024-08-28 01:20:30 Failed to open tun/tap interface
2024-08-28 01:20:30 SIGUSR1[soft,process-push-msg-failed] received, process restarting
2024-08-28 01:20:31 TCP/UDP: Preserving recently used remote address: [AF_INET]94.131.120.86:443
2024-08-28 01:20:31 ovpn-dco device [OpenVPN Data Channel Offload] opened
2024-08-28 01:20:31 TCP_CLIENT link local: (not bound)
2024-08-28 01:20:31 TCP_CLIENT link remote: [AF_INET]94.131.120.86:443
2024-08-28 01:20:32 [antizapret-server] Peer Connection Initiated with [AF_INET]94.131.120.86:443
2024-08-28 01:20:32 IPv4 dns servers set using service
2024-08-28 01:20:32 IPv4 MTU set to 1500 on interface 13 using service
2024-08-28 01:20:32 Blocking outside dns using service succeeded.
2024-08-28 01:20:32 Initialization Sequence Completed

На телевизоре, телефоне и на 10 винде всё норм.

В чём может быть проблема ?

можно добавить в клиентский конфиг для 11 винды опцию verb 4
В логах будет больше деталей, в том числе возможно причина разрыва соединения

добавил.
честно ничего не понял
antizapret-client-tcp.log (67,4 КБ)

NOTE: Pulled options changed on restart, will need to close and reopen TUN/TAP device.

вот объяснение рестарта
покажи в серверном конфиге какие push есть

Стандарт. ничего не добавлял

что то с драйвером TUN/TAP адаптера, хз
но я бы начал с обновлением клиента OpenVPN Connect - Client Software For Windows | OpenVPN

на форумах пишут, что 11 винде не особо нужна опция блокировки днс, а рестарт идет ровно после ее применения
попробуй добавить в клиентский конфиг для win11

pull-filter ignore "block-outside-dns"

Как выше уже посоветовали, обновление клиентов должно помочь.

Не помогло к сожалению

OpenVPN Connect - Client Software For Windows | OpenVPN

pull-filter ignore "block-outside-dns"

то же не помогло.

ищите проблему на пк, сделайте в винде полный сброс сетевых настроек, попробуйте подключаться по udp, удалите впн клиент и заново поставьте, обновите винду и драйвера

Если обновление VPN-клиента не помогло, то:
-Переустановка или обновление драйвера TUN/TAP
-Ручное переподключение TUN/TAP устройства:
netsh interface set interface “имя_интерфейса_TUN/TAP” admin=disable
netsh interface set interface “имя_интерфейса_TUN/TAP” admin=enable
-Удаление конфликтующих программ:
Если установлены несколько VPN-клиентов или сетевых утилит, использующих TUN/TAP, это может вызвать конфликты.

Отключил ipv6 на интерфейс openvpn и за работало.

Спасибо всем за помощь.

а как и где отключили?

Странная штука. После обновления сервера и скрипта появилась реклама на youtube. Хотя в предыдущих версиях ее не было. Что-то поменялось в скрипте или это сам youtube стал сервер распознавать как забугурный? Раньше ру был несмотря на любые впн’ы. Теперь Нидерланды

UPD: скорее всего, это сам ютуб. Потому что с VPS друга на том же провайдере тоже меняется регион. У него нет. И у меня раньше не менялось. Наверное, слишком много времени провел под впн

Панель управления - сеть и оборудование - нашел сетевой адаптер tap 9 (чего-то там) и в свойствах снял галку и всё. Работает.

А да, единственное установил openvpn-connect по ссылке которую вы дали.

Почему-то при подключении к антизапрету не пропускает трафик до заблокированных (и дополнительно добавленных) сайтов. DNS резольвит верно, не заблокированные сайты работают.

systemctl status antizapret-update.service выдает следующее:

Aug 28 12:47:50 x86 doall.sh[23489]: [237B blob data]
Aug 28 12:50:51 x86 doall.sh[23501]: Blocked domains: 219726 result/hostlist_zones.txt
Aug 28 12:50:51 x86 doall.sh[23501]: iplist_all: 153149 result/iplist_all.txt
Aug 28 12:50:51 x86 doall.sh[23501]: iplist_special_range: 9 result/iplist_special_range.txt
Aug 28 12:50:51 x86 doall.sh[23501]: iplist_blockedbyip: 6207 result/iplist_blockedbyip.txt
Aug 28 12:50:51 x86 doall.sh[23501]: iplist_blockedbyip_noid2971: 6207 result/iplist_blockedbyip_noid2971.txt
Aug 28 12:50:59 x86 doall.sh[23695]: iptables: No chain/target/match by that name.
Aug 28 12:50:59 x86 systemd[1]: antizapret-update.service: Main process exited, code=exited, status=1/FAILURE
Aug 28 12:50:59 x86 systemd[1]: antizapret-update.service: Failed with result 'exit-code'.

покажи, что у тебя в /root/antizapret/result/blocked-ranges.txt

на чистую ос переустановите, убунта 24 или дебиан 12

А возможно адрес в ключах прописывать не IP адрес, а доменное имя?

Обновил скрипт, перенес создание ovpn файлов в /root и в имена файлов добавил ип сервера, чтобы не путаться если серверов много

Можно, только это доменное имя должно корректно разрешаться в IP на тех железках, где будет клиент OpenVPN

Добрый день.
все сделал с версией без контейнера. при подключении VPN выходит ошибка в системном журнале. что делать?
Роутер Asus RT-N66U на прошивке Merlin

openvpn[627]: Options error: Unrecognized option or missing or extra parameter(s) in config.ovpn:25: setenv (2.4.3)

так вот написано же, не поддерживает setenv - удалите строку содержащую setenv в конфиге для роутера

Все подключилось. Спасибо
Но маленькая скорость 8-9 мбит/с при тарифе 100 мбит/с. при подключении через vpn (полный).
А при включении антизапрет на ютуб никак не влияет (тормозит, как раньше, при этом скорость на speedtest показывает высокую), а влияет только если включить vpn полный.
DCO на сервере включил.

Что посоветуете изменить?

Добрый. У меня почему-то на antizapret не работает youtube, на VPN работает, как это вылечить?

не тянет роутер, тут или менять протокол на wireguard например, либо роутер

смотрите что бы были выключены сторонние днс в браузере и что за ип выдает nslookup googlevideo.com - если ип на 10-ку то проблем быть не должно

nslookup googlevideo.com выдает IP 192.168.1.1
То есть просто адрес роутера

Ниже еще выдает адреса на 64

А если подключить vpn, то выдает адрес на 142

хм, вы не настраивали какое либо проксирование googlevide на роутере?
вообще, настройка роутеров это отдельная тема, попробуйте проверить работу своего антизапрета минуя роутер

Проксирование не включал.
Попробовал на ipad. Четко видно, что ютуб на антизапрете на планшете работает. Если выключаю на планшете и возвращаюсь на роутер, то все. Антизапрет не работает.
При этом планшет висит на wifi, раздаваемом с роутера, на котором запущен антизапрет
Как же быть с роутером?

Прошу прощения! Кто поможет разъяснить как к текущей базовой конфигурации “из коробки” прикрутить шейпер(как бы это станно не звучало)? Кейс использования такой: обход блокировки youtube по большей части, но не хочу, чтобы пользователи сожрали и без того узкий канал в 200 Мбит/с. Пробовал настроить по такому мануалу вот этот последний скрипт , но столкнулся с тем, не то что нечерта не шейпит, даже не стартует с ним. Есть какие-либо варианты определить пользователям “потолок” в канале? Спасибо

Напиши модель роутера
Есть ли комп с виндой или линуксом, который подключён к роутеру?

Я конечно не знаю вашей ситуации (может на канал 200 Мбит вы офис 100 человек пытаетесь посадить), но мне кажется, что не нужно антизапрет с шейпером совмещать
Ни ютуб, ни инстаграмм, ни тик-ток, ни уж тем более обычный серфинг сайтов не загружают канал непрерывно

Если по-простому: запусти ютуб 4kHDR на одном телевизоре на канале 200 Мбит - он будет раз в 20-30 секунд за 1-2 секунды буферизовать следующие 20-30 секунд и всё будет гладко и красиво
Если ты одновременно 5 телевизоров запустишь, то умный ютуб поймет, что канал загружен, соответственно буфер будет 4-5 секунд, но опять таки, всё гладко и красиво, а если 10 телеков - то или начнутся лаги, или, если качество выставлено авто, сначала на FullHD переключится, потом на 720p и так далее

Если же ты всем десятерым зарежешь канал до 20 Мбит, то 4k они никогда не увидят. Просто в бытовых условиях 10 человек обычно одновременно не смотрят 4k…

Есть смысл сначала ничего не резать, посмотреть загрузку канала, проца на VPS, обратную связь потребителей и если никаких решений, кроме шейпинга не найдется - тогда уже и резать

Роутер Asus RT-N66U с прошивкой Merlin
Комп с виндой есть, подключенный к роутеру через wifi

Вдруг кому пригодится, вот что удалось попробовать:

ztv.su Нидерланды, 2 ядра, 2 Гб, 40 Гб за 300 руб/мес
Антизапрет работает стабильно, канал заявлен 300 Мбит, реально плавает 200-300, через OpenVPN порядка 97 Мбит
Всё бы хорошо, но пару недель назад GeoIP стал распознавать мой IP как РФ - не работает chatgpt, не открывается часть разделов 4pda.to, habr.com
Еще нюансы: DCO на Debian 11 не работает (при компиляции в репо не находятся какие-то файлы под это конкретное ядро - читаю как или специфическое железо или кривой дистриб)
DCO под Ubuntu 24.04 работает, в логах пишет что-то про недоверенный код, но запускается и работает
И ещё - новый сервер в Нидерландах сейчас заказать нельзя

firstbyte.ru Германия, 1 ядро, 1Гб, 10Гб за 429 руб/мес
Канал заявлен 200 Мбит, по факту чуть меньше 100 Мбит, через OpenVPN что-то порядка 80 Мбит
С GeoIP всё ОК (Германия)
Дистрибутив Ubuntu 24.04 не установился после двух попыток, Ubuntu 22.04 с ручным апгрейдом до 24.04 работает, DCO запускается без варнингов, но сам антизапрет работает нестабильно (то несколько часов без разрывов, то разрывы каждые две минуты)
Debian 11 все работает хорошо
Смущает только узкий канал

nuxt.cloud Германия, 1 ядро, 2Гб, 30Гб за 296 руб/мес
Канал заявлен 1Гб, реально под 330 Мбит, через OpenVPN порядка 120 Мбит (узкое место возможно проц на сервере или клиенте, не разобрался пока)
Ubuntu 24.04 всё работает, в том числе DCO, антизапрет заводится из коробки, работает без неожиданных обрывов
GeoIP тоже ОК (Германия)
Из нюансов - долго (порядка 4 часов) проходила первичная инициализация, а именно выделение IP
Пока этот VPS нравится больше всего

На мерлине через консоль посмотри логи openvpn клиента, там должно быть видно, какие маршруты он прокидывает и т.п.

С компа на винде посмотри ipconfig /all (какие dns выдаёт роутер), route print (как выглядят маршруты)
Идейно и днс и маршруты все должны быть завязаны на 192.168.1.1, а дальше уже роутер должен разбираться

А в целом мне кажется разумнее погуглить “Asus rt-n66u Merlin Антизапрет”, скорее всего найдутся готовые инструкции

Не подскажете, как корректно удалить с сервера. ВПН работает, Запрет ни в какую, хочу переустановить

Спасибо. Попробую посмотреть.
Но у меня еще прикол в том, что остальные ресурсы по антизапрету работают: инстаграм, рутор, а вот ютуб нет.

nsloookup instagram.com
nslookup rutracker.org
и прочих - выдаёт адреса 10.224.x.x
а
nslookup youtube.com выдает 192.168.1.1 ?

Там в антизапрете много изменений вносится, чтобы его установить заного коректно нужно переустанавливать ос либо создать snapshot до установки антизапрета и откатываться на snapshot.
Если же накатывать антизапрет каждый раз сверху на сервере будет оставаться много мусора, да и могут посыпаться некоторые конфигурации. Которые например были изменены или возвращены к прежнему состоянию.

Если на VPS много чего установлено, то можно удалить через apt - openvpn, knot, gawk, farm и поудалять файлы в соответствующих каталогах

а если ничего особо - то просто “Переустановить ОС” (100 раз так делал, хаха)

Странное твориться что-то.
Два сервера на firstbyte утром отвалились.
То есть сами сервера работают, а подключение роутером устанавливается, а ни один сайт не работает.
Переключаюсь на не selfhost решение - работает.
впски в германии и США.

И в этой теме сообщения за 10 дней пропали куда-то…
А, по пропаже сообщений прочитал ветку…(

Дополнено:
переустановил, сайты антизапрета не работают теперь, весь остальной интернет работает (настроено на роутере)

Попробовал ovpn подключить - постоянные переподключения.

Без своего ВПС - антизапрет пашет (на роутере).
Кто копать?

Подключение на роуте до впс постоянно реконектится. Значит провайдер?
Тогда почему работает “без ВПС АЗ”?

