❤Поддержать канал можно просто зарегистрировав сервер или домен по ссылкам!❤ 🖥Хостинг🖥: hip.hosting/?code=13da05a94526a483026b 🌐Самые дешёвые домены🌐: sweb.ru/? 📢Группа в ТГ с полезными командами📢 t.me/davaite_pro_it
Вообще отлично! Не мямлит, все по делу. Даже ускорять видео не пришлось. Особенно для почти новичков, которые чуть-чуть знают, но не совсем. Хоть и долгий видос, но очень дельный, с объяснениями. Огромное спасибо автору! Однозначно - палец вверх и подписка!
Вовремя я решил себе сервер настроить) dpi не работал толком. Спасибо тебе огромное, получилось настроить с первого раз без особых проблем. Подписался на бусти, чтобы хоть как-то поддержать)
Богдан, привет! Хочу искренне поблагодарить тебя за превосходный контент по теме, которую нынче называют тремя буквами! Благодаря твоему труду мне удалось не только разобраться в сложных аспектах этой технологии, но и освоить её применение для повышения своей цифровой безопасности. Твой профессионализм и умение четко и доступно объяснять материал заслуживают огромного уважения. Видно, что ты вкладываешь душу в каждую деталь, создавая контент, который помогает как новичкам, так и тем, кто стремится углубить свои знания. Спасибо за твою преданность делу и готовность делиться своими знаниями. Это не только помогает освоить важные навыки, но и вдохновляет двигаться дальше, изучать новые горизонты и применять полученные знания на практике. Ты делаешь огромный вклад, и это действительно мотивирует!
1:03:35 Сервер не находится в той же подсети что и сервера yahoo, это люди которые так же поставили x-ui со стандартным SNI проксированием на yahoo. Ищите другие сайты и делайте маскировку под них.
в том то и дело я так понял надо было брать маску шире чтобы хотябы в теории найти в этом диапозоне известные сайты. А так да при сканированнии тебе тупо выводит сайты у этого же хостера которые замаскированы reality
Кстати, почему-то никто не упоминает это в гайдах, но в 3x-ui можно задать число одновременных подключений к ключу. Очень удобно, если Вы с друзьями/знакомыми скидываетесь на сервер и чтобы ключ, который вы выдали другу не стал гулять по всему Интернету.
@@SithTyro C ip понятно, это и в панели можно без терминала сделать, а вот кол-во соединений на 1 ключ я не понимаю как настроить, редактировал конфиг в терминале, но так не работает, после сохранения конфига и перезапуска панели строка с ограничением пропадает
Спасибо за гайд, узнал о разнице TLS-Reality, раньше слепо следовал гайдам из интернета и не понимал, что за что отвечает. Ещё могу от себя посоветовать избавиться от пользователя root на машине, а заходить и делать вещи под пользователем sudo. У 3x-ui есть своя система для русскоязычного бота telegram, можно тоже подключить. Но я пока пишу своего бота, который будет предоставлять пользователям личный кабинет, привязывая конфигурацию к telegram ID пользователя. Ну и конечно свою админку.
Богдан, смена порта ssh с дефолтного 22-го , на 10022, не сильно поможет и его (сервис ssh) все равно найдут отсканируя nmapом, раз уж занимаемся защитой от перебора, думаю тебе нужно добавить сюда защиту по ключам, тогда это сразу решает проблему перебора пароля и его взлому.
У себя и друзей заметил, что хостеры перезаписывают параметр PasswordAuthentication на yes, несмотря на то, что вы пишете PasswordAuthentication no в /etc/ssh/sshd_config. Если у вас так же, то нужно закомментировать строку вверху "Include ..."
Сделал все как на ролике, но впн не подрубается. tcp тест проходит, а url тест выдает таймаут. Не могу понять в чем проблема. ВПС взял в германии, франкфурт.
Для безопасного управления админкой 3x-ui можно сгенерить на серваке самоподписанный сертификат с ключом, указать файлы серта и ключа в настройках панели и дело в шляпе. При соединении будет ругаться (а если через Firefox, то ругнётся лишь раз при первом соединении), но жмём ок, всё равно продолжить. Всяко проще, чем каждый раз запускать ssh-туннель и туннелировать порт через ssh к 127.0.0.1. cd /etc/ssl openssl req -x509 -newkey rsa:4096 -nodes -sha256 -keyout private/private.key -out certs/public.key -days 3650 -subj "/CN=APP" Настройки панели -> Путь к файлу публичного ключа сертификата панели = /etc/ssl/certs/public.key Путь к файлу приватного ключа сертификата панели = /etc/ssl/private/private.key
@@0xTheDad Если это проблема, то при настройке фаервола стоит открывать порт не всем, а только адресам, откуда планируется её админить. Раз уж разобрана ситуация с купленным сертификатом, то почему бы и не рассказать про возможность использовать самоподписанный. Он шифрует точно так же как купленный, только его подлинность не подтверждает никакой удостоверяющий центр.
@@Lrnd "адреса" с которых планируется админить - это пул домашнего провайдера. Что помешает ТСПУ "от лица" этих адресов сделать Active Probing и увидеть там открытый нестандартный порт? Тогда уж Port-Knocking замутить. Ну и кроме того, поадминить может приспичить и не из дома. Впрочем, при любом нештатном раскладе вроде как остаётся последний ("крайний", как предпочёл бы сказать автор) вариант - через веб-панель хостера.
