Важно. Похоже, сервис freemyip перестал работать в России, вновом видео я рассказал как создать TLS сертификат без подключения домена. czcams.com/video/uQiE3JWE2ig/video.html
Автор ты гений, спасибо. В части ФриМайИП все получилось. Только ты забыл сказать что чтоб домен не протух, надо не реже чем раз в год обновлять ИП ему, даже если ИП старый. А в части безопасности я создал нового пользака со сложным паролем, запретил руту логин, перевесил порт SSH повыше, но вместо SSH ключей поставил и настроил Fail2Ban. И еще ты в части настойки 3х-ui ты не внес его в автозагрузку. Сегодня на это потратил день)))). Благодаря тебе, автор, я снова обрел Ютуб в 2к)))
Все получилось! с фри доменом) лайк, подписка! Только непонятное было со входом в панель. Т.к произошли изменения и надо добалять к домену:порт еще слово, которое придумывали на латинице)
Таймкоды видео: 0:00 Неудачные попытки входа 1:07 Безопсаность панели 3x-ui 3:27 Переход с http на https 6:07 Регистрация домена через cloudflare (1 вариант) 12:15 Настройка сертификата в 3x-ui 16:00 Изменение URI панели 18:01 Регистрация беслатного домена (2 вариант) 23:09 Настройка входа на сервер по ssh-ключу 28:38 Создание нового пользователя с привилегиями sudo 32:31 Настройка ssh 36:29 Заключение
А почему нужен домен именно clodflare? Домен можно купить на том же сайте где продается Vps сервер, и не нужна будет иностранная карта и не нужен будет freemyip@@server-technologies
Максимально понятно и доступно. Просто огромный респект. Комментарий, лайк, подписка, колокольчик!!! Огромное спасибо за проделанную работу. Слежу за дальнейшими видео. Подача материала просто божественна. Разжевано и положено в рот. Для общего развития было бы неплохо цеплять, что либо дополнительно из всех представленных настроек. Но с таким подходом и документацию разработчикам писать не надо будет😁
Ещё бы было здорово увидеть видео с настройкой роутинга на каком-нибудь кинетике или микроте. Чтобы не весть траффик через впн гонять, а допустим заворачивать через впн только определённые сайты, или только с определённых устройств. А вообще в целом про доступность таких настроек на бытовых роутерах актуально. Про OpenWRT думаю не стоит, не всем будет по зубам, а вот если роутер с ПО из коробки такое умеет, то было бы круто от вас услышать краткий спич.
Видео - кайф, но как по мне оверинженеринг для дешевого VPN. Можно просто через ssh тонель ходить, после настройки сервера входа только по ssh. Автору респект определенно!
Спасибо большое за видео. Хотелось бы побольше подобных роликов. И как вариант для будущих, можно делать не весь ролик для начинающих пользователей, а предлагать более сложные и продвинутые варианты ближе и ближе к концу ролика. Чтоб, как говорится, "чем дальше в лес, тем больше дров" 😂
Спасибо за ваши видео! Создал нового пользователя, запретил рута, поменял порт подключения. Ключи ссш создавать не стал. Еще бы видео по установке и настройке UFW фаервола для полной красоты.
Можно адрес панели перекинуть на localhost и туннелить себе порт через ssh, когда потребуется войти в панель. Для быстрого доступа создать alias. Это намного безопаснее - для сертификата нужен домен - сертификат не исключает наличие уязвимостей в коде UI панели - много лишних действий (имхо) В клиенте кстати ещё можно настроить роутинг, чтобы при активном ВПН подключении с ру сайтами\айпи подключение было напрямую (direct connect)
Спасибо за видео - очень полезно, а ещë просто приятно слушать грамотные и понятные объяснения. Вопрос: как вы смотрите на то, чтобы со всем этим не заморачиваться, оплачивать VPS максимум на месяц и раз в месяц менять пароль от панели? Каким-то макаром угнали VPS - ну и фиг бы с ним, заплатил 500 р и завëл новый. Разумеется, если на VPS нет ничего ценного, кроме 3x-ui.
Да в целом не обязательно делать новый впс, просто на старом пароли меняйте. Но вообще, лучше сделать. Я на своих серверах уже давно ввел эту практику, там работы на пять минут, если один раз понять как это делать.
Можно сделать все намного проще,фз почему автор видео про это не рассказал. Используй самописный сертификат,и будет у тебя https соединение без гемора с доменами. А пароль нет смысла менять пока сертификат не сделал. Если по факту все видят что ты делаешь,то видят и какой пароль поставил.
Вместо tls, можно настроить чтобы к панели можно было подключится только через localhost. Чтобы подключиться к такой панели , можно просто кинуть туннель SSH до сервера
Сто процентов при заходе через браузер на панел локал хост зашифровано? В настройках панель, локал ip надо прописывать в двух параметрах - в "ip адрес панели" и "домен прослушивания панели"? А вообще да, получается тут и доступ закрывает к панели не будут стучаться, не надо заморачиваться с сертификатом и тем более покупать домен
Если в PowerShell выдает ошибку при SSH-keygen, то закройте его и нажмите WIN+R и там пропишите эту команду 34:10 - если 50-cloud-init.conf не открывается как показывает автор, то вводить надо вот так: clear потом cd /etc/ssh ls потом ls /etc/ssh/sshd_config.d потом sudo nano /etc/ssh/sshd_config.d/50-cloud-init.conf
Огромное спасибо за видео! Побольше бы таких. Есть несколько вопросов. 1. После редактирования файлов и отключения парольного доступа к root не могу переключиться на root командой su. su Password: su: Authentication failure Так и должно быть? Как переключиться на root? 2. sudo x-ui [sudo] password for - после ввода пароля меню x-ui запускается. Выбираю 25. Speedtest by Ookla и получаю сообщение E: Unable to locate package speedtest /usr/bin/x-ui: line 1039: speedtest: command not found Под root Speedtest запускался. Как победить? 3. Как установить 22. Firewall Management? Не пропадет ли доступ после установки Firewall из за смены стандартного порта 22 на нестандартный? 4. Где можно почитать более подробную информацию по настройкам x-ui?
когда ввожу команду на 34:14 sudo nano /etc/ssh/sshd_config.d/50-cloud-init.conf, у меня открывается пустая папка без конфига. Пришлось самому вписать туда команду "PasswordAuthentication no". Это приемлемо или нужно предпринять другие действия?
Очень полезный видос. Я года 1,5 назад ставил 3X-UI по статьям с хабра, а теперь ещё и полноценный видос есть. Что на счёт снять об OpenWRT? Или он сильно отличается от между разными роутерами?
У кого постоянно ошибка с myfreeip, для начала скопируйте 1 команду в браузер. И за тем повторите команду уже с айпи сервера. У меня только после этого error исчезло.
Очень полезное видео. Очень хорошая подача материала. Снимайте больше. Единственный вопрос, для чего нужно было делать доступ по SSH ключам для рута, если его в дальнейшем вообще отключаем. Не проще ли было сделать доступ новому пользователю по SSH ключам и после всего просто закрыть руту доступ по паролю. Так получается что проделана двойная работа по установке SSH ключей. Или я чего то не допонял?