Как сделать только 1 одновременный коннект на выпущенный сертификат?
P.S. В конфиге сервера закоментить duplicate-cn 0

У меня:
Fistbyte - сразу не запускался на убунте, более-менее заработал на дебиане, но после недели тестов антизапрет снёс, оставил только Shadowsocks

PQ - никак не заводится антизапрет, постоянные реконнекты

Nuxt три часа вообще был сервак недоступен, потом два дня постоянные потери пакетов (ssh мог по 5 минут реагировать на нажатие кнопки, а iperf за минуту теста показывал ~9000 потерянных пакетов и скорость была процентов на 30-40 ниже обычного). Сейчас вроде все норм работает

Ztv на удивление работает без сбоев, правда с российским geo-ip

Ещё вчера открыл для себя Beget, на питерских серверах не подключена тспу, можно 100% трафика пропускать через wg, работают и российские сайты, и запрещенка (кроме тех, кто сам доступ с российских ip ограничивает). Для ютубчика топ

firstbyte стабильно отработал два месяца.

Правильно, если я вас, понял, попробовать арендовать на ztv_su впс и попробовать установить САБЖ на него?

Я бы сделал так: переустановил ОС, поставил антизапрет “с нуля”, проверил бы это и на убунту, и на дебиане. Если ни так, ни так не заведётся - тогда бы уже пробовал других хостеров

Я только с нуля и ставлю. Сейчас чекну Debian.

По логам меня смущают реконнекты бесконечные. Не провайдер ли мой это.

Если дебиан не заведётся - напиши в личку, дам клиентский конфиг с ztv проверить, заработает или нет

не завелся, реконнекты такие же как и с убунтой.

Буду очень благодарен для тест-конфиг

.del

Снимок экрана 2024-09-08 в 11.16.11728×260 27.2 KB

Даже подключиться не получилось(((

Добрый день. с неделю назад openVPN к антизапрет стал постоянно реконектится, поругался с провайдером Билайн заработало, но не надолго. Через день ситуация повторилась и билайн пошел в отказ мол ни чего не блочим, при этом на 2 других провайдерах коннект нормальный. Очевидно DPI билайна работает, не исключаю что вторая линия поддержки не в курсе что у них внедрен DPI. Вопрос, есть ли действенный способ обойти блокировку openVPN?

Попробуй еще раз с тем же конфигом
Ты с какого устройства коннектишься? Роутер?

Да, с роутера, потом пробую с компа.

У вас, как я понял, конфиг отредактированный.

Насколько мозгов хватило вернул его в исходное состояние (убрал route)

Подключение установилось, но ни один сайт не доступен.

Конфиг править не надо, он рабочий, я на серверной стороне убрал лишние опции
Пробуй ещё раз сначала с компа, с роутером отдельно видимо надо разбираться
Конфиг тот, который в личке

Я вижу коннекты
109...: peer info: IV_VER=2.4.12
и
109...: peer info: IV_VER=3.10_qa

Первое полагаю роутер? Более свежей прошивки с OpenVPN постарше версии нет случайно?
Второе видимо комп?

В серверных логах ничего криминального, клиенты подцепляются, ошибок нет.
Только клиент 3.10 сам отключился, а 2.4 по таймауту все отваливалось

Из лички конфиг:

• с компа - openVpn 3.5.0 (macOS) - подключился успешно, запрещенка работает.

с роутера - конфликт ip адресов.

Sep 8 12:03:28 vpnclient2: WARNING: Ignore conflicted routing rule: 192.168.100.0 255.255.252.0 gw 192.168.100.1
Sep 8 12:03:28 vpnclient2[8085]: WARNING: this configuration may cache passwords in memory – use the auth-nocache option to prevent this
Sep 8 12:03:28 vpnclient2[8085]: Initialization Sequence Completed

мой роутер с ip 192.168.0.1

У меня было постоянное переподключение. А если подключалось то только минут через 15 работали запрещенки. Причина была в хостинге, исправилось только сменой хостинга. На aeza пока такого не наблюдалось.

Это кажется не ошибка, просто варнинг, что маршрут дважды настраивается. А как в целом конфигурация работает? Что-то открывается?

С клиентов (когда роутер подключен) проверь:
dig ya.ru
dig @192.168.100.1 ya.ru
dig rutracker.org
dig @192.168.100.1 rutracker.org

И что за марка-модель роутера?

В вашем конфиге поменял:
с
route 192.168.100.0 255.255.252.0
на
route 192.168.0.0 255.255.252.0

и на роутере заработало тоже.

Asus AX82U

Я не сильно шарящий, с итуицией, которая подсказывает где не так, и где попытаться подправить.

Спасибо Вам огромное, ваш конфиг с небольшими правками всё таки взлетел и надежда, что на ztv у меня заработает появилась.

Конфиг вы скачали с ВПС и свой строки с роутами добавляли?
Это мне для понимания, что нужно сделать, чтобы на моем ВПС всё заработало (в ближ будущем купленным).

Выполнил команды (ваш конфиг с моими правками на моем ВПС)

ztv
у вас NL-1-NVME или NL-2-NVME?

NL-2-NVMe
если удобно, напиши в телеграм
расскажу разные детали

Переклинивает на некоторых облачных провайдерах. Если там адрес VDS типа 195...* - то ввиду того что VPN и AntiZapret выдают свои локальные адреса 192.168.100.* 192.168.200.* - то ломается роутинг или в маршрутизаторе, или у локального провайдера “по старшему разряду”. А если внешний VDS типа 89...* то все работает нормально.
Диагностируется что после подьема не работает ping на 192.168.100.1 или 192.168.200.1
Отсюда вопрос - можно ли в скрипт добавить параметр - префикс для создаваемой сети VPN ? Не 192.168.. а например 89.* или 10.8… - чтобы в маску роутинга маршрутизатора и локального провайдера попасть.

Не очень понятно, как маршрут
192.168.100.0/22 может конфликтовать с провайдерским 0.0.0.0/0
у провайдерского приоритет должен быть самым низшим, чтобы обрабатываться последним

@Tyman Добрый вечер, подскажите есть способ удалить antizapret с сервера?

все очень просто - это блокируется опенвпн, с сервера с 195 у вас блочится опенвпн, а с 89 нет

если только в ручную файлы и паки что были скопированы и так же удалять пакеты

Обновил немного версию, добавил пару доменов в исключения, и сделал отдельно файл include-hosts-custom.txt

Можно в ручную его скачать и обновить в папке на сервере

Как уже выше изложили, на хостинге VDSina, если ваш IP адрес начинается с 195.. скрипт возможно не будет работать, т.к. блочит провайдер. Для теста купил еще 1 IP, изменил его на хостинге и вуля все работает, затем я снова сбросил сервер, опять поднял антизапрет со штатным IP и глухо, затем опять поднял с другим IP, все снова запустилось. Моя неудача лишь в том, что я купил вечный сервер и он как раз с этим адресом… за доп. плату выпал IP 89.. на нем все работает

Обновлю информацию по недорогим хостингам для VPN принимающие рубли:

vdsina.com/?partner=9br77jaat2 - скидка 10% (начислят бонусами)
Цена от 1.89 $ (32 Тб трафика, канал 1 Tb)
Могут дать ИП с блокировкой OpenVpn (на 195) - можно менять через поддержку или перебирая сервера (оплата по дням)
Минимальная оплата с ру карты - 20$ + 10% комиссия

aeza.net/?ref=529527 - бонус 15% (если пополнение сделать в течении 24 часов с момента регистрации)
Цена от 1.09€ за промо тариф в Стокгольме (безлимит трафика, канал 100 Мбит)
Промо тариф не всегда доступен, нужно ждать
Могут дать ИП с блокировкой OpenVpn - можно менять через чат поддержки в телеграмме
Минимальная оплата 1€ + от 2% комиссия

ПРОМО ТАРИФ СЕЙЧАС ДОСТУПЕН!!!

Если кому то нужно протестировать антизапрет на аезе на промо тарифе - напишите в личку!!

На aeza так же может попасть домен серии 188…, youtube работает, но не работает к примеру ChatGPT.

так же было по началу, на аезе попал ип на 89 - в сентябре обновились геоип и все заработало, думаю надо подождать

Если кому то нужен тестовый антизапрет на аезе на промо тарифе - напишите в личку, сейчас аезой не пользуюсь, могу дать на тест

Как написать в личку автору?
Не могу кнопку соответствующую найти.

лови мои реферальные, бро

Сразу скажу что профан в таком, но у меня получилось установить этот ВПН (до этого пользовался ВПН контейнер). К чат гпт есть доступ, так же к copilot, но почему то в gemini и claude пишет что доступа нет.
На чистый Ubuntu 24 накатил все.

btw, мне в аезе (промо бич-тариф) выпал адрес 89.169..

MaxMind и еще ряд сервисов опознает как Ереван, Армения
2ip.ru, 2ip.io, ifconfig.co говорят, что Москва
При этом ChatGPT работает, запрещенные разделы и статьи на habr.com, 4pda.to открываются

Антизапрет тоже сразу запустился, OpenVPN не блокируется

Друзья, приветствую! Не могу разобраться с сервером. Начальные версии, которые необходимо было скачивать архивом, работало хорошо. На Debian 10 работало. По UDP подключалось и все работало отлично…скорость была порядка 57мбит и выше… Но поддался на обновление и в итоге по UDP подключение никак не совершается, а по TCP скорость низкая, порядка 26мбит. ПРобовал на Ubuntu, Debian но никак не могу добиться положительного результата.
В качестве клиента использую Mikrotik.
Пожалуйста, помогите разобраться.

Обновить RouterOS до 7.15.3, чтобы появился вариант Cipher - null в Dial out настройках интерфейса (остальные параметры TLS Version - any, Auth - sha1), отключить шифрование (серверный конфиг в файле /etc/openvpn/server/antizapret-udp.conf), получить 50+ мбит по UDP.

Разница с той версией не велика, стала новее версия OpenVpn и была отключена поддержка шифрования BF-CBC, убраны кое какие параметры сети

Обновил скрипт, вернул в список поддерживаемых шифрований BF-CBC и добавил установку последней версии OpenVpn 2.6 на всех системах

Выше писал, что есть проблемы с резолвингом kommersant.ru, включил log_level(‘debug’) в kresd.conf, вот результаты:

Sep 10 01:52:55 vds kresd[7445]: [plan  ][00000.00] plan 'iy.kommersant.ru.' type 'HTTPS' uid [55577.00]
Sep 10 01:52:55 vds kresd[7445]: [iterat][55577.00]   'iy.kommersant.ru.' type 'HTTPS' new uid was assigned .01, parent uid .00
Sep 10 01:52:55 vds kresd[7445]: [cache ][55577.01]   => no NSEC* cached for zone: .
Sep 10 01:52:55 vds kresd[7445]: [cache ][55577.01]   => skipping zone: ., NSEC, hash 0;new TTL -123456789, ret -2
Sep 10 01:52:55 vds kresd[7445]: [cache ][55577.01]   => skipping zone: ., NSEC, hash 0;new TTL -123456789, ret -2
Sep 10 01:52:55 vds kresd[7445]: [resolv][55577.01]   => id: '56427' querying: '.'@'1.1.1.1#00053' zone cut: '.' qname: 'iy.kommersant.ru.' qtype: 'HTTPS' proto: 'tcp'
Sep 10 01:52:55 vds kresd[7445]: [io    ] => connection to '1.1.1.1#00053' closed by peer (end of file)
Sep 10 01:52:55 vds kresd[7445]: [iterat][55577.01]   'iy.kommersant.ru.' type 'HTTPS' new uid was assigned .02, parent uid .00
Sep 10 01:52:55 vds kresd[7445]: [resolv][55577.02]   => id: '44110' querying: '.'@'1.1.1.1#00053' zone cut: '.' qname: 'iy.kommersant.ru.' qtype: 'HTTPS' proto: 'tcp'
Sep 10 01:52:55 vds kresd[7445]: [worker][55577.02]   => connecting to: '1.1.1.1#00053'
Sep 10 01:52:55 vds kresd[7445]: [iterat][34683.01]   'kommersant.ru.' type 'A' new uid was assigned .02, parent uid .00
Sep 10 01:52:55 vds kresd[7445]: [resolv][34683.02]   => id: '29668' querying: '.'@'1.1.1.1#00053' zone cut: '.' qname: 'kommersant.ru.' qtype: 'A' proto: 'tcp'
Sep 10 01:52:55 vds kresd[7445]: [iterat][54450.01]   'kommersant.ru.' type 'AAAA' new uid was assigned .02, parent uid .00
Sep 10 01:52:55 vds kresd[7445]: [resolv][54450.02]   => id: '48781' querying: '.'@'1.1.1.1#00053' zone cut: '.' qname: 'kommersant.ru.' qtype: 'AAAA' proto: 'tcp'
Sep 10 01:52:55 vds kresd[7445]: [iterat][10835.01]   'iy.kommersant.ru.' type 'A' new uid was assigned .02, parent uid .00
Sep 10 01:52:55 vds kresd[7445]: [resolv][10835.02]   => id: '38278' querying: '.'@'1.1.1.1#00053' zone cut: '.' qname: 'iy.kommersant.ru.' qtype: 'A' proto: 'tcp'
Sep 10 01:52:55 vds kresd[7445]: [iterat][55577.01]   'iy.kommersant.ru.' type 'HTTPS' new uid was assigned .02, parent uid .00
Sep 10 01:52:55 vds kresd[7445]: [resolv][55577.02]   => id: '10516' querying: '.'@'1.1.1.1#00053' zone cut: '.' qname: 'iy.kommersant.ru.' qtype: 'HTTPS' proto: 'tcp'
Sep 10 01:52:55 vds kresd[7445]: [iterat][10835.01]   'iy.kommersant.ru.' type 'A' new uid was assigned .02, parent uid .00
Sep 10 01:52:55 vds kresd[7445]: [resolv][10835.02]   => id: '14289' querying: '.'@'1.1.1.1#00053' zone cut: '.' qname: 'iy.kommersant.ru.' qtype: 'A' proto: 'tcp'
Sep 10 01:52:55 vds kresd[7445]: [worker] => connected to '1.1.1.1#00053'
Sep 10 01:52:57 vds kresd[7445]: [select][10835.02]   => id: '14289' updating: '.'@'1.1.1.1#00053' zone cut: '.' with rtt 1771 to srtt: 700 and variance: 977
Sep 10 01:52:57 vds kresd[7445]: [select][10835.02]   => id: '14289' noting selection error: '.'@'1.1.1.1#00053' zone cut: '.' error: 6 SERVFAIL
Sep 10 01:52:57 vds kresd[7445]: [iterat][10835.02]   <= rcode: SERVFAIL

DNS adguard при установке заменил на:
policy.add(policy.all(policy.FORWARD({‘1.1.1.1’})))
policy.add(policy.all(policy.FORWARD({‘8.8.8.8’})))

Если ставить первым 8.8.8.8, то начинает работать kommersant.ru, но отваливается, например, speedtest.net

По итогу закомментировал эти две строчки из файла kresd.conf, пока резолвятся все домены.
Нашел issue от ValdikSS, видимо, какой-то баг в knot-resolver: Resolver stops working and returns SERVFAIL until restarted (#493) · Issues · Knot projects / Knot Resolver · GitLab

P.S.
На Ubuntu 22.04 из репозитория устанавливается версия knot-resolver 5.4.4 от 2022 года, возможно, стоит добавить установку актуальной версии из репозитория автора: CZ.NIC Labs Repos Setup Docs

проверил на 22 убунте, и адгуар и ваша версия днс - все ок, все работает, коммерсант и спидтест открывается
можно и добавить, если будет еще кто то писать про подобные ошибки

Благодарю за отклик. Но не помогло - соединение не устанавливается, в логах ошибка: TLS Error: handshake time out (6).

