Skip to content

Эффективная работа

Zeleza edited this page Sep 19, 2024 · 31 revisions

Эффективные методы использования Кваса

Квас - это, прежде всего, оболочка вокруг уже существующих инструментов, это надстройка или CLI инструмент для простой настройки выборочного использования уже имеющегося соединения.

Основной целью написания Кваса выражается в концепции "все просто" и "поставил и забыл".

Благодаря обратной связи от пользователей Кваса, и благодаря своему опыту работы с пакетом, мое мнение по его эффективному использованию можно описать одной фразой "чем проще - тем лучше".

Другими словами, на своем устройстве, после многочисленных переустановок AGuardHome и разбирательств почему "не", пришел к простому пониманию, что лучше связки, чем та, которая стоит по умолчанию: dnsmasq + dnscrypt-proxy2, при установке пакета, ничего нет. В случае необходимости, можно еще дополнительно подключить adblock для блокировки рекламы и других пугающих ресурсов командой kvas adblock on.

Базовые процедуры

  1. Установка пакета: curl -sOLJ http://kvas.zeleza.ru/install && sh install

  2. Обновление пакета:

    • Удаленная загрузка нового скрипта upgrade с GitHub:

      C восстановлением настроек: curl -sOLJ http://kvas.zeleza.ru/install && sh install
      C удалением предыдущих настроек: curl -sOLJ http://kvas.zeleza.ru/install && sh install full

    • Локальный запуск текущей версии:

      C восстановлением настроек: kvas install
      C удалением предыдущих настроек: kvas install full

  3. Перестановка пакета с текущей версии на такую же версию (требуется при минорных обновлениях пакета без смены версии)

    • Удаленная загрузка нового скрипта upgrade с GitHub:

      C восстановлением настроек: curl -sOLJ http://kvas.zeleza.ru/install && sh install force
      C удалением предыдущих настроек: curl -sOLJ http://kvas.zeleza.ru/install && sh install force full

    • Локальный запуск текущей версии:

      C восстановлением настроек: kvas upgrade force
      C удалением предыдущих настроек: kvas upgrade force full

  4. "Откат" на предыдущие версии:

    • Удаленная загрузка и исполнение нового скрипта upgrade с GitHub:

      C восстановлением настроек: curl -sOLJ http://kvas.zeleza.ru/install && sh install rollback
      C удалением предыдущих настроек: curl -sOLJ http://kvas.zeleza.ru/install && sh install rollback full

    • Локальный запуск текущей версии:

      C восстановлением настроек: kvas rollback
      C удалением предыдущих настроек: kvas rollback full

  5. Удаление пакета в ручном режиме: kvas rm full

    C сохранением настроек: kvas rm
    C удалением всех настроек: kvas rm full
    Для удаления без запроса об удалении используем флаг 'yes', например: kvas rm full yes

Работа с "заквасками".

Начиная с версии Кваса 1.1.9b3, была добавлена возможность работать с так называемыми "заквасками".
"Закваской" называется список доменных имен, сгруппированных по какому либо назначению и который помечен одним тегом или именем.
Например, по умолчанию, в Квасе находятся несколько заквасок: ai, youtube, kvas, docker и другие. При установке пакета они не добавлены в защищенный список, это необходимо сделать самостоятельно, в зависимости от Ваших нужд.

  • Файл заквасок находится здесь: /opt/apps/kvas/etc/conf/tags.list
  • Просмотреть весь список заквасок, можно командой: kvas tags
  • Добавить "закваску в защищенный список Кваса": kvas add tags
  • Удалить закваску из защищенного списка Кваса: kvas del tags
  • Создать свою закваску и добавить туда домен: kvas tags add домен метка,
    как пример, создаем закваску и добавляем домен в нее: kvas tags add tel.me telegram
    и затем добавляем второй домен в эту же закваску: kvas tags add telegram.me telegram
  • Удаляем домен из закваски: kvas tags del tel.me telegram

Последовательность добавления доменных имен для определенного сайта

  1. Добавляем домен в Квас командой kvas add ' domen.com'
  2. Открываем браузер на клиенте и затем попытаться открыть сайт в самом браузере
  3. В случае, если домен открывается, но не корректно (не так, как должен), то открываем режим "Разработчика" в браузере и смотрим на ошибки с номером 403 и далее последовательно добавляем все домены с такими ошибками в Квас вышесказанной командой.

Пример с chat.openai.com (добавлен в список Кваса по умолчанию* )

  1. Добавляем в Квас все субдомены домена openai.com командой: kvas add openai.com
  2. Заходим на сайт chat.openai.com и видим не отформатированный вид страницы.
  3. Заходим в режим "Разработчика" в браузере в раздел "Ошибки" и видим, что множество 403 ошибок нам выдает всего один сайт cdn.oaistatic.com. Далее добавляем все субдомены этого домена в Квас командой kvas add oaistatic.com.