@@Vitaliy.M.74 В целом да, можно просто закрыть рута. Это просто привычка у меня такая). Вы главное перед тем как закрыть текущую сессию убедитесь что у вас есть доступ к другому пользователю, открыв другую вкладку.
@@server-technologies А вы не подскажете? Все делаю по инструкции, но после добавления ключа для нового пользователя все равно новый пользователь требует пароль
@@shendrick Видимо что-то неверно делаете. Вы из-под рута ключ добавляете или из-под нового пользователя. Проверте правильность написания всех файлов. authorized_keys, в имени папки .ssh точка обязательна.
Можно ли в панели 3x-ui в качестве сайта для маскировки указать созданный для SSL-сертификата бесплатный домен третьего уровня? Или лучше оставить один из широко известных?
Спасибо за видео! Хотелось бы больше "продвинутых" настроек: - Запрет на загрузку торрентов - Запрет на подключениие к .ру сайтам (чтобы не палить vpn) - настройки warp
@@server-technologies То есть шифрование при подключении VPN на протоколе VLESS будет осуществляться посредством TLS? То есть с панелью управления этого никак не связано. Просто в панель я буду заходить раз в полгода стоит ли заморачиваться
Скажите. Есть возможность сделать так, чтобы браузер и obs работали из под моего vpn, а остальные программы в частности Дискорд, Стим и онлайн игра работали под моим статичным ip??
Спасибо Вам огромное!!!! Абсолютно доступно даже для таких чайников как я. И вопрос такой небольшой, как к спецу, пароль в 33 символа с энтропией 398 бит выдержит атаку или все таки лучше SSH?
ssh ключи не только надежные, но и удобные. Такой пароль вряд ли взломают, рута закрыть и стандартный порт все равно стоит поменять. А в чем проблема использовать ключи?
@@server-technologies Проблемы нет, я просто как чайник набираюсь опыта и пытаюсь сформировать понимание, что безопасно, а что нет. Каких мер достаточно, а каких не хватит. Спасибо Вам за ответ!
Спасибо! Я все это сделал. Теперь вопрос) В браузере у меня все супер, определяет место положение отлично, но почему-то OBS отказывается работать через VPN, я может что-то не понимаю, но похоже у вас он бы тоже не заработал, так как видно, что вы замазываете на 28:30 свой ip, ну значит MobaXterm не использует VPN соединение, иначе какой смысл вам замазывать был бы IP если он был бы точно таким же как и у самого сервера?) Так в чём вопрос то? - Вопрос, как сделать так, чтобы не только браузер использовал VPN соединение, но и другие программы это делали?
@@server-technologies Я его нажимал, просто впервые пользуюсь и не знал, что у меня была ошибка: FATAL[0000] start service: initialize inbound/tun[tun-in] configure tun interface: set ipv4 address: The object already exists. В общем я нашел решение. Ну, конечно откуда вы можете все эти решения знать. Надо было удалить подпапки в директориях реестра: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\ Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged И ошибка пропала. В любом случае спасибо за поддержку, и за ответ. Я тоже стараюсь отвечать всем подписчикам)
Есть идеи как ограничить подключение непосредственно к впн от нежелательных пользователей? На случай, если сертификат vless пойдет по рукам. Была мысль через iptables запретить подключение к порту, на котором слушает vless (соответственно отдельное подключение для каждого пользователя со своим портом), если ip или mac не соответствуют тем, что я вбил ручками. Но по ip очевидно плохая идея, а по mac не работает, - отклоняю tcp подключение по порту, если mac не подходит: никто не может подключиться. И наоборот, - разрешаю только одному маку, а работает у всех.
Установка публичного ключа на другой сервер делается одной командой ssh-copy-id. Не понятно, зачем user1 давать права админа по умолчанию. Еще fail2ban не хватает. Про FreeMyIP домен надо обновлять через крон, на их сайте есть инструкция как в крон добавить, если правильно помню.
тут надо исходить из того что это видео смотрят неопытные юзеры и проще сделать так, чем объяснять почему ты сделал по другому. Многие запутаются. Да и в повершелл нет команды ssh-copy-id
Было-бы хорошо в продолжение темы снять видео, как убрать панель на localhost, чтобы она не была видна снаружи, а доступ к ней имела только я. Я убирала, но потом не могла получить к ней доступ. На видео будет понятней где я могла допустить ошибку. Не знаю имеет значение или нет, но панель если что в докере.
@@Trojanskaya можно просто развернуть сервер без gui и делать все только через панель. Панель нужна только для удобства, все те же операции можно сделать руками через терминал. Ну или просто через файервол закрывайте порт на котором работает панель и открывайте когда надо к ней подключится.
Получается что если отключить gui web интерфейс который по умолчанию не защищён то и все эти операции с доменными именами не нужны правильно? Если я отключю из терминала веб интерфейс то получается только через терминал из под рута можно получить доступ? Просто не вижу смысл за домен платить или бояться что бесплатный умрёт когда тоже самое можно настроить через терминал. Поясните пожалуйста?
Здравствуйте. Благодарность за просвещение в теме. Подскажите, а на этой технологии есть какая-то возможность разделения трафика? Чтобы на определённые сайты применялся xray, а все остальные шли как обычно? Насколько я понимаю, такой вариант будет выглядеть на стороне провайдера чистым и органичным, а не простым подключением к одному единственному сайту. И, возможно, есть какие-то готовые решения по использованию xray через роутер, чтобы пустить через него телевизор и некоторые умные устройства? В идеале что-то в видеоформате, но если просто в общих чертах объясните и скажите где копать - тоже огромная благодарность.
@@instaff215 В самой панели можно настроить вайтлисты, в клиентах через которые подключаетесь можно выбрать какие приложения будут использовать впн, а какие будут идти напрямую.
Спасибо! Глянул тоже у себя grep -E “Failed” с мыслями «да кому я нужен» - лучше б не смотрел.. Всего за сутки (!) существования сервера огромный список перебора портов и паролей рута, долбят практически каждые 2 минуты, много айпи из Мексики, Австралии, Азии. Кто это, что они хотят?) Мне теперь страшно) Пойду и на втором своем сервере убирать рута и делать ключи. С одним и тем же приватным и публичным SSH ключом можно сразу несколько серверов использовать? Или лучше для каждого создавать свои?
Один ключ можно на несколько серверов использовать. А это не конкретно по вашу душу пришли к вам на сервер. Просто на дурака ходят боты и ищут: вдруг у кого пароль простой. Все подсети ip адресов давно известны, так что найти вновь созданный сервер особого труда не составляет.
перед тем как менять порт ssh по умолчанию не забудьте его прокинуть в ufw (sudo ufw allow 5555/tcp), а то по ssh будет проблематично, после перезапуска sshd, подключиться
Большое спасибо за проделанную работу! Пересматривая видео возник вопрос: "Если обновлять панель из пункта 2 меню x-ui после подключения к серверу - не слетят ли настройки пользователей и всей панели?" Пробовал выбрать пункт, там пишут что панель будет переустановлена до последней версии и все данные не потеряются. Но все равно как-то боязно))) Очень не хочется потом все заново настраивать, так как текущая версия панели работает без проблем.