Проблема, о которой ValdikSS писал, в 5.3.1 устранена
А ты пробовал до 5.7.4 руками поднять, не удаляя forward на AdGuard / google / cloudfare?

Надо локализовать проблему - она в сервере или в роутере
Могу кинуть конфиг к своему vps, проверишь подключается ли и скорость udp

подтверждаю, если сделать как выше, speedtest.net не открывается, пока банально снёс эти строки.

Подскажите , что не так делаю, до этого использовал просто vpn от запрет
Решил сделать сам, арендовал VPS u22 поднял на нам антизапрет без контенера, все конфиги стандарт. Загрузил 2 профиль на пробу клиента antizapret и vpn, но не одни из них не работает в open vpn не на Win не Android, хотя тот же простовпн работает провайдер не блочит, а вот когда использую свой VPS c az подключается получает адрес но не открывается не один сайт
Не заслуживающий доверия ответ:
╚ь : rutracker.org
Addresses: 10.224.0.2
10.224.0.3
пробовал конфигурацию клиента брать с простовпн, тоже самое
auth-nocache
remote-cert-tls server
resolv-retry infinite
explicit-exit-notify
pull-filter ignore block-outside-dns
#setenv opt block-outside-dns
setenv opt data-ciphers AES-128-GCM:AES-256-GCM
cipher AES-128-GCM
remote-random
server-poll-timeout 15

в Асус тоже самое, вот лог
Sep 10 10:28:50 ovpn-client3[21173]: OpenVPN 2.6.12 arm-buildroot-linux-gnueabi [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD]
Sep 10 10:28:50 ovpn-client3[21173]: library versions: OpenSSL 1.1.1w 11 Sep 2023, LZO 2.08
Sep 10 10:28:50 ovpn-client3[21174]: NOTE: the current --script-security setting may allow this configuration to call user-defined scripts
Sep 10 10:28:50 ovpn-client3[21174]: TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.87.149.XXX:443
Sep 10 10:28:50 ovpn-client3[21174]: Socket Buffers: R=[524288->524288] S=[524288->524288]
Sep 10 10:28:50 ovpn-client3[21174]: UDPv4 link local: (not bound)
Sep 10 10:28:50 ovpn-client3[21174]: UDPv4 link remote: [AF_INET]XXX.87.149.104:443
Sep 10 10:28:50 ovpn-client3[21174]: TLS: Initial packet from [AF_INET]XXX.87.149.104:443, sid=76125b77 da374f50
Sep 10 10:28:50 ovpn-client3[21174]: VERIFY OK: depth=1, CN=AntiZapret CA
Sep 10 10:28:50 ovpn-client3[21174]: VERIFY KU OK
Sep 10 10:28:50 ovpn-client3[21174]: Validating certificate extended key usage
Sep 10 10:28:50 ovpn-client3[21174]: ++ Certificate has EKU (str) TLS Web Server Authentication, expects TLS Web Server Authentication
Sep 10 10:28:50 ovpn-client3[21174]: VERIFY EKU OK
Sep 10 10:28:50 ovpn-client3[21174]: VERIFY OK: depth=0, CN=antizapret-server
Sep 10 10:28:50 ovpn-client3[21174]: Control Channel: TLSv1.3, cipher TLSv1.3 TLS_AES_256_GCM_SHA384, peer certificate: 2048 bits RSA, signature: RSA-SHA256, peer temporary key: 253 bits X25519
Sep 10 10:28:50 ovpn-client3[21174]: [antizapret-server] Peer Connection Initiated with [AF_INET]XXX.87.149.104:443
Sep 10 10:28:50 ovpn-client3[21174]: TLS: move_session: dest=TM_ACTIVE src=TM_INITIAL reinit_src=1
Sep 10 10:28:50 ovpn-client3[21174]: TLS: tls_multi_process: initial untrusted session promoted to trusted
Sep 10 10:28:50 ovpn-client3[21174]: PUSH: Received control message: 'PUSH_REPLY,route 10.224.0.0 255.254.0.0,dhcp-option DNS 192.168.100.1,block-outside-dns,route-gateway 192.168.100.1,topology subnet,ping 15,ping-restart 30,route 103.246.200.0 255.255.252.0,route 178.239.88.0 255.255.248.0,route XXX.104.45.0 255.255.255.0,route 193.105.213.36 255.255.255.252,route 203.104.128.0 255.255.240.0,route 203.104.144.0 255.255.248.0,route 203.104.152.0 255.255.252.0,route 68.171.224.0 255.255.224.0,route 74.
Sep 10 10:28:50 ovpn-client3[21174]: Pushed option removed by filter: ‘block-outside-dns’
Sep 10 10:28:50 ovpn-client3[21174]: OPTIONS IMPORT: --ifconfig/up options modified
Sep 10 10:28:50 ovpn-client3[21174]: OPTIONS IMPORT: route options modified
Sep 10 10:28:50 ovpn-client3[21174]: OPTIONS IMPORT: route-related options modified
Sep 10 10:28:50 ovpn-client3[21174]: OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
Sep 10 10:28:50 ovpn-client3[21174]: TUN/TAP device tun13 opened
Sep 10 10:28:50 ovpn-client3[21174]: TUN/TAP TX queue length set to 1000
Sep 10 10:28:50 ovpn-client3[21174]: /usr/sbin/ip link set dev tun13 up mtu 1500
Sep 10 10:28:50 ovpn-client3[21174]: /usr/sbin/ip link set dev tun13 up
Sep 10 10:28:50 ovpn-client3[21174]: /usr/sbin/ip addr add dev tun13 192.168.100.2/22
Sep 10 10:28:50 ovpn-client3[21174]: ovpn-up 3 client tun13 1500 0 192.168.100.2 255.255.252.0 init
Sep 10 10:28:50 ovpn-client3[21174]: Data Channel: cipher ‘AES-128-GCM’, peer-id: 0
Sep 10 10:28:50 ovpn-client3[21174]: Timers: ping 15, ping-restart 30
Sep 10 10:28:50 ovpn-client3[21174]: Protocol options: explicit-exit-notify 1
Sep 10 10:28:52 ovpn-client3[21174]: Initialization Sequence Completed

Для правильной работы AntiZapret VPN нужно отключить DNS в браузере

Обновил, добавил в конфиги впн серверов: push “block-outside-dns”

Подскажите команду, чтобы все установленное удалить с сервера. Видимо из за конфликта 3x-ui на 443 порту у меня сервер грузится. Скрипт развернулся в папку root

В старой версии (в контейнере) скрипт ставил патчи для устройств apple. В этой тоже ставится?

руками только, удалять пакеты и файлы что были скопированы и созданы
может напишу скрипт, но его еще проверять надо, и нет гарантии что он не заденет какие то другие установленные программы

тут уже сразу пропатченный файл

Проще в серверных конфигах /etc/openvpn/server
Поменять 443 порт на другой и рестартовать службы openvpn-server@…
3x-ui прекрасно вместе с антизапретом работает

Прошивку точно 7.15.3 установили? OpenVPN (или сервер в целом командой reboot) перезапускали после изменений?
Отправьте итоговый конфиг из /etc/openvpn/server/antizapret-udp.conf в личку, может, что-то не так указали.

у вас одновременно и 3x-ui c vless на 443 порту и антизапрет на 443 порту работают?

Нет, vless на 443, антизапрет OpenVPN на другом (условно 44443)

Если вдруг кому-то надо для экспериментов vps, хостеры PQ и FirstByte - напишите в личку, поставлю нужный дистрибутив и пароль передам
Я свои эксперименты закончил, а оплаченный период ещё нет

Будьте добры, проверю.

Да, прошивка точно 7.15.3. В личку не понял как писать, напишите мне пожалуйста. Я ответом направлю. Сейчас попробую по-новому переустановить сервер.

Привет! Подскажите, пожалуйста, роутер keenetic giga, провайдер мегафон, openvpn то работает, то нет. Если проверять соединение, то он периодически пишет “нет соединения”, после этого показывает что подключился, но если попытаться открыть rutracker, то соединение снова сбрасывается. Может ли это быть из за мегафон?
Я читал, что сейчас мобильные провайдеры блокируют openvpn, у меня к примеру на теле2 не удается подключиться к серверу

