Сценарий настройки pac shadowsocks

Достоинства Shadowsocks

• Легкость настройки сервера: ниже я покажу, что стандартный конфиг — это всего 5 строчек, и не нужно возни с сертификатами. Ну правда, не банковскую сеть же делаем.
• Легкость настройки клиента. Клиенты есть под всё, не побоюсь громкого слова. Конфиг клиента — это те же 5 строчек.
• Клиенту для работы не нужны права админа. Мало того, его можно установить из pip. То есть любой программист сможет подключиться с работы.
• Легко настраивать доступ на уровне отдельных программ. В браузере, с помощью дополнений типа FoxyProxy/OmegaSwitchy так вообще — на уровне отдельных адресов по сложным правилам. При использовании VPN такого можно добиться только поднимая локальные прокси на каждом клиенте.
• В отличие от VPN, который на большинстве систем реализован через виртуальную сетевую карту, клиент Shadowsocks при обрыве связи никуда не девается. Так что ваш трафик не пойдёт сам по себе незащищённым путём. Кроме того, даже если упадёт само приложение Shadowsocks, программы не будут обращаться напрямую, если только не настроены это делать. При использовании VPN приходится реализовывать kill-switch, а они, особенно под Винду, ненадёжные и с побочными эффектами.
• По сравнению с SSH туннелем — большая пропускная способность, поддерживает тысячи клиентов с кучей соединений от каждого. SSH туннель под, например, торрентами, ощутимо грустит; кроме того, мелкие неровности сети заметно снижают его скорость. Shadowsocks-у пофиг.
• Гоняет меньше технической инфы по соединениям, что благоприятно для батарейки мобильных устройств.
• Есть экзотические версии серверов, написанные в виде библиотек для разных языков. То есть можно добавить сервер в свою программу для шифрования доступа своим клиентам.
• Графическая настройка клиентов. Можно сделать QR код, при сканировании которого клиенты мобильников и винды настраиваются сами. Один клиент под винду настроили, код сгенерировали, на 20 мобильников раскидали за минуту. Можно на сайт выложить, или на стенку повесить.

Недостатки Shadowsocks

• В отличие от OpenVPN, не проходил официального аудита. Так-то его просматривала куча народу, благо код открытый и маленький, но официально — нет.
• Не разделяет пользователей. Можно научить слушать на нескольких портах с разными паролями, но на одном порту — один пароль. Знание пароля не позволяет (в теории) слушать другого абонента того же порта.
• Не умеет пробрасывать порт в обратную сторону. То есть все как за NAT сидят. Придётся воспользоваться SSH туннелем, если можно.
• Клиент для Андроида держит аж два(!) неубираемых сообщения. Если их не скрыть, это очень мешает.
• Есть пара упёртых программ под Винду, которые не лезут в Shadowsocks, как их не настраивай. Увы, автор программы может написать открытие соединения так, чтобы игнорировать настройки прокси, и так иногда делают, когда проверяют лицензии на софт. Ниже напишу хитрый трюк, как эти программы распознать.
• Latency соединения выше, чем у OpenVPN. Не сильно, и гамать можно, но всё же.
• Не умеет сжимать трафик архиватором. В век HTTPS это не важно, а вот для, скажем, несжатых текстовых файлов и настоящих образов Убунты — разница есть.
• Документацию писали китайцы, на китайском английском, с кучей пропущенных пунктов и взаимных противоречий.

Настройка сервера Shadowsocks. Способ 1

Пишем конфиг. Вот пример полного рабочего конфига.

{
    "server":"111.222.333.444",
    "server_port":8390,
    "local_port":1080,
    "password":"buratino.ty.sam.sebe.vragg",
    "timeout":60,
    "method":"aes-256-cfb",
    "fast_open": true
}

Это конфиг одновременно для сервера и клиента. Имеем поочереди адрес и порт сервера(можно хоть 80-й); порт, с которого клиент будет принимать подключения(лучше не трогать); пароль открытым текстом; и время в секундах, после которого сервер закрывает ненужный канал. А о последних двух поподробнее.

Shadowsocks имеет на выбор кучу методов шифрования, однако практически применимы всего два. chacha20-ietf-poly1305, алгоритм за авторством Daniel J. Bernstein, разрабатываемый Гуглом для внутренних нужд. Хорош для устройств, не умеющих аппаратный AES, а это совсем дешёвые мобильники и прочие умные утюги; и для параноиков, боящихся закладок в процессоре. Всем остальным использовать aes-256-cfb. Впрочем, оба шифра надёжные и проверенные временем.

