Marzban VPN + DNS Adguard or Pi-Hole

В статье мы установим панель Marzban с функционалом от XRAY (VLESS Reality), всякими плюшками типа BBR и WARP. И добавим к этому вкусный соус в виде Adguard Home или Pi-Hole!

Давайте познакомимся с программными пакетами, о которых написана эта статья.

Marzban — это устойчивый к цензуре инструмент управления прокси, с простым и удобным интерфейсам, для управления сотнями прокси-аккаунтов, работающих на Xray-core.

Pi — Hole — это open source сетевой блокировщик рекламы и трекеров, который делает ваш интернет чище и безопасней.

Adguard Home — ПО аналогичное Pi — hole, но с чистым кодом, менее требовательно к ресурсам, более дружелюбным в настройке и более технологичное решение.

Обратите внимание, что вы ставите либо Adguard Home, либо Pi — Hole!

Выбор хостинга для VPN

Предлагаю вам на выбор 4 хостинга, которые можно использовать для VPN, исходя из своей субъективной оценки. Три ссылки реферальные, так вы сможете и отблагодарить меня, без всяких усилий, если статья вам оказалось полезной.

Marzban имеет отличную русифицированную документацию, что упрощает настройку и установку решения:

https://marzban.ru/

В чем отличие от X-UI?

Отличия в том, что Marzban в целом, является дружественней до всего, что касается создания панели и передачи всех «ключей» от VPN клиенту. Минус Marzban, что придется залазить в конфигу JSON, в 3X-UI большую часть можно сделать через скрипт X-UI.

В общем, оба решения примерно одинаково хорошо и найдут своего пользователя. Мне как то Marzban нравится больше, наверное и за счет отличной документации.

Обратите внимание, чтобы получить SSL, нам нужно иметь домен. Либо купить, либо завести бесплатный на Freenom.

Установка Marzban

Обновляем ПО на сервере:

apt update && apt upgrade -y && apt autoclean -y && apt clean -y && apt autoremove -y && reboot

Быстрая установка Marzban с Docker:

sudo bash -c "$(curl -sL https://github.com/Gozargah/Marzban-scripts/raw/master/marzban.sh)" @ install

Далее, нам нужно создать админа для входа в панель управления Marzban, выполнив следующую команду:

marzban cli admin create --sudo

Получаем SLL сертификаты на домены. Мы будем использовать несколько поддоменов, чтобы использовать их, например с Adguard Home.

Есть 2 варианта получить сертификат:

Через Cloudflare. Прилинковываем наш домен к Cloudflare и выпускаем сертификат на 15 лет через их сервис

По способу ниже:

apt install cron  && apt install socat

curl https://get.acme.sh | sh -s [email protected]

mkdir -p /var/lib/marzban/certs/

DOMAIN и SUBDOMAIN1.DOMAIN — пишем наши домены и суб-домены. Которые мы прилинковали заранее к нашему IP. Если суб-домены не нужны, удаляем их

~/.acme.sh/acme.sh --set-default-ca --server letsencrypt --issue --standalone \
-d DOMAIN \
-d SUBDOMAIN1.DOMAIN \
-d SUBDOMAIN2.DOMAIN \
--key-file /var/lib/marzban/certs/key.pem \
--fullchain-file /var/lib/marzban/certs/fullchain.pem

Так же ключи на домены и суб-домены сохраняются в папке /root/.acme.sh

Пропишем SSL в Marzvan:

nano /opt/marzban/.env

Меняем переменные:

UVICORN_PORT — 443

UVICORN_SSL_CERTFILE — убираем # и example.com

UVICORN_SSL_KEYFILE — убираем # и example.com

XRAY_SUBSCRIPTION_URL_PREFIX = укажем свой домен или под-домен
Пример:

UVICORN_HOST = "0.0.0.0"
UVICORN_PORT = 443


## We highly recommend add admin using `marzban cli` tool and do not use
## the following variables which is somehow hard codded infrmation.
# SUDO_USERNAME = "admin"
# SUDO_PASSWORD = "admin"

# UVICORN_UDS: "/run/marzban.socket"
UVICORN_SSL_CERTFILE = "/var/lib/marzban/certs/fullchain.pem"
UVICORN_SSL_KEYFILE = "/var/lib/marzban/certs/key.pem"


XRAY_JSON = "/var/lib/marzban/xray_config.json"
XRAY_SUBSCRIPTION_URL_PREFIX = "https://yourdomain.ru"

Обновляем

marzban restart

Заходим в панель управления через адрес:

https://your.domain.ru/dashboard/login

Если порт отличный от 443 то your.domain.ru:port/dashboard/login

Теперь мы можем создавать пользователей и делиться с ними личными страницами, с настройками. Все быстро и удобно.