Сен 10 18:34:04 OpenVPN0
UID set to nobody
Сен 10 18:34:04 OpenVPN0
GID set to nobody
Сен 10 18:34:04 OpenVPN0
Capabilities retained: CAP_NET_ADMIN
Сен 10 18:34:04 OpenVPN0
Initialization Sequence Completed
Сен 10 18:34:04 ndm
Http::Nginx: loaded SSL certificate for "25e6605079afa687926fdbf3.keenetic.io".
Сен 10 18:34:04 ndm
Http::Nginx: loaded SSL certificate for "evgebunin.keenetic.pro".
Сен 10 18:34:04 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:34:04 ndm
Core::Session: client disconnected.
Сен 10 18:34:05 ndm
Http::Manager: updated configuration.
Сен 10 18:34:05 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:34:05 ndm
Core::Session: client disconnected.
Сен 10 18:34:15 ndm
Dns::Manager: updating DNS-over-HTTPS servers addresses.
Сен 10 18:34:15 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:34:15 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:34:43 OpenVPN0
Connection reset, restarting [-1]
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 8.8.8.8/32 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 8.8.8.8/32 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 10.224.0.0/15 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 10.224.0.0/15 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 103.246.200.0/22 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 103.246.200.0/22 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 178.239.88.0/21 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 178.239.88.0/21 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 185.104.45.0/24 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 185.104.45.0/24 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 193.105.213.36/30 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 193.105.213.36/30 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 203.104.128.0/20 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.128.0/20 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 203.104.144.0/21 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.144.0/21 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 203.104.152.0/22 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.152.0/22 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 68.171.224.0/19 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 68.171.224.0/19 via 192.168.104.1.
Сен 10 18:34:43 ndm
Network::RoutingTable: deleted route: 74.82.64.0/19 via 192.168.104.1 (OpenVPN0).
Сен 10 18:34:43 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 74.82.64.0/19 via 192.168.104.1.
Сен 10 18:34:43 OpenVPN0
/tmp/openvpn/OpenVPN0/openvpn-down tun0 1500 0 192.168.104.2 255.255.252.0 init
Сен 10 18:34:43 ndm
Network::Interface::Base: "OpenVPN0": "openvpn" changed "link" layer state "running" to "pending".
Сен 10 18:34:43 ndm
Network::Interface::Ip: "OpenVPN0": IP address cleared.
Сен 10 18:34:44 OpenVPN0
SIGTERM[soft,connection-reset] received, process exiting
Сен 10 18:34:44 ndm
Service: "OpenVPN0": unexpectedly stopped.
Сен 10 18:34:44 ndm
Network::Interface::Ip: "OpenVPN0": IP address cleared.
Сен 10 18:34:44 ndm
Http::Nginx: loaded SSL certificate for "25e6605079afa687926fdbf3.keenetic.io".
Сен 10 18:34:44 ndm
Http::Nginx: loaded SSL certificate for "evgebunin.keenetic.pro".
Сен 10 18:34:44 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:34:44 ndm
Core::Session: client disconnected.
Сен 10 18:34:45 ndm
Http::Manager: updated configuration.
Сен 10 18:34:45 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:34:45 ndm
Core::Session: client disconnected.
Сен 10 18:34:46 OpenVPN0
OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [DCO]
Сен 10 18:34:46 OpenVPN0
library versions: OpenSSL 3.1.5 30 Jan 2024, LZO 2.10
Сен 10 18:34:46 OpenVPN0
DCO version: N/A
Сен 10 18:34:46 OpenVPN0
Attempting to establish TCP connection with [AF_INET]46.8.229.101:443
Сен 10 18:34:49 OpenVPN0
TCP connection established with [AF_INET]46.8.229.101:443
Сен 10 18:34:49 OpenVPN0
TCPv4_CLIENT link local: (not bound)
Сен 10 18:34:49 OpenVPN0
TCPv4_CLIENT link remote: [AF_INET]46.8.229.101:443
Сен 10 18:34:49 OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Сен 10 18:34:52 OpenVPN0
[antizapret-server] Peer Connection Initiated with [AF_INET]46.8.229.101:443
Сен 10 18:34:52 ndm
Network::Interface::EndpointTracker: "OpenVPN0": added a host route to 46.8.229.101 via 176.194.192.1 (GigabitEthernet1).
Сен 10 18:34:53 OpenVPN0
TUN/TAP device tun0 opened
Сен 10 18:34:53 OpenVPN0
net_iface_mtu_set: mtu 1500 for tun0
Сен 10 18:34:53 ndm
Network::Interface::Ip: "OpenVPN0": IP address is 192.168.104.4/22.
Сен 10 18:34:53 OpenVPN0
/tmp/openvpn/OpenVPN0/openvpn-up tun0 1500 0 192.168.104.4 255.255.252.0 init
Сен 10 18:34:53 ndm
Network::Interface::Base: "OpenVPN0": "ethernet" changed "link" layer state "pending" to "running".
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 8.8.8.8/32 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 10.224.0.0/15 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 103.246.200.0/22 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 178.239.88.0/21 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 185.104.45.0/24 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 193.105.213.36/30 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.128.0/20 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.144.0/21 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.152.0/22 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 68.171.224.0/19 via 192.168.104.1.
Сен 10 18:34:53 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 74.82.64.0/19 via 192.168.104.1.
Сен 10 18:34:53 ndm
Dns::InterfaceSpecific: "OpenVPN0": adding name server 192.168.104.1.
Сен 10 18:34:53 ndm
Dns::InterfaceSpecific: "OpenVPN0": adding a host route to name server 192.168.104.1 (via 0.0.0.0).
Сен 10 18:34:53 ndm
Dns::InterfaceSpecific: "OpenVPN0": host route for name server 192.168.104.1 added.
Сен 10 18:34:53 ndm
Dns::InterfaceSpecific: "OpenVPN0": name server 192.168.104.1 added, domain (default).
Сен 10 18:34:53 OpenVPN0
UID set to nobody
Сен 10 18:34:53 OpenVPN0
GID set to nobody
Сен 10 18:34:53 OpenVPN0
Capabilities retained: CAP_NET_ADMIN
Сен 10 18:34:53 OpenVPN0
Initialization Sequence Completed
Сен 10 18:34:53 ndm
Http::Nginx: loaded SSL certificate for "25e6605079afa687926fdbf3.keenetic.io".
Сен 10 18:34:54 ndm
Http::Nginx: loaded SSL certificate for "evgebunin.keenetic.pro".
Сен 10 18:34:54 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:34:54 ndm
Core::Session: client disconnected.
Сен 10 18:34:54 ndm
Http::Manager: updated configuration.
Сен 10 18:34:54 ndm
Dns::Manager: updating DNS-over-HTTPS servers addresses.
Сен 10 18:34:54 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:34:54 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:34:54 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:34:54 ndm
Core::Session: client disconnected.
Сен 10 18:35:24 OpenVPN0
Connection reset, restarting [-1]
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 8.8.8.8/32 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 8.8.8.8/32 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 10.224.0.0/15 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 10.224.0.0/15 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 103.246.200.0/22 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 103.246.200.0/22 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 178.239.88.0/21 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 178.239.88.0/21 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 185.104.45.0/24 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 185.104.45.0/24 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 193.105.213.36/30 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 193.105.213.36/30 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 203.104.128.0/20 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.128.0/20 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 203.104.144.0/21 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.144.0/21 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 203.104.152.0/22 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.152.0/22 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 68.171.224.0/19 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 68.171.224.0/19 via 192.168.104.1.
Сен 10 18:35:24 ndm
Network::RoutingTable: deleted route: 74.82.64.0/19 via 192.168.104.1 (OpenVPN0).
Сен 10 18:35:24 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 74.82.64.0/19 via 192.168.104.1.
Сен 10 18:35:24 OpenVPN0
/tmp/openvpn/OpenVPN0/openvpn-down tun0 1500 0 192.168.104.4 255.255.252.0 init
Сен 10 18:35:24 ndm
Network::Interface::Base: "OpenVPN0": "openvpn" changed "link" layer state "running" to "pending".
Сен 10 18:35:24 ndm
Network::Interface::Ip: "OpenVPN0": IP address cleared.
Сен 10 18:35:24 OpenVPN0
SIGTERM[soft,connection-reset] received, process exiting
Сен 10 18:35:24 ndm
Service: "OpenVPN0": unexpectedly stopped.
Сен 10 18:35:25 ndm
Network::Interface::Ip: "OpenVPN0": IP address cleared.
Сен 10 18:35:25 ndm
Http::Nginx: loaded SSL certificate for "25e6605079afa687926fdbf3.keenetic.io".
Сен 10 18:35:25 ndm
Http::Nginx: loaded SSL certificate for "evgebunin.keenetic.pro".
Сен 10 18:35:25 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:35:25 ndm
Core::Session: client disconnected.
Сен 10 18:35:25 ndm
Http::Manager: updated configuration.
Сен 10 18:35:26 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:35:26 ndm
Core::Session: client disconnected.
Сен 10 18:35:27 OpenVPN0
OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [DCO]
Сен 10 18:35:27 OpenVPN0
library versions: OpenSSL 3.1.5 30 Jan 2024, LZO 2.10
Сен 10 18:35:27 OpenVPN0
DCO version: N/A
Сен 10 18:35:27 OpenVPN0
Attempting to establish TCP connection with [AF_INET]46.8.229.101:443
Сен 10 18:35:28 OpenVPN0
TCP connection established with [AF_INET]46.8.229.101:443
Сен 10 18:35:28 OpenVPN0
TCPv4_CLIENT link local: (not bound)
Сен 10 18:35:28 OpenVPN0
TCPv4_CLIENT link remote: [AF_INET]46.8.229.101:443
Сен 10 18:35:28 OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Сен 10 18:35:32 OpenVPN0
[antizapret-server] Peer Connection Initiated with [AF_INET]46.8.229.101:443
Сен 10 18:35:32 ndm
Network::Interface::EndpointTracker: "OpenVPN0": added a host route to 46.8.229.101 via 176.194.192.1 (GigabitEthernet1).
Сен 10 18:35:32 OpenVPN0
TUN/TAP device tun0 opened
Сен 10 18:35:32 OpenVPN0
net_iface_mtu_set: mtu 1500 for tun0
Сен 10 18:35:32 ndm
Network::Interface::Ip: "OpenVPN0": IP address is 192.168.104.2/22.
Сен 10 18:35:32 OpenVPN0
/tmp/openvpn/OpenVPN0/openvpn-up tun0 1500 0 192.168.104.2 255.255.252.0 init
Сен 10 18:35:32 ndm
Network::Interface::Base: "OpenVPN0": "ethernet" changed "link" layer state "pending" to "running".
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 8.8.8.8/32 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 10.224.0.0/15 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 103.246.200.0/22 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 178.239.88.0/21 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 185.104.45.0/24 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 193.105.213.36/30 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.128.0/20 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.144.0/21 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.152.0/22 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 68.171.224.0/19 via 192.168.104.1.
Сен 10 18:35:32 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 74.82.64.0/19 via 192.168.104.1.
Сен 10 18:35:32 ndm
Dns::InterfaceSpecific: "OpenVPN0": adding name server 192.168.104.1.
Сен 10 18:35:32 ndm
Dns::InterfaceSpecific: "OpenVPN0": adding a host route to name server 192.168.104.1 (via 0.0.0.0).
Сен 10 18:35:32 ndm
Dns::InterfaceSpecific: "OpenVPN0": host route for name server 192.168.104.1 added.
Сен 10 18:35:32 ndm
Dns::InterfaceSpecific: "OpenVPN0": name server 192.168.104.1 added, domain (default).
Сен 10 18:35:32 OpenVPN0
UID set to nobody
Сен 10 18:35:32 OpenVPN0
GID set to nobody
Сен 10 18:35:32 OpenVPN0
Capabilities retained: CAP_NET_ADMIN
Сен 10 18:35:32 OpenVPN0
Initialization Sequence Completed
Сен 10 18:35:33 ndm
Http::Nginx: loaded SSL certificate for "25e6605079afa687926fdbf3.keenetic.io".
Сен 10 18:35:33 ndm
Http::Nginx: loaded SSL certificate for "evgebunin.keenetic.pro".
Сен 10 18:35:33 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:35:33 ndm
Core::Session: client disconnected.
Сен 10 18:35:33 ndm
Http::Manager: updated configuration.
Сен 10 18:35:33 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:35:33 ndm
Core::Session: client disconnected.
Сен 10 18:35:43 ndm
Dns::Manager: updating DNS-over-HTTPS servers addresses.
Сен 10 18:35:43 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:35:43 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:36:08 OpenVPN0
Connection reset, restarting [-1]
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 8.8.8.8/32 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 8.8.8.8/32 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 10.224.0.0/15 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 10.224.0.0/15 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 103.246.200.0/22 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 103.246.200.0/22 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 178.239.88.0/21 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 178.239.88.0/21 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 185.104.45.0/24 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 185.104.45.0/24 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 193.105.213.36/30 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 193.105.213.36/30 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 203.104.128.0/20 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.128.0/20 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 203.104.144.0/21 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.144.0/21 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 203.104.152.0/22 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 203.104.152.0/22 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 68.171.224.0/19 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 68.171.224.0/19 via 192.168.104.1.
Сен 10 18:36:08 ndm
Network::RoutingTable: deleted route: 74.82.64.0/19 via 192.168.104.1 (OpenVPN0).
Сен 10 18:36:08 ndm
OpenVpn::Routing4: "OpenVPN0": remove installed accepted route to 74.82.64.0/19 via 192.168.104.1.
Сен 10 18:36:08 OpenVPN0
/tmp/openvpn/OpenVPN0/openvpn-down tun0 1500 0 192.168.104.2 255.255.252.0 init
Сен 10 18:36:08 ndm
Network::Interface::Base: "OpenVPN0": "openvpn" changed "link" layer state "running" to "pending".
Сен 10 18:36:08 ndm
Network::Interface::Ip: "OpenVPN0": IP address cleared.
Сен 10 18:36:08 OpenVPN0
SIGTERM[soft,connection-reset] received, process exiting
Сен 10 18:36:08 ndm
Service: "OpenVPN0": unexpectedly stopped.
Сен 10 18:36:09 ndm
Network::Interface::Ip: "OpenVPN0": IP address cleared.
Сен 10 18:36:09 ndm
Http::Nginx: loaded SSL certificate for "25e6605079afa687926fdbf3.keenetic.io".
Сен 10 18:36:09 ndm
Http::Nginx: loaded SSL certificate for "evgebunin.keenetic.pro".
Сен 10 18:36:09 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:36:09 ndm
Core::Session: client disconnected.
Сен 10 18:36:09 ndm
Http::Manager: updated configuration.
Сен 10 18:36:09 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:36:09 ndm
Core::Session: client disconnected.
Сен 10 18:36:11 OpenVPN0
OpenVPN 2.6.7 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [DCO]
Сен 10 18:36:11 OpenVPN0
library versions: OpenSSL 3.1.5 30 Jan 2024, LZO 2.10
Сен 10 18:36:11 OpenVPN0
DCO version: N/A
Сен 10 18:36:11 OpenVPN0
Attempting to establish TCP connection with [AF_INET]46.8.229.101:443
Сен 10 18:36:18 ndm
Dns::Manager: updating DNS-over-HTTPS servers addresses.
Сен 10 18:36:18 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:36:18 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.
Сен 10 18:36:18 OpenVPN0
TCP connection established with [AF_INET]46.8.229.101:443
Сен 10 18:36:18 OpenVPN0
TCPv4_CLIENT link local: (not bound)
Сен 10 18:36:18 OpenVPN0
TCPv4_CLIENT link remote: [AF_INET]46.8.229.101:443
Сен 10 18:36:18 OpenVPN0
NOTE: UID/GID downgrade will be delayed because of --client, --pull, or --up-delay
Сен 10 18:36:20 OpenVPN0
[antizapret-server] Peer Connection Initiated with [AF_INET]46.8.229.101:443
Сен 10 18:36:20 ndm
Network::Interface::EndpointTracker: "OpenVPN0": added a host route to 46.8.229.101 via 176.194.192.1 (GigabitEthernet1).
Сен 10 18:36:21 OpenVPN0
TUN/TAP device tun0 opened
Сен 10 18:36:21 OpenVPN0
net_iface_mtu_set: mtu 1500 for tun0
Сен 10 18:36:21 ndm
Network::Interface::Ip: "OpenVPN0": IP address is 192.168.104.5/22.
Сен 10 18:36:21 OpenVPN0
/tmp/openvpn/OpenVPN0/openvpn-up tun0 1500 0 192.168.104.5 255.255.252.0 init
Сен 10 18:36:21 ndm
Network::Interface::Base: "OpenVPN0": "ethernet" changed "link" layer state "pending" to "running".
Сен 10 18:36:21 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 8.8.8.8/32 via 192.168.104.1.
Сен 10 18:36:21 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 10.224.0.0/15 via 192.168.104.1.
Сен 10 18:36:21 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 103.246.200.0/22 via 192.168.104.1.
Сен 10 18:36:21 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 178.239.88.0/21 via 192.168.104.1.
Сен 10 18:36:21 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 185.104.45.0/24 via 192.168.104.1.
Сен 10 18:36:22 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 193.105.213.36/30 via 192.168.104.1.
Сен 10 18:36:22 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.128.0/20 via 192.168.104.1.
Сен 10 18:36:22 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.144.0/21 via 192.168.104.1.
Сен 10 18:36:22 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 203.104.152.0/22 via 192.168.104.1.
Сен 10 18:36:22 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 68.171.224.0/19 via 192.168.104.1.
Сен 10 18:36:22 ndm
OpenVpn::Routing4: "OpenVPN0": install accepted route to 74.82.64.0/19 via 192.168.104.1.
Сен 10 18:36:22 ndm
Dns::InterfaceSpecific: "OpenVPN0": adding name server 192.168.104.1.
Сен 10 18:36:22 ndm
Dns::InterfaceSpecific: "OpenVPN0": adding a host route to name server 192.168.104.1 (via 0.0.0.0).
Сен 10 18:36:22 ndm
Dns::InterfaceSpecific: "OpenVPN0": host route for name server 192.168.104.1 added.
Сен 10 18:36:22 ndm
Dns::InterfaceSpecific: "OpenVPN0": name server 192.168.104.1 added, domain (default).
Сен 10 18:36:22 OpenVPN0
UID set to nobody
Сен 10 18:36:22 OpenVPN0
GID set to nobody
Сен 10 18:36:22 OpenVPN0
Capabilities retained: CAP_NET_ADMIN
Сен 10 18:36:22 OpenVPN0
Initialization Sequence Completed
Сен 10 18:36:22 ndm
Http::Nginx: loaded SSL certificate for "25e6605079afa687926fdbf3.keenetic.io".
Сен 10 18:36:22 ndm
Http::Nginx: loaded SSL certificate for "evgebunin.keenetic.pro".
Сен 10 18:36:22 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:36:22 ndm
Core::Session: client disconnected.
Сен 10 18:36:22 ndm
Http::Manager: updated configuration.
Сен 10 18:36:22 ndm
Core::Server: started Session /var/run/ndm.core.socket.
Сен 10 18:36:22 ndm
Core::Session: client disconnected.
Сен 10 18:36:32 ndm
Dns::Manager: updating DNS-over-HTTPS servers addresses.
Сен 10 18:36:32 https-dns-proxy
Shutting down gracefully. To force exit, send signal again.

