[Решено]Особенности реализации частных сетей в archlinux

[yranehor]

Подскажите кто нибудь бесплатную частную сеть надежно работающую в России. И как её развернуть в archlinux. Советов в инете полно но ни один мне реализовать не удалось. Вопрос этот в настоящее время актуален не только для меня.

[ALiEN]

TOR

[konstantinovms]

TOR

TOR как раз блокируется проще всего.
Переадресую ответ RusWolf, которым до сих пор пользуюсь: https://www.vpnjantit.com/ Видимо, настолько мелкий VPN, что при всех блокировках продолжает работать. Есть ещё ExpressVPN. Тоже работает. Интереснее схема ProtonVPN (который заблокирован в России) внутри другого VPN, который пока не заблокирован (того же Jantit).
Как настроить WireGuard см. здесь. Если коротко, то устанавливаем wireguard-tools, затем регистрируем аккаунт на VPNJantit, там создаём подключение VPN через WireGuard, скачиваем файл с настройками и кидаем его в каталог /etc/wireguard/, назвав подключение любым удобным именем. Потом в консоли:

sudo wg-quick up имя_подключения

Для отключения в консоли:

sudo wg-quick down имя_подключения

Пользуемся. При возникновении проблем читать Wiki.

[yranehor]

А нельзя ли разжевать мне все по подробнее. В 84 года мозги работают заторможенно, да и склероз глубоко запустил свои корни. Перепробовал уйму советов из инета, но ни один почему то у меня не сработал.Начал с этого https://ipspeed.info/freevpn_openvpn.php?language=ru
Вроде все предельно ясно но не работает. Пробовал и Open VPN и L2TP/IPsec Результат нулевой. wireguard установлен, а практически подключить VPN Jantit мозгов не хватает. А хотелось бы. Не пинайте динозавра сильно, а если можете спокойно и как можно более подробно мелкими шашками помогите мне сделать это практически.

[konstantinovms]

А нельзя ли разжевать мне все по подробнее

Вам VPN зачем нужен? Если только для обхода блокировок, то можете просто установить расширение в Google Chrome/Chromium или в Firefox. Для обхода блокировок этого более чем достаточно. И ничего больше настраивать не придётся.
Или попробовать рецепты из этой темы.
Если же нужен именно VPN, да ещё и такой, чтобы обходил блокировки, то здесь придётся разбираться в этой технологии. Самая простая версия, как я говорил, это WireGuard. Сейчас попробую набросать с картинками.

UPD: с картинками лень возиться, в текстовом режиме по пунктам:
1. Регистрируемся в VPNJantit, логинимся и заходим в дашборд: https://www.vpnjantit.com/account/dashboard/home
2. Нажимаем кнопку My Free VPN List и переходим к списку Ваших VPN (можно и короче сделать, но на будущее Вам всё равно придётся идти этим путём). Находим кнопку "Create Free VPN SSH"
3. В открывшейся странице находим кнопку "Free Wireguard VPN" и нажимаем её.
4. В открывшейся странице выбираем тот VPN, который нравится – азиатские, европейские и т.д. Допустим, нам понравился VPN в Бангладеш. Соответственно, нажимаем кнопку "WireGuard Bangladesh".
5. В открывшемся окне выбираем из нескольких предложенных вариантов: "WireGuard Bangladesh-1", "WireGuard Bangladesh-2" и т.д. Выберем второй из списка, нажмём кнопку "Create Username WireGuard".
6. В открывшемся окне находим окошко с надписью Username и вбиваем в него любой ник, который нравится. Пусть будет Bangladesh. Ставим галочку в капче "Подтвердите, что вы человек", дожидаемся, пока она отработает (появится сообщение "Успешно") и нажимаем кнопку "Create Username WireGuard". После того, как тоннель VPN будет создан, справа на странице появится QR-код (который можно отсканировать, если хотите подключить смартфон, например. А ниже QR-кода будет кнопка "Download Wireguard Config bd2". Нажимаем на неё. Скачается файл "Bangladesh-bd2jantit.conf". Находим его в скачанных файлах и просто копируем в каталог /etc/wireguard под любым удобным именем. Например, jantit.conf.
7. При подключении указываем имя файла, который скачали (но, разумеется, без расширения .conf). Допустим, мы его назвали jantit.conf. Тогда подключение будет:

sudo wg-quick up jantit

Всё, больше ничего настраивать не надо. Проверяем доступность интернета:

