Статья обфусцирована, сами знаете почему.

С начала прошлой недели у меня была идея-фикс. Поднять open<censored> сервер на территории матушки-России, подцепиться к нему по ipv6 с территории страны-агрессора, а v4-клиентами из RM -RF выходить наружу уже оттуда, откуда нужно. Ну то есть точка входа здесь, точка выхода там, а сами точки общаются исключительно по ipv6 (от которого у экстремистов сами знаете что опухнет, поэтому секретный шестой протокол работает (и долго ещё будет) без проблем).
И вот, сижу я себе четвертый час, копаю документацию, что-то как-то продвигается. Получаю магический пендель от Бориса, доделываю работающую схему, проверяю, всё работает, 2ip говорит, что я агрессор, иду похвалиться в чятик. Тут мой взгляд натыкается на «/etc/init.d/sslh restart» в history, и я больно бью свой лоб о стол. Больнее, правда, было от ощущения, что я тупенький, ну да ладно.
Собственно, пока я пытался заставить sslh слушать ipv6-интерфейс, я быстро наткнулся на информацию, что они не по rfc парсят ip6+порт. Писать там нужно не «[::1]:443», а просто «::1:443». Кря. А сложить этот факт с тем, что в качестве бэкэнда для протокола ему можно указывать не только localhost…

Ладно, хватит чудесных историй, поехали. Наши действующие лица:

• open<censored>-сервер в Океане или ещё где-то (надеюсь, настроить вы его сами сможете). Очень желательно tcponly (и не забудьте добавить строчку proto tcp6, чтобы шестерку слушал).
• виртуалка с ipv6 в motherland. Поискать придется, это да. Но могу подсказать — регистратор из трёх букв на г заканчивается (да и качество такое же) и «vee+аббревиатура самого известного мультика, переведенного гоблином».
• какой-нибудь более или менее полезный сервер с поднятым https. Желательно чтобы что-то отвечал на default host. Можно совместить с действующим лицом пунктом выше.
• наш ноутбук.

На местном сервере ставим пакет:

В файле /etc/default/sslh меняем DAEMON_OPTS= на что-то такое:

• 123.123.123.123 меняем на внешний v4-адрес виртуалки здесь (sslh всё же немного тупее меня, поэтому *:443 не поймёт)
• 127.0.0.1:443 — меняем на адрес+порт хранящего что-то полезное веб-сервера с https (у меня это и правда был localhost:443, чо уж там).
• ––opennpv 2a00:1450:4010:c0b::66:8443 — меняем на адрес нашего (или не очень нашего) open<censored> (кстати, название запрещенного в РФ продукта тоже придется самостоятельно написать правильно). Только учтите, что :8443 в данном случае — не часть ip-адреса, а порт.

Ну и заодно меняем

на

Даём магический пендель:

Делаем curl https://123.123.123.123:443 , смотрим разрешенку. Приходит бот — смотрит разрешенку. Всё вроде выглядит спокойно. А как только тов. майор отвернулся — включаем на ноутбучке/телефоне open<censored> и вперед, в Пучину! Тьфу ты, наоборот, из пучины.