@@rexenpro2747 1) Начнём с того, что ТСПУ не делают Active Probing. Делают ли что-то другое Active Probing в РФ в данный момент - большой вопрос. 2) Что такое "адреса, с которых планируется админить" надо смотреть в каждом конкретном случае. Пул адресов домашнего провайдера - это лишь один из частных случаев. Это может быть и один ваш адрес, и небольшой перечень адресов для NAT, и подсеть, и группа префиксов. 3) Чтобы принимать трафик, направленный на какие либо публичные адреса или подсети, трафик оный должен быть зарулен на что-то, что его принимет. Обычно он зарулен в сеть провайдера и далее каскадом в нужный сегмент и к вам на роутер. Если в какой-то момент времени он зарулен куда-то ещё, откуда делается Active Probing, то в этот момент, соответственно, он не зарулен в нужное место в сети провайдера и в конечном итоге у вас дома либо нет интернета вообще, либо (если более точно отрулить, только от подозрительного источника) нет связи с целевым узлом. Совершенно точно могу сказать, что такой хернёй роскомпозор не занимается. Более того, вряд-ли у них есть техническая возможность так точно и выборочно отруливать отдельные адреса к себе на оборудование. Это даже для родного повайдера не просто и требует затрат человекочасов, организации инфраструктуры и архитектуры. И зачем? Чтобы посмотреть, какие же там порты открыты на одном из 4х миллиардов адресов в интернете с точки зрения одного из клиентских адресов? Цель провайдера зарабатывать деньги, а не заниматься этим непотребством )))) В ситуации, когда десятки платных VPN успешно предоставляют свои услуги десяткам миллионов пользователей в РФ, рассматривать под лупой ваш vds на хипхостинге, и думать, а не VPN ли там - это всё равно что пытаться заткнуть пальцем решето на титанике, в то время, когда из дыры на полкорпуса хлещет вода. Ну а вообще, моё профессиональное мнение - Port-Knocking в принципе совершенно излишняя мера в большинстве юзкейсов, в которых её пытаются применять. И совершенно точно излишняя в этом кейсе. На мой взгляд, у коллег, кто это любит - горе от ума или синдром шапочки из фольги. Вообще, я не стал уж душнить, но многие действия, которые предлагает автор в этом видео, это попытка решать несуществующие проблемы. Как, например, закрытие пингов. Пингующийся в интернете хост - это совершенно нормальное, обычное явление. А закрытие ICMP не даёт вообще ничего, кроме усложнения процедур дебага ситуаций, а так же мешает механизмам MSS clamping. >> Ну и кроме того, поадминить может приспичить и не из дома. Если прямо может приспичить, тогда стоит позаботиться о каком-либо сетевом способе попадания домой откуда угодно )
почему-то при переключении клиента в tun/vpn перестают открываться сайты, работает только в режиме системный прокси. в логах много dns: exchange failed v2rayn. Появляется интерфейс singbox_tun с ip 172.18.0.1 dns 172.18.0.2, и этот 0.2 хосты не резолвит. На андроиде в v2rayNG в режиме vpn работает нормально.
Приветствую После врубания firewall и разрешения портов панели (клиентов в том числе) и ssh у меня перестал работать интернет через сервер, пишет тайм аут
@BogdanDotPy почему-то этот важный вопрос мало где поднимается в видео про vless и др. впн, хотя я покопался в настройках и всё-таки там предусмотрен какой-то функционал по dns, но пока не разобрался полностью, особенно сложно разобраться с блок-схемой на китайском языке.
Вопрос автору немного не по теме. Sni должно быть через порт 443 ( по крайней мере мне так говорили), но adguard home использует тот же порт. Как быть?
Здравствуйте У хостинга veesp есть возможность получить на сервер бесплатный поддомен 3 уровня. Он подойдёт для получение SSL сертификата для HTTPS протокола???
Такой вопрос: если я использовал бы эту панель управления (или например я раньше юзал wireguard), но без защиты админки (то есть без сертификата), что конкретно мог бы видеть мой интернет провайдер (или провайдер vps)? Например логины и пароли?
Привет,Спасибо тебе огромное , я сделал все ты как показал все супер , а можно еще на этом же сервере свой vpn L2TP без ключей c использованием обфускации сделать ? а вы можете полный гайд снять ? был бы очень признателен , для роутера хотел бы сделать но шить роутер не хочу.vpn L2TP без ключей если протокол странной заблочен или провайдером
Богдан, подскажите, пожалуйста по поводу момента открытия портов. Я в этой теме не в зуб ногой, вписываю вашу команду, выдает ошибку command not found, но даже без открытия вроде все работает. Влияет ли этот момент на что-то?
Вы пробовали все завернуть в traefik чтобы ходить в админку через стандартный 443 порт? Сам 3x-ui можно развернуть в виде docker контейнера с поднятой общей сетью для traefik
Такая же х... В самом конфиге сменился и когда снова его пытаешься сменить в кофиге видно измененный порт. Но при проверки этого "демона" он по прежнему остается 22. Срань!!!!!!!!!!!!!!!!!!
Как же шикарно что почти весь инструментарий бесплатный, тратится требуется разве что на аренду сервера, но это не такая большая проблема. П.с. пробовал в сб поставить себе на сервер "чистый" х-рей (без надстроек, только скрипт) и не вывез. Очень много инфы пришлось искать отдельно от гайда на хабре, и даже так удалось завести скрипт только на самом сервере, а зайти через клиент - увы, никак. Повезло ещё что outline не отвалился, экспериментировал по сути с единственным сервером, что у меня есть😅
Это какой-то анекдот, чтобы настроить впн - нужен впн😂. Начинаю работать с фаерволом у меня отваливается сервер outline и видос уже не грузит😅. Кстати, есть небольшая проблемка. На Debian даже после установки команда ufw и её производные не работают. Не смог разобраться как добавить путь, для себя решил ситуацию вводом полного пути usr/sbin/ufw
Тема настройки конфига под vless не раскрыта, а с учётом последних веяний РКН предполагаю что нужно его настраивать более гибко, чем по Васян гайдам, где тыкни сюда и туда и всё готово. Ждём второго сезона данного сериала.
