вторник, 18 июня 2019 г.

Shadowsocks over websocket (HTTPS) use v2ray-plugin

Yet another SIP003 plugin for shadowsocks, based on v2ray
Shadowsocks over websocket (HTTPS)

Ubuntu 18.04 пакеты в репозитарии

# apt update
# apt upgrade
# apt install mc
# adduser user
# usermod -aG sudo user
# su user
$ cd ~
$ mkdir ~/.ssh
$ cd ~/.ssh
$ ssh-keygen -t rsa
Скачать и использовать для входа /home/user/.ssh/id_rsa
$ cp ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ rm ~/.ssh/id_rsa.pub
$ rm ~/.ssh/id_rsa
$ chmod 700 ~/.ssh
$ chmod 600 ~/.ssh/authorized_keys
$ exit
# nano /etc/ssh/sshd_config

Проверить:

PasswordAuthentication no
.....

PubkeyAuthentication yes
ChallengeResponseAuthentication no

Сохранить.

$ sudo systemctl reload sshd

После проверки входа и sudo

Отключть вход root по ssh

$ sudo nano /etc/ssh/sshd_config

Исправить:

PermitRootLogin no

Сохранить.

$ sudo systemctl reload sshd
# отключим ipv6
$ sudo /bin/su -c "echo 'net.ipv6.conf.all.disable_ipv6 = 1' >> /etc/sysctl.conf"
$ sudo /bin/su -c "echo 'net.ipv6.conf.default.disable_ipv6 = 1' >> /etc/sysctl.conf"
$ sudo /bin/su -c "echo 'net.ipv6.conf.lo.disable_ipv6 = 1' >> /etc/sysctl.conf"
#sudo /bin/su -c "echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf"
$ sudo sysctl -p

Getting started with acme.sh Let's Encrypt SSL client
Установка бесплатного ssl-сертификата Let’s Encrypt

Должен быть домен  example.com


На 80 порту работать web сервер

$ sudo apt install nginx
$ mkdir /var/www/example.com -p

$ sudo nano /etc/nginx/conf.d/example.com.conf


server {
      listen 80;
      server_name example.com;

      root /var/www/example.com/;

      location ~ /.well-known/acme-challenge {
         allow all;
      }
}
 
Сохранить.

$ sudo systemctl reload nginx

Делаем сертификаты есть варианты либо от root либо от user:

Вариант от root :
$ sudo -i
# curl https://get.acme.sh | sh

Делаем сертификаты:
# /root/.acme.sh/acme.sh --issue -d example.com -w /var/www/example.com
$ ~/.acme.sh/acme.sh --issue -d example.com -w /var/www/example.com

[Mon Jun 17 12:28:42 CEST 2019] Your cert is in  /root/.acme.sh/example.com/example.com.cer
[Mon Jun 17 12:28:42 CEST 2019] Your cert key is in  /root/.acme.sh/
example.co/example.com.key
[Mon Jun 17 12:28:42 CEST 2019] The intermediate CA cert is in  /root/.acme.sh/
example.co/ca.cer
[Mon Jun 17 12:28:42 CEST 2019] And the full chain certs is there:  /root/.acme.sh/
example.com/fullchain.cer

Вариант от user :
Внимание, нужно дать права на папку!!!

$ sudo chown -R user:user /var/www/example.com 

$ curl https://get.acme.sh | sh

Делаем сертификаты:
$ ~/.acme.sh/acme.sh --issue -d example.com -w /var/www/example.com



[Tue Jun 17 20:27:42 CEST 2019] Your cert is in /home/user/.acme.sh/example.com/example.com.cer
[Tue Jun 17 20:27:42 CEST 2019] Your cert key is in /home/user/.acme.sh/example.com/example.com.key
[Tue Jun 17 20:27:42 CEST 2019] The intermediate CA cert is in /home/user/.acme.sh/example.com/ca.cer
[Tue Jun 17 20:27:42 CEST 2019] And the full chain certs is there: /home/user/.acme.s/example.com/fullchain.cer

Обратить внимание, если ставили сертификаты для пользователя user автоматом:

$ crontab -l

0 2 * * * "/home/user/.acme.sh"/acme.sh --cron --home "/home/user/.acme.sh" > /dev/null

Соответственно для root автоматом:

$ sudo crontab -l

0 2 * * * "/root/.acme.sh"/acme.sh --cron --home "/root/.acme.sh" > /dev/null





следует добавить для user (аналогично для root)

$ crontab -l

3 2 * * * sudo systemctl restart shadowsocks-libev.service


$ sudo apt install fail2ban


Установка shadowsocks-libev

$ sudo apt install shadowsocks-libev
$ wget https://github.com/shadowsocks/v2ray-plugin/releases/download/v1.1.0/v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ tar -xf v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ sudo mv v2ray-plugin_linux_amd64 /etc/shadowsocks-libev/v2ray-plugin
$ sudo chmod +x  /etc/shadowsocks-libev/v2ray-plugin
#$ sudo setcap 'cap_net_bind_service=+eip' /etc/shadowsocks-libev/v2ray-plugin
$ sudo setcap 'cap_net_bind_service=+ep' /etc/shadowsocks-libev/v2ray-plugin
$ sudo setcap 'cap_net_bind_service=+ep' /usr/bin/ss-server

