При попытке входа с ру-ip на contabo.com сразу же блок. При регистрации просят ввести адрес. И чем это отличается от того же хетцнера? Ну а так да, цены у них вкусные, несомненно.
В случае с Nginx можно через апстримы раскидать по SNI через ssl_preread, о чем автор в этой статье и написал. Примерно как то так, вставлять в nginx.conf перед блоком http, переменные заменить на свои. Xray c Reality заставить слушать 127.0.0.1:444, oceserver - 127.0.0.1:445. Можно еще через Haproxy, с подобной логикой. В конфиге закомментирован proxy_protocol (добавил на всякий), т.к. при его включении что xray, что ocserver придётся особо настраивать под его использование
Вот с этим у меня wg прекрасно работает под Debian12 через cloak. Конфиг сервера от автора можно не трогать, единственно "RedirAddr" указать такой же, как "ServerName" у клиента . В конфиге интерфейса вайргард-сервера естественно указываем Listen=51000
deb-router ~ # cat /etc/systemd/system/cloak-client.service [Unit] Description=cloak-client After=network.target StartLimitIntervalSec=0 [Service] Type=simple #Service variables #Путь до конфига клиента Environment=CONFIG="/etc/cloak/ckclient.json" #Адрес VPSки с сервером cloak Environment=SRVIPADDR=123.123.123.123 #Локальный ip-адрес на котором будет слушать cloak. В данном случае будет слушать на всех интерфейсах Environment=LISTENLOCIP=0.0.0.0 #Локальный порт на котором будет слушать cloak. Его же прописываем как порт пира сервера в конфиге wireguard Environment=LISTENPORT=51000
Изучил. Wireguard прекрасно работает через cloak, но заметил одну интересную особенность - тестил всё это у себя через мобильный Теле2 и при указании некоторых популярных доменов как обманки в "ServerName" очень сильно троттлит трафик (по анализу SNI, видимо). Прописываешь один - скорость еле-еле и пинги космические, указываешь другой и даёт почти на всю ширину канала и пинги хорошие. Вообщем, нужно еще и доменное имя сервера-обманки хорошее подбирать. Ну и MTU оптимальный найти (у меня с 1380 нормально).
Судя по тому, что у вас в конфиге openvpn транспортом указан udp - правильно ли я понимаю, что cloak умеет пробрасывать (инкапсулировать) udp через tcp (tls)? Если так, то получается можно таким же макаром и более шустрый wireguard через всё это дело пустить? Глянул в гитхабе автора cloak примеры конфигов для openvpn, так у него там транспортом tcp указано. Очень интересует этот момент.
То, что потушили изичевый opara-vpn «для домохозяек» удивления не вызывает, это было более-менее предсказуемо. Тут возникают другие резонные вопросы — дальше то что? Ну завернут все брендированые VPN даже пусть по доменам и IP (допустим). А дальше то что, блок всех мимокроков по udp 500, 4500,1701 и т.д., по специфичным сигнатурам для разных типов VPN? К чему все это идет и что делать?
При попытке входа с ру-ip на contabo.com сразу же блок. При регистрации просят ввести адрес. И чем это отличается от того же хетцнера? Ну а так да, цены у них вкусные, несомненно.
В случае с Nginx можно через апстримы раскидать по SNI через ssl_preread, о чем автор в этой статье и написал. Примерно как то так, вставлять в nginx.conf перед блоком http, переменные заменить на свои. Xray c Reality заставить слушать 127.0.0.1:444, oceserver - 127.0.0.1:445. Можно еще через Haproxy, с подобной логикой. В конфиге закомментирован proxy_protocol (добавил на всякий), т.к. при его включении что xray, что ocserver придётся особо настраивать под его использование
Вот с этим у меня wg прекрасно работает под Debian12 через cloak. Конфиг сервера от автора можно не трогать, единственно "RedirAddr" указать такой же, как "ServerName" у клиента . В конфиге интерфейса вайргард-сервера естественно указываем Listen=51000
deb-router ~ # cat /etc/cloak/ckclient.json
{"Transport": "direct",
"ProxyMethod": "openvpn",
"EncryptionMethod": "plain",
"UID": "УИД клиента",
"PublicKey": "Пабкей сервера",
"ServerName": "dl.google.com",
"NumConn": 4,
"BrowserSig": "chrome",
"StreamTimeout": 300
}
deb-router ~ # cat /etc/systemd/system/cloak-client.service
[Unit]Description=cloak-client
After=network.target
StartLimitIntervalSec=0
[Service]
Type=simple
#Service variables
#Путь до конфига клиента
Environment=CONFIG="/etc/cloak/ckclient.json"
#Адрес VPSки с сервером cloak
Environment=SRVIPADDR=123.123.123.123
#Локальный ip-адрес на котором будет слушать cloak. В данном случае будет слушать на всех интерфейсах
Environment=LISTENLOCIP=0.0.0.0
#Локальный порт на котором будет слушать cloak. Его же прописываем как порт пира сервера в конфиге wireguard
Environment=LISTENPORT=51000
ExecStart=/usr/local/bin/ck-klient -u -i "$LISTENLOCIP" -l "$LISTENPORT" -s "$SRVIPADDR" -c "$CONFIG"Restart=always
[Install]
WantedBy=multi-user.target
deb-router ~ # cat /etc/wireguard/wg0.conf
[Interface]Address = 10.0.0.1/24
PrivateKey =
MTU = 1380
PreUp = ip route add 123.123.123.123 via 192.168.1.1
PostUp = iptables -t nat -A POSTROUTING -o %i -s 192.168.1.0/24 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o %i -s 192.168.1.0/24 -j MASQUERADE
PostDown = ip route delete 123.123.123.123 via 192.168.1.1
#peer on cloak-server[Peer]
PublicKey =
AllowedIPs = 0.0.0.0/0
Endpoint = 127.0.0.1:51000
PersistentKeepalive = 20
Изучил. Wireguard прекрасно работает через cloak, но заметил одну интересную особенность - тестил всё это у себя через мобильный Теле2 и при указании некоторых популярных доменов как обманки в "ServerName" очень сильно троттлит трафик (по анализу SNI, видимо). Прописываешь один - скорость еле-еле и пинги космические, указываешь другой и даёт почти на всю ширину канала и пинги хорошие. Вообщем, нужно еще и доменное имя сервера-обманки хорошее подбирать. Ну и MTU оптимальный найти (у меня с 1380 нормально).
Судя по тому, что у вас в конфиге openvpn транспортом указан udp - правильно ли я понимаю, что cloak умеет пробрасывать (инкапсулировать) udp через tcp (tls)? Если так, то получается можно таким же макаром и более шустрый wireguard через всё это дело пустить? Глянул в гитхабе автора cloak примеры конфигов для openvpn, так у него там транспортом tcp указано. Очень интересует этот момент.