Супер, спасибо за ролик! А не подскажете 1. Как сделать бэкап ОС и бэкап 3x-ui. Чтобы если что то не то сделаю, всегда мог откатиться к рабочему варианту ?
@@sKlayton 3x-ui всегда можно снести и установить заново с помощью команды x-ui и выбора соответствующего пункта. А при настройке ssh просто сохраните файл конфигурации ssh с помощью команды cp: cp /etc/ssh/sshd_config /etc/ssh/sshd_configold Эта команда скопирует файл конфигурации в ту же папку где лежит основной файл и имя у него будет sshd_configold. Потом не закрывая текущую сессию в новом окне подключаетесь к серверу и проверяете что все работает. Если не работает, то удаляете текущий файл конфигурации командой rm /etc/ssh/sshd_config И восстанавливаете из старой копии файл конфигурации cp /etc/ssh/sshd_configold /etc/ssh/sshd_config Не забудьте перезапустить ssh.
Спасибо большое за ваш труд! А является ли защита от злоумышленников в лице tls столь необходимой? Я через fail2ban, nfw и nano поставил защиту от большого количества попыток входа. Не могу сказать, что она надежнее tls, но наверняка этой защиты + сложный пароль более чем достаточно. Также интересно, как можно убрать двусторонний пинг, так как 2ip, например, палит использование прокси.
@@server-technologiesк сожалению, freemyip лежит, и неизвестно сколько еще пролежит. Платитт не хотелось бы, не знаете, может есть альтернативы на моменте с поддоменом?
Большое спасибо за инструкцию. Правда, я пришел только из-за части с клаудфлэр с ССЛ)) Подскажите плз, есть ли встроенные средства, с помощью которых можно привязать айпи с портом (пример: 232.232.232.323:43333/panel/) к домену? Или на сервере нужно это сделать с nginx?
Куда встроенные? Немного не понял вопроса. Домен привязывается к айпи через записи днс, или вы имеете ввиду чтобы вводить только домен и попадать в панель без ввода порта?
@@server-technologies встроенные в 3x-ui. Да, вы правильно поняли, чтобы вводил домен и попадал в панель без ввода порта) а то длинный адрес получается
может нужно добавить в шапку, что тем кто настраивал vless по инструкции из прошлого видео уже после обновления, в частности про "Please set up the web base path (ip:port/webbasepath/):" , то тогда в этом видео нужно пропустить пункт с 16:00 по 18:01, ну чтоб люди не путались
@@server-technologies да я к тому, что тем кто Убирает ошибку "Это соединение не защищено" не нужно делать манипуляции в этом видео на 16 минуте. Спасибо.
Добрый день! Вроде бы четко выполнял Ваши инструкции, но на последнем шаге видимо все "сломал". Теперь у меня при входе в MobaXterm, в user1, выдает ошибку: No supported authentication methods available (server sent: ) Причем перед последним шагом проверял возможность входа - все работало. Прот менял на 5555. Есть ли выход все исправить? И будет ли V2Ray (впн) работать без возможности входа через user1?
@@AxRmM работать будет. Вариантов несколько: переустановка ОС, это делается через техподдержку. Можно запросить доступ по VNC и поправить конфиг через него. Попросить техподдержку откатить конфиг к дефолтным значениям и сделать все заново. Но для начала попробуйте погуглить ошибку. Все будет работать, просто доступа к серверу у вас нет.
@@server-technologies Спасибо за ответ! Заранее прошу прощение за странный вопрос (я в этом деле прям совсем новичок) а в какую техподдержку обращаться именно для отката конфига? MobaXterm или my.ishosting?
@@server-technologies И последний вопрос. Допустим мне откатят конфиг. А как удалить текущие профили root и user1 из MobaXterm? Просто правой кнопкой щелкнуть на сессии и выбрать пункт Delete Session?
я не понял чем плохи самоподписные сертификаты, которые можно сформировать прямо в терминале? и зачем на ip навешивать какой-то домен, если цель vless+reality "притвориться" каким-то другим сайтом. Но я может не знаю или не понимаю чего-то, поясните плиз
@@server-technologies а домен зачем? Я думал, что xray если на него зайти, типа проверить куда там постоянно траффик идет, покажет сайт который указан в маскировке, или он не так работает?
@@Vinci101 там. Сертификат нужен для шифрования трафика который идет от вашего браузера к сайту веб интерфейса самой панели. Можно все то же самое настроить используя чисто ядро, через консоль без всяких веб интерфейсов.
Сделал поддомен freemyip, ввёл команду со страницы "Can I point my domain to an arbitrary IP address?", получил "ОК", попытался зайти в панель по адресу поддомена, не вышло. Браузер пишет страница не найдена. Подскажите, пожалуйста, в чём может быть проблема? Сам я не разбираюсь от слова совсем, шёл по инструкции, никуда не сворачивал
Возможно стоит немного подождать пока обновятся настройки на серверам freemyip, но обычно это происходит быстро. Проверьте внимательно ip который вы вводили в команде.
@@svyatojdismas9117 Вы скорее всего уже настроили слово маскирующее адрес к вашей панели. Поэтому нужно подключаться следующим образом твойДомен:65000/ТвоёСлово/
Ни у кого не было такой пробелмы, когда регистрируешь бесплатный домен, там нужно изменить команду - ввести ip сервер нашего хоста, затем перейти в браузере по этой ссылке, на выходе получаем OK. Но при попытке подлкючения через этот домен, выдает ошибку "страница не найдена"
Приветствую. Гайд супер! Подскажите, где отключить логи в x-ui? В настройках Xray журнал отключил все позиции. Место на VDS каждый день уменьшается на 100мб. Может убунта пишет что-то, хотя при заказе сервера убирал данную опцию.
@@server-technologies Спасибо, пока что в убунте сделал следующее: journalctl --vacuum-size=10M. Будем посмотреть. Ждем новых видео) Давно хотел начать изучать убунту. Ситуация подтолкнула. Семья довольна, все с ютубом)))
После подключение второго сервера в меню Настройки x-ray -> правила маршрутизации, трафик считался на конечном сервере весь вместе, всех клиентов. Когда отключил второй сервер, перестал учитываться трафик у каждого клиента на первичном сервере. Как думаешь, что можно сделать? Куда копать?
Встречал рекомендацию сделать адрес панели локальным хостом и заходить на панель по ssh, читали об этом? Получается и безопасность выше плюс не нужны ни сертификаты, ни домены
Достаточно установить стандартные самоподписные сертификаты и этого будет достаточно для панели. Специально заморачиваться делать аккаунт Cloudflare смысла нет.
Доброго времени суток, не подскажите как веб морду за нгинксом спрятать, сайт заглушка есть, домен и сертификат тоже. Просто очень хочется чтоб был доступ только по домену, в конфигах покопался не очень нашёл.
