docker 3x-ui - xRay ShadowSocks как замена WireGuard [Docker Edition]

[DigneZzZ]

ShadowSocks решения: Marzban Quick | Marzban Full | Marzban Node | x-ui | 3x-ui | 3x-ui Docker

---

Всем привет

В продолжении прошлой темы.

Решил опубликовать набор самых основных настроек и установки в докер.

1. Первым делом ставим docker.

bash <(curl -sSL https://get.docker.com)

2. Клонируем репозиторий и падаем в него

git clone https://github.com/MHSanaei/3x-ui.git
cd 3x-ui

3. Заходим в docker-compose.yml и правим параметры:

---
version: "3.9"

services:
  3x-ui:
    image: ghcr.io/mhsanaei/3x-ui:latest
    container_name: 3x-ui
    hostname: domain.org
    volumes:
      - $PWD/db/:/etc/x-ui/
      - /etc/letsencrypt/live/domain.org/fullchain.pem:/root/cert/fullchain.pem
      - /etc/letsencrypt/live/domain.org/privkey.pem:/root/cert/privkey.pem
    environment:
      XRAY_VMESS_AEAD_FORCED: "false"
    tty: true
    network_mode: host
    restart: unless-stopped

Нам нужно поменять hostname на ваш домен, и указать путь туда, где certbot будет генерировать ключи (строка - $PWD/cert/:/etc/letsencrypt/live/proxy.domain.ru/)

Сохраняем и закрываем файл. (ctrl+o, enter, ctrl+x)

4. Выпускаем сертификаты к уже привязанному домену с помощью certbot. (Для управления домена и поддоменами рекомендую использовать Cloudflare, это очень удобно, быстро и комфортно)

apt-get install certbot -y
certbot certonly --standalone --agree-tos --register-unsafely-without-email -d proxy.domain.ru
certbot renew --dry-run

Получаем сообщение:

Цитата

Account registered.
Simulating renewal of an existing certificate for proxy.domain.ru

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Congratulations, all simulated renewals succeeded:
  /etc/letsencrypt/live/proxy.domain.ru/fullchain.pem (success)
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Значит все хорошо. Если вы получили ошибку, проверьте домен или возможно привязка к IP не выполнилась ещё, подождите немного.

5. Назначаем разрешение на файлы в папке ключей:

 chmod 666 -Rf /etc/letsencrypt/live/proxy.domain.ru

6. Запускаем контейнер.

docker compose up -d

7. Заходим в панель:

http://proxy.domain.ru:2053/panel

8. Логин и пароль admin / admin

Добро пожаловать в панель.

9. Сразу идем в настройки панели =- настройки безопасности и меняем пароль

10. Заходим в первую вкладку и пишем наши данные по домену и адрес к нашим ключам:

 

Цитата

/etc/letsencrypt/live/proxy.domain.ru/fullchain.pem

/etc/letsencrypt/live/proxy.domain.ru/privkey.pem

Папка должна соответствовать тому что у нас в docker-compose.yml

UPD: 09.08.23. Совладать с файлам ключей не получилось. Нужно скопировать 2 ключа из пути выше, в папку /root/3x-ui/cert/

командой: 

Цитата

cp /etc/letsencrypt/live/proxy.domain.ru/fullchain.pem /root/3x-ui/cert/

cp /etc/letsencrypt/live/proxy.domain.ru/privkey.pem /root/3x-ui/cert/

10.2. Заходим в раздел подписок, включаем эту опцию и прописываем те же параметры домена и ключей (либо можете использовать отличный от основного домен)

11. Вернемся в нашу консоль. Теперь нужно установить WARP Proxy:

Вся информация есть на оф сайте: Announcing WARP for Linux and Proxy Mode (cloudflare.com)

Дополнительно читаем про добавление ключей: Cloudflare Package Repository (cloudflareclient.com)

А теперь пример реальный, на Ubuntu:

1. Добавляем GPG key:

   curl https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg

2. Добавляем репозиторий:

   echo "deb [arch=amd64 signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list

3. Обновляемся:

   sudo apt update

4. Ставим

   sudo apt install cloudflare-warp

Теперь настраиваем.