Документация по проекту Marzban:

https://docs.marzban.ru/

Установка Adguard Home

Я в этой статьей хоть и хвалю документацию Marzban, но где написано инструкция Adguard Home, там как будто бы вырвана страницы. По такой инструкции вы не сможете установить его (хмм). Что странно, у них очень развитое сообщество в ТГ, но и там не захотели делиться нюансами установки Adguard Home. Так что по сути, я написал эксклюзив 🙂

Освобождаем 53 порт на 127.0.0.1

sudo nano /etc/systemd/resolved.conf

И раскомментируйте (удалите #с начала строки) строку и введиет значвение DNS=127.0.0.1

Раскомментируйте строку и измените значение на DNSStubListener=no

DNS=127.0.0.1
DNSStubListener=no

Остальные параметры не трогаем. Сохраним через CTRL + X и Y.

sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

reboot

Установка

Работаем через терминал, я кстати рекомендую Termius.

wget https://static.adguard.com/adguardhome/release/AdGuardHome_linux_amd64.tar.gz

tar -xzf AdGuardHome_linux_amd64.tar.gz

cd AdGuardHome

sudo ./AdGuardHome -s install

Далее, переходим в браузер по ссылке которую выдает установщик:

ваш_IP:3000

1. При установке адрес панели указываем тот, где указан реальный IP сервера
2. DNS сервера указываем все или 127.0.0.1 (если вы будете использовать DNS over HTTPS отдельно, то все)

Установка сертификата в Adguard Home

Чтобы подключить веб-консоль на работу через HTTPS и при это использовать DNS over HTTPS, нам понадобится второй домен. Если нам не важен HTTPS при работе с консолью, в разделе Adguard Home > настройка > шифрования. Указываем ключ SSL, который мы получили для Marzban.

В моем случае, я выпустил сертификат для второго домена

~/.acme.sh/acme.sh --set-default-ca --server letsencrypt --issue --standalone \
-d DOMAIN2 \

DOMAIN2 — наш второй домен или суб-домен.

Закончили сетап, переходим обратно в консоль и делаем что ниже написано:

nano /etc/resolv.conf

Меняем nameserver на локальный:

nameserver 127.0.0.1

Сохраняем Ctrl + X и Y

Далее, идем в панель управления Marzban > Шестерня настройки и добавляем кусок кода как ниже:

"dns": {
    "servers": [
      "127.0.0.1"
    ]
  },

Вставим его, на скриншоте ниже:

Пропишем сертификат:

/root/.acme.sh/your_domain_ecc/fullchain.cer
/root/.acme.sh/your_domain_ecc/your_domain.key

И укажем порт HTTPS 400 (не 443)!

И перезагружаем Marzban

marzban restart

Этот процесс одинаково верен кстати, для всех VPN протоколов в т.ч. Outline, WireGuard, IPSek. Пользуйтесь, Adguard Home — отличный продукт!

Установка PI-HOLE

Установка Pi-hole выглядит попроще и работает в связке с Marzban, он в целом стабильней. Но он менее практичен, хотя свои функции выполняет на все 100%.

Установка

curl -sSL https://install.pi-hole.net | bash

На всем процессе установки тыкаем на Continue и Yes.

В конце установки мы получим пароль, который сразу же и поменяем командой ниже. Запускаем сервис и меняем пароль (вставляем правой кнопкой мыши, если мы используем Termius):

sudo systemctl start pihole-FTL && pihole -a -p

Переходим в нашу панель Pi-Hole по адресу:

your_IP_server/admin

В целом там больше ничего делать особо и не надо. По дефолту уже будет работать.

Далее, опять переходим в консоль и меняем на дефолтный nameserver

nano /etc/resolv.conf

Меняем на:

nameserver 127.0.0.1

Сохраняем Ctrl + X и Y

Далее, идем в панель управления Marzban > Шестерня настройки и добавляем кусок кода как ниже:

"dns": {
    "servers": [
      "127.0.0.1"
    ]
  },

Вставим его, на скриншоте ниже:

И перезагружаем Marzban

marzban restart

Теперь у нас VPN еще и фильтруется от рекламы и прочего мусор.

Чтобы найти актуальные списки фильтров, пользуемся лайфхаком. Регаемся на отличном сервисе Adguard DNS (ссылка) и копируем все списки фильтров к нам.

Удачного использования! Ну а статья будет потихоньку дополняться.