А что делать если не работает "ssh-keygen"? Windows10. OpenSSH установлен. Пробовал и в cmd и в PowerShell, а там пишет: "ssh-keygen" не является внутренней или внешней командой, исполняемой программой или пакетным файлом. Пробовал установить SNMP-протокол - сбой установки.
Спасибо автору за отличный мануал. С сертификатом все хорошо. Тут новая вылезла бяка. URI-путь по умолчанию панели небезопасен. Пожалуйста настройте сложный URI-путь. И чет не гуглится на эту тему ничего полезного. Помогите разобраться!
Тупо настроил 3x-ui чтобы весел на 127.ноль.0.1 подключаюсь к панельке используя ssh тонель. и в сеть портом не торчит и безопасно и трафик зашифрован UPD: а нет, оказалось есть подводные камни у такого подхода QR код который генерируется содержит неверный ip 127.ноль.0.1 приходится его редактировать в клиенте вручную. тоже самое и с кнопкой "скопировать настройки" в принципе не сложно. UPD2: просто прописал Порт IP (Listen IP) в настройках "подключения" (incoming) и проблема решена. QR код генерируется правильный.
@server-technologies, подскажите еще по такому моменту. Создал ссш ключ и вышел из-под рута только через 3 дня после создания сервера. Был пароль с сайта генератора паролей. За эти 3 дня могли же залезть на сервер? Это вообще можно как-то определить?
Отличное видео ! Но. У меня был запущен Nginx и при попытке получить сертификат вылетела ошибка. Я остановил Nginx, удалил папку cert и теперь при попытке получить сертификат "вываливаеется" ошибка - [ERR] system already has certs here,can not issue again,current certs details: [INF] Main_Domain KeyLength SAN_Domains CA Created Renew. Как это побороть ?
Не стоит накидывать на один сервер несколько программ потому что они могут конфликтовать между собой. Либо один сервер - одна программ, либо пакуйте все в докер.
Заказал, новый сервер. Сколько бы не пытался установить сертификат, получал ошибку. Переустанавливал сервер, все равно ошибка. Отправился на гитхаб проекта и установил Certbot как там указано, 3мя командами. И все завелось. Так, что если у кого-то также вылезла ошибка, попробуйте установить по инструкции на гитхабе. Спасибо ещё раз за видео, все в итоге получилось.
А как разница в плане безопасности между рут и пользователем, если пользователь включен в группу sudo?? На ум приходит только, то что при переборе паролей, им надо будет еще угадать имя пользователя для полключения. Поэтому зачем ставить пользовеля и закрывать рут?
Важно.
Похоже, сервис freemyip перестал работать в России, вновом видео я рассказал как создать TLS сертификат без подключения домена.
czcams.com/video/uQiE3JWE2ig/video.html
Автор ты гений, спасибо. В части ФриМайИП все получилось. Только ты забыл сказать что чтоб домен не протух, надо не реже чем раз в год обновлять ИП ему, даже если ИП старый. А в части безопасности я создал нового пользака со сложным паролем, запретил руту логин, перевесил порт SSH повыше, но вместо SSH ключей поставил и настроил Fail2Ban. И еще ты в части настойки 3х-ui ты не внес его в автозагрузку. Сегодня на это потратил день)))). Благодаря тебе, автор, я снова обрел Ютуб в 2к)))
а можешь подсказать, в каком моменте видео отключается вход по паролю новому юзеру? Тоже хочу сделать юзера с паролем, без ssh
Че за тема с автозагрузкой? Типа 3x-ui просто так не заработает после ребута сервера?
что такое ИП?
@@lilalkdaemon1820 ip адрес
@@lilalkdaemon1820 интернет портал
Просто супер! Талант рассказывать про технические аспекты простым языком 👾👾👾
Все получилось! с фри доменом) лайк, подписка!
Только непонятное было со входом в панель. Т.к произошли изменения и надо добалять к домену:порт еще слово, которое придумывали на латинице)
а куда добавлять слово? что-то я и так и эдак, но в панель не заходит
Супер!
Удалось многое, почти без танцев, так пару разбитых чашек!
Если серьёзно лучшее из того, что нашел в ютубе по этой теме для ламеров.
Автору земной поклон за труд! Ходатайствую о видео по настройке роутеров Keenetic к панели 3x-ui
однозначно надо), а еще лучше общую инструкцию для openwrt, это был бы хит!
Я тебе благодарен. Ты бог, желаю крепкого здоровья.
И кстати, у тебя очень приятный голос👍🏿🙏🏿🤝
я бог
Таймкоды видео:
0:00 Неудачные попытки входа
1:07 Безопсаность панели 3x-ui
3:27 Переход с http на https
6:07 Регистрация домена через cloudflare (1 вариант)
12:15 Настройка сертификата в 3x-ui
16:00 Изменение URI панели
18:01 Регистрация беслатного домена (2 вариант)
23:09 Настройка входа на сервер по ssh-ключу
28:38 Создание нового пользователя с привилегиями sudo
32:31 Настройка ssh
36:29 Заключение
Спасибо)
А почему нужен домен именно clodflare? Домен можно купить на том же сайте где продается Vps сервер, и не нужна будет иностранная карта и не нужен будет freemyip@@server-technologies
Максимально понятно и доступно. Просто огромный респект. Комментарий, лайк, подписка, колокольчик!!! Огромное спасибо за проделанную работу. Слежу за дальнейшими видео. Подача материала просто божественна. Разжевано и положено в рот. Для общего развития было бы неплохо цеплять, что либо дополнительно из всех представленных настроек. Но с таким подходом и документацию разработчикам писать не надо будет😁
Ещё бы было здорово увидеть видео с настройкой роутинга на каком-нибудь кинетике или микроте. Чтобы не весть траффик через впн гонять, а допустим заворачивать через впн только определённые сайты, или только с определённых устройств. А вообще в целом про доступность таких настроек на бытовых роутерах актуально. Про OpenWRT думаю не стоит, не всем будет по зубам, а вот если роутер с ПО из коробки такое умеет, то было бы круто от вас услышать краткий спич.
Видео - кайф, но как по мне оверинженеринг для дешевого VPN.
Можно просто через ssh тонель ходить, после настройки сервера входа только по ssh.
Автору респект определенно!
Спасибо большое автору! Очень подробно, без пропусков и быстро введенных команд) максимально удобный гайд
Храни вас Господь!
Спасибо. Все настроил по видео. Не сказал бы, что чего либо не знал из этого. Но проще сделать по уже готовым шагам.
Пора снимать видео по nftables😀
Спасибо большое за видео. Хотелось бы побольше подобных роликов.
И как вариант для будущих, можно делать не весь ролик для начинающих пользователей, а предлагать более сложные и продвинутые варианты ближе и ближе к концу ролика. Чтоб, как говорится, "чем дальше в лес, тем больше дров" 😂
Спасибо за ваши видео! Создал нового пользователя, запретил рута, поменял порт подключения. Ключи ссш создавать не стал. Еще бы видео по установке и настройке UFW фаервола для полной красоты.