1. Всю помощь получаем тут:

warp-cli --help

2. Нужно зарегистрироваться:

warp-cli register

3. Теперь выставить режим работы (possible values: warp, doh, warp+doh, dot, warp+dot, proxy), я выбираю proxy:

warp-cli set-mode proxy

4. Устанавливаем порт для WARP proxy

warp-cli set-proxy-port 40000

5. Коннектимся

warp-cli connect

Готово.

Идём обратно в наш веб-интерфейс 3x-ui

Здесь нам нужно зайти на вкладку настройки xray и развернув WARP proxy воткнуть все тумблеры

Не забывайте, что каждое изменение в панели сперва делается кнопкой Сохранить, а затем необходимо Перезагрузить панель.

Создание подключений

Можно долго писать про настройки.

Я покажу основные.

ShadowSocks  классический

Trojan

vless

 

В принципе, если у вас работает одно какое то подключение, вы можете использовать только его. Остальные вряд ли будут чем то отличаться.

Хорошей особенностью сборки 3x-ui, в отличии от Marzban является встроенного Ограничение по IP - это то количество одновременных подключений, которые может быть доступно на 1 коннект от 1 пользователя.

Готово! 

Пользуйтесь!

Другие мои параметры:

 

PS: Настройки телеграм бота очень просты. И имеют все необходимые комментарии.

Вот что выдает бот:

Для клиента с прописанным Telegram ID информации минимум, не выдает даже сами конфиги.

 

UPD: Для работы IP Limit нужно установить на сервер Fail2ban

[CO_PY]

А если к примеру уже есть домен и у него есть сертификат, выпущенный и продлеваемый хостером (аеза), то как указать путь к ним? Или все равно на домен который имеет сертификаты серботом выпускать их заного?

 

[DigneZzZ]

3 минуты назад, CO_PY сказал:

А если к примеру уже есть домен и у него есть сертификат, выпущенный и продлеваемый хостером (аеза), то как указать путь к ним? Или все равно на домен который имеет сертификаты серботом выпускать их заного?

 

Сохрани их в виде в файлов и положи в папку /root/cert/ как конфиг по умолчанию

[CO_PY]

То есть 4й пункт я могу пропустить? Или делать все по инструкции но как вы выше сказали кинуть их по пути /root/cert/  ?

[DigneZzZ]

11 минут назад, CO_PY сказал:

То есть 4й пункт я могу пропустить? Или делать все по инструкции но как вы выше сказали кинуть их по пути /root/cert/  ?

я не могу за тебя решать)) смотри сам)

[CO_PY]

Возникает ошибка на моменте настройки уже в панели, при добавлении путей к сертификатам, публичному и приватному. Появляется ошибка сверху ( на скрине видно) . Проверил , пути правильные, через ту же файлзилу лезу до сертификатов, копирую путь и он совпадает с тем что прописываю я, ну чисто себя проверить что бы) 

Как быть ,как решить данную проблему? 

[DigneZzZ]

2 часа назад, CO_PY сказал:

Возникает ошибка на моменте настройки уже в панели, при добавлении путей к сертификатам, публичному и приватному. Появляется ошибка сверху ( на скрине видно) . Проверил , пути правильные, через ту же файлзилу лезу до сертификатов, копирую путь и он совпадает с тем что прописываю я, ну чисто себя проверить что бы) 

Как быть ,как решить данную проблему? 

Обновил этот раздел, почитай.

[CO_PY]

статус сервера в ошибке, какая то проблема с публичным ключом я так понял. Опять прошу помощи)  Я сравнил ключи паблик и приват, в папках у 3x и у Letsencrypt , они совпадают. 

[CO_PY]

51 минуту назад, CO_PY сказал:

статус сервера в ошибке, какая то проблема с публичным ключом я так понял. Опять прошу помощи)  Я сравнил ключи паблик и приват, в папках у 3x и у Letsencrypt , они совпадают. 