Есть еще один вариант исследования "куда ходит сайт" состоит в установке и проведении последующего анализа при помощи такой утилиты, как WhiteShark. Однако, для более подробной работы с самой утилитой необходимо ознакомиться с документацией по продукту.

И наконец, рекомендованный вариант проведения анализа

В этой статье очень подробно исследуются вопрос о том, как проводить анализ доменных имен для различных OS и устройств. Рекомендуется к ознакомлению.

А затем, после, того, как Вы узнали, к каким доменным именам обращается Ваш сайт, все их необходимо добавить в Квас при помощи команды kvas add <domain>

Защита DNS трафика

Процедуры описанной выше, может не хватить для того, чтобы не обнаружили Ваш реальный IP и доменные имена из списка начали открываться. Порой, необходимо, помимо защиты своего web-трафика посредством VPN или SSR тоннеля, шифровать и Ваш DNS-трафик. Для этого Вам необходимо защитить свой DNS-трафик, как при работе Кваса, так и без него.

С этой целью необходимо предпринять следующие шаги:

  1. В панели администрирования Вашего роутера «Управление» → «Параметры системы» → «Изменить набор компонентов» добавьте следующих два компонента «Прокси-сервер DNS-over-TLS» или «Прокси-сервер DNS-over-HTTPS».
  2. Там же, в панели администрирования в разделе «Сетевые правила» → «Интернет-фильтры» → "Контентный фильтр", выберите режим фильтрации "Выключен" или, в случае, если он находится в режиме "Публичные DNS-резолверы", то для своих сетей, которые работают с Квасом, чуть ниже на этой же странице, выберите фильтр "Системный"
  3. В панели администрирования в разделе «Сетевые правила» → «Интернет-фильтры» → «Настройка DNS» добавьте DNS только с поддержкой DoT или DoH (иконка с зелёным замочком и соответствующая подпись). Никаких местных провайдерных DNS! Чаще всего используют: 1.1.1.1, 1.0.0.1 (cloudflare-dns.com); 8.8.8.8, 8.8.4.4 (dns.google); 9.9.9.9 (dns.quad9.net).
  4. Если Вы используете dnsmasq - необходимо включить dnscrypt-proxy2, командой kvas crypt on. По умолчанию, в его файле конфигурации уже стоят настроенные DNS сервера с поддержкой DoT или DoH и Вам нет необходимости настраивать, что-либо еще, но Вы можете это сделать самостоятельно, если захотите.
  5. Если Вы используете AdGuardHome, то необходимо в разделе настроек DNS, добавить DNS только те, DNS-сервера, которые точно поддерживают DoT или DoH (можете добавить DNS, как описано во втором пункте выше).
  6. Теперь, когда все готово, проверьте Ваш DNS-трафик на предмет его "утечки", зайдя на сайт dnsleaktest.com

Повторное сканирование подключений

В случае, если Вы подключили какой либо интерфейс и хотите его задействовать в Квасе, уже после его установки и настройки, то необходимо выполнить команду kvas vpn scan

Подключение клиентов имеющейся WIFI сетей и серверов (IKEv2)

Для подключения/отключения клиентов имеющейся VPN или WIFI сети к тоннелю в Квасе предусмотрены следующие команды

  1. Подключить сеть kvas vpn net add, где из списка выбираем нужную нам сеть для подключения.
  2. Отключить сеть kvas vpn net del, где из списка выбираем нужную нам сеть для подключения.
  3. Просмотр статусов сетей kvas vpn net.

Тестирование и порой восстановление доступа можно осуществить тремя командами:

  1. kvas update или kvas reset
  2. kvas test
  3. kvas debug

Если что-то не работает

  1. Проверяйте работу своего соединения - это проблема №1 для 60% VPN соединений и 95% всех Shadowsocks (далее SSR) соединений.
    Проверка заключается в том, чтобы на Вашем компьютере установить клиент выбранного Вами типа VPN/SSR соединения, установить соединение с сервером посредством этого клиента и проверить что при посещении сайта ifconfig.me высвечивается IP Вашего VPN/SSR провайдера.

  2. Проверяйте работу Ваших DNS, которые Вы указали в выбранном у AdGuardHome сервере. Если же Вы выбрали в качестве DNS сервера dnsmasq + dnscrypt-proxy2, то самостоятельно проверяйте их настройки по умолчанию, добиваясь бесперебойной их работы. Их настройки можно посмотреть по этим ссылкам:

  3. Если вышеперечисленное не помогает, то переходите в раздел issues и подробнейшим образом излагаете свою проблему.


С детальной справкой по командам Кваса Вы сможете ознакомиться на Wiki проекта по этой ссылке.

Квас

Clone this wiki locally