Искренне благодарю! Очень ждал данное видео
Можно адрес панели перекинуть на localhost и туннелить себе порт через ssh, когда потребуется войти в панель. Для быстрого доступа создать alias. Это намного безопаснее
- для сертификата нужен домен
- сертификат не исключает наличие уязвимостей в коде UI панели
- много лишних действий (имхо)
В клиенте кстати ещё можно настроить роутинг, чтобы при активном ВПН подключении с ру сайтами\айпи подключение было напрямую (direct connect)
То, что доктор прописал! Благодарю, автор.
спасибо за краткий гайд по ssh, подчеркнул много очевидных вещей которые тяжело нагуглить (не шутка реально было полезно)
спасибо! помню задавал этот вопрос вам в телеграме. оперативно ответили и еще и сказали, что будет видео. а вот и сам видос! лайк автоматически
Спасибо за видео - очень полезно, а ещë просто приятно слушать грамотные и понятные объяснения.
Вопрос: как вы смотрите на то, чтобы со всем этим не заморачиваться, оплачивать VPS максимум на месяц и раз в месяц менять пароль от панели? Каким-то макаром угнали VPS - ну и фиг бы с ним, заплатил 500 р и завëл новый.
Разумеется, если на VPS нет ничего ценного, кроме 3x-ui.
Да в целом не обязательно делать новый впс, просто на старом пароли меняйте.
Но вообще, лучше сделать. Я на своих серверах уже давно ввел эту практику, там работы на пять минут, если один раз понять как это делать.
Можно сделать все намного проще,фз почему автор видео про это не рассказал. Используй самописный сертификат,и будет у тебя https соединение без гемора с доменами. А пароль нет смысла менять пока сертификат не сделал. Если по факту все видят что ты делаешь,то видят и какой пароль поставил.
супер. надо еще и карту заграничную доставать где-то
Я на PayByPay заказывал
@@rodion58 и как? Сработало? Просто не хочется доверять сомнительным всяким сайтам.
А если вход от рута заблочить, то вернуть потом назад эту опцию будет возможно? 😊
@WantToPayBot
Отличное объяснение, даже с кривыми руками как у меня всё вышло почти сразу. Автор лучший
Вместо tls, можно настроить чтобы к панели можно было подключится только через localhost. Чтобы подключиться к такой панели , можно просто кинуть туннель SSH до сервера
Как конкретно это сделать?
Сто процентов при заходе через браузер на панел локал хост зашифровано? В настройках панель, локал ip надо прописывать в двух параметрах - в "ip адрес панели" и "домен прослушивания панели"? А вообще да, получается тут и доступ закрывает к панели не будут стучаться, не надо заморачиваться с сертификатом и тем более покупать домен
Спасибо Вам большое, буквально открыли глаза на многие вещи! Подписался и жду новые видео, ведь теперь мне блокировки нипочём)
Большое спасибо за классный разбор!
о как раз вовремя , прям искал как убрать эту плашку
Если в PowerShell выдает ошибку при SSH-keygen, то закройте его и нажмите WIN+R и там пропишите эту команду
34:10 - если 50-cloud-init.conf не открывается как показывает автор, то вводить надо вот так: clear
потом
cd /etc/ssh
ls
потом ls /etc/ssh/sshd_config.d
потом sudo nano /etc/ssh/sshd_config.d/50-cloud-init.conf
Спасибо. Выручили!!!
Видео в тему. Спасибо это очень полезное видео
Огромное спасибо за видео! Побольше бы таких.
Есть несколько вопросов.
1. После редактирования файлов и отключения парольного доступа к root не могу переключиться на root командой su.
su
Password:
su: Authentication failure
Так и должно быть? Как переключиться на root?
2. sudo x-ui
[sudo] password for - после ввода пароля меню x-ui запускается. Выбираю 25. Speedtest by Ookla и получаю сообщение
E: Unable to locate package speedtest
/usr/bin/x-ui: line 1039: speedtest: command not found
Под root Speedtest запускался. Как победить?
3. Как установить 22. Firewall Management?
Не пропадет ли доступ после установки Firewall из за смены стандартного порта 22 на нестандартный?
4. Где можно почитать более подробную информацию по настройкам x-ui?
Спасибо за полезную и практичную информацию!
Спасибо за видео! Пожалуйста сделайте видео настройки warp в панели 3x-ui
Исключительно полезный ресурс. Спасибо большое. Один вопрос: куда донатить?
11:57 в заголовке сайта все равно палится домен. держу в курсе.
когда ввожу команду на 34:14 sudo nano /etc/ssh/sshd_config.d/50-cloud-init.conf, у меня открывается пустая папка без конфига. Пришлось самому вписать туда команду "PasswordAuthentication no". Это приемлемо или нужно предпринять другие действия?
Очень полезный видос. Я года 1,5 назад ставил 3X-UI по статьям с хабра, а теперь ещё и полноценный видос есть.
Что на счёт снять об OpenWRT? Или он сильно отличается от между разными роутерами?
У кого постоянно ошибка с myfreeip, для начала скопируйте 1 команду в браузер. И за тем повторите команду уже с айпи сервера. У меня только после этого error исчезло.
Очень полезное видео. Очень хорошая подача материала. Снимайте больше. Единственный вопрос, для чего нужно было делать доступ по SSH ключам для рута, если его в дальнейшем вообще отключаем. Не проще ли было сделать доступ новому пользователю по SSH ключам и после всего просто закрыть руту доступ по паролю. Так получается что проделана двойная работа по установке SSH ключей. Или я чего то не допонял?
@@Vitaliy.M.74 В целом да, можно просто закрыть рута. Это просто привычка у меня такая).
Вы главное перед тем как закрыть текущую сессию убедитесь что у вас есть доступ к другому пользователю, открыв другую вкладку.
@@server-technologies Всё сделал, всё отлично работает. Сертификаты, домен, SSH ключи. Спасибо за видео.
@@server-technologies А вы не подскажете? Все делаю по инструкции, но после добавления ключа для нового пользователя все равно новый пользователь требует пароль
@@shendrick Видимо что-то неверно делаете. Вы из-под рута ключ добавляете или из-под нового пользователя. Проверте правильность написания всех файлов. authorized_keys, в имени папки .ssh точка обязательна.
Можно ли в панели 3x-ui в качестве сайта для маскировки указать созданный для SSL-сертификата бесплатный домен третьего уровня? Или лучше оставить один из широко известных?
Это история о том, как домохозяйка становится сисадмином 🙃
Я жду вашего видео о настройке сервера
Здравствуйте!
Спасибо вам большое ❤
Спасибо! Видео очень пригодилось!
В openvpn ограничение на 2 подключения, его нет в "консольной" версии openvpn Может вы знаете где можно скачать "консольную" версию?
Спасибо за видео!
