vpn: фаза 1 — AWG exit-зеркало на fr1, ru1 переключён на fr1
This commit is contained in:
Ruslan Gilfanov
@@ -69,8 +69,8 @@ Vhost'ы в `sites-available/`, симлинки в `sites-enabled/`. TLS вез
|
||||
- Бэкапы конфига: `nginx.conf.bak`, `nginx.conf.bak.20260613`.
|
||||
|
||||
## VPN-топология (AmneziaWG)
|
||||
- Контейнер `amnezia-awg`, iface `amn0` = 172.29.172.1/24, порт 36360/udp.
|
||||
- Туннель: **de1 = 10.8.1.0**; RU-сервер подключается как **10.8.1.4/32**.
|
||||
- Контейнер `amnezia-awg`, iface `amn0` = 172.29.172.1/24, порт 36360/udp. AWG server `wg0` 10.8.1.0/24 (server-pubkey `Lumb1o…`), пиры 10.8.1.1/2/3 + ранее 10.8.1.4 (ru1).
|
||||
- ⚠️ **ru1 (10.8.1.4) с 2026-06-21 переключён на `fr1`** (зеркало с теми же ключами). Прямые пиры 10.8.1.1/2/3 пока остаются здесь. de1 держим для отката.
|
||||
|
||||
## MTProxy (telemt)
|
||||
- `~/gost/docker-compose.yml`: host-network, read-only, cap_drop ALL + NET_BIND_SERVICE, no-new-privileges.
|
||||
|
||||
@@ -80,6 +80,15 @@ backend=systemd banaction=ufw
|
||||
- `ROOT_URL`/`SSH_DOMAIN` = `git.ruzzy.dev` (не менялись). Host-ключи SSH и user/deploy-ключи перенесены с данными — `ssh://git@git.ruzzy.dev:2222` работает как раньше.
|
||||
- Это origin репо `infra` и vault openclaw.
|
||||
|
||||
## AmneziaWG exit (для ru1) — перенос VPN, фаза 1
|
||||
- Зеркало exit-узла `de1`: AmneziaWG server `wg0` = **10.8.1.0/24**, ListenPort **36360/udp**, те же server-ключи/PSK и obfuscation-параметры (Jc/Jmin/Jmax/S1/S2/H1-4), что и на `de1` (server-pubkey `Lumb1o…`) → на `ru1` свитч = только смена Endpoint.
|
||||
- Установка: `amneziawg-dkms`+`amneziawg-tools` (PPA amnezia), host-ом через `awg-quick@wg0` (enabled). Конфиг `/etc/amnezia/amneziawg/wg0.conf` (секрет, не в git).
|
||||
- NAT: PostUp masquerade `10.8.1.0/24 → eth0` + `ip_forward=1`.
|
||||
- **ufw:** `36360/udp` открыт + `ufw route allow in on wg0 out on eth0` (и обратно) + `ufw allow in on wg0` — **обязательно**, иначе ufw режет туннельный трафик (на `de1` ufw был выключен).
|
||||
- Пиры: `ru1` (10.8.1.4) переключён сюда; прямые 10.8.1.1/2/3 пока на `de1`.
|
||||
- Проверено: зарубежный exit RU-клиентов идёт через `fr1` (exit-IP 161.97.93.252).
|
||||
- ⏳ Остаётся (фаза 2): telemt MTProxy, OpenVPN, прямые AWG-клиенты, перенос DNS `ruzzy.dev`/`www`.
|
||||
|
||||
## Telegram-уведомления
|
||||
- Бот @ultimate_log_bot. Конфиг `/etc/tg-notify.conf` (chmod 600, токен+chat_id — секрет на сервере).
|
||||
- `/usr/local/bin/tg-notify.sh "msg"` — универсальная отправка (HTML, префикс hostname).
|
||||
|
||||
@@ -15,7 +15,7 @@ VPN entry-нода в РФ. Точка входа в топологии **RU↔D
|
||||
- `ens3` — публичный `85.198.109.86/24` (RU интернет, default route via 85.198.109.1)
|
||||
- `tun0` — OpenVPN #1 (умный роутинг) `192.168.255.1/24`
|
||||
- `tun1` — OpenVPN #2 (RU-выход) `192.168.254.1/24`
|
||||
- `wg0` — AmneziaWG туннель до de1 `10.8.1.4/32`
|
||||
- `wg0` — AmneziaWG туннель `10.8.1.4/32` → **с 2026-06-21 endpoint переключён на `fr1` (161.97.93.252:36360)** (был de1). Ключи/PSK те же, менялся только Endpoint в `/etc/amnezia/amneziawg/wg0.conf`. Откат: вернуть IP на `213.136.74.247`.
|
||||
- `wg1` — WireGuard для клиентов `10.8.2.1/24`
|
||||
|
||||
## Сервисы и порты
|
||||
|
||||
Reference in New Issue
Block a user