Скрипт для установки на своём сервере AntiZapret VPN и обычного VPN, работает по протоколам OpenVPN (есть патч для обхода блокировки), WireGuard и AmneziaWG
AntiZapret VPN реализует технологию раздельного туннелирования
Через AntiZapret VPN работают только (список сайтов автоматически обновляется раз в сутки с 2:00 до 4:00 по времени сервера):
- Заблокированные Роскомнадзором сайты и IP-адреса (например discord.com)
- Сайты, доступ к которым ограничивается незаконно (например youtube.com)
- Сайты, ограничивающие доступ из России (например intel.com, chatgpt.com)
Все остальные сайты работают без VPN через вашего провайдера с максимальной доступной скоростью, не нарушая работу сайтов проверяющих наличие у вас Российского IP-адреса (госуслуги, банки, интернет-магазины, стриминговые сервисы и тд)
Список сайтов и IP-адресов для AntiZapret VPN предзаполнен и обновляется автором
Также доступно ручное добавление собственных сайтов и IP-адресов (include-hosts.txt и include-ips.txt в папке /root/antizapret/config)
Внимание! Для правильной работы AntiZapret VPN нужно отключить DNS в браузере
Через обычный VPN работают все сайты, доступные с вашего сервера, что позволяет обходить все ограничения
Ваш сервер должен быть расположен за пределами России и стран бывшего Советского Союза, в противном случае разблокировка сайтов не гарантируется
AntiZapret VPN (файлы antizapret-*) и обычный VPN (файлы vpn-*) подключаются через VPN-клиенты: OpenVPN Connect, OpenVPN (Windows), WireGuard, Amnezia VPN, AmneziaWG (Windows) и тд
OpenVPN (файлы *.ovpn)
Поддерживается подключение по UDP и TCP, а также возможность подключения только по UDP (*-udp.ovpn) или только по TCP (*-tcp.ovpn)
Используются порты 50080, 50443 и 53443, а также резервные порты 80 и 443 для обхода блокировок портов
OpenVPN позволяет нескольким клиентам использовать один и тот же файл подключения (*.ovpn) для подключения к серверу, по умолчанию создается один клиент 'antizapret-client'
Если ваш провайдер блокирует протокол OpenVPN - установите патч для обхода блокировки протокола
По умолчанию используется протокол шифрования AES-128-GCM, если ваше устройство не поддерживает аппаратное шифрование AES-NI, например роутер Keenetic, то рекомендуется попробовать в файле подключения (*.ovpn) заменить AES-128-GCM на CHACHA20-POLY1305 или использовать файлы подключения antizapret-*-no-cipher.ovpn где отключено шифрование
WireGuard (файлы *-wg.conf)
Поддерживается подключение по UDP, используются порты 51080 и 51443
WireGuard не позволяет нескольким клиентам использовать один и тот же файл подключения (*-wg.conf) для подключения к серверу, поэтому каждому клиенту необходимо создать свой личный файл подключения
Файлы подключения клиентов для WireGuard и AmneziaWG создаются сразу, по умолчанию создается один клиент 'antizapret-client'
Если ваш провайдер блокирует протокол WireGuard - попробуйте использовать клиент AmneziaWG
AmneziaWG (файлы *-am.conf)
Поддерживается подключение по UDP, используются порты 52080 и 52443
AmneziaWG работает в режиме обфускации Wireguard
AmneziaWG не позволяет нескольким клиентам использовать один и тот же файл подключения (*-am.conf) для подключения к серверу, поэтому каждому клиенту необходимо создать свой личный файл подключения
Файлы подключения клиентов для WireGuard и AmneziaWG создаются сразу, по умолчанию создается один клиент 'antizapret-client'
За основу взяты эти исходники разработанные ValdikSS
Протестировано на Ubuntu 22.04/24.04 и Debian 11/12 - Процессор: 1 core, Память: 1 Gb, Хранилище: 10 Gb, Внешний IPv4
- Устанавливать на Ubuntu 22.04/24.04 или Debian 11/12 (рекомендуется Ubuntu 24.04)
- В терминале под root выполнить
bash <(wget --no-hsts -qO- https://raw.githubusercontent.com/GubernievS/AntiZapret-VPN/main/setup.sh)- Дождаться перезагрузки сервера и скопировать файлы подключений (*.ovpn и *.conf) с сервера из папки /root/vpn (например через MobaXtrem, FileZilla или WinSCP)
После загрузки сервера, заблокированные сайты заработают через несколько минут
При установке можно:
- Установить патч для обхода блокировки протокола OpenVPN (только для UDP соединений)
- Включить OpenVPN DCO
- Включить блокировку рекламы, трекеров и фишинга в AntiZapret VPN на основе правил AdGuard и AdAway
- Выбрать DNS для обычного VPN
- Использовать альтернативные диапазоны IP-адресов: 172... вместо 10...