Смотри личные сообщения, значок в правом верхнем углу сайта

всем привет!
подскажите, пожалуйста, в чем может быть проблема - после коннекта через клиент openvpn все также не открываются заблокированные ресурсы…

может тут кроется ответ

Привет, есть три варианта решения:

1. Отключить DCO в пользу Wintun
2. Избегать изменения затягиваемых опций в течение работы тунеля (либо настроить на сервере, либо настроить игнорирование на клиенте)
3. Не использовать виндовс

Что это за клиент? Поставь OpenVPN Connect

Это обычный OpenVPN.

СПасибо!
не сочтите за наглость) а можно, пожалуйста, чуть подробнее по действиям, опыта не хватает сразу понять что нужно сделать

В свойствах виртуального сетевого адаптера, которое создал ovpn, отключить ip v6. Вроде кому-то помогло.

Можно указать адаптер явно

windows-driver wintun
dev tun
dev-type tun
dev-node "OpenVPN Wintun" # название виртаульного адаптера

либо отключить

disable-dco

Для фильтрации опций push

pull-filter ignore название_опции

Никто не дружил антизапрет с pi-hole?
Появилась снова реклама. Установил это pi-hole вроде как заблокировал, но скорость очень низкая.
То ли я не так настроил, то ли так и должно быть.

У кого блокируется любое подключение по опенвпн провайдером, напишите мне в личку!
Надо проверить одно подключение!!!

Можно ли как-то обновлять скрипт без полной переустановки? Или с полной переустановкой, но чтобы потом не было необходимости каждый раз в роутере заменить файл конфига?

если стоит версия антизапрет+обычный впн, то можно обновлять поверх, по идее ничего сломаться не должно, если старее, без отдельного впн то с 0

предпоследняя стоит, неделю назад обновлял) Спасибо большое! а файл конфига тоже можно старый оставить?

да, если есть папка с ключами /root/easyrsa3/pki то новые ключи не будут создаваться и старые коннекты будут работать, после переустановки надо заново скриптом включать dco

а есть вообще глоабльный смысл обновляться?

конечно,что то поправил,что то добавил и тд…

Tyman, Спасибо за Ваш труд! Получается, можно тогда просто сохранять папку pki, полностью с нуля переустановить скрипт, и обратно эту папку загрузить?

Я к тому, что переустановить с нуля не проблема, проблема для меня на удаленном роутере загружать новый конфиг)

Поднял вопрос потому, что сегодня опять у меня перестал работать интел и чатГПТ. Думал, может обновление скрипта поможет

да, но папку с pki загрузить на чистый сервер до запуска скрипта
если создавали доп пользователей то заново пересоздать их - ключи не пересоздадутся, но корректно скопируются в папку опенвпн сервера

Спасибо! А скрипт не перезапишет ключи?

И в папке pki все файлы и папки сохранять? Их там много, вдруг они повлияют на новую версию скрипта.

если папку /root/easyrsa3/pki загрузить до установки то не перезапишет, если папки нет то соответственно создаст все ключи заново, сохранять нужно всю папку без исключений

Супер! Благодарю!
А можно еще кратко рассказать про создание пользователей? Не совсем понимаю для чего, и каким образом под этим пользователем вообще подключаться?

по умолчанию включено что под одним пользователем может сидеть много людей, в целом для всех этого достаточно, раздал друзьям и родным один комплект файлов подключений и не паришься на создании каждому своего, как например в wireguard
но если есть потребность как то разделить, или отключить возможность под одним пользователем сидеть нескольким, то можно создать еще пользователей и новые файлы подключений

понял, а можно как-то органичивать им скорость или выборочный доступ к запрещенным сайтам (например, на ютуб можно, а на торренты нет)?

Не подскажете еще такой вопрос, как зайти на сайт homedepot ком? Прописал в custom адрес, но это не помогает (как я и предполагал).

теперь выполните /root/antizapret/doall.sh или перезагрузите, обновление выполнится после загрузки автоматически
на сколько я знаю скорость в опенвпн нельзя ограничить
удалите ютуб из исключений и доступа не будет

Эту команду сразу прописал. Жду сижу, вдруг заработает. Ну насколько я понимаю, homedepot не пускает российские айпи. Сервер у меня в России. Тем не менее, к примеру, тот же интел и чатгпт у меня работал до сегодняшнего дня. Может homedepot нужно еще куда прописать?

Про ютуб и скорость понял), тогда смысла для меня в пользователях нет)

Огромное спасибо, добавьте плиз инфу по обновлению на страницу гитхаба

Возможно решил проблему отвала некоторых сайтов и нестабильную работу приложений типа Instagram на iOS: днс антизапрета мог возвращать ipv6, запретил возврат, и теперь на запрос ipv6 (AAAA) возвращается NXDOMAIN

Видимо проблема в этом: habr.com/ru/articles/811487/
Возможно, если ошибка в приложении и оно кеширует днс, то не поможет, но попробуем

Нужно обновить два файла (или все сразу):
/root/dnsmap/proxy.py и /etc/knot-resolver/kresd.conf
из репозитория: proxy.py и kresd.conf

в kresd.conf желательно добавить в ручную адгуард днс или ваши проблемные днс сервера и проверить
policy.add(policy.all(policy.FORWARD({'94.140.14.14', '94.140.15.15'})))

Отписаться об успехах можно тут или на github.com

Что изменилось?
в kresd.conf добавилось:

-- Filter which matches AAAA or HTTPS queries, action is policy.DENY
policy.add(function (state, query)
        if query.stype == kres.type.AAAA or query.stype == kres.type.HTTPS then
            -- filter matched the query, return policy.DENY
            return policy.DENY
        else
            -- filter did not match, continue with next filter
            return nil
        end
    end
)

в proxy.py добавил строку reply.header.rcode = getattr(RCODE, 'NXDOMAIN'):

if request.q.qtype == QTYPE.AAAA or request.q.qtype == QTYPE.HTTPS:
       print('GOT AAAA or HTTPS')
       reply = request.reply()
       reply.header.rcode = getattr(RCODE, 'NXDOMAIN')
       return reply

Приступаю к тестам)) если вдруг что, отпишусь
p.s. возможно ли как-то добавить в setup строку, закоменнтировав которую не создавались чисто vpn конфигурации, просто я лично ими не пользуюсь и удаляю конфиги с сервера?

а чем мешает? по моим наблюдениям ресурсы и память не жрет
удалять конфиги не стоит, проще выключить сервисы

systemctl disable openvpn-server@vpn-udp
systemctl disable openvpn-server@vpn-tcp

такие настройки я не планировал, но в целом можно спрашивать, включать впн или нет, думаю будет какая то настройка днс-гугл\адгуард, портов для впн, включать dco

Во, это будет самое целесообразное решение)))
p.s. возможно в дальнейшем будет еще интегрировать в скрипт adguardhome, и так же у пользователя спрашивать установить или пропустить , дефолт (пропустить)

Ура, у меня хорошие новости!!!
У двух наших камрадов, на их провайдерах где ПОЛНОСТЬЮ заблокирован OpenVpn сработал патч сделанный по подобию патчей от ValdikSS, но так как он просил не выставлять его методы обхода в общий доступ, то применил другой подход, описанный и найденный им же но не используемый в его патчах к публичному Антизапрету.
К сожалению, новый патч не разблокирует частично заблокированные сервера, видимо алгоритмы разные, но заблокированный сервер в крайнем случае можно сменить или поменять на нем IP, и второй минус, метод разблокировки работает (вроде) только для протокола UDP

В ближайшие дни, как все протестирую, добавлю этот патч в скрипт

adguardhome точно не будет добавлен

Простите, это все нужно делать, если установил самую последнюю версию скрипта? (Только что на Аезу установил, кстати, попробовал американский сервер, и homedepot открылся, ура!!))

нет, вам уже не нужно

Я тоже не пользуюсь обычным впн, поэтому в файле add-client.sh закоментил строки.

render "/etc/openvpn/client/templates/vpn-udp.conf" > "/root/vpn-$CLIENT-$SERVER-udp.ovpn"
render "/etc/openvpn/client/templates/vpn-tcp.conf" > "/root/vpn-$CLIENT-$SERVER-tcp.ovpn"

Может, пожалуйста, кто-нибудь скинуть инструкцию по настройке AntiZapret на openwrt? После обновления выполняю те же действия что и раньше, но теперь при включении vpn на роутер половина сайтов перестаёт открываться вообще, а заблокированный тем более.
При этом на других роутера всё Ок, только на openvrt почему-то перезапускаться стал

Я бы на OpenWRT не стал Антизапрет разворачивать, можно более умное решение по заветам ITDog развернуть (маршрутизация по спискам доменов прямо на роутере + протокол более быстрый, не OpenVPN)

Я уже настолько привык им пользоваться и он довольно удобный. Плюс ко всему я его поставил на несколько роутеров знакомым и если у них он перестаёт работать, то я могу у себя проверить, и на телефон можно поставить
Но я посмотрю его, если не смогу починить у себя, придётся им воспользоваться

Не имею такого роутера, ничего не подскажу, но видел инструкцию тут

Прошел по порядку по всей теме, все заработало. Ставил на Xiaomi ac2100

Вот, я тоже по этой теме делал все время и все запускалось. Потом только менял данные в конфиге, а сегодня утром обновил сервер и не запустилось почему-то только у меня

Сбросил роутер до заводских настроек, сбросил сервер, переустановил все сначала, по инструкции, результатов не дало. По журналу vpn рестартится каждые 2 минуты по таймауту с любым конфигом
То же самое было на другой сети, возможно, что мой провайдер стал блокировать работу OpenVPN, так как при попытке открыть rutracker.org соединение перезагружается. Придётся ждать патча товарища Tyman, а пока искать другие варианты

Хостера поменяйте , именно хостера а не сервер . Мне помогло . Тоже словил блок через 2 месяца.

Роутер ASUS, Ростелеком, перестало работать на роутере. Люди добрые, подскажите, у кого удалось завести? Какие изменения необходимо сделать? В приложении OpenVPN клиент все работает, но вот именно на роутере на все антизапретовские сайты ведет напрямую по ru IP

Лог на заводской прошивке

Лог на merlin

UPD: Заработало добавив route-delay 11 в клиентский конфиг на роутере

Снимок экрана 2024-09-12 в 01.28.48856×266 24.4 KB

Вряд ли в хостере проблема, если я поставил свой антизапрет на роутеры в разных городах России, и не работает только у меня

У меня на Keenertic час назад тоже начало отваливаться соединение. Постоянно. Видимо что-то начали блокировать

Патч для обхода блокировки протокола OpenVPN на ТСПУ

patch-openvpn.sh

Скопировать в папку /root
Выполнить команду: chmod +x patch-openvpn.sh && ./patch-openvpn.sh
Патч работает только для UDP соединений

В конце установки должно быть написано Patch successful installation!

Господа, подскажите пожалуйста. Сейчас на двух разных серверах развернуты две разные версии Антизапрета. На старой версии все прекрасно работает.

