From 61525c44001a26c055693cb1b1afd26260d19032 Mon Sep 17 00:00:00 2001 From: Ruslan Gilfanov Date: Sun, 21 Jun 2026 22:36:12 +0300 Subject: [PATCH] =?UTF-8?q?vpn:=20=D1=84=D0=B0=D0=B7=D0=B0=201=20=E2=80=94?= =?UTF-8?q?=20AWG=20exit-=D0=B7=D0=B5=D1=80=D0=BA=D0=B0=D0=BB=D0=BE=20?= =?UTF-8?q?=D0=BD=D0=B0=20fr1,=20ru1=20=D0=BF=D0=B5=D1=80=D0=B5=D0=BA?= =?UTF-8?q?=D0=BB=D1=8E=D1=87=D1=91=D0=BD=20=D0=BD=D0=B0=20fr1?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- servers/de1.md | 4 ++-- servers/fr1.md | 9 +++++++++ servers/ru1.md | 2 +- 3 files changed, 12 insertions(+), 3 deletions(-) diff --git a/servers/de1.md b/servers/de1.md index 8082344..2b61322 100644 --- a/servers/de1.md +++ b/servers/de1.md @@ -69,8 +69,8 @@ Vhost'ы в `sites-available/`, симлинки в `sites-enabled/`. TLS вез - Бэкапы конфига: `nginx.conf.bak`, `nginx.conf.bak.20260613`. ## VPN-топология (AmneziaWG) -- Контейнер `amnezia-awg`, iface `amn0` = 172.29.172.1/24, порт 36360/udp. -- Туннель: **de1 = 10.8.1.0**; RU-сервер подключается как **10.8.1.4/32**. +- Контейнер `amnezia-awg`, iface `amn0` = 172.29.172.1/24, порт 36360/udp. AWG server `wg0` 10.8.1.0/24 (server-pubkey `Lumb1o…`), пиры 10.8.1.1/2/3 + ранее 10.8.1.4 (ru1). +- ⚠️ **ru1 (10.8.1.4) с 2026-06-21 переключён на `fr1`** (зеркало с теми же ключами). Прямые пиры 10.8.1.1/2/3 пока остаются здесь. de1 держим для отката. ## MTProxy (telemt) - `~/gost/docker-compose.yml`: host-network, read-only, cap_drop ALL + NET_BIND_SERVICE, no-new-privileges. diff --git a/servers/fr1.md b/servers/fr1.md index 09ae991..d8aa98e 100644 --- a/servers/fr1.md +++ b/servers/fr1.md @@ -80,6 +80,15 @@ backend=systemd banaction=ufw - `ROOT_URL`/`SSH_DOMAIN` = `git.ruzzy.dev` (не менялись). Host-ключи SSH и user/deploy-ключи перенесены с данными — `ssh://git@git.ruzzy.dev:2222` работает как раньше. - Это origin репо `infra` и vault openclaw. +## AmneziaWG exit (для ru1) — перенос VPN, фаза 1 +- Зеркало exit-узла `de1`: AmneziaWG server `wg0` = **10.8.1.0/24**, ListenPort **36360/udp**, те же server-ключи/PSK и obfuscation-параметры (Jc/Jmin/Jmax/S1/S2/H1-4), что и на `de1` (server-pubkey `Lumb1o…`) → на `ru1` свитч = только смена Endpoint. +- Установка: `amneziawg-dkms`+`amneziawg-tools` (PPA amnezia), host-ом через `awg-quick@wg0` (enabled). Конфиг `/etc/amnezia/amneziawg/wg0.conf` (секрет, не в git). +- NAT: PostUp masquerade `10.8.1.0/24 → eth0` + `ip_forward=1`. +- **ufw:** `36360/udp` открыт + `ufw route allow in on wg0 out on eth0` (и обратно) + `ufw allow in on wg0` — **обязательно**, иначе ufw режет туннельный трафик (на `de1` ufw был выключен). +- Пиры: `ru1` (10.8.1.4) переключён сюда; прямые 10.8.1.1/2/3 пока на `de1`. +- Проверено: зарубежный exit RU-клиентов идёт через `fr1` (exit-IP 161.97.93.252). +- ⏳ Остаётся (фаза 2): telemt MTProxy, OpenVPN, прямые AWG-клиенты, перенос DNS `ruzzy.dev`/`www`. + ## Telegram-уведомления - Бот @ultimate_log_bot. Конфиг `/etc/tg-notify.conf` (chmod 600, токен+chat_id — секрет на сервере). - `/usr/local/bin/tg-notify.sh "msg"` — универсальная отправка (HTML, префикс hostname). diff --git a/servers/ru1.md b/servers/ru1.md index 6b92079..e1adb11 100644 --- a/servers/ru1.md +++ b/servers/ru1.md @@ -15,7 +15,7 @@ VPN entry-нода в РФ. Точка входа в топологии **RU↔D - `ens3` — публичный `85.198.109.86/24` (RU интернет, default route via 85.198.109.1) - `tun0` — OpenVPN #1 (умный роутинг) `192.168.255.1/24` - `tun1` — OpenVPN #2 (RU-выход) `192.168.254.1/24` -- `wg0` — AmneziaWG туннель до de1 `10.8.1.4/32` +- `wg0` — AmneziaWG туннель `10.8.1.4/32` → **с 2026-06-21 endpoint переключён на `fr1` (161.97.93.252:36360)** (был de1). Ключи/PSK те же, менялся только Endpoint в `/etc/amnezia/amneziawg/wg0.conf`. Откат: вернуть IP на `213.136.74.247`. - `wg1` — WireGuard для клиентов `10.8.2.1/24` ## Сервисы и порты