согласен, на странице гитхаб, рекомендация запускать локально "It is recommended to run this tool locally, as running the scanner in the cloud may cause the VPS to be flagged."
@@BogdanDotPy Вредоносного то ничего конечно, но тем не менее на hip hosting указано " 6.6. Запрещено размещение сетевых сканеров, прокси-чекеров и подобного ПО". А в репе RealiTLScanner указано "It is recommended to run this tool locally, as running the scanner in the cloud may cause the VPS to be flagged". Тут дело каждого конечно, но как будто бы нет смысла лишний раз рисковать :D
@@caprallex ой да забей, если ты один-два раза по 30 сек посканишь то ничего страшного) На постоянку ставить не надо конечно! Но вообще инфа для меня новая, век живи век учись)
Подскажите кто шарит при установки SSL в x-ui Выдает ошибку E: dpkg was interrupted, you must manually run 'dpkg --configure -a' to correct the problem. [ERR] install socat failed, please check logs
Огромное спасибо. Всё получилось, кроме одного. Не могу сделать защиту по пингу, потому что открывается совсем другая менюшка в NANO. В видео версия 7.2. У меня по умолчанию 6.2. Может быть поэтому. Всё это для меня темный лес. Палево при проверке анонимности 80%. Подскажите пожалуйста что делать, может быть сталкивались. Не один я лузер
Привет Можешь сделать видео про марзбан И плюс можешь сделать видеоролик на панеле 3x-ui и марзбан про подписки сервера через gdrive который подключенный в телеграмм бот Такого в ютубе нету, если сделаешь такой видеоролик буду рад и поможешь
Здравствуйте. А вопрос насчет VLES TLS. Раз порт мы указываем 443, то как создавать новые подключения по этому способу? И возможно ли это? Если да, то что в кратце надо сделать?
Просто добавляешь нового пользователя, на уже созданное подключение: Тогда у тебя на этом порту можно будет подключаться с двух устройств (или с 3-х, смотря сколько пользователей добавишь). Если же ты хочешь, именно подключение новое сделать - то только менять порт.
Здравствуйте, почти все настроил и как назло не понимаю как разрешить писать в файле nginx default. Пытаюсь сменить default_server но просто ничего не пишется при нажатии на клавиши
Здравствуйте, у меня после настройки TLS и запуска Nekoray - на 2ip все равно пишет мою локацию, это если я в режиме системного прокси работаю, а если режим TUN включаю - тогда нормально работает, показывает Нидерланды....То есть только 1 режим работает почему-то. Есть идеи?
Вредный совет с портом. Если будет фильтроваться порт и протокол, то ip-адрес сервера забанят, т.к. TLS на нестандартном порту, отличном от 443. То есть, это уже большое ослабление маскировки. P.S. Discord можно настроить на работу с системным proxy. Быстро и несложно. По факту дискорд сам и подхватывает.
Не закрывается пингование. Что на дебиане, что на убунте. Причем перепробовал не только как в вашем мануале, но и в целом по документации. Не пойму в чем дело...
не братцы, что-то тут не так. Думал аеза мозги канифолит... Арендовал впс на хостинге как и у автора. Сервак убунта 24.04. Такая же фигня. Убунта 22.04 тоже не блочит... Бесполезно править конфиги - пингуется и хоть ты тресни... Автор, можешь чего-нибудь дельного подсказать по этому поводу?
Благадарю за гайд! Вопрос. Если я настроил сервак по вашему укороченому гайду 3x-ui, то стоит ли заморачиваться с такой безопастностью и перенастраивать сервак?
Что-то не пойму, запрет пинга по вашей инструкции не работает. Пробовал на убунте и дебиан, результата не дало - пингуется. У меня ip привязан к домену, может быть поэтому?
Также по гайду не получилось. У меня заработало по другому. В rules только добавляешь описанное ниже. Остальное оставляешь все как есть изначально. Но, а именно - следует найти раздел, который начинается с комментария `# ok icmp codes for INPUT`, и добавить в его начало следующее правило: -A ufw-before-input -p icmp --icmp-type echo-request -j DROP
Вскем доброго времени! Ворпос. Как ограничить количество подключений с разных ip по одному ID ключу в (3X-UI)? Задача что бы на одном ключе ID не могло сидеть 2 человека одновременно.
Добрый день, подскажите пожалуйста, у вас в инструкции по реалити указан айпишник рандомный, но по факту мы используем мимикрию под сайт с 443 портом, это разве не вызывает вопросы? Есть ли смысл открывать 443 порт и в реалии тоже его ставить? И будут от этого конфликты какие нибудь?
И не совсем понял для чего запрещать пинг, на большинстве сайтов он же работает, что наших что зарубежных, как именно наличие пинга дискредитирует сервак?
@@JesusChristIsMyLord в этом и соль. Мы коннектимся к серверу, но маскируем его под клиент, чтобы провайдер или кто-то ещё не понял что происходит на самом деле
Привиет классный гайд, а будет ли норм работать по производительности трафика и безопаности через протокол передачи вебсокет с безопасностью TLS? если да может тоже гайд запилишь а то под реалити при более чем 13 пользователей одновременно гугл начинает снижать скорость жестко так =))
@@BogdanDotPy у меня есть сервера в рф, не могу накатить ни grafana ни gitlab - ошибка gpg блочат по ip. просто лень с конфигами морочиться, вдру есть что то что на лету хавает настроки 3Х.
У меня почему-то после 56:56 вообще все соединения отъехали. С выключенным впн Кроме 127.0.0.1 больше ничего не работает. Куда копать, как отменить это перенаправление портов, кто знает? А то я уже винду собрался сносить 😂
❤Поддержать канал можно просто зарегистрировав сервер или домен по ссылкам!❤
🖥Хостинг🖥:
hip.hosting/?code=13da05a94526a483026b
🌐Самые дешёвые домены🌐:
sweb.ru/?