Хотелось бы больше "продвинутых" настроек:
- Запрет на загрузку торрентов
- Запрет на подключениие к .ру сайтам (чтобы не палить vpn)
- настройки warp
Первые два есть в настройках Xray в панели управления
@@server-technologies Подскажите это как то влияет на сам VPN или это только безопасность подключения к этому сайту?
@@igorp.8954 безопасность подключения к панели и самого сервера. На впн никак не влияет.
@@server-technologies То есть шифрование при подключении VPN на протоколе VLESS будет осуществляться посредством TLS? То есть с панелью управления этого никак не связано. Просто в панель я буду заходить раз в полгода стоит ли заморачиваться
@@igorp.8954 если прям лень, и пароль рута надежный - можно не заморачиваться. Но лучше сделать.
Ну вот -) Отличный материал
СПАСИБО!
Очень жду видео по nftables :)
Спасибо вам огромное!
боже! я это сделал! благодарю🙂 ролик скачаю
Скажите. Есть возможность сделать так, чтобы браузер и obs работали из под моего vpn, а остальные программы в частности Дискорд, Стим и онлайн игра работали под моим статичным ip??
Nekoray -> проксирование системы (запуск от админа)
Спасибо Вам огромное!!!! Абсолютно доступно даже для таких чайников как я. И вопрос такой небольшой, как к спецу, пароль в 33 символа с энтропией 398 бит выдержит атаку или все таки лучше SSH?
ssh ключи не только надежные, но и удобные.
Такой пароль вряд ли взломают, рута закрыть и стандартный порт все равно стоит поменять.
А в чем проблема использовать ключи?
@@server-technologies Проблемы нет, я просто как чайник набираюсь опыта и пытаюсь сформировать понимание, что безопасно, а что нет. Каких мер достаточно, а каких не хватит. Спасибо Вам за ответ!
Все получилось. Супер
разве нельзя использовать саподписанный сертификат OpenSSL?
Спасибо! Я все это сделал. Теперь вопрос) В браузере у меня все супер, определяет место положение отлично, но почему-то OBS отказывается работать через VPN, я может что-то не понимаю, но похоже у вас он бы тоже не заработал, так как видно, что вы замазываете на 28:30 свой ip, ну значит MobaXterm не использует VPN соединение, иначе какой смысл вам замазывать был бы IP если он был бы точно таким же как и у самого сервера?)
Так в чём вопрос то? - Вопрос, как сделать так, чтобы не только браузер использовал VPN соединение, но и другие программы это делали?
@@Nativel79 там ползунок есть «использовать как впн» внизу программы. Надо его включить. Тогда вся система будет заворачиваться в прокси.
@@server-technologies Я его нажимал, просто впервые пользуюсь и не знал, что у меня была ошибка:
FATAL[0000] start service: initialize inbound/tun[tun-in] configure tun interface: set ipv4 address: The object already exists.
В общем я нашел решение. Ну, конечно откуда вы можете все эти решения знать.
Надо было удалить подпапки в директориях реестра:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
И ошибка пропала.
В любом случае спасибо за поддержку, и за ответ. Я тоже стараюсь отвечать всем подписчикам)
Есть идеи как ограничить подключение непосредственно к впн от нежелательных пользователей? На случай, если сертификат vless пойдет по рукам. Была мысль через iptables запретить подключение к порту, на котором слушает vless (соответственно отдельное подключение для каждого пользователя со своим портом), если ip или mac не соответствуют тем, что я вбил ручками. Но по ip очевидно плохая идея, а по mac не работает, - отклоняю tcp подключение по порту, если mac не подходит: никто не может подключиться. И наоборот, - разрешаю только одному маку, а работает у всех.
Установка публичного ключа на другой сервер делается одной командой ssh-copy-id. Не понятно, зачем user1 давать права админа по умолчанию. Еще fail2ban не хватает. Про FreeMyIP домен надо обновлять через крон, на их сайте есть инструкция как в крон добавить, если правильно помню.
тут надо исходить из того что это видео смотрят неопытные юзеры и проще сделать так, чем объяснять почему ты сделал по другому. Многие запутаются.
Да и в повершелл нет команды ssh-copy-id
Было-бы хорошо в продолжение темы снять видео, как убрать панель на localhost, чтобы она не была видна снаружи, а доступ к ней имела только я. Я убирала, но потом не могла получить к ней доступ. На видео будет понятней где я могла допустить ошибку. Не знаю имеет значение или нет, но панель если что в докере.
А какой смысл поднимать 3x-ui на локальном хосте?
@@server-technologies Как говорят, это нужно для того , чтобы никто при желании не мог обнаружить её, а я бы подключалась к ней по ssh .
@@Trojanskaya можно просто развернуть сервер без gui и делать все только через панель. Панель нужна только для удобства, все те же операции можно сделать руками через терминал.
Ну или просто через файервол закрывайте порт на котором работает панель и открывайте когда надо к ней подключится.
Получается что если отключить gui web интерфейс который по умолчанию не защищён то и все эти операции с доменными именами не нужны правильно? Если я отключю из терминала веб интерфейс то получается только через терминал из под рута можно получить доступ? Просто не вижу смысл за домен платить или бояться что бесплатный умрёт когда тоже самое можно настроить через терминал. Поясните пожалуйста?
@@dennisbek9090 можно все настраивать через консоль и отключить gui.
спасибо, чуть не померла,пока делала🤣 а на картинке все так просто кажется..
@@ellsyells4588 это с непривычки в первый раз)
Здравствуйте. Благодарность за просвещение в теме.
Подскажите, а на этой технологии есть какая-то возможность разделения трафика? Чтобы на определённые сайты применялся xray, а все остальные шли как обычно? Насколько я понимаю, такой вариант будет выглядеть на стороне провайдера чистым и органичным, а не простым подключением к одному единственному сайту. И, возможно, есть какие-то готовые решения по использованию xray через роутер, чтобы пустить через него телевизор и некоторые умные устройства? В идеале что-то в видеоформате, но если просто в общих чертах объясните и скажите где копать - тоже огромная благодарность.
@@instaff215 В самой панели можно настроить вайтлисты, в клиентах через которые подключаетесь можно выбрать какие приложения будут использовать впн, а какие будут идти напрямую.
Лайк подписка. Спасибо, все подробно и понятно.
почему не используете проксирование от cloudflare?
спасибо все четко понял огромное спс
Спасибо! Глянул тоже у себя grep -E “Failed” с мыслями «да кому я нужен» - лучше б не смотрел.. Всего за сутки (!) существования сервера огромный список перебора портов и паролей рута, долбят практически каждые 2 минуты, много айпи из Мексики, Австралии, Азии. Кто это, что они хотят?) Мне теперь страшно) Пойду и на втором своем сервере убирать рута и делать ключи.
С одним и тем же приватным и публичным SSH ключом можно сразу несколько серверов использовать? Или лучше для каждого создавать свои?
Один ключ можно на несколько серверов использовать.
А это не конкретно по вашу душу пришли к вам на сервер. Просто на дурака ходят боты и ищут: вдруг у кого пароль простой. Все подсети ip адресов давно известны, так что найти вновь созданный сервер особого труда не составляет.