всё, разобрался, можно удалять сообщения) 

[DigneZzZ]

24 минуты назад, CO_PY сказал:

всё, разобрался, можно удалять сообщения) 

Напиши решение) будет полезнее)

[CO_PY]

2 часа назад, CO_PY сказал:

всё, разобрался, можно удалять сообщения) 

В общем, так как я все делаю по инструкции, то любые расхождения в процессе от инструкции, вызывают дикие паники) И в этот раз , не стало исключением то, что после запуска панели управления, назовем ее так, у меня статус сервера был в ошибке, что видно по скринам , пару сообщений выше. А дело в том,что я как нуб, в настройках протокола , где нужно просто нажать кнопку Get New Key , я вставлял ключи От cerbotа)) В итоге, когда понял, очень смеялся над собой)

[DigneZzZ]

1 час назад, CO_PY сказал:

В общем, так как я все делаю по инструкции, то любые расхождения в процессе от инструкции, вызывают дикие паники) И в этот раз , не стало исключением то, что после запуска панели управления, назовем ее так, у меня статус сервера был в ошибке, что видно по скринам , пару сообщений выше. А дело в том,что я как нуб, в настройках протокола , где нужно просто нажать кнопку Get New Key , я вставлял ключи От cerbotа)) В итоге, когда понял, очень смеялся над собой)

[RangerRU]

Я пошел по другому пути:

1. Ставим docker-compose (спасибо статье по развертыванию WireHole https://dzen.ru/a/Ye3SMbYBmn0-_We5)

apt install docker-compose

2. Забираем с гитхаба файл yml

mkdir 3x-ui && cd 3x-ui
wget https://github.com/MHSanaei/3x-ui/raw/main/docker-compose.yml

3. Заходим в docker-compose.yml и правим параметры:

version: '3'

services:
  3x-ui:
    image: ghcr.io/mhsanaei/3x-ui:latest
    container_name: 3x-ui
    hostname: proxy.domain.ru
    volumes:
      - "./db/:/etc/x-ui/"
      - "/etc/letsencrypt/live/proxy.domain.ru/fullchain.pem:/root/cert/fullchain.pem"
      - "/etc/letsencrypt/live/proxy.domain.ru/privkey.pem:/root/cert/privkey.pem"
    environment:
      XRAY_VMESS_AEAD_FORCED: "false"
    tty: true
    network_mode: host
    restart: unless-stopped

При использовании docker compose (не путать с его предшественником docker-compose которым пользуюсь я) первые две строки оставить с оригинала, т.е.:

---
version: "3.9"

 

4. Ставим cerbot:

apt install certbot -y

 

Получать сертификат(ы) будем через проверку DNS посредством acme-dns-certbot

Цитата

Проверка DNS позволяет подтверждать запросы на выдачу сертификатов по DNS-записям, а не обслуживать контент через HTTP. Это означает, что сертификаты могут выдаваться как для кластера веб-серверов, работающих через балансировщик нагрузки, так и для системы, к которой нет прямого доступа через Интернет. Проверка DNS также поддерживает и wildcard-сертификаты.

Инструмент acme-dns-certbot используется для подключения клиента Certbot к стороннему DNS-серверу, где записи проверки сертификата автоматически устанавливаются через API при запросе. Преимущество этого метода заключается в том, что вам не нужно интегрировать Certbot с вашей учетной записью DNS-провайдера и предоставлять ему неограниченный доступ ко всей конфигурации DNS – а это очень важно для безопасности.

Для перенаправления поиска записей для проверки сертификатов на сторонний сервис DNS используются DNS-зоны, поэтому после завершения начальной настройки вы можете запросить столько сертификатов, сколько захотите, без необходимости выполнять проверку вручную.