📢Группа в ТГ с полезными командами📢
t.me/davaite_pro_it
Вообще отлично! Не мямлит, все по делу. Даже ускорять видео не пришлось. Особенно для почти новичков, которые чуть-чуть знают, но не совсем. Хоть и долгий видос, но очень дельный, с объяснениями. Огромное спасибо автору! Однозначно - палец вверх и подписка!
Согласен
Не зря я метнулся качать ролик, ох не зря, как чувствовал)))) Спасибо за труд!!!
а как ролик с ютуба скачать? раньше вроде приложения были какие-то, сейчас уже не помню. а ютуб все подчистил и таких видосов не нашел
@@stalkercallofvorkuta4212 в андроид newpipe и еще куча подобного, в винде мозила фаерфокс и куча дополнений позволяющих это провернуть.
@@stalkercallofvorkuta4212 4k video dowloader
@@stalkercallofvorkuta4212 На ПК можно качнуть прогой 4K Video Downloader, скачать версию плюс можно с рутрекера. На андроид прогой snaptube.
@@stalkercallofvorkuta4212tubemate. Конечно не в плеймаркете, и да все ещё работает, месяц назад пользовался
Вовремя я решил себе сервер настроить) dpi не работал толком. Спасибо тебе огромное, получилось настроить с первого раз без особых проблем. Подписался на бусти, чтобы хоть как-то поддержать)
Богдан, привет!
Хочу искренне поблагодарить тебя за превосходный контент по теме, которую нынче называют тремя буквами! Благодаря твоему труду мне удалось не только разобраться в сложных аспектах этой технологии, но и освоить её применение для повышения своей цифровой безопасности.
Твой профессионализм и умение четко и доступно объяснять материал заслуживают огромного уважения. Видно, что ты вкладываешь душу в каждую деталь, создавая контент, который помогает как новичкам, так и тем, кто стремится углубить свои знания.
Спасибо за твою преданность делу и готовность делиться своими знаниями. Это не только помогает освоить важные навыки, но и вдохновляет двигаться дальше, изучать новые горизонты и применять полученные знания на практике. Ты делаешь огромный вклад, и это действительно мотивирует!
@@yuran847 ого, спасибо большое
Хороший сетевик, буквально на пальцах , доходчиво все обьяснил, пасибо
Спасибо за труд, отлично объясняешь, не просто гайд, а ещё и ликбез по многим темам!
Дай бог тебе здоровья. Спасибо за информацию
Благодарю за труды, на таких людях мир держится.
можно попродробнее про "flow": "xtls-rprx-vision"? на что влияет и какой параметр лучше ставить?
Огромное спасибо за просветительское видео. Практически ничего из этого не знал, хотя уже настраивал X-UI панель по вашему предыдущему видео.
1:03:35 Сервер не находится в той же подсети что и сервера yahoo, это люди которые так же поставили x-ui со стандартным SNI проксированием на yahoo. Ищите другие сайты и делайте маскировку под них.
в том то и дело я так понял надо было брать маску шире чтобы хотябы в теории найти в этом диапозоне известные сайты. А так да при сканированнии тебе тупо выводит сайты у этого же хостера которые замаскированы reality
Большое спасибо за ролик! Получилось не только очень полезно, но еще и познавательно
Я потратил 2 дня на wireguard... Посмотрел видео и сделал себе впн за час. Респект)
хз что там можно делать 2 дня. Но wg уже блокируют много где. Поэтому лучше конечно же использовать эту реализацию частной сети.
Спасибо большое, за подробности! Супер!
Кстати, почему-то никто не упоминает это в гайдах, но в 3x-ui можно задать число одновременных подключений к ключу. Очень удобно, если Вы с друзьями/знакомыми скидываетесь на сервер и чтобы ключ, который вы выдали другу не стал гулять по всему Интернету.
Как это сделать?
@@saynayra1314 в терминале вызвать настройки панели командой x-ui, в появившемся списке выбрать пункт IP Limit Management
@@SithTyro C ip понятно, это и в панели можно без терминала сделать, а вот кол-во соединений на 1 ключ я не понимаю как настроить, редактировал конфиг в терминале, но так не работает, после сохранения конфига и перезапуска панели строка с ограничением пропадает
Спасибо за гайд, узнал о разнице TLS-Reality, раньше слепо следовал гайдам из интернета и не понимал, что за что отвечает. Ещё могу от себя посоветовать избавиться от пользователя root на машине, а заходить и делать вещи под пользователем sudo. У 3x-ui есть своя система для русскоязычного бота telegram, можно тоже подключить. Но я пока пишу своего бота, который будет предоставлять пользователям личный кабинет, привязывая конфигурацию к telegram ID пользователя. Ну и конечно свою админку.
А где файлы бота находятся не подскажите ?
Можешь поделиться кодом твоего бота? (Пожалуйста)
@@ichostogo могу помочь начать общение с xray и python, но дальше самостоятельно. Можешь через бота связаться со мной как раз, @louriexray_bot
просто лучший!! большое спасибо!
Туториал просто ОГОНЬ!
Богдан, смена порта ssh с дефолтного 22-го , на 10022, не сильно поможет и его (сервис ssh) все равно найдут отсканируя nmapом, раз уж занимаемся защитой от перебора, думаю тебе нужно добавить сюда защиту по ключам, тогда это сразу решает проблему перебора пароля и его взлому.
странно что нет в гайде создание SSH ключа и его настройку на сервере.
Недооцененное видео.