ping google.com -c3

Если всё работает, отлично. Отключаем VPN командой:

sudo wg-quick down jantit

Через 7 дней процедуру повторяем. Только на первом этапе выбираем не "Create Free VPN SSH", а находим в списках наш просроченный VPN (допустим, это был "Bangladesh-bd2jantit") и нажимаем рядом с ним кнопку "Recreate". Во всём остальном процедура повторяется.
Этот VPN бесплатный, притом с приличной скоростью. Не очень удобно, конечно, что каждые 7 дней приходится пересоздавать подключение. Но в принципе, вся процедура отнимает меньше 5 минут. Можно создать сразу несколько подключений (с разницей создания в один-два дня) и переключаться между ними. Оплатить его тоже можно, чтобы не морочить себе голову каждую неделю, но там не очень удобные заморочки. Российской картой оплатить не получится. Я бы оплатил при помощи биткоинов (там есть такая возможность), но мне очень не понравилось то, что скриншот об оплате им нужно пересылать в WhatsApp, а не на электронную почту. Это что ж за VPN такой, где нужно светить свой телефонный номер? Нафиг-нафиг. Если не хотят моих денег, пусть сидят без них.

[vasek]

Пробовал и Open VPN и L2TP/IPsec Результат нулевой

Есть очень простые способы, но работают не всегда ... начинаю обычно с них ...
Если не секрет, приведи 1-2 такит сайтов.

[RusWolf]

https://www.vpnjantit.com/

https://finevpn.org/ - сейчас пользуюсь им.
Бесплатный аккаунт на месяц, можно его продлевать, не меняя настроек.

[konstantinovms]

https://finevpn.org/ - сейчас пользуюсь им

Да, я тоже им пользуюсь (вернее, храню подключение про запас, на случай блокировки других). Но сам их сайт требует VPN, чтобы на нём зарегистрироваться. Потому и не стал давать ссылку.

[vall]

Но сам их сайт требует VPN, чтобы на нём зарегистрироваться.

Расширение https://censortracker.org/ для браузера поможет получить доступ к заблокированным ресурсам. При использовании надо разрешить доступ к приватным вкладкам.

[yranehor]

А нельзя ли разжевать мне все по подробнее

Вам VPN зачем
.......................................

Вроде бы все сделал по Вашей подробной инструкции но ничего не получилось.
Вот итог:
[root@arch Downloads]# wg-quick up jantit
[#] ip link add jantit type wireguard
[#] wg setconf jantit /dev/fd/63
[#] ip -4 address add 192.168.6.189/32 dev jantit
[#] ip link set mtu 1420 up dev jantit
[#] resolvconf -a jantit -m 0 -x
/usr/bin/wg-quick: line 32: resolvconf: command not found
[#] ip link delete dev jantit
Уж доведите меня до конца.

[konstantinovms]

/usr/bin/wg-quick: line 32: resolvconf: command not found

systemd-resolvconf установлено? Если нет, установите. Или openresolv.

[ALiEN]

TOR как раз блокируется проще всего.

Блокируются мосты obfs. Поставил мосты snowflake (где-то год назад поставил первый, в июле второй на всякий случай) - вообще нет проблем. Немножко дольше идёт bootstrapping, но зато новые мосты искать вообще нет нужды.
А вот Wireguard блокируется проще всего, потому что рукопожатие не обфусцировано. Поставьте wireshark - там прямым текстом увидите пакеты wireguard.
Для обфускации wg существует проект amnezia-wg. Сам не пользовался.

Лог тор со snowflake (как можно заметить, на подключение snowflake требуется около минуты, вместо обычных 5-10 секунд на незаблокированный obfs-мост):