 

5. Загружаем скрипт с гитхаба и делаем его исполняемым:

wget https://github.com/joohoi/acme-dns-certbot-joohoi/raw/master/acme-dns-auth.py
chmod +x acme-dns-auth.py

6. Правим скрипт, меняя первую строку на 

#!/usr/bin/env python3

7. Перемещаем скрипт в папку /etc/letsencrypt/

sudo mv acme-dns-auth.py /etc/letsencrypt/

8. Запускаем процедуру получения сертификата:

certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d proxy.domain.ru

Для получения Wildcard-сертификата (для всех поддоменов вашего домена) команда будет такая:

certbot certonly --manual --manual-auth-hook /etc/letsencrypt/acme-dns-auth.py --preferred-challenges dns --debug-challenges -d \*.proxy.domain.ru -d proxy.domain.ru

В процессе выполнения запроса вы увидите сообщение такого плана:

Цитата

...
Output from acme-dns-auth.py:
Please add the following CNAME record to your main DNS zone:
_acme-challenge.your-domain CNAME a15ce5b2-f170-4c91-97bf-09a5764a88f6.auth.acme-dns.io.
Waiting for verification...
...

Вам необходимо в панели, где вы работает с DNS записями, добавить запись типа CNAME как указано в сообщении

После этого необходимо подождать

Если всё хорошо, то получите сообщение:

Цитата

...
Congratulations! Your certificate and chain have been saved at:
/etc/letsencrypt/live/your-domain/fullchain.pem
Your key file has been saved at:
/etc/letsencrypt/live/your-domain/privkey.pem
...

9. Назначаем разрешение на файлы в папке ключей:

 chmod 666 -Rf /etc/letsencrypt/live/proxy.domain.ru

10. Переходим в папку 3x-ui и запускаем контейнер:

docker-compose up -d

или docker compose up -d в случае использования docker compose

11. Далее  заходим в панель http://proxy.domain.ru:2053/panel

меняете логин и пароль администратора как по первом посте

далее в настройках панели рекомендуется изменить порт панели с стандартного 2053 на другой для безопасности, например:

и прописываем пути к ключам

 

Всё остальные настройки панели как в первом посте или по желанию

[RangerRU]

Добавлю по WARP

я использовал контейнер yarmak/warp-proxy

мой файл docker-compose.yml

version: '3'

services:
  warp-proxy:
    image: yarmak/warp-proxy
    network_mode: host
    ports:
      - 40000:40000
    restart: always

и как раз в режиме прокси работает что нам и надо в случае 3x-ui

и не надо отдельно ничего ставить в живую систему

[333444]

Здравствуйте!

Делал всё по известной статьте с гитХаба "Shadowsocks-2022 & XRay (XTLS) сервер с простой настройкой и приятным интерфейсом"

Всё завелось! Есть проблема с доступом к панели:  попробовал сделать доступ с "виртуального" IP, вместо возни  с  сертификатами ( раньше заходил так -  http://IPсервака:порт/URL/).

Добавил в /etc/network/interfaces следующую запись:

iface lo:1 inet static
address 192.88.99.1
network 192.88.99.0
netmask 255.255.255.0

В настройках панели указал IP 192.88.99.1,  чтобы она слушала только на нем. Панель из вне - стала не доступно, как и ожидалось... .

Подключаюсь к сети через Shadowsocks (в NekoBox только его пока настроил) - инет есть, всё работает. IP сервера через whoer показывается.

Вбиваю строку в браузере  - http://192.88.99.1:порт/URL/ - Вообщем, в панель попасть теперь  не могу. Что не так делаю? Спасибо за любую помощь!

Не думал, что придётся в жизни ещё и этим заниматься... . (

 

[Максим]

Вечер добрый. Развернул на двух серверах. На трубе клиент FoXray, на компе V2RayN. Заметил что на трубе периодически молча отваливается коннект. Есть ли вариант настройки killswitch? 

Второй вопрос - каким образом указать какой ДНС сервер использовать? на трубке вроде разобрался - есть опция Cloudflare DoH. Но с V2RayN пока не понял - 2ip.ru показывает что использую гугловские, хотя на самом компе указано юзать от роутера, а на роутете прописано cloudflare  DoH и DoT.    

[RangerRU]

10 часов назад, 333444 сказал:

Вбиваю строку в браузере  - http://192.88.99.1:порт/URL/ - Вообщем, в панель попасть теперь  не могу. Что не так делаю? Спасибо за любую помощь!