У себя и друзей заметил, что хостеры перезаписывают параметр PasswordAuthentication на yes, несмотря на то, что вы пишете PasswordAuthentication no в /etc/ssh/sshd_config. Если у вас так же, то нужно закомментировать строку вверху "Include ..."
под макос клиент какой рекомендуешь?
(я натурал, уточню)
у меня FoXray норм пашет на маке
Дружище, ты лучший!
Спасибо за ценную информацию.
Сделал все как на ролике, но впн не подрубается. tcp тест проходит, а url тест выдает таймаут. Не могу понять в чем проблема. ВПС взял в германии, франкфурт.
Можно ли ещё во второй гайд добавить удалённое подключения к пк, к домашнему медеа серверу, к роутеру openwrt и т.п. с помощью это сервера? Спасибо.
от души, человечище)
Браво
Вы вроде ничего не сказали про использование SSH-ключей. А ведь это тоже как один из вариантов защиты впски
@@Trenbo1one я бы сказал обязательный шаг
@@UncleFilo да вроде он сказал об этом в видосе
Для безопасного управления админкой 3x-ui можно сгенерить на серваке самоподписанный сертификат с ключом, указать файлы серта и ключа в настройках панели и дело в шляпе. При соединении будет ругаться (а если через Firefox, то ругнётся лишь раз при первом соединении), но жмём ок, всё равно продолжить. Всяко проще, чем каждый раз запускать ssh-туннель и туннелировать порт через ssh к 127.0.0.1.
cd /etc/ssl
openssl req -x509 -newkey rsa:4096 -nodes -sha256 -keyout private/private.key -out certs/public.key -days 3650 -subj "/CN=APP"
Настройки панели ->
Путь к файлу публичного ключа сертификата панели = /etc/ssl/certs/public.key
Путь к файлу приватного ключа сертификата панели = /etc/ssl/private/private.key
Зато панель наружу при ssh тунеле не торчит
@@0xTheDad Если это проблема, то при настройке фаервола стоит открывать порт не всем, а только адресам, откуда планируется её админить. Раз уж разобрана ситуация с купленным сертификатом, то почему бы и не рассказать про возможность использовать самоподписанный. Он шифрует точно так же как купленный, только его подлинность не подтверждает никакой удостоверяющий центр.
Спасибо за короткий и емкий мануал
@@Lrnd "адреса" с которых планируется админить - это пул домашнего провайдера. Что помешает ТСПУ "от лица" этих адресов сделать Active Probing и увидеть там открытый нестандартный порт? Тогда уж Port-Knocking замутить. Ну и кроме того, поадминить может приспичить и не из дома. Впрочем, при любом нештатном раскладе вроде как остаётся последний ("крайний", как предпочёл бы сказать автор) вариант - через веб-панель хостера.
@@rexenpro2747 1) Начнём с того, что ТСПУ не делают Active Probing. Делают ли что-то другое Active Probing в РФ в данный момент - большой вопрос.
2) Что такое "адреса, с которых планируется админить" надо смотреть в каждом конкретном случае. Пул адресов домашнего провайдера - это лишь один из частных случаев. Это может быть и один ваш адрес, и небольшой перечень адресов для NAT, и подсеть, и группа префиксов.
3) Чтобы принимать трафик, направленный на какие либо публичные адреса или подсети, трафик оный должен быть зарулен на что-то, что его принимет. Обычно он зарулен в сеть провайдера и далее каскадом в нужный сегмент и к вам на роутер. Если в какой-то момент времени он зарулен куда-то ещё, откуда делается Active Probing, то в этот момент, соответственно, он не зарулен в нужное место в сети провайдера и в конечном итоге у вас дома либо нет интернета вообще, либо (если более точно отрулить, только от подозрительного источника) нет связи с целевым узлом. Совершенно точно могу сказать, что такой хернёй роскомпозор не занимается. Более того, вряд-ли у них есть техническая возможность так точно и выборочно отруливать отдельные адреса к себе на оборудование. Это даже для родного повайдера не просто и требует затрат человекочасов, организации инфраструктуры и архитектуры. И зачем? Чтобы посмотреть, какие же там порты открыты на одном из 4х миллиардов адресов в интернете с точки зрения одного из клиентских адресов? Цель провайдера зарабатывать деньги, а не заниматься этим непотребством ))))
В ситуации, когда десятки платных VPN успешно предоставляют свои услуги десяткам миллионов пользователей в РФ, рассматривать под лупой ваш vds на хипхостинге, и думать, а не VPN ли там - это всё равно что пытаться заткнуть пальцем решето на титанике, в то время, когда из дыры на полкорпуса хлещет вода.
Ну а вообще, моё профессиональное мнение - Port-Knocking в принципе совершенно излишняя мера в большинстве юзкейсов, в которых её пытаются применять. И совершенно точно излишняя в этом кейсе. На мой взгляд, у коллег, кто это любит - горе от ума или синдром шапочки из фольги.
Вообще, я не стал уж душнить, но многие действия, которые предлагает автор в этом видео, это попытка решать несуществующие проблемы. Как, например, закрытие пингов. Пингующийся в интернете хост - это совершенно нормальное, обычное явление. А закрытие ICMP не даёт вообще ничего, кроме усложнения процедур дебага ситуаций, а так же мешает механизмам MSS clamping.
>> Ну и кроме того, поадминить может приспичить и не из дома.
Если прямо может приспичить, тогда стоит позаботиться о каком-либо сетевом способе попадания домой откуда угодно )
aeza не понравилась. Все его продвигают но пинг 600, от мск до амстердама, при просьбе поменять сервер отказали.
почему-то при переключении клиента в tun/vpn перестают открываться сайты, работает только в режиме системный прокси. в логах много dns: exchange failed v2rayn. Появляется интерфейс singbox_tun с ip 172.18.0.1 dns 172.18.0.2, и этот 0.2 хосты не резолвит. На андроиде в v2rayNG в режиме vpn работает нормально.
