Ищу гибрид клиента OpenVPN и прокси-сервера

настрой shadowsocks

netfilter REDIRECT. shadowsock-redir как локальный проки + redsocks в одном флаконе.
А без лишних прыжков kernelspace/userspace вроде только wireguard умеет (но у меня до него руки ещё не доходили).
UPD: ещё можно в proxychains-ng и прочие LD_PRELOAD хаки.

настрой shadowsocks

Хорошая идея, если нужно файрвол обходить. Но плохо подходит, когда VPN нужен не для того, чтобы в интернет выбраться, а чтобы в закрытую локальную сеть достучаться. Как раз то, для чего VPN и придумывали, прямой юзкейс.

Shadowsocks — самое близкое по духу к моей хотелке. Но меня просто не пустят его на той стороне запускать.

wireguard

Это всё предполагает контроль за другой, удалённой стороной. А мне просто клиентские сертификаты выдают и логин-пароль. И я не хочу совать в чужую сеть свою машину. Например, не хочу, чтобы мне ssh брутили. Мало ли что. Неприятно. Так что я делаю прокси, через который хожу на закрытые ресурсы.

ещё можно в proxychains-ng и прочие LD_PRELOAD хаки.

Нет проблем с работой через прокси. Проблема в том, как поднять этот прокси.

Это всё предполагает контроль за другой, удалённой стороной.

а (Open)VPN - нет?

а (Open)VPN - нет?

Его настраивают и поддерживают админы той сети, к которой я подключаюсь. Не я. Не думаю, что они мне рутовый доступ дадут. Начальство их за такое поувольняет за профнепригодность.

так вопрос должен звучать так - чем заменить клиент опенвпн что ли?? чтобы он был совместим с официальным, но делал что-то по-другому?

так вопрос должен звучать так - чем заменить клиент опенвпн что ли??

В этой формулировке не хватает деталей, но в целом направление верное.

чтобы он был совместим с официальным, но делал что-то по-другому?

Да. Хочу, чтобы он не требовал доступа к /dev/net/tun. В Docker контейнере такое не работает, пока не выдашь ему особые права. Не хочу давать лишние права.

клиент опенвпн

Поправил титульное сообщение.

В этой формулировке не хватает деталей

дык ты их дал ещё меньше!)

что-то уж больно упорото. сделал бы несколько tap'ов а уж потом решал где и что ограничить.

но если ты их виртуалках пускаешь то я пас. куда уж дальше-то?

сделал бы несколько tap'ов а уж потом решал где и что ограничить.

Tun/tap нужны, чтобы уметь туннелировать вообще любой сетевой трафик, от любого софта. А мне достаточно запустить dante. Если рассмотреть систему в целом, не вдаваясь в детали внутреннего устройства, эта связка ждёт соединений на локальном порту и подсоединяется к удалённому хосту. Тут не для чего требовать дополнительных прав. Но так как реализация использует OpenVPN клиент, появляется требование доступа к /dev/net/tun, например.

но если ты их виртуалках пускаешь то я пас. куда уж дальше-то?

А если убрать требование доступа к /dev/net/tun, можно просто как один пользовательский процесс пускать. Хочешь — просто на хосте, хочешь — в контейнере.

windscribe

adblock

а, дошло.
ты хочешь чтобы сеть в компе была не стеком (OSI/TCP) а монолитом))
чтобы dante прямо к удаленной сети подключался (а еще лучше чтоб прям из ethernet карточки торчал сокс прокси)))

ну тогда видимо придется такой клиент openvpn написать/найти... но учитывая, что смысл впн клиента как раз дать доступ любым приложениям на 2/3 уровне, последнее представляется весьма маловероятным.

ты хочешь чтобы сеть в компе была не стеком (OSI/TCP) а монолитом))
чтобы dante прямо к удаленной сети подключался (а еще лучше чтоб прям из ethernet карточки торчал сокс прокси)))

Передёргивание какое-то уже. Как я уже писал, хочется некое приложение, которое принимает конфиг openvpn, коннектится к openvpn серверу, договаривается с ним, локально открывает порт и обрабатывает подключения к нему socks-клиентов.

ну тогда видимо придется такой клиент openvpn написать/найти

Ага. Тред как раз о поиске такого клиента. В заголовке написано.

последнее представляется весьма маловероятным

У shadowsocks аналогичная идея. Только там сервер и протокол взаимодействия свой.

Такой подход позволяет выбросить kill-switch как лишнюю сущность: в случае отвала соединения трафик не пойдёт в обычный интернет. И не получится случайно отправить личный трафик через VPN — туда пойдёт только то, что явно направишь через прокси.

хочется некое приложение, которое принимает конфиг openvpn, коннектится к openvpn серверу, договаривается с ним, локально открывает порт и обрабатывает подключения к нему socks-клиентов.

я ведь это и написал, практически дословно.

В заголовке написано.

если написать ищу гибрид умывальника с холодильником, то понятнее от этого что ты ищешь не становится.
я за тебя проговорил, что именно тебе надо. думаю не все даже на этом сайте знают все китайские софтовые проекты (хотя возможно скоро придется узнать...)))

У shadowsocks аналогичная идея. Только там сервер и протокол взаимодействия свой.

говоря маловероятно я имел в виду такой клиент к опенвпн.

может проще всё-таки подумать в сторону ограничения доступа к tun/tap только дантой, а не искать неведому зверушку? селинуксом там каким-нибудь

может проще всё-таки подумать в сторону ограничения доступа к tun/tap только дантой, а не искать неведому зверушку? селинуксом там каким-нибудь

Да проще openvpn+dante+dumb-init в контейнер засунуть. Это уже потом начинают приходить мысли об избыточности использованных инструментов. Напоминает анекдот:

Как вскипятить чайник? Налить воду, зажечь огонь, поставить чайник на огонь и подогреть до 100°С. А теперь новая задача: как вскипятить наполненный водой чайник? Выльем воду из чайника, чем сведем задачу к предыдущей.

Это был анек про физика и математика)

Теперь это анекдот про IT в целом.

Увы.

юзерспейсной реализации TCP/UDP и какого-нибудь прокси-сервера. Без использования tun/tap. Такое уже есть?

Есть. https://en.wikipedia.org/wiki/Slirp

А зачем в мире быстрого интернета прокси в принципе? Для управления скоростью? (Это не отностися к VPN)

А зачем в мире быстрого интернета прокси в принципе? Для управления скоростью?

Потому что скорость в слове «посредник» не при чём.

А зачем в мире быстрого интернета прокси в принципе?

Чтобы трафик, который должен пойти в частную сеть, не пошёл случайно в обычный интернет. Чтобы трафик, который не должен идти в частную сеть, не пошёл случайно туда.

Иногда VPN'ов несколько, и чтобы они ужились и работали, без плясок с бубном и чтения документации просто не обойтись

я неустанно повторяю - network namespaces

история ходит кругами

Нет. Там человек хочет защититься от прослушки на openvpn-сервере и заодно скрыть адрес этого openvpn-сервера от сайтов, к которым он решил подключаться. То есть, сделать цепочку длиннее.

А я хочу убрать лишние звенья в цепочке.

А чем SOCKS-прокси, встроенный в SSH-клиент, не подходит?

Ssh-клиент очень неустойчиво держит связь с openvpn-сервером. Очень быстро отваливается, даже аутентификацию не проходит.

Для этого достаточно VPN.