перед тем как менять порт ssh по умолчанию не забудьте его прокинуть в ufw (sudo ufw allow 5555/tcp), а то по ssh будет проблематично, после перезапуска sshd, подключиться
А еще лучше не запускать ufw, не погуглив перед этим как он работает.
Большое спасибо за проделанную работу! Пересматривая видео возник вопрос: "Если обновлять панель из пункта 2 меню x-ui после подключения к серверу - не слетят ли настройки пользователей и всей панели?" Пробовал выбрать пункт, там пишут что панель будет переустановлена до последней версии и все данные не потеряются. Но все равно как-то боязно))) Очень не хочется потом все заново настраивать, так как текущая версия панели работает без проблем.
@@user-gq2bl7ez6u Не должны потеряться. Я обновлял - у меня все было ок.
Супер, спасибо за ролик! А не подскажете 1. Как сделать бэкап ОС и бэкап 3x-ui. Чтобы если что то не то сделаю, всегда мог откатиться к рабочему варианту ?
@@sKlayton 3x-ui всегда можно снести и установить заново с помощью команды x-ui и выбора соответствующего пункта.
А при настройке ssh просто сохраните файл конфигурации ssh с помощью команды cp:
cp /etc/ssh/sshd_config /etc/ssh/sshd_configold
Эта команда скопирует файл конфигурации в ту же папку где лежит основной файл и имя у него будет sshd_configold.
Потом не закрывая текущую сессию в новом окне подключаетесь к серверу и проверяете что все работает. Если не работает, то удаляете текущий файл конфигурации командой
rm /etc/ssh/sshd_config
И восстанавливаете из старой копии файл конфигурации
cp /etc/ssh/sshd_configold /etc/ssh/sshd_config
Не забудьте перезапустить ssh.
Спасибо большое за ваш труд!
А является ли защита от злоумышленников в лице tls столь необходимой? Я через fail2ban, nfw и nano поставил защиту от большого количества попыток входа. Не могу сказать, что она надежнее tls, но наверняка этой защиты + сложный пароль более чем достаточно. Также интересно, как можно убрать двусторонний пинг, так как 2ip, например, палит использование прокси.
@@3ightMil3s tls это не защита сервера. Это шифрование трафика между вами и сайтом панели.
По-хорошему стоит сделать.
@@server-technologiesк сожалению, freemyip лежит, и неизвестно сколько еще пролежит. Платитт не хотелось бы, не знаете, может есть альтернативы на моменте с поддоменом?
@@3ightMil3s можно выпустить самоподписанный сертификат с помощью OpenSSL и ходить в панель по домену
Случайно удалил папку etc/ssh теперь ssh не работает. Скажите, есть какая-нибудь возможность восстановить работоспосбность ssh?
@@alexeybukach282 если нет возможности подключится к серверу, то попробуйте написать в техподдержку чтобы восстановили.
Большое спасибо за инструкцию. Правда, я пришел только из-за части с клаудфлэр с ССЛ))
Подскажите плз, есть ли встроенные средства, с помощью которых можно привязать айпи с портом (пример: 232.232.232.323:43333/panel/) к домену? Или на сервере нужно это сделать с nginx?
Куда встроенные? Немного не понял вопроса.
Домен привязывается к айпи через записи днс, или вы имеете ввиду чтобы вводить только домен и попадать в панель без ввода порта?
@@server-technologies встроенные в 3x-ui. Да, вы правильно поняли, чтобы вводил домен и попадал в панель без ввода порта) а то длинный адрес получается
лучший, спасибо
Если возможно, не расскажете про fail2ban ?
Подскажите, кто делал через freemyip, что, тема перестала работать? Не могу зайти на сервер…
@@drserj5222 freemyip заблокирован. Заходите по ip.
@@server-technologies в смысле заблокирован в России? Но а если по ip заходить, то нужно писать ip:port/секретное слово/panel?
может нужно добавить в шапку, что тем кто настраивал vless по инструкции из прошлого видео уже после обновления, в частности про "Please set up the web base path (ip:port/webbasepath/):" , то тогда в этом видео нужно пропустить пункт с 16:00 по 18:01, ну чтоб люди не путались
@@mutlamos3532 в описании предыдущего видео есть информация.
@@server-technologies да я к тому, что тем кто Убирает ошибку "Это соединение не защищено" не нужно делать манипуляции в этом видео на 16 минуте. Спасибо.
друг а подскажи что у тебя настроено, с помощью чего у тебя ведутся логи по взлому, кто их ведет fail2ban или што то еще ?
@@сашаГриценко-х1з это система ведёт логи, ничего дополнительно настраивать не надо
Добрый день! Вроде бы четко выполнял Ваши инструкции, но на последнем шаге видимо все "сломал". Теперь у меня при входе в MobaXterm, в user1, выдает ошибку:
No supported authentication methods available (server sent: )
Причем перед последним шагом проверял возможность входа - все работало. Прот менял на 5555. Есть ли выход все исправить? И будет ли V2Ray (впн) работать без возможности входа через user1?
@@AxRmM работать будет.
Вариантов несколько: переустановка ОС, это делается через техподдержку.
Можно запросить доступ по VNC и поправить конфиг через него.
Попросить техподдержку откатить конфиг к дефолтным значениям и сделать все заново.
Но для начала попробуйте погуглить ошибку.
Все будет работать, просто доступа к серверу у вас нет.
@@server-technologies Спасибо за ответ! Заранее прошу прощение за странный вопрос (я в этом деле прям совсем новичок) а в какую техподдержку обращаться именно для отката конфига? MobaXterm или my.ishosting?
@@AxRmM is hosting
@@server-technologies И последний вопрос. Допустим мне откатят конфиг. А как удалить текущие профили root и user1 из MobaXterm? Просто правой кнопкой щелкнуть на сессии и выбрать пункт Delete Session?
@@AxRmM Да. Но из можно не удалять, а отредактировать.
Если вы добавили ключи, то они останутся на сервере скорее всего.
@server-technologies, спасибо за видео, вроде все получилось) А у вас же есть тг-канал? Не могу найти в описании.
я не понял чем плохи самоподписные сертификаты, которые можно сформировать прямо в терминале? и зачем на ip навешивать какой-то домен, если цель vless+reality "притвориться" каким-то другим сайтом. Но я может не знаю или не понимаю чего-то, поясните плиз
@@Vinci101 ничем не плох, можно смело использовать.
@@server-technologies а домен зачем? Я думал, что xray если на него зайти, типа проверить куда там постоянно траффик идет, покажет сайт который указан в маскировке, или он не так работает?
@@Vinci101 там. Сертификат нужен для шифрования трафика который идет от вашего браузера к сайту веб интерфейса самой панели. Можно все то же самое настроить используя чисто ядро, через консоль без всяких веб интерфейсов.
Спасибо огромное за ваш труд. А как все же настроить чтоб через это подключение работали только определенные сайты и проги, а другие как обычно 🙏
там в настройках панели в левом меню в пункте настройки xray есть соответствующая функция, начните с нее.