Привет. Подскажи как избавиться от двустороннего пинга при проверке 2ip. Хост aeza. Делал все по инструкции. Но проблема с пингом не решилась
Та же история и у меня
@@AlexanderFB reboot - мне помогло
Приветствую
После врубания firewall и разрешения портов панели (клиентов в том числе) и ssh у меня перестал работать интернет через сервер, пишет тайм аут
19:35 строчки нет в телеграмме, команда не выполняется. как подписку настроить тоже не увидел
спасибо огромное!!!
Что насчет протокола DNS? Как он идет от клиента? Что лучше поменять и настроить?
через провайдера, лучше роутер прошить под OpenWRT и на роутере настроить всё, включая ДНС через HTTPS или типо того
@BogdanDotPy почему-то этот важный вопрос мало где поднимается в видео про vless и др. впн, хотя я покопался в настройках и всё-таки там предусмотрен какой-то функционал по dns, но пока не разобрался полностью, особенно сложно разобраться с блок-схемой на китайском языке.
Вопрос автору немного не по теме. Sni должно быть через порт 443 ( по крайней мере мне так говорили), но adguard home использует тот же порт. Как быть?
Здравствуйте
У хостинга veesp есть возможность получить на сервер бесплатный поддомен 3 уровня. Он подойдёт для получение SSL сертификата для HTTPS протокола???
Такой вопрос: если я использовал бы эту панель управления (или например я раньше юзал wireguard), но без защиты админки (то есть без сертификата), что конкретно мог бы видеть мой интернет провайдер (или провайдер vps)? Например логины и пароли?
Привет,Спасибо тебе огромное , я сделал все ты как показал все супер , а можно еще на этом же сервере свой vpn L2TP без ключей c использованием обфускации сделать ? а вы можете полный гайд снять ? был бы очень признателен , для роутера хотел бы сделать но шить роутер не хочу.vpn L2TP без ключей если протокол странной заблочен или провайдером
@@ismuzi6111 хз, буду после 30го смотреть как будут развиваться события
@@BogdanDotPy надеюсь будет все ок, буду ждать от вас видео с настройкой такой
@@BogdanDotPy или на бусти я подписку возьму )
@@BogdanDotPy или как поднять L2tp без ключей
, чтоб на обычном роутере без прошивки работал , если протокол заблочен допустим страной или провайдером
@@BogdanDotPy Как вообще его поднять L2Tp без ключей для роутера без прошивки на этом же сервере после всех этих настроек
Богдан, подскажите, пожалуйста по поводу момента открытия портов. Я в этой теме не в зуб ногой, вписываю вашу команду, выдает ошибку command not found, но даже без открытия вроде все работает. Влияет ли этот момент на что-то?
@@atonyano привет, ты пропустил видимо момент с их закрытием)
Глобально не влияет, если сервер нужен для домашнего пользования
@BogdanDotPy а, понял принял, благодарю
Отличное видео, спасибо. Скажите, а не лучше ли указать Яндекс в Dest и Server Names?
@@Stan_Shayne лучше указать сайт "ближе" к серверу
Когда ролик по настройке роутера?
Вы пробовали все завернуть в traefik чтобы ходить в админку через стандартный 443 порт? Сам 3x-ui можно развернуть в виде docker контейнера с поднятой общей сетью для traefik
А нафига там Траефиг? Хватит и NPManager - в том же Докере. Даже лучше NPMplus.
@ траефик сам сертификаты обновляет, я просто с npm не пробовал, может он также умеет
@@awesomefreeman7620 конечно умеет. странно было бы рожать образ весом в Гигабайт и тот бы не умел примитивный скрипт пинков Летсэнурипта
Привет! номер порта после смены при проверке не изменяется. на 15-16 минуте. Что делать?
Такая же х... В самом конфиге сменился и когда снова его пытаешься сменить в кофиге видно измененный порт. Но при проверки этого "демона" он по прежнему остается 22. Срань!!!!!!!!!!!!!!!!!!
а mikrotik hap ac2 от такого впн запитать можно?
Богдан, молодец!
Как же шикарно что почти весь инструментарий бесплатный, тратится требуется разве что на аренду сервера, но это не такая большая проблема.
П.с. пробовал в сб поставить себе на сервер "чистый" х-рей (без надстроек, только скрипт) и не вывез. Очень много инфы пришлось искать отдельно от гайда на хабре, и даже так удалось завести скрипт только на самом сервере, а зайти через клиент - увы, никак. Повезло ещё что outline не отвалился, экспериментировал по сути с единственным сервером, что у меня есть😅
Это какой-то анекдот, чтобы настроить впн - нужен впн😂. Начинаю работать с фаерволом у меня отваливается сервер outline и видос уже не грузит😅. Кстати, есть небольшая проблемка. На Debian даже после установки команда ufw и её производные не работают. Не смог разобраться как добавить путь, для себя решил ситуацию вводом полного пути usr/sbin/ufw
Здравствуйте! А можно ли использовать VLESS Reality вместо VLESS TLS с функцией подписки для клиентских подключений прикрутив адрес сервера к домену?
Тема настройки конфига под vless не раскрыта, а с учётом последних веяний РКН предполагаю что нужно его настраивать более гибко, чем по Васян гайдам, где тыкни сюда и туда и всё готово. Ждём второго сезона данного сериала.
Мммм... а что там нового РНК придумал? Activу Prоbing стал юзать? Так от этого вроде ТЛС-Реалити и защищает.
Предполагаю что сканировать сети с VPSки не очень хорошая идея, лучше наверное это делать со своего устройства)
Спасибо за информативное видео!