Проверяем:

$ sudo systemctl stop  shadowsocks-libev.service

$ sudo nano /etc/shadowsocks-libev/config.json

{
    "server":"0.0.0.0",
    "server_port":443,
    "local_port":1080,
    "password":"password",
    "timeout":300,
    "method":"aes-256-cfb",
    "fast_open":true,
    "plugin":"/etc/shadowsocks-libev/v2ray-plugin",
    "plugin_opts":"server;tls;host=
example.com",
    "nameserver":"1.1.1.1",
    "reuse_port":true
}



Сохранить.

Впечатление такое что при запуске shadowsocks-libev.service
не видит tls 
"plugin_opts":"server;tls;host=example.com",

На самом деле, для того что бы служба shadowsocks-libev.service увидела сертификаты нужно явно указать поьзователя root или user


Правим службу shadowsocks-libev.service

$ sudo nano /lib/systemd/system/shadowsocks-libev.service

Правим User=nobody

User=root

или

User=user

Сохранить.

$ sudo systemctl daemon-reload  
$ sudo systemctl restart shadowsocks-libev.service
$ sudo systemctl status shadowsocks-libev.service

Скачаем клиент:
shadowsocks-windows

Скачаем плагин:
v2ray-plugin-windows-386-v1.1.0.tar.gz


Update !!!

Встроенный защитник windows 10 ругается на файл
v2ray-plugin_windows_386.exe




Поэтому используем что бы не думалось:
v2ray-plugin_windows_amd64.exe

Скачаем плагин:
v2ray-plugin_windows_amd64.exe



Переименуем и положим в папку Shadowsocks-4.1.6



Настроим:



 

Проверка скорости интернета при канале 50 Mbps :



Установка на клиенте Ubuntu 18.04

shadowsocks-libev на клиенте под линуксом сразу запустить не смог, собирал несколько раз, пока не выяснил, что есть фича - серверный порт должен совпадать с локальным !!!

$ sudo apt install shadowsocks-libev
=========================================================================
для Ubuntu 16.04 заменяем  sudo apt install shadowsocks-libev на :

$ sudo apt update && sudo apt upgrade -y && sudo apt install software-properties-common nano git -y && sudo add-apt-repository ppa:max-c-lv/shadowsocks-libev && sudo apt update && sudo apt install shadowsocks-libev -y

=========================================================================

$ wget https://github.com/shadowsocks/v2ray-plugin/releases/download/v1.1.0/v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ tar -xf v2ray-plugin-linux-amd64-v1.1.0.tar.gz
$ sudo mv v2ray-plugin_linux_amd64 /etc/shadowsocks-libev/v2ray-plugin
$ sudo chmod +x  /etc/shadowsocks-libev/v2ray-plugin
$ sudo setcap 'cap_net_bind_service=+ep' /etc/shadowsocks-libev/v2ray-plugin
#$ sudo setcap 'cap_net_bind_service=+ep' /usr/bin/ss-server
$ sudo setcap 'cap_net_bind_service=+ep' /usr/bin/ss-local

Обратить внимание на Ubuntu серверный порт должен совпадать с локальным портом!!!

$ sudo nano /etc/shadowsocks-libev/config.json
Обратить внимание от сервера отличается отсутствием:
"plugin_opts":"server",

{
    "server":"example.com",
    "server_port":443,
    "local_port":443,
    "password":"password",
    "timeout":300,
    "method":"aes-256-cfb",
    "fast_open":true,
    "plugin":"/etc/shadowsocks-libev/v2ray-plugin",
    "plugin_opts":"tls;host=example.com",
    "nameserver":"1.1.1.1",
    "reuse_port": true
}

Сохранить.

$ sudo systemctl stop shadowsocks-libev.service && sudo systemctl disable shadowsocks-libev.service

Самое время проверить, или если захочется запускать вручную :

$ ss-local -s "example.com" -p 443 -l 443 -k "password" -m "aes-256-cfb" --plugin "/etc/shadowsocks-libev/v2ray-plugin"  -v

Делаем сервис для запуска:

$ sudo nano /etc/systemd/system/ss-local.service

[Unit]
Description=Daemon to start Shadowsocks Client
Wants=network-online.target
After=network.target

[Service]
Type=simple
ExecStart=/usr/bin/ss-local -c /etc/shadowsocks-libev/config.json

[Install]
WantedBy=multi-user.target

Сохранить.

$ sudo systemctl daemon-reload
$ sudo systemctl enable ss-local.service
$ sudo systemctl restart ss-local.service

$ sudo  systemctl status ss-local.service

$ sudo journalctl --unit=ss-local.service

Комментариев нет:

Отправить комментарий