Yet another SIP003 plugin for shadowsocks, based on v2ray
Shadowsocks over websocket (HTTPS)
Ubuntu 18.04 пакеты в репозитарии
# apt update
# apt upgrade
# apt install mc
# adduser user
# usermod -aG sudo user
# su user
$ cd ~
$ mkdir ~/.ssh
$ cd ~/.ssh
$ ssh-keygen -t rsa
Скачать и использовать для входа /home/user/.ssh/id_rsa
$ cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ rm ~/.ssh/id_rsa.pub
$ rm ~/.ssh/id_rsa
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys
$ exit
# nano /etc/ssh/sshd_config
Проверить:
PasswordAuthentication no
.....
PubkeyAuthentication yes
ChallengeResponseAuthentication no
Сохранить.
$ sudo systemctl reload sshd
После проверки входа и sudo
Отключть вход root по ssh
$ sudo nano /etc/ssh/sshd_config
Исправить:
PermitRootLogin no
Сохранить.
$ sudo systemctl reload sshd
# отключим ipv6
$ sudo /bin/su -c "echo 'net.ipv6.conf.all.disable_ipv6 = 1' >> /etc/sysctl.conf"
$ sudo /bin/su -c "echo 'net.ipv6.conf.default.disable_ipv6 = 1' >> /etc/sysctl.conf"
$ sudo /bin/su -c "echo 'net.ipv6.conf.lo.disable_ipv6 = 1' >> /etc/sysctl.conf"
#sudo /bin/su -c "echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf"
$ sudo sysctl -p
Getting started with acme.sh Let's Encrypt SSL client
Установка бесплатного ssl-сертификата Let’s Encrypt
Должен быть домен example.com
На 80 порту работать web сервер
$ sudo apt install nginx
$ mkdir /var/www/example.com -p
$ sudo nano /etc/nginx/conf.d/example.com.conf
server {
listen 80;
server_name example.com;
root /var/www/example.com/;
location ~ /.well-known/acme-challenge {
allow all;
}
}
Сохранить.
$ sudo systemctl reload nginx
Делаем сертификаты есть варианты либо от root либо от user:
Вариант от root :
$ sudo -i
# curl https://get.acme.sh | sh
Делаем сертификаты:
# /root/.acme.sh/acme.sh --issue -d example.com -w /var/www/example.com
$ ~/.acme.sh/acme.sh --issue -d example.com -w /var/www/example.com
[Mon Jun 17 12:28:42 CEST 2019] Your cert is in /root/.acme.sh/example.com/example.com.cer
[Mon Jun 17 12:28:42 CEST 2019] Your cert key is in /root/.acme.sh/example.co/example.com.key
[Mon Jun 17 12:28:42 CEST 2019] The intermediate CA cert is in /root/.acme.sh/example.co/ca.cer
[Mon Jun 17 12:28:42 CEST 2019] And the full chain certs is there: /root/.acme.sh/example.com/fullchain.cer
Вариант от user :
Внимание, нужно дать права на папку!!!
$ sudo chown -R user:user /var/www/example.com
$ curl https://get.acme.sh | sh
Делаем сертификаты:
$ ~/.acme.sh/acme.sh --issue -d example.com -w /var/www/example.com
[Tue Jun 17 20:27:42 CEST 2019] Your cert is in /home/user/.acme.sh/example.com/example.com.cer
[Tue Jun 17 20:27:42 CEST 2019] Your cert key is in /home/user/.acme.sh/example.com/example.com.key
[Tue Jun 17 20:27:42 CEST 2019] The intermediate CA cert is in /home/user/.acme.sh/example.com/ca.cer
[Tue Jun 17 20:27:42 CEST 2019] And the full chain certs is there: /home/user/.acme.s/example.com/fullchain.cer
Обратить внимание, если ставили сертификаты для пользователя user автоматом:
$ crontab -l
0 2 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null
Соответственно для root автоматом:
$ sudo crontab -l
0 2 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null
следует добавить для user (аналогично для root)
$ crontab -l
3 2 * * *
sudo systemctl restart shadowsocks-libev.service$ sudo apt install fail2ban Установка shadowsocks-libev
$ sudo apt install shadowsocks-libev
$ wget https://github.com/shadowsocks/v2ray-plugin/releases/download/v1.1.0/v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ tar -xf v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ sudo mv v2ray-plugin_linux_amd64 /etc/shadowsocks-libev/v2ray-plugin
$ sudo chmod +x /etc/shadowsocks-libev/v2ray-plugin
#$ sudo setcap 'cap_net_bind_service=+eip' /etc/shadowsocks-libev/v2ray-plugin