@@caprallex а какая разница? Он же ничего не делает вредоносного
согласен, на странице гитхаб, рекомендация запускать локально "It is recommended to run this tool locally, as running the scanner in the cloud may cause the VPS to be flagged."
@@BogdanDotPy Вредоносного то ничего конечно, но тем не менее на hip hosting указано " 6.6. Запрещено размещение сетевых сканеров, прокси-чекеров и подобного ПО". А в репе RealiTLScanner указано "It is recommended to run this tool locally, as running the scanner in the cloud may cause the VPS to be flagged".
Тут дело каждого конечно, но как будто бы нет смысла лишний раз рисковать :D
@@caprallex ой да забей, если ты один-два раза по 30 сек посканишь то ничего страшного) На постоянку ставить не надо конечно!
Но вообще инфа для меня новая, век живи век учись)
А смысл со своего устройства сканить, если суть в том, чтобы найти домен из подсети твоего впс?
Но это же прокси, а не VPN.
А как сделать чтоб клиенты видели друг друга в сети на сервере
Подскажите кто шарит при установки SSL в x-ui Выдает ошибку
E: dpkg was interrupted, you must manually run 'dpkg --configure -a' to correct the problem.
[ERR] install socat failed, please check logs
Огромное спасибо. Всё получилось, кроме одного. Не могу сделать защиту по пингу, потому что открывается совсем другая менюшка в NANO. В видео версия 7.2. У меня по умолчанию 6.2. Может быть поэтому. Всё это для меня темный лес. Палево при проверке анонимности 80%. Подскажите пожалуйста что делать, может быть сталкивались. Не один я лузер
Респект!
после отключения подключения в necoray , перестают открываться все сайты в браузере, приходится перезагружать роутер и пк.
Советую всем скачать данное видео и сохранить 😅
Главное только сервер хороший найти, а лучше за бугром и без предоставления доков 🤗
@@vladimironischenko3054 на сервер доки не нужны, можно просто по мылу регать😅
такой вопрос, а нигде не известно где базируется данный хостинг, в плане в россии или нет?
Ты же сам выбираешь где хочешь.
А как ограничить количество подключений по ip
пользователю? Раньше была такая функция в панели
Богдан подскажи пожалуйста, за что отвечает настройка Sockopt в панели управления? как она влияет на работу TLS и Reality?
Сложная тема, так просто не ответить
Видос хороший, спасибо. Ролик с настройкой админки будет? Или там нечего оптимизировать?
Очень даже есть. Те же кастомные правила маршрутизации.
Лайк !!!
спасибо за гайд
Храни вас господь!
Привет
Можешь сделать видео про марзбан
И плюс можешь сделать видеоролик на панеле 3x-ui и марзбан про подписки сервера через gdrive который подключенный в телеграмм бот
Такого в ютубе нету, если сделаешь такой видеоролик буду рад и поможешь
Спасибо автору, простроил корпоративную сеть и не разу не обошел никаких блокировок так как уважаю закон РФ !
Здравствуйте. А вопрос насчет VLES TLS.
Раз порт мы указываем 443, то как создавать новые подключения по этому способу? И возможно ли это?
Если да, то что в кратце надо сделать?
Просто добавляешь нового пользователя, на уже созданное подключение: Тогда у тебя на этом порту можно будет подключаться с двух устройств (или с 3-х, смотря сколько пользователей добавишь). Если же ты хочешь, именно подключение новое сделать - то только менять порт.
@@fakejade2818 О, спасибо большое, все получилось.
а есть еще же marzban, почему выбор пал на 3x-ui ?
@@stanleythegrapefruit5418 спс за наводку, уже качаю ролик на эту тему)
@@stanleythegrapefruit5418 мне потребности закрывает
Здравствуйте. Не нашел на Бусте как настроить авторизацию по ключам на сервере
этого барахла навалом в любом поисковике
А как правильно установить ssl сертификаты если у меня Double Vpn? 1 (vless) --> 2 (shadowsocks) К первому я подключаюсь а через второй выходит
Здравствуйте, почти все настроил и как назло не понимаю как разрешить писать в файле nginx default. Пытаюсь сменить default_server но просто ничего не пишется при нажатии на клавиши
Здравствуйте, у меня после настройки TLS и запуска Nekoray - на 2ip все равно пишет мою локацию, это если я в режиме системного прокси работаю, а если режим TUN включаю - тогда нормально работает, показывает Нидерланды....То есть только 1 режим работает почему-то. Есть идеи?
на главе запрет пинга у меня затык, вск 3 шага сделал как в видео, а сервер пингуется, Ubuntu 24/02/1, есть страдальцы кто победил?
На Hip Hosting работает запрет пинга, а на aeza фиг вам. Инструкции и команды из гугла пока не помогают
Супер замороченное видео.
Вредный совет с портом. Если будет фильтроваться порт и протокол, то ip-адрес сервера забанят, т.к. TLS на нестандартном порту, отличном от 443. То есть, это уже большое ослабление маскировки.
P.S. Discord можно настроить на работу с системным proxy. Быстро и несложно. По факту дискорд сам и подхватывает.
@@AloneStroller подскажите таймкод
@dimapartov Чего таймкод?
@@AloneStroller вредного совета с портом
подскажи как настроить Discord, а то звонки не проходят...
Вопрос тут появился,самоподписанный сертификат для https панели можно использовать?
@@saltis51 можно
Не закрывается пингование. Что на дебиане, что на убунте. Причем перепробовал не только как в вашем мануале, но и в целом по документации. Не пойму в чем дело...
Была такая же проблема, после reboot сервера, пинги пропали.
@BigBrotherMega ребутил... Не помогает. Всё равно пингуется.