• На текущей версии, которую развернул сегодня аналогичная проблема на клиенте на винде. При этом через клиент на ios все окей, но появилась реклама. Пробовал с нуля ставить, менял debian на ubuntu. Все равно клиент не хочет работать. Изменить параметры ipv6 в настройках адаптера не могу, тк нет админ прав. Буду очень благодарен за помощь, убил весь вечер на это.

Уже писал - поставить OpenVPN Connect
Если поставить нет прав, попробовать отключить DCO на сервере

После патча ничего не поменялось. Так же дисконнект. Я как понимаю всё? Нужно искать альтернативные решения на другом протоколе?

К другим OpenVPN серверам есть подключение? Если есть, то у вас не полная блокировка, можете попробовать сменить хостинг или ИП на текущем
Да, если что, патч работает только для UDP соединений

Я проверил на двух разных провайдерах (2kom и Ростелеком) интернета дома и на двух разных VPS в разных странах от двух разных поставщиков услуги. Результат один и тот же

IMG_57551179×616 142 KB

Подтверждаю. Установил вчера версию без контейнера, не работает. Поменял ubuntu с 24 на 22, подумал может с ней что-то не так, не повлияло. Не работает через Connect - UDP вообще не подключается, TCP подключается и рвется. Рядом на этом же VDS на ubuntu 20 старый антизапрет контейнерный, отлично работает через Connect. DCO не включал.

DCO на сервере пробовал включать/выключать. Результат аналогичный.

shinenn, Wavelent давайте разбираться почему так происходит, судя по симптому что TCP сразу рвется после подключении - это блокировка, но почему работает с того же сервера из контейнера… мне бы рут доступ на сервера где проблемы с подключением

У меня старая версия не из контейнера, устанавливал примерно дней 25 назад, после того момента не обновлял. Вчера решил переехать на нового хостера и сделать все с нуля уже на новой машине. Сейчас попробуй еще раз чистую установку с нуля, если не поможет отправлю в ЛС данные для подключения.
Заметил еще следующий момент. На старом сервере при развертке установлена версия OpenVPN 2.6.3, на новом 2.6.12. Мой windows клиент с которого проверяю версии 2.6.10. При всем этом на роутере тоже рвется TCP, но на UDP один раз удалось завести, после все равно начал уходить в ребут(на версии OpenVPN 2.5.2). На ios все так же после чистой установки работает.
Думаю проблема возможна где-то тут.(пробовал откатить на новом сервере до 2.6.3, не помогло)

upd: Отправил данные в лс
upd2: Проверил на другом устройстве(win 11), установил openVPN Connect, на udp и tcp уходит в бесконечный ребут. Проверил еще на OpenVPN Gui, аналогичная история.
(одновременно с этим на ios все продолжает работает)

То же самое. Сервер AEZA. Ничего не стоит, кроме без контейнера. По udp нет коннекта, по tcp еле-еле, половина сайтов даже не запрещенных открывается со второго-третьего раза, Стоит 5 дней. Рут могу дать.
С самого начала работало отлично все.
Еще, putty первое соединение с сервером сбрасывает, второе дает логиниться.

root@small-dress:~# chmod +x patch-openvpn.sh && ./patch-openvpn.sh
./patch-openvpn.sh: line 7: syntax error near unexpected token newline' ./patch-openvpn.sh: line 7: ’

patch тоже барахлит

Пока не понимаю в чем проблема, из последних изменений это установка openvpn 2.6.12
Убрал установку версии openvpn 2.6.12 - опять ставится та, что идет из репозитория
Скрипт обновил
Пожалуйста, у кого проблемы, попробуйте переустановить скрипт на чистую систему, лучше на 24 убунту

Только что установил без dco, udp подключился и сразу заработал
Патч не ставил

А Вы у какого хостера сервер берете?

На всякий случай обновил патч, чтобы он патчил текущую установленную версию опенвпн, а не ставил последнюю 2.6.12 с которой судя по всему есть проблемы

aeza

Сайты обычные с некоторой задержкой открываются

Я поставил сервер на hostvds, и не работало только у меня. Сейчас с нуля переустановил ещё раз, теперь везде перестало работать, соединение перезагружается, что с патчем, что без патча. Роутеры keenetic с родной прошивкой и xiaomi на openwrt

На убунту 24 сделал чистую установку. Версия OpenVPN на сервере поменялась на более старую, но проблема осталась в неизменном виде. DCO отключен.

• На ios работает на двух протоколах
• На вин 11, через OpenVPN GUI и openVPN Connect вечная перезагрузка, не работают обычные сайты по очевидным причинам.
• На роутере тоже уходит в вечный ребут на двух протоколах (TP-Link на Padavan)

VDSina хост, на HostVDS на старой версии без контейнера все до сих пор работает.

А у Вас не осталось файла установщика от старой версии?

скорее всего дело в разных серверах, с новым скриптом блокируется сервер а со старым нет
было бы хорошо для эксперимента обновить старый, тогда будет точно понятно

Вот сейчас интересно стало. У меня стал открываться rutracker.org, до этого вообще интернет пропадал, а сейчас работает. И инста заработала, и 4pda с vpn клиентами. Но ntc не открывает

UPD, ошибка, открывается только rutracker.org со всех устройств в сети, а на телефоне другой vpn работал дополнительно и я его не заметил

Куки чистите, это в них дело

Пробовал устанавливать скрипт на чистую систему ubuntu 24 и Debian 12 на VDSina. Все проходит успешно, подключение через клиент устанавливается, но заблокированные сайты не открываются. Проделал тоже самое на timeweb, все заводится. Такое ощущение, что дело именно в хостинге. Могу предоставить рутовый доступ к машине на VDSina на которой впн не заводится, возможно поможет в решении проблемы

скорее всего, просите менять ИП
и пишите подсеть какая была заблокирована и на каком хостинге

Правильно понял что под ИП подразумевается IP (айпи)? Хостинг VDSina, ip - 212.34.147.141. Подсеть не знаю как узнать)
На просьбу сменить ip получил такой ответ:

IMG_20240912_174951_722972×268 45.7 KB

Аналогичная история с вдсиной. Айпишники выдают из этого же шлюза, пробую с 3 айпишника уже, все заблокированы. При этом сам OpenVPN точно не блочится провайдером. 212.34.147.151

Может у них такой специальный тариф, потому что при создании VPS выбирал именно его?

Проверил скрипт на aeze все работает и на роутере и на телефоне и на ПК (вин10) патч ставится без ошибок ubuntu 24.04
Про VDSina я и другие писали, блочится именно IP выбора 2 либо каждый месяц другой сервер арендовать либо покупать у них IP за ежедневную оплату, я купил другой IP и сразу же все заработало
причем сеть 195.200.. блочится, а 89.. и 185.. все работает

Я проверил уже, взял на обычном тарифе - тоже самое.
Айпишник был вида - 212.34.147.Х

Вспомнил старые добрый времена, начало 2000-х, как я в блокноте писал код на С и собирал все в консоли на gcc…
К чему это я, а к тому что скоро будет НОВЫЙ ПАТЧ ПОЗВОЛЯЮЩИЙ ОБХОДИТЬ БЛОКИРОВКИ ПО IP ))
Тестирование патч прошел)

Отлично, жду с нетерпением, такой сервер (вечный купил на VDSina за 300$) имеется

Прекрасная новость, спасибо за ваш труд.

Огонь! Вот это супер)

Как вам можно написать в ЛС?

Интересно испробовать такой патч, а то у меня на Inferno ну ни в какую не хочет работать, подключается и дальше тишина.

Патч будет работать на стоковой прошивке роутера от ASUS?

Обновил патч! Проверил на 24 убунте - вроде все пашет!

Немного обновил скрипт установки, чтобы он ничего не спрашивал

Налетайте!

Патч для обхода блокировки протокола OpenVPN на ТСПУ patch-openvpn.sh
Скопировать в папку /root
Выполнить команду: chmod +x patch-openvpn.sh && ./patch-openvpn.sh
Патч работает только для UDP соединений
В конце установки должно быть написано Patch successful installation!

ПС. Желательно установить все заново, переставить систему и поставить скриптом, потом запустить патч, потом включить DCO

ПСС. Отключил я поддержку BF-CBC, даже 10 летние роутеры поддерживают AES

ПССС. Ставить на 24 убунту или 12 дебиан

Все работает, проверил на роутере Keenetic, сейчас еще на телефоне попробую… единственное на роутере сразу не коннектится в логах

С 3-го раза всегда подключается
На телефоне (IOS) без проблем и ошибок, сразу коннект идет
На ПК (Вин10)

Затем все подключается

Я пробовал и на убунте и на debian. Не работало. Ни tcp ни udp протоколы. Либо только российские адреса работают после подключения к серверу, либо вообще ничего не работает. Вдобавок постоянно клиент отваливался (переподключался). А вот со скриптом для обхода тспу все прекрасно заработало! Ура!

Ого, всё заработало! Как приятно с компьютера заходить на форум, а не с телефона!
Заработало на keenetic на мегафоне

UPD
Иногда отваливается сайт, что заблокированный, что разблокированный, нужно перезагружать страницу.
Соединение в VPN не пропадает по логам.

Все отлично взлетело, роутер Keenetic, смартфоны, спасибо!

У кого-то было? Отлетел ютуб · Issue #9 · GubernievS/AntiZapret-VPN · GitHub

Да, появилась аналогичная проблема, но так почти со всеми сайтами

image1920×1040 175 KB

Накатите поверх из репозитория обновление, возможно это поправит, я по днс только что внес правку

И пишите на какой версии ОС проблема

Скажите пожалуйста, как обновить сервер с уже существующими клиентами и их ключами? И надо ли будет заново создавать клиентов и раздавть им файлы с ключами? Сорри за тупые вопросы.

После обновления, нужно ли заново запускать скрипты с патчем и DCO?
Если прописывать DNS в конфиге, достаточно 8.8.8.8 или лучше какие-нибудь еще прописать?
Было бы удобно еще добавить, что если файл include-hosts-custom уже есть то его не перезаписывать

ПС
После обновления проблема повторилась, но после чистки кэш/куки/истории браузера проблема ушла.

Спасибо большое за Ваш труд! Это великолепно)

Пока работает как часы на всех устройствах. Если вы из РФ, то поздравляю с днем программиста))

Debian 11 по ходу вычеркиваем из поддерживаемых, толи knot-resolver старый, толи хз чего - не резолвит заблокированные домены

В конце вот такое выдаёт, это норма?

Что бы не было проблем с кастомизацией исключений
перенес свои предзаполненные исключения в include-hosts-dist.txt
теперь, пополняя свой include-hosts-custom.txt он не будет затираться при обновлении

Спасибо))) Хоть кто то поздравил с проф праздником)))

нет, я переставил бы ос

Ещё такой момент, на новой версии(относительно той которую ставил 20 дней назад) появилась реклама в ютубе? Есть ли какой-то фикс или это норма?

Пробовал. Не помогает, каждый раз это выдаёт через какой-то время

Подскажите пожалуйста.

1. Если создан клиент то один профиль .ovpn могут несколько человек использовать?
2. Как отключить при необходимости действующий профиль?

Мелкие правки вносил, кое какие проблемы вылезли

У кого есть проблемы, обновите с 0 на Debian 12 или Ubuntu 24 (рекомендую), на крайний случай Ubuntu 22 (из коробки не работает DCO)

На всех системах проверил с 0, проблемы что нашел поправил

Дополнительно выключил DNSSEC validation, если у кого то были проблемы с ДНС, возможно это поможет

Я правильно понимаю, что сейчас, в текущей версии, при установке патч на ставится и его надо ставить отдельно если не работает?

да, отдельно, если нужен - то ставится, с DCO так же
может у кого то будет несовместимость с патчем, так же и с DCO

Youtube все же не работает у меня , остальное открывает + dnsleaktest.com/ рф ip вылазят , и те сайты исключения которые я сам добавил , видят как рф

На своем сервере, который стоял долго и не трогался, словил сегодня странную блокировку на 80 и 443 порту по UDP - трафик на сервер не доходит вообще, по TCP работает, меняю порты для UDP - работает
Хз что это и кто так полностью блокирует трафик, хостер (вдсина) говорит что не причем

Сперва думал глюк, перегружал, переставил с 0 - не, не помогло(

UPD
ответ поддержки, ип на 5…

image1474×229 39.9 KB

Ругается что на операционке нет утилиты curl. Перед запуском скрипта необходимо ее установить

Именно в этом и была проблема, спасибо

FirtsByte надоел, второй раз за 2 недели заблокировал пул РТК “95.53.0.0 - 95.53.63.255”
Посоветуйте норм провайдера за 200-300р мес?
P.S. сервер в Финках

Судя по теме, блокировок стало за последнюю неделю сильно много
Я бы порекомендовал сейчас взять аезу промо
Если с ип будут проблемы то в поддержке в телеге, как я понимаю, могут поменять ип

Они мне дали на тест 2 ip, он тоже оказался заблокирован. Купил у них же сервер в Нидерландах, ip по GeoIP вообще в Великобритании. Посмотрим как будет работать. Если что сразу уйду на аезу.
Кстати брал кто в аезе сервер по акции в Стокгольме, как дела с ip обстоят?

У аезу промо при покупке был баннер что тех поддержка по этому тарифу не осуществляется.

Две недели назад взял , половину сервисов(ютуб, иснта работают) видит как РФ , ip начинается с 89

У меня такой, чет поспешил и оплатил год, IP начинается на 89… 2ip определяет как Москва.
Но пока все работает как надо.

