LINUX.ORG.RU
решено ФорумAdmin

Yggdrasil + Apache прокси работает рывками

 , ,


0

1

В общем, попробовал использовать Yggdrasil для пробива NAT от впски до домашнего веб сервака. Для чего установил Y и там и там, и на впски прописал для прокси Apache в site.conf ipv6 адрес своего вебака из сети Yggdrasil:

ProxyPass / http://[xxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx]:80/
ProxyPassReverse / http://[xxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx]:80/

И оно работает, но как-то прерывисто. То моментально подгружает, то через минуту виснет. Может для ipv6 как-то по-другому надо?

Пустил openvpn через yggdrasil, будем смотреть как оно.

kt30015
() автор топика

А в чем глубокий смысл использовать игдрассиль через проксирование, если у тебя есть впска, на которой можно организовать надежный работающий канал связи через любой удобный vpn?

anonymous
()
Ответ на: комментарий от anonymous

Это всё домашний провайдер мне жизнь усложняет, блокая Openvpn через DPI. А так бы я на нём сидел и не парился. Другие впны, например softether, слишком сложные для установки, у меня лапки.

kt30015
() автор топика
Ответ на: комментарий от kt30015

Тогда впс-то тебе зачем? Иггдрассиль работает напрямую через наты. Промежуточной узел не нужен и даже вреден, потому что он лишнее звено, снижающее скорость работы.

Для обхода dpi есть разные способы. Можно начать со смены порта, наложение патчей на опенвпн, использования шадоусокс в конце концов. Иггдрассиль это такое себе решение, потому что оно сырое, нестабильное и пилится очень маленькой группой людей на досуге.

anonymous
()
Ответ на: комментарий от anonymous

Тогда впс-то тебе зачем? Иггдрассиль работает напрямую через наты.

Держу сайт и в клирнете тоже.

Можно начать со смены порта, наложение патчей на опенвпн,

Не помогает это всё, единственный вариант - как-то завернуть openvpn траффик в tls, замаскировав его под https, но я пару дней за этим провёл, пробовал stunnel, и не смог в силу неопытности. Туннель через SSH не блокается, но скорости в нём слабые, и он нестабильный, хоть и реконектится каждые 30сек. А нужно ведь чтобы сейчас всё работало, и через Y оно работает, с горем пополам.

Го в телеграмм.

зачем

kt30015
() автор топика
Ответ на: комментарий от anonymous

использования шадоусокс в конце концов

Что-то я не уверен, что он через него свой сайт проксировать сможет.

anonymous
()

А какой есть VPN без анальных регистраций при условии что сервер сидит за NAT?

Нашёл 2 поделки на libp2p, там проблема в том что по факту это не VPN, а оверлейная сеть. Т.е. я не могу прокинуть подсети клиенту. Когда клиент шлёт пакетики по тунелю адрес назначения всегда должен быть равен адресу сервера в этой оверлейной сети.

pingvinek
()
Последнее исправление: pingvinek (всего исправлений: 1)

Обернул openvpn в stunnel. Только как понять что оно точно через stunnel идёт?

kt30015
() автор топика
Ответ на: комментарий от anonymous

А вообще твой провайдер IPv6 даёт или только IPv4?

Для Yggrdasil ipv6 не нужно. Оно работает поверх обычново v4.

kt30015
() автор топика

может Apache избыточен обойтись socat

на твоей впс запустить что то вроде socat TCP-LISTEN:80,fork TCP:10.211.24.2:80 &

или socat TCP-LISTEN:2a00:b700:1:0:0:0:6:17e:80,fork TCP:10.211.24.2:80 &

но Apache будет хорошь, если нужно не тупо пробросить, но и что то поменять или несколько сайтов в один склеить

а вместо Yggdrasil я использовал zerotier

s-warus ★★★
()
Ответ на: комментарий от kt30015

Я это знаю и пользуюсь Yggdrasil уже несколько лет. Хотел дать тебе проверенные IPv6-пиры, но ты не ответил на вопрос.

anonymous
()

А если домен повесить на ns клаудфларе, и пусть их прокси ходит за контентом к тебе на сервер по ipv6? Не проверял, но не вижу причин почему бы не сработало.

anonymous
()
Ответ на: комментарий от anonymous

даёт ли провайдер поддержку ipv6

99% что не даёт без дополнительных усилий или вообще. Даже проверять лень.

Обернул openvpn в stunnel.

Вот это пока работает как решение, и довольно шустро, но нужно минимум сутки чтоб точно проверить что openvpn идёт через туннель и не глушится.

kt30015
() автор топика
Ответ на: комментарий от s-warus

socat

Почитаю, спс.

zerotier

Бегло ознакомился, показалось что Ygg проще. По крайней мере gui не нужен ему.

kt30015
() автор топика
Ответ на: комментарий от kt30015

Раз тебе лень посмотреть свойства соединения в NetworkManager, то не стоит тебе и помогать.

anonymous
()
Ответ на: комментарий от kt30015

эк а у zerotier есть gui ?(под windows знаю есть, а под linux может уже добавили)

или ты имеешь ввиду веб-гуи центра управления но он только на одном компе ставится и после можно остановить-удалить.

zerotier есть преимущество, tcp соединения завернуты в udp, а tcp эмулируется, в результате сеть ведёт себя отзывчивые, соединения после обвала быстрее скорость набирают. Есть и минусы протокол иногда радикально меняется и надо следить за обновами (точнее один раз было и обновление спасло ситуацию).

s-warus ★★★
()
Последнее исправление: s-warus (всего исправлений: 1)
Ответ на: комментарий от s-warus

Не стал связываться с zerotier и tailscale из-за того, что в них регистрации-авторизации нужны. В этом плане понравились вот эти решения VPN где сервер за NAT но то что там роутить нельзя это конечно зашквар

pingvinek
()
Ответ на: комментарий от s-warus

и есть ещё один недостаток: странный клиент под iphone 4s (а может и под остальные версии iphone, когда разбирался вроде такая политика партии у Apple)
Клиент представляет proxy приложение, в отличие от сетевого интерфейса под linux - windows.
и когда в фоне долго zero-one работает ios его прибивает, и мой ssh клиент отрубается.

s-warus ★★★
()
Последнее исправление: s-warus (всего исправлений: 1)
Ответ на: комментарий от pingvinek

причём если участники соединения в локальной сетке находятся, наружу пакеты не летят, даже если контролер снаружи (интернет пропал)

s-warus ★★★
()

Попрописывал побольше пиров, вроде пока норм работает.

kt30015
() автор топика

Попинговал пиры, выбрал самые быстрые для сервера и впс, стало работать получше, но всё равно всрато как-то. Переделал обратно на Openvpn.

kt30015
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.