$ sudo setcap 'cap_net_bind_service=+ep' /etc/shadowsocks-libev/v2ray-plugin
$ sudo setcap 'cap_net_bind_service=+ep' /usr/bin/ss-server
Проверяем:
$ sudo systemctl stop shadowsocks-libev.service
$ sudo nano /etc/shadowsocks-libev/config.json
{
"server":"0.0.0.0",
"server_port":443,
"local_port":1080,
"password":"password",
"timeout":300,
"method":"aes-256-cfb",
"fast_open":true,
"plugin":"/etc/shadowsocks-libev/v2ray-plugin",
"plugin_opts":"server;tls;host=example.com",
"nameserver":"1.1.1.1",
"reuse_port":true
} Сохранить.Впечатление такое что при запуске shadowsocks-libev.serviceне видит tls"plugin_opts":"server;tls;host=На самом деле, для того что бы служба shadowsocks-libev.service Правим службу
shadowsocks-libev.service$ sudo nano /lib/systemd/system/shadowsocks-libev.serviceПравим User=nobodyUser=rootилиUser=user Сохранить.$ sudo systemctl daemon-reload
$ sudo systemctl restart shadowsocks-libev.service$ sudo systemctl status shadowsocks-libev.serviceСкачаем клиент:
shadowsocks-windows
Скачаем плагин:
v2ray-plugin-windows-386-v1.1.0.tar.gzUpdate !!! Встроенный защитник windows 10 ругается на файл
v2ray-plugin_windows_386.exe
Поэтому используем что бы не думалось:
v2ray-plugin_windows_amd64.exe
Скачаем плагин:v2ray-plugin_windows_amd64.exe
Переименуем и положим в папку Shadowsocks-4.1.6
Настроим:
Установка на клиенте Ubuntu 18.04
shadowsocks-libev на клиенте под линуксом сразу запустить не смог, собирал несколько раз, пока не выяснил, что есть фича - серверный порт должен совпадать с локальным !!!
$ sudo apt install shadowsocks-libev
=========================================================================
для Ubuntu 16.04 заменяем sudo apt install shadowsocks-libev на :
$ sudo apt update && sudo apt upgrade -y && sudo apt install software-properties-common nano git -y && sudo add-apt-repository ppa:max-c-lv/shadowsocks-libev && sudo apt update && sudo apt install shadowsocks-libev -y
=========================================================================
$ wget https://github.com/shadowsocks/v2ray-plugin/releases/download/v1.1.0/v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ tar -xf v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ sudo mv v2ray-plugin_linux_amd64 /etc/shadowsocks-libev/v2ray-plugin
$ sudo chmod +x /etc/shadowsocks-libev/v2ray-plugin
$ sudo setcap 'cap_net_bind_service=+ep' /etc/shadowsocks-libev/v2ray-plugin
#$ sudo setcap 'cap_net_bind_service=+ep' /usr/bin/ss-server
$ sudo setcap 'cap_net_bind_service=+ep' /usr/bin/ss-local
Обратить внимание на Ubuntu серверный порт должен совпадать с локальным портом!!!
$ sudo nano /etc/shadowsocks-libev/config.json
Обратить внимание от сервера отличается отсутствием:
"plugin_opts":"server",
{
"server":"
example.com"server_port":443,
"local_port":443,
"password":"
password","timeout":300,
"method":"aes-256-cfb",
"fast_open":true,
"plugin":"/etc/shadowsocks-libev/v2ray-plugin",
"plugin_opts":"tls;host=example.com","nameserver":"1.1.1.1",
"reuse_port": true
}
Сохранить.
$ sudo systemctl stop shadowsocks-libev.service && sudo systemctl disable shadowsocks-libev.service
Самое время проверить, или если захочется запускать вручную :
$ ss-local -s "
example.compassword" -m "aes-256-cfb" --plugin "/etc/shadowsocks-libev/v2ray-plugin" -v Делаем сервис для запуска:
$ sudo nano /etc/systemd/system/ss-local.service
[Unit]
Description=Daemon to start Shadowsocks Client
Wants=network-online.target
After=network.target
[Service]
Type=simple
ExecStart=/usr/bin/ss-local -c /etc/shadowsocks-libev/config.json
[Install]
WantedBy=multi-user.target
Сохранить.
$ sudo systemctl daemon-reload
$ sudo systemctl enable ss-local.service
$ sudo systemctl restart ss-local.service
$ sudo systemctl status ss-local.service
$ sudo journalctl --unit=ss-local.service
Комментариев нет:
Отправить комментарий