Понял, пока посижу тогда на FirstByte, они вроде ± с GeoIP разобрались

А можно коротенечко описать что надо сохранять при переходе с сервера на сервер, чтобы серты заново не выпускать? Сертов штук 6

У меня на firstbyte через роутер все работает, но вот через мобильный интернет нет, видимо режут, в программе пишет подключен но обход не осуществляется. У меня правда ещё старая версия скрипа. Подключения по tcp
Провайдер домашнего интернета и мобильного Ростелеком
Причем блок не полный, то работает то не работает

Пока не заметил блокировок со стороны мобильных провайдеров, YOTA, МТС все ок

Если я правильно понял

Добрый день.
Подскажите пожлуйста куда копать, установил VPN используя скрипт на VPS сервер(aeza.net).
На хосте(xubuntu 22.04) через NetwotkManager настроил VPN клиент.
После подключения заблокированные сайты работают, а всё остальное нет.

Например ya.ru

$ ping ya.ru
PING ya.ru (5.255.255.242) 56(84) bytes of data.
From _gateway (192.168.104.1) icmp_seq=14 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=15 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=16 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=17 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=18 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=19 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=20 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=22 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=23 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=25 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=26 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=28 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=29 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=30 Destination Port Unreachable
From _gateway (192.168.104.1) icmp_seq=31 Destination Port Unreachable
^C
$ ip r get 5.255.255.242
5.255.255.242 via 192.168.104.1 dev tun0 src 192.168.104.2 uid 1000 
    cache 

tun0 это как OpenVPN

rutracker при этом пингуется:

$ ping rutracker.org
PING rutracker.org (10.224.0.3) 56(84) bytes of data.
64 bytes from 10.224.0.3 (10.224.0.3): icmp_seq=1 ttl=54 time=101 ms
64 bytes from 10.224.0.3 (10.224.0.3): icmp_seq=2 ttl=54 time=102 ms
64 bytes from 10.224.0.3 (10.224.0.3): icmp_seq=3 ttl=54 time=101 ms
64 bytes from 10.224.0.3 (10.224.0.3): icmp_seq=4 ttl=54 time=102 ms
^C

Пробовал TCP, UDP без разницы.
Пробовал в настройках VPN включать опцию: “Использовать это соединение только для ресурсов в этой сети” но в этом случае наоборот, кажется VPN вообще перестает работать, все сайт работают через основную сеть

Как правильно настроить VPN в NetworkManager?

PS На Android тоже ничего не заработало, но там даже подключение к серверу не проходит

Как мне кажется проблема в том что “белые ресурсы” пытаются через OpenVPN работать, а вроде как должны через основное подключение работать…Но где и как это настроить я не знаю…

Сначала было все хорошо, youtube определял как Россия (регион RU) и рекламы не было, не работал только ChatGPT.
Через неделю после покупки сменилось гео IP (регион SE) и теперь есть реклама на ютубе, но и ChatGPT работает.
IP тоже начинается с 89

в продолжение…

оказывается, хостинг вдсина заблокировал трафик на 80 и 443 порты по udp, из за какой то атаки на соседний ип, блокировать стали всю подсеть, при этом по tcp подключение работает
думаю, это будет полезно знать у кого были или будут подобные проблемы

появилась идея объединить подключение по udp и tcp в один файл, прописав в клиентский файл две строчки
remote 1.2.3.4 80 udp
remote 1.2.3.4 80 tcp
тем самым, при неудачном подключении к 1 серверу в течении 10 сек, будет попытка подключаться к след серверу

думаю лучше даже будет сменить порты для udp, оставив 80 и 443 только для tcp

Разобрался вроде. Так работает:

nmcli -p connection modify antizapret-tcp ipv4.dns-search '~.'
nmcli -p connection modify antizapret-tcp ipv4.never-default yes

Правда хрен найдешь эту информацию…Может в иструкцию это стоит добавить?

Почитайте там выше

1. Правильно ли я понимаю, что если сейчас ставить с 0 текущую версию, то после установки основного скрипта, надо поставить патч OpenVPN в обязательном порядке, тк он в основной скрипт не входит?
2. будет ли работать AntiZapret-VPN совместно с vps по доменному имени, а не IP?
3. на конечном устройстве (pc/android/openwrt) достаточно будет поставить клиент openvpn и импортировать файлы-ключи?
4. идея осталась таже, напрямую (минуя vpn) идет все, что незаблочено получается?

1. правильно, патч и включение dco опциональны, нет блокировки - не зачем патч ставить, нет клиентов с поддержкой dco - аналогично
2. эта настройка никак не связана с антизапретом, если настроите днс то будет конечно
3. да
4. да

После того как я с удивлением обнаружил что блокируются подключения по UDP на порты 80 и 443, при этом блокировка не похожа на ТСПУ тк не блокируются другие порты по UDP и не блокируются по TCP, и разобравшись с техподдержкой, оказалось, что доступ к UDP по 80 и 443 заблокировал хостер (вдсина) из-за каких то атак на соседний в подсети сервер!
Так оказалось, что казавшиеся очевидные плюсы в использовании самых распространенных портов - плохая идея.

В итоге, добавил резервирование портов, те к уже имеющимся портам 80 и 443, добавлены резервные порты 50080 и 50443, которые теперь в новых конфиг файлах используются в первую очередь

Еще добавил конфиги подключений без указания типа протокола - в них используется и UDP и TCP в сочетании с двумя портами - получается аж 4 варианта, а значит так еще больше шансов подключиться, к тому же один такой конфиг легче раздавать и обновлять.

Довольно странно, у меня на VDSina продолжает работать конфиг, сейчас напишу в ЦПП уточню у них и попробую для своих IP разблочить порты
p.s. ответили, что данные порты они не блокируют

блок у хостера можно определить тут https://check-host.net
там на открытый и закрытый udp порт будет всегда писаться что “открыт или фильтруется”

Добавил возможность дополнительно обновить версию Knot Resolver, dnslib, OpenVPN и DCO (если был установлен ранее) до последней версии скриптом upgrade.sh
Проблема оказалась не в последней версии OpenVPN, так что ставить можно и судя по правкам в их гите иногда и нужно

3-й раз копировать накачу пока старую версию, вроде как неплохо и на ней работает))

А тоже только всё снёс, чтобы поставить с нуля )))
Сидим, ждём ))

в общем допилил upgrade.sh, вроде все что надо обновляется, обновляет все основные компоненты антизапрета до последних версий
так же, вернул поддержку дебиан 11, но оно для работы требует установки этого апгрейда

Еще раз, при обновлении скриптом upgrade.sh, добавляется резервирование портов и 4 варианта?

нет, резервирование при установке ставится
upgrade обновляет пакеты

ну вроде тесты всякие проходит, погонял на последних обновленных пакетах - проблем не вижу

Добрый день! Провайдеры блокируют OpenVPN UDP, собрал Windows-версию сервера с вашим патчем, если подключаться клиентом из Windows, то всё работает замечательно, блокировка снимается, а вот Mikrotik клиент после патча не хочет соединяться, ошибка немногословная - “no rsid, dropping”, не подскажете, можно с этим что-то сделать?
Спасибо за патч!

Спасибо за работу, перешел на версию без контейнера, не с первого раза, но в итоге на 24 убунту поставилось, ютуб работает даже лучше, чем было, остальное тоже ок

Здравствуйте. Сделал все по инструкции: развернул сервер на Ubuntu 20, получил два файла tcp.opvn и udp.opvn А вот дальше не могу разобраться, что и куда подставлять и как настроить свой роутер. Роутер прошил на Openwrt версия 19.07.3 Роутер TP-Link Archer C5 v4. В роутере установил контейнеры для OpenVpn, вкладка VPN появилась.И вот как дальше действовать, какие настривать параметры роутера, не могу разобраться.Подставлял файлы во вкладке VPN- “Загрузка файла конфигурации OVPN” , но ничего не происходит Ютюб не открывается. Помогите,пожалуйста чайнику

я пользовался 2 инструкцией, все работает (убунту 24)

Потому что надо ещё файервол правило добавить и интерфейс для vpn, и отключить защиту DNS. Почитай, тут как раз разбирали настройку антизапрета на openwrt

к сожалению толком и не подскажу, попробуйте обновить прошивку, возможно поможет отключение шифрования

в инструкции не сказано что этот скрипт поддерживается на 20 убунте - рекомендую ставить 24

Прошивка последняя, нашел похожее сообщение в соседней ветке, где к docker-контейнеру Antizapret подключались c Микротика по UDP, я так понял, у Микротика в принципе, с OpenVPN по UDP не всё гладко.

Самое печальное, что патч заработал не для всех операторов, на каких-то операторах всё так же блокируется и с патчем.

патч сейчас самый простой, возможно где то dpi умнее или по другому настроена блокировка OpenVpn

сегодня еще будут мелкие правки в скрипте не особо влияющие на работу

кто давал мне рут для тестов, всем спасибо, все освободил

ВНИМАНИЕ!
теперь нужен рут на сервер, на котором текущий патч не помогает обойти блокировку по udp!
попробую понять что можно улучшить, плюс попробую сделать такое и для tcp

В принципе, могу организовать такой сервер, правда, проблема то не в сервере, а в клиентах, которые подключаются, т.е. для полноценных тестов нужен доступ и на сервер, и на клиент.

Друзья, завис на, наверное, самом простом шаге.
VDS сервер арендовал, антизапрет развернул, файлы .ovpn на руках
Но не пойму, как этот конфиг прокинуть в мой роутер (archer c6). Нет кнопки импорта конфигурации, только экспорт. Что делать?

image1083×828 34.8 KB

никак, на роутере нет клиента, можно создать только сервер чтобы подключались к роутеру

да… логично, не подумал что надо как то и на клиенте проверять
скинь в лс конфиг подключения к серверу, вдруг он и с патчем блочится у меня тоже - тогда доступ на клиент будет не нужен

Ужас, получается всё было зря?

Такой вопрос, а кто-нибудь пользуется лампой с торрсервером? У всех всё ок?

Зависит от ревизии роутера. На 4PDA есть прошивки с OpenWRT для некоторых ревизий. В них есть ВПН.

Устроил тест скорости ответа ДНС на разных хостингах, по итогу тестов с ДНС 8.8.8.8 перевел антизапрет на 1.1.1.1 - стабильно работает быстрее, не сильно но стабильно быстрее
Делаю интерактив, чтобы сразу при установки задавались вопросы про установку обновлений, патча, включения DCO и включения Адгуард ДНС
Адгуард ДНС отключил для обычного ВПН

Прошил, спасибо. Захожу в open VPN.

image1036×629 25.7 KB

и еще вопрос. На этом шаге какое имя надо вводить? я ввел рандомное dom

image882×115 1.93 KB

На ваш вкус.

Ну нижние три наверное глобальный ВПН, а верхние ТРИ точечный обход.
TCP это типа медленно но верно, а UDP быстро, но как повезёт
Без TCP и UDP наверное оба по очереди.

Протестировано на Ubuntu 22.04/24.04 и Debian 11*/12 - Процессор: 1 core Память: 1 Gb Хранилище: 10 Gb

• Debian 11 требует установки обновления dnslib

А какой при этом процент загрузки CPU? >_<
А то чёт у меня бьётся под 100%, если всё поставить. (Апгрейд, патч и DCO)

После перезагрузки обновляются списки, минуту-две

вот я добавил, сохранил. Но запрещенные сайты так и не открываются. Еще нужно какое то действие или я что то сделал не так?

image1027×158 9.76 KB

Может есть люди, кто помогают настроить, или топик где нибудь создать?

Сейчас заново делаю:
После установки да. Пару минут билось в 100%, но успокоилось.
А вот после ./patch-openvpn.sh оно на 10 минут прям встало до того, что SSH доступ стал застревать.

Надо. На OpenWRT не всё так просто. Введите в поиск что-то вроде “Настройка VPN для интернета на OpenWRT”.

Кстати вообще неясно что должен был делать ./patch-openvpn.sh ?
Это хак чтобы UDP ВПН работал, если провайдер его блочил? С мобильным МТС сработало, а вот со “стационарным” провайдером как не работало, так и не работает.
Выбирать другой сервак? Или они как-то иначе блокируют?

P.S. После того как я поставил Debian вместо Ubuntu проц перестал в 100% биться после “патча”.
Ещё бы ВПН работал

тут же все написал

никакой принципиальной разницы между убунтой и дебиан нет, загрузка цпу после перезагрузки это от того что обновляет списки

После ./enable-openvpn-dco.sh. Выдаёт это, всё норм?

image1500×500 45.8 KB

Нет конечно, свежую версию с гита брал? Попробуй

Как раз самая свежая версия

что дает выполнение:

apt update
apt install linux-headers-$(uname -r)

По идее должно поставить недостающее и в посл скрипте оно есть

После какой перезагрузки?
Я ж писал. После установки он на пару минут грузит на 100%, а вот после установки патча ОпенВПН зависает более чем на 10 минут. (На Убунту.)
На Дебиане всё норм.

какая версия убунты была? если ошибка была то просьба присылать ее, а то что зависло или еще что то это не информативно

Может опять в моей ос чего-нить не доложили

20/22 точно. Не помню пробовал ли 24.

Сейчас меня больше волнует что не получается запустить ВПНку на компе =
Ну не мог же мой провайдер все хостинги перебанить?