Cкрытый текст

авг 12 23:34:18 acer systemd[1]: Started Anonymizing overlay network for TCP.
авг 12 23:34:19 acer Tor[170292]: Bootstrapped 1% (conn_pt): Connecting to pluggable transport
авг 12 23:34:19 acer Tor[170292]: Bootstrapped 2% (conn_done_pt): Connected to pluggable transport
авг 12 23:34:19 acer Tor[170292]: Bootstrapped 10% (conn_done): Connected to a relay
авг 12 23:34:24 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": offer created
авг 12 23:34:24 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": offer created
авг 12 23:34:24 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": broker rendezvous peer received
авг 12 23:34:24 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": broker rendezvous peer received
авг 12 23:34:25 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": connected
авг 12 23:34:26 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": connected
авг 12 23:34:45 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": trying a new proxy: no messages received, closing stale connection
авг 12 23:34:46 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": trying a new proxy: no messages received, closing stale connection
авг 12 23:34:54 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": offer created
авг 12 23:34:54 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": offer created
авг 12 23:34:54 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": broker rendezvous peer received
авг 12 23:34:54 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": broker rendezvous peer received
авг 12 23:34:54 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": connected
авг 12 23:34:55 acer Tor[170292]: Managed proxy "/usr/bin/snowflake-pt-client": connected
авг 12 23:34:56 acer Tor[170292]: Bootstrapped 14% (handshake): Handshaking with a relay
авг 12 23:34:57 acer Tor[170292]: Bootstrapped 15% (handshake_done): Handshake with a relay done
авг 12 23:34:57 acer Tor[170292]: Bootstrapped 75% (enough_dirinfo): Loaded enough directory info to build circuits
авг 12 23:34:57 acer Tor[170292]: Bootstrapped 95% (circuit_create): Establishing a Tor circuit
авг 12 23:34:58 acer Tor[170292]: new bridge descriptor <<del>>
авг 12 23:34:59 acer Tor[170292]: Bootstrapped 100% (done): Done

[konstantinovms]

snowflake

Спасибо за наводку! Давно не следил за Tor – ещё с тех времён, когда его начали банить некоторые сайты. Уж если у доморощенных админов сайтов получалось его забанить, то что говорить об РКН. Теперь вижу, что Tor не стоял на месте. И Вы правы, snowflake – технология шикарная. И она, кстати, теперь встроена в Tor Browser, её можно там включить. Неожиданно даже Youtube показывает (хоть и с некоторыми задержками на подгрузку). Хотя лет 10 назад скорости Tor были такие, что смотреть видео было практически невозможно.
Но у Вас, как я понимаю, не просто дополнение к Tor, а своя vps'ка? В таком случае тем более удобный алгоритм, без задержек скорости, как в Tor.
Про то, что wireguard легко заблокировать, знаю. Даже обсуждали на старом форуме с кем-то эту проблему. Уже был прецедент, когда в нескольких сегментах рунета РКН банил wireguard. И ничего с этим поделать было нельзя. Так что решением, конечно, может быть только обфускация трафика и своя vps'ка. Про amnesia знаю. Но там нужен свой сервер.
Всё это очень правильные вещи, и в случае действительно серьёзных блокировок придётся пользоваться всем этим. Я тоже кое-какой запас технологий подготовил на этот случай. Но для новичков поднять свою vps'ку, в ней настроить amnesia, потом клиент и т.д. – задача практически нерешаемая. Хотя, конечно, и vps'ку поднять сейчас очень просто, и amnesia настраивается за несколько команд. Но несложным это выглядит далеко не для всех. Поэтому и рекомендуем vpn попроще или дополнения к браузерам.

[vasek]

Давно не следил за Tor

Рекомедную статью HackWare.ru

В части брокивки (цитата) ….

Большинство блокировок относятся к одной из трех основных категорий: 
- блокировка сетью, которую вы используете
- блокировка самим веб-сайтом
- блокировка интернет-провайдера или правительства
Независимо от блока, обычно есть обходной путь, который зависит от типа блока и того, к чему вы пытаетесь получить доступ.

… но иногда не нужны сложные способы обхода блокировки для 1-2 сайтов, достачанно простых способов использования, например или IP сайта или google/яндекс переводчик ... ( ... правда это работает не всегда ... )

[yranehor]

/usr/bin/wg-quick: line 32: resolvconf: command not found

systemd-resolvconf установлено? Если нет, установите. Или openresolv.

systemd-resolvconf установлен
# wg-quick up jantit2
[#] ip link add jantit2 type wireguard
[#] wg setconf jantit2 /dev/fd/63
[#] ip -4 address add 192.168.6.189/32 dev jantit2
[#] ip link set mtu 1420 up dev jantit2
[#] resolvconf -a jantit2 -m 0 -x
Failed to set DNS configuration: Could not activate remote peer 'org.freedesktop.resolve1': activation request failed: unknown unit
[#] ip link delete dev jantit2

[yranehor]

opemvpn jantit запускается без прблем, но не приемлемо низкая скорость.

[konstantinovms]

Рекомедную статью HackWare.ru

Спасибо, почитаю.