Не думал, что придётся в жизни ещё и этим заниматься... . (

 

хоть бы ссылку на инструкцию с гитхаба дали, я такое не нахожу

да и как вы хотите сделать нельзя реализовать

всё что можно:

Цитата

 

Изменить порт на котором работает панель со стандартного 2053 на какой-нибудь другой (лучше всего где-нибудь в верхнем конце диапазона, до 65535)

Изменить корневой путь URL-адреса панели с / на что-то типа /mysecretpanelroot/

На вкладке "Настройки безопасности" изменить стандартный админский пароль на свой

 

 

[Noragami]

В 14.08.2023 в 19:08, 333444 сказал:

Здравствуйте!

Делал всё по известной статьте с гитХаба "Shadowsocks-2022 & XRay (XTLS) сервер с простой настройкой и приятным интерфейсом"

Всё завелось! Есть проблема с доступом к панели:  попробовал сделать доступ с "виртуального" IP, вместо возни  с  сертификатами ( раньше заходил так -  http://IPсервака:порт/URL/).

Добавил в /etc/network/interfaces следующую запись:

iface lo:1 inet static
address 192.88.99.1
network 192.88.99.0
netmask 255.255.255.0

В настройках панели указал IP 192.88.99.1,  чтобы она слушала только на нем. Панель из вне - стала не доступно, как и ожидалось... .

Подключаюсь к сети через Shadowsocks (в NekoBox только его пока настроил) - инет есть, всё работает. IP сервера через whoer показывается.

Вбиваю строку в браузере  - http://192.88.99.1:порт/URL/ - Вообщем, в панель попасть теперь  не могу. Что не так делаю? Спасибо за любую помощь!

Не думал, что придётся в жизни ещё и этим заниматься... . (

 

Столкнулся с такой же проблемой, дело в том что Shadowsocks похоже не может маршрутизировать запросы на локальные ip адреса сервера

[333444]

17 часов назад, Lzorio сказал:

сделал я по гайду wireguard + unbound + adguard ,

Вроде, wirequard как и OpenVRT - уже заблокирован РКН с 7 августа.  У меня wirequard уже не работает (настроен был wireguard + unbound на сервере).  Я не гуру, может кто то ещё ответит и поможет... .

В 16.08.2023 в 00:40, Noragami сказал:

Столкнулся с такой же проблемой, дело в том что Shadowsocks похоже не может маршрутизировать запросы на локальные ip адреса сервера

А каким образом теперь попасть в панель? Как можно изменить настройки панели из командной строки? Или только сносить и устанавливать заново?

[DigneZzZ]

3 минуты назад, 333444 сказал:

Вроде, wirequard как и OpenVRT - уже заблокирован РКН с 7 августа.  У меня wirequard уже не работает (настроен был wireguard + unbound на сервере).  Я не гуру, может кто то ещё ответит и поможет... .

А каким образом теперь попасть в панель? Как можно изменить настройки панели из командной строки? Или только сносить и устанавливать заново?

Попасть на сервер ты конечно можешь и через VNC у хостера, и убрать ограничение на доступ только из сети WG..

Но в целом - доступ только через проводной интернет получается остается пока единственным вариантов.

Есть статьи про заворачиванию WG в SS тунель.

[RangerRU]

Починил работу IP Limit (принцип такой же - бан IP адреса)

Прошу обратить внимание что я работаю с предшественником docker - docker compose

1. Находясь в директории 3x-ui (где находится файл docker-compose.yml) останавливаем контейнер 3x-ui по команде

docker-compose.yml

docker-compose down

2. Правим файл docker-compose.yml
пример https://raw.githubusercontent.com/RangerRU/3x-ui/main/docker-compose.ym

а именно добавление строки

- fail2ban:/etc/fail2ban/

плюс

volumes:
  fail2ban: {}

и

- "./logs/:/var/log/"

для чтения логов

а также обязательно 

    cap_add:
      - NET_ADMIN

3. Запускаем контейнер по команде

docker-compose up -d

4. Ждем пока он полностью поднимется и останавливаем снова

docker-compose down

5. Забираем файл с гихаба и делаем его исполняемым

wget https://github.com/RangerRU/3x-ui/raw/main/fix_ip_limit_3x-ui.sh

chmod +x fix_ip_limit_3x-ui.sh

6. Запускаем файл

./fix_ip_limit_3x-ui.sh

Скрипт сообщит что все сделано:

Created Ip Limit jail files with a bantime of 5 minutes.

7. Запускаем контейнер

docker-compose up -d 

8. Проверяем - идем в директорию log и открываем файл fail2ban.log, должен быть примерно такой лог:

2023-08-18 02:51:43,503 fail2ban.server         [9]: INFO    --------------------------------------------------
2023-08-18 02:51:43,504 fail2ban.server         [9]: INFO    Starting Fail2ban v1.0.2
2023-08-18 02:51:43,504 fail2ban.server         [9]: INFO    Daemon started
2023-08-18 02:51:43,513 fail2ban.observer       [9]: INFO    Observer start...
2023-08-18 02:51:43,584 fail2ban.database       [9]: INFO    Connected to fail2ban persistent database '/var/lib/fail2ban/fail2ban.sqlite3'
2023-08-18 02:51:43,587 fail2ban.database       [9]: WARNING New database created. Version '4'
2023-08-18 02:51:43,588 fail2ban.jail           [9]: INFO    Creating new jail '3x-ipl'
2023-08-18 02:51:43,598 fail2ban.jail           [9]: INFO    Jail '3x-ipl' uses poller {}
2023-08-18 02:51:43,599 fail2ban.jail           [9]: INFO    Initiated 'polling' backend
2023-08-18 02:51:43,600 fail2ban.datedetector   [9]: INFO      date pattern `'^%Y/%m/%d %H:%M:%S'`: `^Year/Month/Day 24hour:Minute:Second`
2023-08-18 02:51:43,600 fail2ban.filter         [9]: INFO      maxRetry: 2
2023-08-18 02:51:43,600 fail2ban.filter         [9]: INFO      findtime: 60
2023-08-18 02:51:43,601 fail2ban.actions        [9]: INFO      banTime: 300
2023-08-18 02:51:43,601 fail2ban.filter         [9]: INFO      encoding: UTF-8
2023-08-18 02:51:43,602 fail2ban.filter         [9]: INFO    Added logfile: '/var/log/3xipl.log' (pos = 0, hash = 072135cea96a3644a4f82cc5fdc27c5bf1b9f6cc)
2023-08-18 02:51:43,604 fail2ban.jail           [9]: INFO    Jail '3x-ipl' started

Всё теперь можете проверять на клиентах

 

Пи необходимости в файле на сервере /var/lib/docker/volumes/3x-ui_fail2ban/_data/jail.d/3x-ipl.conf можете поменять переменные maxretry, findtime и bantime

а также enabled - можно временно отключить работу IP Limit

для применения настроек необходимо остановить и заново запустить контейнер

[Viper_Rus]

Большое спацсибо за цикл статей про 3x-ui и Marzban. Все прекрастно работает. Но есть очень большая просьба, опишите пожалуйста в таком же стиле для чайников как настроить доступ через CDN. Ну никак не получается сделать так, чтобы был запасной вариант коннекта к своей проксе даже если будет бан по ip. Никак не получается настроить VLESS+Websockets или VLESS+gRPC чекрез Cloudflare. Заранее спасибо

[vkblack]

1. При сохранении в любой вкладке выдает ошибку. Что может быть не так?

Спойлер

2. В 10-м пункте копируем сертификаты по пути /root/3x-ui/cert/. После пути к сертификатам новые указывать?

[vkblack]

4 минуты назад, vkblack сказал:

1. При сохранении в любой вкладке выдает ошибку. Что может быть не так?

  Показать контент

2. В 10-м пункте копируем сертификаты по пути /root/3x-ui/cert/. После пути к сертификатам новые указывать?

WARNING - Изменение настроекНеудачно: read tcp ip:2053->ip:port: read: connection reset by peer

[DigneZzZ]

42 минуты назад, vkblack сказал:

WARNING - Изменение настроекНеудачно: read tcp ip:2053->ip:port: read: connection reset by peer

Порт открыт?