Настройка fast_open уменьшает latency соединения, но требует ядро не ниже 3.7. И даже там работает не всегда, в частности, не работает, если виртуалка ваша сделана OpenVZ. На Scaleway-ских ARMах тоже не завелось. В общем, включайте, если работает.

Теперь, когда конфиг готов, устанавливаем пакет. Тут надо уточнить, что существуют две версии. Просто shadowsocks — референс, написанный на питоне, а shadowsock-libev это то же самое, но переписанное на чистом Си для скорости. Вот его и ставим. В самых новых линуксах он есть в основной репе, а для более старых — смотрите тут.

Ну и запускаем: ss-server -c config.conf. Всё должно работать. Не забудьте файрволл и автозапуск. Ликбез по администрированию линукса я тут писать не буду, поэтому если что-то не заработало, переходите к методу 2.

Способ 2

Устанавливаем docker и docker-compose.

apt install docker docker-compose

Дальше, в файле, который должен обязательно называться docker-compose.yml, пишем конфиг такой:

version: '3'
services:
  shadowsocks:
    image: shadowsocks/shadowsocks-libev:latest   
    environment:
      - TZ=Europe/Moscow
      - PASSWORD=buratino.ty.sam.sebe.vragg
      - METHOD=aes-256-cfb
      - ARGS=--fast-open
    ports:
      - "8390:8390"
      - "8390:8390/udp"
    restart: unless-stopped

Обратите внимание на отступы, они важны. Если хочется, можно поднять сразу несколько серверов на разных портах, с разными паролями, для этого нужно просто продублировать весь блок shadowsocks: с разными именами. Когда конфиг готов, в той же папке запускаем

docker-compose up -d

и всё заведётся. Docker для вас даже сам, без спроса, дырочку в файрволле для каждого порта просверлит, зараза такая.

Конфигурация клиентов

Тут всё проще. Идём на сайт, качаем нужный клиент, настраиваем в интерфейсе. Для линуксоидов, естественно, есть консольный демон, кушающий конфиг из метода 1.

После настройки клиента у вас в системе на порту 1080 будет сидеть SOCKS5 прокси, по умолчанию недоступный извне. Но можно открыть, если вы в дружественной локалке. Важно понимать, что сами по себе программы туда не ломанутся. Нужно настроить системную проксю (если хотите, чтобы все программы шли через Socks) или каждую программу в отдельности, а лучше и то, и то — не повредит. На Windows 10 в панели управления есть пункт Network&Internet > Proxy. Там нужно вписать адрес прокси 127.0.0.1, порт как настроили (1080) и игнорировать для: локальной сети (обычно 192.168.0.1/24, хотя смотрите сами) и, для самого айпишника сервера. Если кто использует Linux Subsystem, то на неё эта конфигурация не распространяется, там надо объявлять переменную socks5_proxy. Полноценные линуксы обычно имеют в панели управления аналогичные настройки. Для браузеров рекомендую дополнения типа FoxyProxy (FF) и SwitchyOmega (Хром) для детальной настройки, к какому сайту ходить через прокси, а какому напрямую. В частности, прямой доступ надо настроить к ресурсам своего провайдера, и, возможно, к своему банку. Рекомендую так-же не удивлять Мосэнергосбыт счетами из-за границы — они там и так пугливые какие-то. Paypal, как ни странно, до лампочки. Не забудьте поставить галочку «DNS через proxy» или убедиться, что оно по умолчанию так.

Проверка работы

На этом этапе всё должно работать. Нужно сделать 2 теста. Сначала браузером, желательно примитивным «изкоробочным», а не основным, пройти на https://duckduckgo.com/ и вбить в поиск my ip. Адрес должен быть серверный. Затем, в настройках клиента, вписать неправильный пароль, и убедиться, что все программы перестали работать. Это проверка на то, что ни одна программа не лезет в обход прокси.

Дополнения

Расскажу о некоторых дополнениях к Shadowsocks, но не буду углубляться в их настройку. Спрашивайте, если что.