Подскажите как killswitch настроить в vray?
За Hiddify панель ждём обзор.
Спасибо, видео супер. А можно ли x-ui использовать как sni injector?, если доступ есть только к определенным сайтам.
ufw allow proto tcp from (ip addr) to any port 2053 (x-ui port)
не?
Сделал поддомен freemyip, ввёл команду со страницы "Can I point my domain to an arbitrary IP address?", получил "ОК", попытался зайти в панель по адресу поддомена, не вышло. Браузер пишет страница не найдена. Подскажите, пожалуйста, в чём может быть проблема? Сам я не разбираюсь от слова совсем, шёл по инструкции, никуда не сворачивал
Возможно стоит немного подождать пока обновятся настройки на серверам freemyip, но обычно это происходит быстро.
Проверьте внимательно ip который вы вводили в команде.
Решилась проблема? У меня аналогичная ситуация
@@svyatojdismas9117 здравствуйте у вас получилось зайти?
@@svyatojdismas9117проверьте что вы вводите не только домен, но и путь к панели
@@svyatojdismas9117 Вы скорее всего уже настроили слово маскирующее адрес к вашей панели. Поэтому нужно подключаться следующим образом твойДомен:65000/ТвоёСлово/
Ни у кого не было такой пробелмы, когда регистрируешь бесплатный домен, там нужно изменить команду - ввести ip сервер нашего хоста, затем перейти в браузере по этой ссылке, на выходе получаем OK. Но при попытке подлкючения через этот домен, выдает ошибку "страница не найдена"
не стоит использовать freemyip, то ли они нас заблокировали, то ли мы их, но сервис перестал быть доступен.
Приветствую. Гайд супер! Подскажите, где отключить логи в x-ui? В настройках Xray журнал отключил все позиции. Место на VDS каждый день уменьшается на 100мб. Может убунта пишет что-то, хотя при заказе сервера убирал данную опцию.
@@ПапкаСкуф Панель логи не ведет, убунта в любом случае пишет свои логи.
@@server-technologies Спасибо, пока что в убунте сделал следующее: journalctl --vacuum-size=10M. Будем посмотреть. Ждем новых видео) Давно хотел начать изучать убунту. Ситуация подтолкнула. Семья довольна, все с ютубом)))
После подключение второго сервера в меню Настройки x-ray -> правила маршрутизации, трафик считался на конечном сервере весь вместе, всех клиентов. Когда отключил второй сервер, перестал учитываться трафик у каждого клиента на первичном сервере. Как думаешь, что можно сделать? Куда копать?
А чем плох самоподписанный сертификат? Нет танцев с доменами, а результат тот же.
Ничем не плох, но это сложнее чем накинуть домен, а видео рассчитано на людей без подготовки.
Встречал рекомендацию сделать адрес панели локальным хостом и заходить на панель по ssh, читали об этом? Получается и безопасность выше плюс не нужны ни сертификаты, ни домены
@@Hhgvvbjjhg Можно сделать так
Достаточно установить стандартные самоподписные сертификаты и этого будет достаточно для панели. Специально заморачиваться делать аккаунт Cloudflare смысла нет.
Можно инструкцию или ссылку?
@@user-rf6eg7jh9y apt install ssl-cert После этого сертификат генерится и на экране написано путь где он лежит
@@humphet3750 И потом пусть этот ставить в панель 3x-ui ?
@@user-rf6eg7jh9y Потом в панели Public Key Path /etc/ssl/certs/ssl-cert-snakeoil.pem Private Key Path /etc/ssl/private/ssl-cert-snakeoil.key
Доброго времени суток, не подскажите как веб морду за нгинксом спрятать, сайт заглушка есть, домен и сертификат тоже. Просто очень хочется чтоб был доступ только по домену, в конфигах покопался не очень нашёл.
Тоже интересует этот вариант
А что делать если не работает "ssh-keygen"?
Windows10. OpenSSH установлен.
Пробовал и в cmd и в PowerShell, а там пишет:
"ssh-keygen" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
Пробовал установить SNMP-протокол - сбой установки.
Лично я для своего сервера использовал сертификат на IP от ZeroSSL. Бесплатно, регистрация домена не нужна.
Спасибо автору за отличный мануал. С сертификатом все хорошо. Тут новая вылезла бяка. URI-путь по умолчанию панели небезопасен. Пожалуйста настройте сложный URI-путь. И чет не гуглится на эту тему ничего полезного. Помогите разобраться!
@@user-hw3ql9yg1v В видео же есть про это.
Извините за невнимательность@@server-technologies
Я не по теме, но как человек ничего не понимающий в этом, хочу спросить, норм ли, что заказанный VPS запущен 24/7 или стоит иногда вырубать?
Нормально. Он для этого и нужен. Это же не домашний ПК.
Физический сервер, на котором крутится ваш VPS все равно работает 24/7. А если виртуальный простаивает, он и ресурсов почти не потребляет.
Тупо настроил 3x-ui чтобы весел на 127.ноль.0.1
подключаюсь к панельке используя ssh тонель.
и в сеть портом не торчит и безопасно и трафик зашифрован
UPD: а нет, оказалось есть подводные камни у такого подхода
QR код который генерируется содержит неверный ip 127.ноль.0.1
приходится его редактировать в клиенте вручную.
тоже самое и с кнопкой "скопировать настройки"
в принципе не сложно.
UPD2: просто прописал Порт IP (Listen IP) в настройках "подключения" (incoming) и проблема решена. QR код генерируется правильный.
Минигайд бы или ссылочку?)
@server-technologies, подскажите еще по такому моменту. Создал ссш ключ и вышел из-под рута только через 3 дня после создания сервера. Был пароль с сайта генератора паролей. За эти 3 дня могли же залезть на сервер? Это вообще можно как-то определить?
Посмотреть логи?
Отличное видео ! Но. У меня был запущен Nginx и при попытке получить сертификат вылетела ошибка. Я остановил Nginx, удалил папку cert и теперь при попытке получить сертификат "вываливаеется" ошибка - [ERR] system already has certs here,can not issue again,current certs details:
[INF] Main_Domain KeyLength SAN_Domains CA Created Renew. Как это побороть ?
Не стоит накидывать на один сервер несколько программ потому что они могут конфликтовать между собой.
Либо один сервер - одна программ, либо пакуйте все в докер.
Заказал, новый сервер. Сколько бы не пытался установить сертификат, получал ошибку. Переустанавливал сервер, все равно ошибка. Отправился на гитхаб проекта и установил Certbot как там указано, 3мя командами. И все завелось. Так, что если у кого-то также вылезла ошибка, попробуйте установить по инструкции на гитхабе. Спасибо ещё раз за видео, все в итоге получилось.
А как разница в плане безопасности между рут и пользователем, если пользователь включен в группу sudo?? На ум приходит только, то что при переборе паролей, им надо будет еще угадать имя пользователя для полключения. Поэтому зачем ставить пользовеля и закрывать рут?
@@Hhgvvbjjhg во-первых, угадать имя пользователя, во-вторых, пароль пользователя.