Выложил версию, которая при установке дает выбрать что сделать сразу при установке:

1. Установить обновления Knot Resolver, dnslib, OpenVPN и DCO
2. Установить патч для обхода блокировки протокола OpenVPN
3. Включить DCO
4. Включить AdGuard DNS

Я так и не понял должен ли помочь патч в случае

2024-09-15_00-37-121352×414 36.5 KB

Я понимаю, что это DNS1, DNS2, но выглядит как ошибка

2024-09-15_00-43-531184×319 21.8 KB

Кстати у angristan/openvpn-install красиво сделаны настройки: там просто список DNS и ты выбираешь нужные. Ещё бы стырить оттуда конфиг самого Open-VPN - у меня в роутере нет всех типов шифра к примеру.

(Это совет, а не критика. У вас крутое решение. Мне так намного привычнее чем париться с докером.)

это не то, тут выбор днс для разных vpn - сперва впн с антизапретом а потом для обычного

а выбор днс… ну смысла нет, я по умолчанию гугловый на клаудфлейрский заменил тк он самый быстрый, адгуард имеет выбирать что бы чуть снизить трафик от рекламы ну и меньше е смотреть там где нельзя блокировать

Ля. Я на вторую строку вообще внимания не обратил

(Сразу полез в код где DNS1, DNS2)

Может где-то есть и описание что ж за Патч OpenVPN?

а что описывать, он либо помогает обходить блокировку подключения по udp… либо не помогает

переименую,чтоб не смущало

У меня кста тоже вылетело

Patch successful installation!
Hit:1 Index of /debian/openvpn/release/2.6/ bookworm InRelease
Hit:2 Index of /knot-resolver/ bookworm InRelease
Hit:3 Index of /debian bookworm InRelease
Hit:4 Index of /debian-security bookworm-security InRelease
Hit:5 Index of /debian bookworm-updates InRelease
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
All packages are up to date.
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
Calculating upgrade… Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
E: Unable to locate package linux-headers-6.1.0-9-amd64
E: Couldn’t find any package by glob ‘linux-headers-6.1.0-9-amd64’

И после

тоже самое

root@fin:~# apt install linux-headers-$(uname -r)
Reading package lists… Done
Building dependency tree… Done
Reading state information… Done
E: Unable to locate package linux-headers-6.1.0-9-amd64
E: Couldn’t find any package by glob ‘linux-headers-6.1.0-9-amd64’

Debian 12

Я прост не понимаю: если я его установил у меня не работает, то мне надо выбрать другой хостинг?
Или вообще пофиг и смена хостинга не поможет?

попробуй тогда

apt update
apt dist-upgrade
apt install linux-headers-$(uname -r)

на этот вопрос никто не ответит пока не попробуешь
если ты поставил на свой хост и у тебя не пашет, то скинь доступ на этот сервер, если у меня так же не заработает, то попробую допилить патч

Так у меня не пашет видимо из-за ограничений МОЕГО провайдера. (Не серверного.)
Если я подключаюсь с телефона по мобильной связи - работает.
По Wi-Fi через проводного - не работает.

Приветствую! Изменил порт с 443 на 1194.
Подскажите, как сделать чтобы при создании нового клиента порт по умолчанию был 1194?

нужно поменять порт в шаблонах /etc/openvpn/client/templates

А у меня после чистой установки на ubuntu 22 со скрипом от 12.09 по udp, вроде все работает, сайты открывает, но бывает не понятное поведение, iptv ilook.tv работает, выйдешь из приложения захожу по новой не показывает, отключаюсь от wi-fi подключаюсь показывает и так до нового выхода из приложения. При входе в сбер пишет нет интернета, режима полета включаю/выключаю все работает.
Может ещё какие-то приложения также сбоят пока не заметил.
Через мобильный интернет с включенным ВПН все работает. Конфиг один и тот же что на роутере что на телефоне.

а файл Custom теперь пустой, так и должно быть?

поправьте опечатки в описании “Ваш сервер должен находиться за пределами России”

Кто может еще подсказать:

1. в конфиг Асуса на 4пда рекомендовали добавить строчки
   setenv opt tls-cipher DEFAULT:@SECLEVEL=0
   auth-nocache
   Нужны ли они, и что они делают?
2. Какой конфиг лучше загружать? TCP/UDP или просто UDP? И если загружать TCP/UDP, то откуда тот же Асус поймет через что работать?
3. Сервер американский, американская реклама на ютубе появляется. Что я не так сделал? Скрипт установил новый с 0, в процессе установки везде выбирал Yes.

В кастом заноси свои домены, которые не открываются, есть ещё один файл, там уже есть пред загруженный список

1. Проверь без этой строки и с ней, так и поймёшь нужна она в конфиге или нет.
2. По желанию, я выбрал просто UDP, а вообще у тебя роутер проверит, по порядку где есть доступ, через то и будет работать.
3. Так ютуб тоже американский, поэтому и реклама

Просто раньше в Custom были одни записи, в dist другие. Сейчас все получается в dist, а в кастом мы свое вносим. Ну да так логичнее.

1. Проверил, вроде работает и так, и так. Но может все же есть какой-то тайный смысл в этих строчках?
2. у меня после загрузки конфига, в роутере есть просто выбор либо TCP, либо UDP. При загрузке TCP/UDP конфига, у меня включается TCP. При загрузке UDP конфига, включается UDP. Так и оставил.
3. Adblock не отсекает американскую рекламу?

Не увидел, что добавили блокировку рекламы, но мне кажется сам ютуб использует новые методы обхода блокировки рекламы. Это лишь предположение, пользуюсь на компьютерах adblock

Если использовать российский VPS, то отсекает рекламу на ура

Добрый день.
Подскажите на кенетиках ошибка
Service: “OpenVPN0”: unexpectedly stopped.
И постоянно переподключается

IMG_13411290×2796 335 KB

IMG_13421290×2796 286 KB

Добрый день. Развернул все по инструкции, openVpn на телефоне работает. С роутером keenetic не могу разобраться: скопировал содержимое 1 файла antizapret***.ovpn, 2 дополнительные строки для роутера с гитхаба для keenetic ввел, но антизапрет все равно не работает. Я не совсем понимаю, правильно ли я смотрю dns-серверы в роутере и нужно ли писать дополнительные строки после сертификата или до при настойке клиента в роутере. Скриншот с вкладкой «интернет» в роутере прикрепляю. Провайдер у меня МТС. Если 2 днс-сервера, то нужно добавлять 4 строки и куда именно добавить? Интернет-другие подключения- vpn подключения - в конце конфига?

Проверьте работу через приложение на смартфон или компьютере, если не работает, значит что-то с сервером. Если работает, значит с настройками роутера

Где 192.168.1.1 адрес ДНС сервера получаемый от провайдера на роутере, если ДНС несколько - строчек должно быть несколько.
Вместо
‘route 192.168.1.1’
Вам нужно прописать свои DNS которые вы получаете от провайдера, должно получиться
‘route 46.23.150.20’ например.
Ждёте 5 минут, если не работает, попробуйте прописать
‘route 1.1.1.1’ вместо ДНС в конфиге

У меня на 217 начинается днс на скриншоте, верно смотрю? Антизапрет будет работать, не 192 как в инструкции?

Пропишите и проверьте. Я у себя в файле прописывал и 1.1.1.1, и 8.8.8.8, и 77.88.8.8, и 9.9.9.10, со всеми работало. Проверьте и так и так

“Pull-filter ignore … “ надо дублировать или толко «route …” приписать несколько раз для каждого днс сервера?

на телефоне также рвется, с сервером что может быть?

ignore прописывается 1 раз
Route столько раз сколько днс хотите прописать
route 8.8.8.8
route 1.1.1.1
route 47.214.58.4

Запускали patch на сервере?
VPS за рубежом? Какая ОС и версия? Не работает ни TCP ни UDP?

какая-то проблема началась. На двух серверах установил скрипт (американский aeza и российский timeweb). Запрещенные сайты открывает не сразу, то есть сначала страница не открывается, обновишь, открывается сразу.

Программы тоже как-то странно стали работать.

Яндекс музыка сразу не подгрузила треки, нажимаешь обновить, подгрузила.

Пытаюсь обновить программу по работе, пишет сервер недоступен, потом заново запущу обновление, может обновиться, а может начать обновляться, но на загрузке какого-то пакета написать опять сервер недоступен.

Ютуб на российском сервере тоже начал транслировать рекламу.

Есть ощущение, что все началось когда перешел на UDP подключение

Patch устанавливали? Если нет, попробуйте запустить
Пробовали использовать другие DNS в роутере?
Проблема и на TCP/UDP, и на TCP, и на UDP?
Если да, надо подождать товарища Tymen. Если нет, попробуйте разные файлы по очереди

Так же рекомендую выполнить очистку куки и кэша браузера и перезагрузить роутер, после этого подождать пару минут и проверить снова

ubuntu 22.04, debian 12 вообще не встает с если при установке не отказаться OpenVPN и DCO TCP ни UDP. Разрывает примерно раз в 1 минуту

Патч устанавливал, вообще ставил все, что предлагает установщик.
ДНС 8.8.8.8 и 1.1.1.1, раньше с ними все отлично работало.
Сейчас тестирую на TCP, но вроде все тоже самое.
Куки чистил, роутер перезагружал

Не знаю почему не работает. Нужно ли еще что-то настраивать? Я ввел все днс-серверы.

IMG_13451290×2796 308 KB

Что в логах пишет?

Вот из логов роутера

IMG_13461290×2796 591 KB

При открытии ютуб увидел: « no registered connection “

Переподключал клиент.

IMG_13471290×2796 348 KB

да, он теперь только для добавления пользователем, он не перезаписывается если заново запустить скрипт где он уже был развернут
предзаполненный теперь другой - include-hosts-dist.txt

На выбор, кому то нужен только UDP, кому то TCP, клиент подключается к серверам в порядке их добавления, те в конфиге где UPD и TCP приоритет сперва по UDP, если в течении 10 секунд не удалось подключиться - будет переходить на следующий сервер

У кого кинетик

Оказывается галочка “Использовать для выхода в интернет” превращает AntiZapret-VPN в обычный VPN и весь трафик начинает ходить через VPN

На моем кинетике kn-1811 с прошивкой 4.1.7 данный способ работает, но у меня днс от другого роутера с адресом из локалки, возможно из-за этого этот способ и работает

Поставил всё на чистый сервак 27 августа. Как понимаю, много чего уже изменилось и обновить не получится. Надо переустанавливать. А забэкапить профили получится? Раньше был способ в инструкции. Теперь его нет. Не работает больше? А то много кому уже раздал. Не хочется заново это делать

сохранить с сервера папку /root/easyrsa3
переустановить сервер
обратно залить папку /root/easyrsa3
запустить скрипт установки

пс. добавил в FAQ

Спасибо, попробую

Попробовал

У меня, например, если эту галочку не включить, то VPN не работает. Если она включена, то открываются только заблокированные сайты. Делал всё как по инструкции, pull-filter ignore block-outside-dns в конфиг добавил.

Если адрес ДНС начинается не на 192

У меня он начинается на 100… Что тогда делать?

Спасибо! Пока оставил UDP.
Какая-то проблема у меня теперь. Для примера вот Яндекс музыка, при проверке интернет соединения выдает:
Не удается найти сервер с таким именем или адресом

Status: NameResolutionFailure
‘Request Action’: https://s09man.storage.yandex.net/mds-test/5mb.dump
‘Background Request’: False
‘Request Body’: null
‘interactive’: True
Downloaded https://s09sas.storage.yandex.net/mds-test/5mb.dump in 00:00:00.3113772 (16443 kbps)
Downloaded https://s09vla.storage.yandex.net/mds-test/5mb.dump in 00:00:00.2149474 (23819 kbps)
Error during request to ‘https://s09myt.storage.yandex.net/mds-test/5mb.dump’
Message: An error occurred while sending the request. Не удалось найти текст, связанный с этим кодом ошибки.
И очень многие программы не хотят нормально обновляться. Тоже ошибки выдают
Вот эти настройки никогда не трогал. Может тут что поменять надо? Но и с такими неделю назад все работало вроде хорошо.

2749×1235 47.9 KB

1825×1234 51.3 KB

Попробуйте настроить Keenetic по обновленной инструкции

а если подключится с клиента openvpn с компа?

Вроде заработало но только после перезагрузки роутера.

Запустил OVPN клиент, подкинул ему конфиг, больше ничего не делал. Подключилось сразу, но перестало вообще все открывать. Посидел 5 минут и выключил)))) Решил снова роутер сбросить до заводских. Сбросил, заново все установил с нуля. Вроде начало работать, буду тестить. Не понимаю, почему так, настройки никакие в роутере не менял бездумно. Может какие хвосты в нем остаются…

Еще объясните мне пожалуйста, не догоняю. Вот условно неделю назад на старой версии скрипта у меня была программа, которая не работала (программа для скачивания ливрей, работает через Cloudflare, который у нас заблокирован), после установки скрипта, все сразу заработало. Я ничего в custom не прописывал, но работало сразу. Я еще подумал, как она работает, если в антизапрете не прописана. Сейчас она не работает, и это логично, потому что она по идее в пытается подключиться напрямую и не может. Но тогда как она раньше работала?

Поставил все по инструкции. Работает отлично на телефонах, тв и пк.
Есть потребность поставить впн на роутер. там только pptp и l2tp.
Подскажите, есть ли вариант, прикрутить к текущему конфигу pptp? может кто реализовывал похожее или даст наводку, как погуглить.

Думаю нельзя. Роутер какой у Вас, не Сяоми случаем?

У всех в спидтесте белые окна? Или у меня опять что-то не так…

41259×810 33.3 KB

AdGuard DNS был включен? Если да то скорее всего это он порезал рекламу