Polipo. Некоторые древние или уп[ёр/оро]тые программы не умеют SOCKS5, зато умеют HTTP_PROXY. В частности, официальный клиент Twitter для Андроид до сих пор не умеет использовать Shadowsocks если тот установлен не на мобильнике, а, скажем, на роутере. На этот случай можно установить http_proxy сервер Polipo, и в настройках его указать редирект на Shadowsocks. Все http proxy программы заброшены ввиду малой нужности, но Polipo пока работает без проблем.

Obfs-proxy. Позволяет завернуть трафик Shadowsocks в чистый, непримечательный SSL и так пустить на порт 443. Это если у кого уже белые списки протоколов.

KCPTUN. Протокол KCP — это надстройка над UDP для работы в совсем уж убогих сетях с большими потерями, типа сотового модема на грани приёма или тропосферной радиорелейной связи. Использование KCP позволит общаться чуть быстрее чистого UDP, а Shadowsocks — очень удобный способ завернуть свой трафик в KCP.

Fail2ban неплохо бы настроить ещё, чтобы отбивать попытки DDOSа на сервер. Но если вы не обижаете школьников, то кто вас будет DDOSить? Ставьте пароль подлиннее, благо его даже один раз в мобильники вбивать не придётся, и не парьтесь. Мой реальный пароль — 40 случайных символов.

Всё!

В свете последних событий интернет в России уже начал закрываться. Например Facebook и Instagram уже заблокированы Роскомнадзором. Для того чтобы продолжить пользоваться этими сайтами вам понадобится VPN или прокси. Большинство распространённых протоколов VPN, вроде OpenVPN тоже можно заблокировать, что успешно делает Китай.

Однако есть решение. Для доступа к контенту из Китая была придумана технология Shadowsocks. Эта технология работает по принципу прокси, но с шифрованием. Она маскируется под https трафик, поэтому использование этого протокола сложно вычислить и заблокировать. В этой статье мы рассмотрим как выполняется настройка Shadowsocks Ubuntu, а также как подключится к серверу с Linux.

Что вам понадобится

Прежде всего, обратите внимание, что для работы Shadowsocks, как собственно и для VPN вам понадобится сервер, в стране, где нужные вам сайты не заблокированы. Именно на этом сервере устанавливается сервер Shadowsocks. На вашем компьютере или телефоне устанавливается клиент, который подключается к этому серверу. Между вашим клиентом и сервером трафик будет зашифрован поэтому провайдер, не сможет понять какой сайт вы открываете, поэтому не заблокирует его. А уже на сервере запрос будет расшифрован и в открытом виде поступит на сайт.

Если вы планируете использовать digitalocean, то для вас всё может быть довольно просто. Вы можете использовать Otuline Manager, разработанный в Google. Это панель управления, которая позволяет в несколько кликов развернуть Shadowsocks сервер на DigitalOcean или в облаке Google.

Но мы в этой статье не будем рассматривать Outline, мы сосредоточимся на ручной установке shadowsocks сервера. Я предполагаю, что у вас уже есть VPS или другой облачный сервер вне России, и вы можете подключится к нему по SSH.

Существует несколько вариантов сервера shadowsocks. Есть реализации на Python, Go и Си. В этой статье будет использоваться версия на Си (libev).

Реализация shadowsocks на Си есть в официальных репозиториях Ubuntu. Вы можете установить её с помощью команды:

sudo apt install shadowsocks-libev

Но если вы хотите получить самую последнюю версию, вам надо собрать программу из исходников.

Установка Shadowsocks из исходников

Шаг 1. Установка необходимых компонентов

Программу на Си придётся собирать из исходников, а поэтому надо установить необходимые компоненты, понадобится git, а также всё нужное для сборки. Команда для установки будет выглядеть так:

sudo apt install pkg-config gettext build-essential autoconf libtool libpcre3-dev asciidoc xmlto libev-dev libudns-dev automake libmbedtls-dev libsodium-dev git libc-ares-dev devscripts equivs mk-build-deps 

Шаг 2. Клонирование репозитория

Для клонирования репозитория с исходниками программы выполните команду:

git clone https://github.com/shadowsocks/shadowsocks-libev.git

Далее нужно перейти в папку с исходниками:

cd shadowsocks-libev/

Для получения исходников всех зависимостей выполните команду:

git submodule update --init --recursive

Шаг 3. Сборка исходников

Для генерации всех необходимых конфигурационных файлов выполните команду:

./autogen.sh

Затем для сборки .deb пакета достаточно выполнить:

dpkg-buildpackage -b -us -uc

Шаг 4. Установка

После завершения выполнения команды пакеты будут находится выше текущей папки на уровень. Для их установки надо выполнить:

sudo dpkg -i ../shadowsocks-libev*.deb

После этого установка shadowsocks будет завершена и можно переходить к настройке программы. Теперь вы знаете как установить shadowsocks из исходников.