не братцы, что-то тут не так. Думал аеза мозги канифолит... Арендовал впс на хостинге как и у автора. Сервак убунта 24.04. Такая же фигня. Убунта 22.04 тоже не блочит... Бесполезно править конфиги - пингуется и хоть ты тресни... Автор, можешь чего-нибудь дельного подсказать по этому поводу?
@@evkaruna поддерживаю таже беда, на серваке с хостинга из видео
При попытке записать ключи SSl панель выдает ошибку Modify Settings Failed. Как исправить?
А как впн юзать не на весь трафик, а выборочно?
Благадарю за гайд! Вопрос. Если я настроил сервак по вашему укороченому гайду 3x-ui, то стоит ли заморачиваться с такой безопастностью и перенастраивать сервак?
@@NP-kn8en если ты по http ходишь то да
@@BogdanDotPyСразу же настроил SSL сертификат и HTTPS
По http же только панель? Или весь трафик если https не настроен?
Сделайте пожалуйста подробный обзор марзбан
При переходе на айпи либо на домен, не переходит на Гугл , это норм ? Reality
У меня nginx конфликтует с x-ui, x-ray перестает работать и веб заглушка nginx пропадает
Что-то не пойму, запрет пинга по вашей инструкции не работает. Пробовал на убунте и дебиан, результата не дало - пингуется. У меня ip привязан к домену, может быть поэтому?
скорее всего провайдер не дает, у меня так же было
@user-nb8lc2fw7l скорее всего. Ниже прочитал комменты, что надо хостинг менять. Ну ладно, пока оплачено менять не будем)
да и не надо, если работает что тебе надо, не парься
Также по гайду не получилось. У меня заработало по другому.
В rules только добавляешь описанное ниже. Остальное оставляешь все как есть изначально.
Но, а именно - следует найти раздел, который начинается с комментария `# ok icmp codes for INPUT`, и добавить в его начало следующее правило:
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP
насчет hip hosting, они логи ведут?
любой хостер обязан вести отчётность и при звонке от майора свистеть куда надо. в любой стране.
@@rexenpro2747 а где об этом написано?
Вскем доброго времени! Ворпос. Как ограничить количество подключений с разных ip по одному ID ключу в (3X-UI)? Задача что бы на одном ключе ID не могло сидеть 2 человека одновременно.
почему именно Убута? Почему не Дебиан, в дальнейшем может появится необходимость установки дополнительного ПО
@@Роман-ш2ы7р потому что я так делаю, если ты имеешь свои потребности то делай как тебе удобно
я тоже под 3х ставлю всегда дебиан на сервере, поменьше жрёт памяти. Есть другие панели, там только убунту поддерживается. Под 3х дебиан лучше.
Богдан привет! спасибо за видео. А можете под ключ мне все это настроить на моем сервере, если да ,сколько это будет стоить)
Добрый день, подскажите пожалуйста, у вас в инструкции по реалити указан айпишник рандомный, но по факту мы используем мимикрию под сайт с 443 портом, это разве не вызывает вопросы? Есть ли смысл открывать 443 порт и в реалии тоже его ставить? И будут от этого конфликты какие нибудь?
Заранее благодарю за ответ, ну и видос, много полезного узнал из него, буду доработки делать) а то ркн пуще прежнего лютует)
И не совсем понял для чего запрещать пинг, на большинстве сайтов он же работает, что наших что зарубежных, как именно наличие пинга дискредитирует сервак?
@@Uppachпро пинг же речь была о том что мы маскируемся под клиент, а не сервер. А сайт это как раз сервер и есть
@@maksonaladin4033 непонятно же, наш клиент (комп, смартфон) коннектится в vps как к серверу.
@@JesusChristIsMyLord в этом и соль. Мы коннектимся к серверу, но маскируем его под клиент, чтобы провайдер или кто-то ещё не понял что происходит на самом деле
Как блокировать всю рекламу , в том числе на ютуб через панель ?
Привиет классный гайд, а будет ли норм работать по производительности трафика и безопаности через протокол передачи вебсокет с безопасностью TLS? если да может тоже гайд запилишь а то под реалити при более чем 13 пользователей одновременно гугл начинает снижать скорость жестко так =))
я не пробовал, но попробуй с сам мне расскажи)
привет, подскажи пожалуйста возникла проблема в управление nginx скажи ты там вводишь :wq как это сделать я пол часа разбирался как там писать)
@@RoflKing-24 прям так, переключи раскладку на английский и пиши :wq
@@BogdanDotPy спасибо, у меня ещё вопрос а можно ли и если можно то как подключить новые сервера к этому
@@RoflKing-24 новый сервера?
Ты про клиентов или прям про сервера?
@@BogdanDotPy прям про сервер допустим у меня в нидерландах а нужно ещё и в германии но чтобы они работали как экосистема
Эх, все вроде как в видео, но все равно работает медленно, или вообще не работает. Кто может помочь?
И все делается из под яндекс браузера. Браво.
а тебе какая разница, чем ему удобно пользоваться?)
Богдан привет. А консольный клиент конфигов 3X-UI есть ?
А зачем и главное нах*я?
Если ты решил в автоматизацию упороться, то основа это X-Ray, у него конфиг лежит в json, делай с ним что хош
3x-ui - по сути гуи для инструментов (фреймворка xray и ещё пары вещей). Просто используй инструменты напрямую.
@@BogdanDotPy у меня есть сервера в рф, не могу накатить ни grafana ни gitlab - ошибка gpg блочат по ip. просто лень с конфигами морочиться, вдру есть что то что на лету хавает настроки 3Х.
У меня почему-то после 56:56 вообще все соединения отъехали. С выключенным впн Кроме 127.0.0.1 больше ничего не работает.
Куда копать, как отменить это перенаправление портов, кто знает? А то я уже винду собрался сносить 😂