Debian.pro/

Про Debian


sslh + ipv6 + <censored> — чудесная идея бесплатно.

Статья обфусцирована, сами знаете почему.

С начала прошлой недели у меня была идея-фикс. Поднять open<censored> сервер на территории матушки-России, подцепиться к нему по ipv6 с территории страны-агрессора, а v4-клиентами из RM -RF выходить наружу уже оттуда, откуда нужно. Ну то есть точка входа здесь, точка выхода там, а сами точки общаются исключительно по ipv6 (от которого у экстремистов сами знаете что опухнет, поэтому секретный шестой протокол работает (и долго ещё будет) без проблем).
И вот, сижу я себе четвертый час, копаю документацию, что-то как-то продвигается. Получаю магический пендель от Бориса, доделываю работающую схему, проверяю, всё работает, 2ip говорит, что я агрессор, иду похвалиться в чятик. Тут мой взгляд натыкается на «/etc/init.d/sslh restart» в history, и я больно бью свой лоб о стол. Больнее, правда, было от ощущения, что я тупенький, ну да ладно.
Собственно, пока я пытался заставить sslh слушать ipv6-интерфейс, я быстро наткнулся на информацию, что они не по rfc парсят ip6+порт. Писать там нужно не «[::1]:443», а просто «::1:443». Кря. А сложить этот факт с тем, что в качестве бэкэнда для протокола ему можно указывать не только localhost…

Ладно, хватит чудесных историй, поехали. Наши действующие лица:

  • open<censored>-сервер в Океане или ещё где-то (надеюсь, настроить вы его сами сможете). Очень желательно tcponly (и не забудьте добавить строчку proto tcp6, чтобы шестерку слушал).
  • виртуалка с ipv6 в motherland. Поискать придется, это да. Но могу подсказать — регистратор из трёх букв на г заканчивается (да и качество такое же) и «vee+аббревиатура самого известного мультика, переведенного гоблином».
  • какой-нибудь более или менее полезный сервер с поднятым https. Желательно чтобы что-то отвечал на default host. Можно совместить с действующим лицом пунктом выше.
  • наш ноутбук.

На местном сервере ставим пакет:

root@server:~# apt-get install sslh

В файле /etc/default/sslh меняем DAEMON_OPTS= на что-то такое:

DAEMON_OPTS="--user sslh --listen 123.123.123.123:443 --ssl 127.0.0.1:443 --opennpv 2a00:1450:4010:c0b::66:8443
  • 123.123.123.123 меняем на внешний v4-адрес виртуалки здесь (sslh всё же немного тупее меня, поэтому *:443 не поймёт)
  • 127.0.0.1:443 — меняем на адрес+порт хранящего что-то полезное веб-сервера с https (у меня это и правда был localhost:443, чо уж там).
  • ––opennpv 2a00:1450:4010:c0b::66:8443 — меняем на адрес нашего (или не очень нашего) open<censored> (кстати, название запрещенного в РФ продукта тоже придется самостоятельно написать правильно). Только учтите, что :8443 в данном случае — не часть ip-адреса, а порт.

Ну и заодно меняем

RUN=no

на

RUN=yes

Даём магический пендель:

root@server:~# /etc/init.d/sslh restart

Делаем curl https://123.123.123.123:443 , смотрим разрешенку. Приходит бот — смотрит разрешенку. Всё вроде выглядит спокойно. А как только тов. майор отвернулся — включаем на ноутбучке/телефоне open<censored> и вперед, в Пучину! Тьфу ты, наоборот, из пучины.


Комментариев пока нет.

Написать комментарий