Настройка shadowsocks

Конфигурационный файл shadowsocks находится по пути /etc/shadowsocks-libev/config.json и по умолчанию выглядит вот так:

Вот что означают эти сроки:

• server — IP адрес, на котором программа будет ожидать соединений, должно соответствовать внешнему IP адресу вашего сервера.
• mode — указывает какой протокол соединение использовать — tcp, udp или оба.
• server_port — порт сервера, который вы будете использовать для подключения, по умолчанию — 8388.
• local_port — порт клиента, к которому будет подключаться браузер по протоколу SOCS5.
• password — пароль, который будет использоваться клиентами для подключения.
• method — метод шифрования, по умолчанию используется chacha20-ietf-poly1305.

Для начала работы с shadowsocks надо установить в поле server внешний IP адрес вашего сервера. Его можно посмотреть командой:

wget -qO- eth0.me

Также в поле password, надо прописать пароль, который будет использоваться на клиенте для подключения к серверу. Всё остальное можно оставить по умолчанию. После внесения изменений конфигурационный файл может выглядеть вот так:

sudo vi /etc/shadowsocks-libev/config.json

{
"server": "176.97.65.151",
"mode":"tcp_and_udp",
"server_port":8388,
"local_port":1080,
"password":"55jOHcL9H01Y",
"timeout":86400,
"method":"chacha20-ietf-poly1305"
}

Также после внесения изменений в конфигурационный файл необходимо перезапустить сервис:

sudo systemctl restart shadowsocks-libev

На этом базовая настройка закончена, можно переходить к подключению. Если вы хотите запустить сервер для отладки, чтобы видеть всё, что происходит, можете остановить systemd службу и запустить его вручную:

/usr/bin/ss-server -c /etc/shadowsocks-libev/config.json

Теперь вы знаете как настроить shadowsocks. Давайте разберемся как подключится к настроенному серверу.

Подключение к Shadowsocks

Для подключения вам понадобится клиент. В Linux можно использовать GUI клиент от Outline. Однако и его мы не будем рассматривать в этой статье. Мы поговорим про использование консольного клиента. Его можно получить установив тот же пакет, что и для сервера. Вы можете собрать его из исходников, как описано выше или установить из репозиториев дистрибутива:

sudo apt install shadowsocks-libev

После установки нужно отредактировать конфигурационный файл, так чтобы он был таким же как и на сервере. Например:

sudo vi /etc/shadowsocks-libev/config.json

{
"server": "176.97.65.151",
"mode":"tcp_and_udp",
"server_port":8388,
"local_port":1080,
"password":"55jOHcL9H01Y",
"timeout":86400,
"method":"chacha20-ietf-poly1305"
}

После этого можно запустить клиент:

sudo ss-local -v -c /etc/shadowsocks-libev/config.json

Опция -v здесь означает максимально подробный вывод, а -c — указывает путь к конфигурационному файлу. Клиент запущен, но ваш трафик ещё не перенаправляется через тоннель. Для этого надо настроить подключение к прокси в вашем браузере. Клиент ожидает соединений от браузера на порту 1080 (по умолчанию).

Для настройки прокси в Firefox откройте Настройки. В разделе Основные пролистайте в самый низ и найдите Параметры сети:

Тут нажмите Настроить и в открывшемся окне введите адрес 127.0.0.1 и порт 1080:

После этого Firefox будет использовать Shadowsocks для открытия сайтов. Если вы откроете сайт eth0.me, то увидите, что ваш IP адрес соответствует адресу сервера, на котором установлен Shadowsocks.

Обратите внимание, что многие провайдеры блокируют сайты по DNS, так что лучше в настройках своего роутера указать DNS Google — 8.8.8.8 или включить в браузере DNS over HTTPS.