- Использовать резервные порты 80 и 443 для OpenVPN
- Запретить нескольким клиентам подключаться к OpenVPN используя один и тот же файл подключения (*.ovpn)
- Установить SSHGuard для защиты от перебора паролей по SSH
- Включить защиту от сканирования и сетевых атак
- Установить патч для обхода блокировки протокола OpenVPN (только для UDP соединений)
./patch-openvpn.sh- Включить OpenVPN DCO - это заметно снижает нагрузку на CPU сервера и клиента - это экономит аккумулятор мобильных устройств и увеличивает скорость передачи данных через OpenVPN
./enable-openvpn-dco.shПри включении OpenVPN DCO будут работать только алгоритмы шифрования AES-128-GCM, AES-256-GCM и CHACHA20-POLY1305
Алгоритмы шифрования AES-128-CBC, AES-192-CBC и AES-256-CBC не поддерживаются и будут отключены
- Выключить OpenVPN DCO
./disable-openvpn-dco.sh- Добавить нового клиента (срок действия в днях - только для OpenVPN)
./add-client.sh [ov/wg] [имя_клиента] [срок_действия]- Удалить клиента
./delete-client.sh [ov/wg] [имя_клиента]После добавления нового клиента скопируйте новые файлы подключений (*.ovpn и *.conf) с сервера из папки /root/vpn
- Добавить свои сайты в список антизапрета (файл /root/antizapret/config/include-hosts.txt)
nano /root/antizapret/config/include-hosts.txtДобавлять нужно только домены, например: subdomain.example.com
example.com
com
После этого нужно обновить список антизапрета
/root/antizapret/doall.sh- Добавить свои IP-адреса в список антизапрета (файл /root/antizapret/config/include-ips.txt)
nano /root/antizapret/config/include-ips.txtДобавлять нужно только IP-адреса с маской A.B.C.D/M, например:
8.8.8.8/32
10.20.0.0/16
20.30.40.0/24
После этого нужно обновить список антизапрета
/root/antizapret/doall.shПосле обновления списка антизапрета, клиентам OpenVPN (antizapret-*.ovpn) достаточно переподключиться к серверу
А клиентам WireGuard/AmneziaWG нужно добавить новые IP-адреса через запятую в конфигурационные файлы (antizapret-*.conf) в строке AllowedIPs
Обсуждение скрипта на 4pda.to и ntc.party (для просмотра 4pda и ntc нужен VPN)
Приватная группа в telegram
OpenVPN на роутерах Keenetic и TP-Link
WireGuard/AmneziaWG на роутерах Keenetic, MikroTik и OpenWRT (для просмотра 4pda нужен VPN)
Хорошие и быстрые сервера в Европе принимающие рубли:
- vdsina.com - ссылка для регистрации с бонусом 10%
- aeza.net - ссылка для регистрации с бонусом 15% если пополнение сделать в течении 24 часов с момента регистрации
Недорогие сервера в Европе с ограничением скорости до 100 Mbit/s принимающие рубли:
- SWE-PROMO (Стокгольм) от aeza.net - доступность для заказа SWE-PROMO можно отслеживать через aezastatus_bot
- PROMO-Platinum (Франкфурт-на-Майне) от h2.nexus
- PROMO-Platinum-NewYear (Франкфурт-на-Майне) от h2.nexus - Ограниченный новогодний тариф с бесплатным гигабитом
Регистрируясь и покупая по реферальным ссылкам Вы поддерживаете проект
- Как переустановить сервер и сохранить работоспособность ранее созданных файлов подключений OpenVPN (*.ovpn) и WireGuard/AmneziaWG (*.conf)?
Для OpenVPN скачать с сервера папку /etc/openvpn/easyrsa3
Для WireGuard/AmneziaWG скачать с сервера папку /etc/wireguard
Переустановить сервер
Обратно на сервер в папку /root закачать папки easyrsa3 и wireguard
Запустить скрипт установки
- Как посмотреть активные соединения?
Посмотреть активные соединения и статистику OpenVPN можно в логах *-status.log в папке /etc/openvpn/server/logs на сервере (Логи обновляются каждые 30 секунд)
Посмотреть активные соединения и статистику WireGuard/AmneziaWG можно командой
wg showКроме этого, есть сторонний проект для просмотра статистики через веб-интерфейс
- Какие IP используются?
DNS антизапрета = 10.29.0.1
Клиенты AntiZapret VPN = 10.29.0.0/16
Клиенты обычного VPN = 10.28.0.0/16
Подменные IP = 10.30.0.0/15
- Как запретить нескольким клиентам использовать один и тот же файл подключения (*.ovpn) для одновременного подключения к серверу?
На сервере в папке /etc/openvpn/server во всех файлах .conf убрать строчки duplicate-cn
Перезагрузить сервер
- Как пересоздать все файлы подключений (*.ovpn и *.conf) в папке /root/vpn?
Выполните команду
./add-client.sh recreateВ папке /root/vpn будут пересозданы все файлы подключений, прошлые файлы подключений будут перемещены в папку /root/vpn/old
- Как работает опциональная защита от сканирования и сетевых атак?
IPv4 или IPv6-адрес блокируется на 10 минут если за минуту нарушаются следующие правила:
- Сканирование портов:
- Более 5 попыток подключения по разным портам и протоколу UDP
- Более 5 попыток подключения по разным портам и протоколу TCP
- Более 10 попыток подключения с адресов подсети /24 по разным портам и протоколам
- Большое число попыток подключения:
- Более 1500 подключений по разным портам и протоколу UDP
- Более 500 подключений по разным портам и протоколу TCP
При повторном нарушении этих правил блокировка продлевается до 10 минут
ICMP отключен, кроме ICMP Fragmentation Needed и ICMPv6 Packet Too Big
Отключены ответы о неудачных попытках подключения к закрытым портам сервера
Список заблокированных IPv4 и IPv6-адресов
ipset list antizapret-block && ipset list antizapret-block6Список отслеживаемых подключений по IPv4 и IPv6 за последнюю минуту
ipset list antizapret-watch && ipset list antizapret-watch6
Поблагодарить и поддержать проект можно на: