Surf Shark σε Docker Container (Mint)

[clampro]

Καλή σας ημέρα!

Έβαλα τον client του SurfShark στο laptop μου (Linux Mint 22.1) και δουλεύει μια χαρά. Όταν όμως ενεργοποιείς το Kill Switch το οποίο θεωρητικά κόβει την πρόσβαση στο internet όταν ανιχνεύει ότι πέφτει το VPN, κόβει την πρόσβαση σε local resources (δεν μπορούσα να δω το router μου για παράδειγμα). Ρώτησα στην τεχνική υποστήριξη και μου είπαν ότι αυτό είναι αναμενόμενη συμπεριφορά και ότι το Kill Switch περιορίζει όλο το traffic που δεν περνάει μέσα από το VPN. Οκ, μπορούμε να το συζητήσουμε αν αυτό είναι κάτι που γενικά θέλουμε ή δεν θέλουμε, αλλά δεν έχει σημασία, αφού αυτό το VPN έχω τώρα και έτσι δουλεύει 😅

Το θέμα μου είναι ότι ο στόχος μου είναι να έχω ένα dedicated μηχάνημα μόνιμα συνδεδεμένο στο VPN και θα ήθελα αφενός να λειτουργεί το Kill Switch αφετέρου να μπορώ να έχω πρόσβαση σε αυτό απρόσκοπτα (tailscale + ssh για παράδειγμα) και ο τρόπος που λειτουργεί το Kill Switch δεν με βοηθάει. Όπως το σκέφτηκα, έχω δύο επιλογές:

1. Να μην χρησιμοποιήσω τον client και να βάλω το VPN Configuration στον Network Manager. Έχω την εντύπωση ότι κάαααπως από εκεί μπορείς να προσομοιώσεις τη λειτουργία του Kill Switch (ψάχνοντας βρήκα αυτό), αλλά δεν το έχω κάνει ποτέ, οπότε αν κάποιος μπορεί να με διαφωτίσει πολύ ευχαρίστως!

2. Να βάλω το SurfShark σε ένα docker container, να τρέχει από εκεί με ό,τι ρυθμίσεις θέλω και μετά να φτιάξω αντίστοιχα containers για ό,τι χρειάζομαι να περνάει μέσα από VPN. Από ό,τι διάβασα, μπορείς να κάνεις attach ένα container σε ένα άλλο και να χρησιμοποιεί το δίκτυο του πρώτου ή κάτι τέτοιο. Με τον τρόπο αυτό, το host μηχάνημα δεν επηρεάζεται καθόλου από το VPN και μπορεί να κάνει όλα τα υπόλοιπα που θέλω να κάνει. Δεν έχω ασχοληθεί ποτέ με docker, οπότε αν επιλέξω αυτό τον τρόπο θα είναι και μια ευκαιρία να μάθω πέντε πράγματα. 

 

Η ερώτηση λοιπόν είναι διπλή:

1. Ποιον από τους δύο τρόπους θα επιλέγατε;

2. Αν πάω στο δύο έχει κανείς να προτείνει από που να ξεκινήσω να διαβάζω για docker γιατί ξεκίνησα να κοιτάω αλλά είδα ότι αλλιώς δουλεύεις με docker σκέτο αλλιώς με docker-desktop και κάπου χαώθηκα.

Ευχαριστώ!

Update: Διαβάζω εδώ το εξής:

Quote

There is no requirement for a kill switch when using wireguard.
Wireguard does not leak.

Ισχύει αυτό; Γιατί αν ναι, τότε το πρόβλημα είναι no-brainer. Στήνω το Surfshark με Wireguard στο network manager και μετά έχω όλο το χρόνο να ασχοληθώ με docker για άλλα πράγματα 😅

 

Επεξ/σία πριν από 20 ώρες από clampro

[mphxths]

Παρε ενα ρουτερ που υποστηριζει kill switch (cudy) και ρυθμισε το εκει. Γινεται πολυς ντορος με το kill switch , αλλα οι περιπτωσεις που θα κλαταρει ο vpn server του παροχου σου (surf shark , proton , nord) ειναι πολυ σπανιες. Και γενικοτερα οταν ενεργοποιειται το kill switch η "προβλεπομενη" συμπεριφορα ειναι λιγο περιεργη για το τοπικο δικτυο.

Αν θες ενα dedicated μηχανημα μονιμως πισω απο το vpn + kill switch , οπως ειπα βαλε ενα ρουτερ που το υποστηριζει και ενεργοποιησε το vpn μονο για αυτο το μηχανημα. Κερδος οτι μπορεις να ενεργοποιεις το vpn κατα το δοκουν και για οποιοδηποτε αλλο μηχανημα στο δικτυο. Ή εγκατεστησε το client σε αυτο το μηχανημα και ανοιγοκλεινε το vpn όποτε το χρειαζεσαι.

[clampro]

Σε οδηγίες που βρήκα για Proton και για Nord (υποθέτω ότι και για όλα τα υπόλοιπα ίδια είναι) δεν αναφέρει πουθενά ότι το Cudy υποστηρίζει specific clients στις ρυθμίσεις του VPN, ή τουλάχιστον εγώ έτσι καταλαβαίνω. 

Αν ξέρεις κάτι διαφορετικό, ή υπάρχει κάποιο συγκεκριμένο μοντέλο που να υποστηρίζει clients συγκεκριμένους πες μου να το κοιτάξω. 

Το να είναι όλο μου το traffic πίσω από VPN μόνιμα δεν με εξυπηρετεί για πολλούς λόγους.

[mphxths]

Κοιτα , προσωπικα εχω proton vpn (ολοκληρη την σουιτα βασικα) και το cudy wr3000. Το συγκεκριμενο ρουτερ , οπως και τα περισσοτερα cudy routers , υποστηριζει ολα τα κλασικα πρωτοκολλα vpn , server και client , οπως pptp/l2tp/openvpn/wireguard server/client. Επισης υποστηριζει kill switch. Γενικα το συγκεκριμενο ρουτερ εχει γινει αναρπαστο για την χαμηλη τιμη του και για αυτα που προσφερει στον τομεα του vpn.

Απο κει και περα , η λογικη πορεια ειναι 1. παραγεις απο το nord*/proton/surfshark account σου το configuration για το vpn , οπου συνηθως οριζεις τις παραμετρους του vpn , δηλ σε τι σερβερ θα συνδεεται , με τι πρωτοκολλο κλπ και 2. μετα φορτωνεις το configuration στο ρουτερ. Στο ρουτερ εχει επιλογη , ολες οι συσκευες που συνδεονται εξ'ορισμου να υπαγονται στο vpn ή οχι. Επισης εχει μετα επιλογη να ενεργοποιεις ή να απενεργοποιεις το vpn ανα συσκευη.

Υποψη οτι το openvpn πρωτοκολλο κοβει πολλη ταχυτητα απο την συνδεση , ενω το wireguard ειναι το πιο "γρηγορο" πρωτοκολλο αναλογα βεβαια και το hardware στο οποιο ειναι σεταρισμενο. Στο wr3000 το wireguard μαξαρει στα 300mbps αν θυμαμαι καλα , υπεραρκετη ταχυτητα για το οτιδηποτε.

* Εβαλα αστερικο στο nord διοτι δεν προσφερει τροπο να εξαγεις configuration file για wireguard απο το nord account . θελοντας να προωθησει το δικο του wireguard-based πρωτοκολλο ονοματι nordlynx το οποιο υποστηριζεται natively απο συγκεκριμενα ρουτερς. Γινεται μεν , αλλα με πλαγιο τροπο , να εξαγεις nord wireguard conf file.