Выводы

В этой статье мы рассмотрели как выполняется установка и настройка Shadowsocks в Ubuntu 20.04. Как видите, это довольно просто. А какими сервисами, технологиями вы пользуетесь для обхода блокировок сайтов в интернете? Напишите в комментариях!

Написал(а):

robot

3 лет,5 месяцев назад

https://github.com/shadowsocks/shadowsocks-windows

C#
If you want to keep a secret, you must also hide it from yourself.

Shadowsocks for Windows

中文说明

Features

1. System proxy configuration
2. PAC mode and global mode
3. GFWList and user rules
4. Supports HTTP proxy
5. Supports server auto switching
6. Supports UDP relay (see Usage)
7. Supports plugins

Download

Download the latest release from release page.

Requirements

Microsoft .NET Framework 4.7.2 or higher, Microsoft Visual C++ 2015 Redistributable (x86) .

Basic

1. Find Shadowsocks icon in the notification tray
2. You can add multiple servers in servers menu
3. Select Enable System Proxy menu to enable system proxy. Please disable other
   proxy addons in your browser, or set them to use system proxy
4. You can also configure your browser proxy manually if you don’t want to enable
   system proxy. Set Socks5 or HTTP proxy to 127.0.0.1:1080. You can change this
   port in Servers -> Edit Servers

PAC

1. You can change PAC rules by editing the PAC file. When you save the PAC file
   with any editor, Shadowsocks will notify browsers about the change automatically
2. You can also update PAC file from GFWList (maintained by 3rd party)
3. You can also use online PAC URL

For Windows10 Store and related applications, please execute the following command under Admin privilege:

netsh winhttp import proxy source=ie

Server Auto Switching

1. Load balance: choosing server randomly
2. High availability: choosing the best server (low latency and packet loss)
3. Choose By Total Package Loss: ping and choose. Please also enable
   Availability Statistics in the menu if you want to use this
4. Write your own strategy by implement IStrategy interface and send us a pull request!

UDP

For UDP, you need to use SocksCap or ProxyCap to force programs you want
to be proxied to tunnel over Shadowsocks

Multiple Instances

If you want to manage multiple servers using other tools like SwitchyOmega,
you can start multiple Shadowsocks instances. To avoid configuration conflicts,
copy Shadowsocks to a new directory and choose a different local port.

Plugins

If you would like to connect to server via a plugin, please set the plugin’s
path (relative or absolute) on Edit Servers form.
Note: Forward Proxy will not be used while a plugin is enabled.

Details:
Working with non SIP003 standard Plugin.

Global hotkeys

Hotkeys could be registered automatically on startup.
If you are using multiple instances of Shadowsocks,
you must set different key combination for each instance.

How to input?

1. Put focus in the corresponding textbox.
2. Press the key combination that you want to use.
3. Release all keys when you think it is ready.
4. Your input appears in the textbox.

How to change?

1. Put focus in the corresponding textbox.
2. Press BackSpace key to clear content.
3. Re-input new key combination.

How to deactivate?

1. Clear content in the textbox that you want to deactivate,
   if you want to deactivate all, please clear all textboxes.
2. Press OK button to confirm.

Meaning of label color

• Green: This key combination is not occupied by other programs and register successfully.
• Yellow: This key combination is occupied by other programs and you have to change to another one.
• Transparent without color: The initial status.

Server Configuration

Please visit Servers for more information.

Experimental

Experimental Features

Development

1. Visual Studio 2017 & .NET Framework 4.7.2 Developer Pack are required.
2. It is recommended to share your idea on the Issue Board before you start to work,
   especially for feature development.

License

GPLv3

Open Source Components / Libraries

Caseless.Fody (MIT)    https://github.com/Fody/Caseless
Costura.Fody (MIT)     https://github.com/Fody/Costura
Fody (MIT)             https://github.com/Fody/Fody
GlobalHotKey (GPLv3)   https://github.com/kirmir/GlobalHotKey
Newtonsoft.Json (MIT)  https://www.newtonsoft.com/json
StringEx.CS ()         https://github.com/LazyMode/StringEx
ZXing.Net (Apache 2.0) https://github.com/micjahn/ZXing.Net

libsscrypto (GPLv2)    https://github.com/shadowsocks/libsscrypto
Privoxy (GPLv2)        https://www.privoxy.org
Sysproxy ()            https://github.com/Noisyfox/sysproxy