Failed to set DNS configuration: Could not activate remote peer 'org.freedesktop.resolve1': activation request failed: unknown unit

Что показывает вывод команды:

sudo systemctl status systemd-resolved.service

Если "неактивно", то выполните две команды:

sudo systemctl start systemd-resolved.service

и

sudo systemctl enable systemd-resolved.service

.
Если вывод зелёный "active (running)", то покажите содержимое файла /etc/resolv.conf
Короче говоря, так или иначе, у Вас проблемы именно с резолвингом. Здесь и будем искать.

UDP: попробуйте в самом начале файла /etc/resolv.conf установить значения google'овских DNS:

nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 4.4.4.4

Только перед этим сохраните копию исходного файла /etc/resolv.conf. Мы же не знаем, чем он у Вас формируется. Насколько я помню, Network Manager его каждый раз новым создаёт. А некоторые VPN тоже вносят в него изменения. Вы чем к интернету подключаетесь?

[yranehor]

Рекомедную статью HackWare.ru

Спасибо, почитаю.

Failed to set DNS configuration: Could not activate remote peer 'org.freedesktop.resolve1': activation request failed: unknown unit

Что показывает вывод команды:

sudo systemctl status systemd-resolved.service

Если "неактивно", .......................................................

# wg-quick up jantit1
[#] ip link add jantit1 type wireguard
[#] wg setconf jantit1 /dev/fd/63
[#] ip -4 address add 192.168.6.236/32 dev jantit1
[#] ip link set mtu 1420 up dev jantit1
[#] resolvconf -a jantit1 -m 0 -x
[#] wg set jantit1 fwmark 51820
[#] ip -6 route add ::/0 dev jantit1 table 51820
[#] ip -6 rule add not fwmark 51820 table 51820
[#] ip -6 rule add table main suppress_prefixlength 0
[#] ip6tables-restore -n
[#] ip -4 route add 0.0.0.0/0 dev jantit1 table 51820
[#] ip -4 rule add not fwmark 51820 table 51820
[#] ip -4 rule add table main suppress_prefixlength 0
[#] sysctl -q net.ipv4.conf.all.src_valid_mark=1
[#] iptables-restore -n
[root@arch wireguard]#
Похоже что соединение произошдо. Однако проверить не могу. Ни одна страница не открывается. Видимо настолько низка скорость. Даже 2ip.ru/speed не загружается. Если дольше подождать появляется сообщение: "Соединение прервано. Похоже вы подключились к другой сети". Мне кажется что это проделки моего провайдера. В интернет выхожу на компьютере через точку доступа смартфона и адаптера wi-fi.Попытка проверить скорость соединения чеоез консоль .speedtest тоже ни к чему не приводит.
Видимо не суждено мне пользоваться никаким VPN. Ваше мнение на этот счет. Раньше я писал что через openvpn jantit соединение устанвавливается, но скорость близка к нулю.

[yranehor]

Tем более что у меня и без VPN скорость входящая 4-5 Мбит/сек А VPN естественно режет ее до неприемлимо низкой величины.

[konstantinovms]

Похоже что соединение произошдо

Да.

Однако проверить не могу

Я писал выше:

ping -c3 google.com

или

ping -c3 yandex.ru

Если дольше подождать появляется сообщение: "Соединение прервано. Похоже вы подключились к другой сети. Мне кажется что это проделки моего провайдера."

Вполне возможно. Таких историй в сети (когда VPN блочится провайдером) множество. Я бы попробовал ещё добавить в /etc/resolv.conf (на самый верх этого файла) DNS от CloudFlare:

nameserver 1.1.1.1
nameserver 1.0.0.1

или от Google:

nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver 4.4.4.4

Но если провайдером блочится сам протокол (а описываемое Вами замедление очень напоминает работу DPI), то без обфускации трафика не обойтись. А значит, придётся городить огород более сложный, чем обычное подключение к серверу VPN-провайдера. Можно попробовать Tor, но навряд ли он не забанен. Там тоже придётся использовать Snowflake (как подсказали выше). Попробуйте установить из AUR браузер "tor-browser" и в его настройках включить Snowflake:
Настройки – Подключение – "Выбрать встроенный мост" – Snowflake.
Ну, или поставьте дополнение, как я советовал выше, к браузеру Google Chrome/Chromium "Обход блокировок Рунета". Оно пока не подводило, кроме одного раза, когда его забанил РКН, но сообщество оперативно отреагировало и за день-два всё починило.

UPD: посмотрите ещё эту тему: viewtopic.php?p=5982#p5982
Возможно, решением для Вас будет не VPN, а именно сервисы обхода блокировок.