Conceptos básicos e instalación de CLI
9 respuestasDescubra qué es PandaVPN CLI, en qué se diferencia de la aplicación de escritorio y cómo instalarla.
Q ¿Qué es Panda CLI?
Panda CLI es el cliente de línea de comandos de Panda y permite realizar lo siguiente desde el terminal:
- Inicio de sesión y gestión de la cuenta
- Actualización de nodos y conexión a nodos
- Cambio entre los modos PandaVPN / Proxy / WireGuard / Auto
- Configuración del proxy del sistema
- Reglas Split rules para la división del tráfico
- Configuración de Split DNS
- Protección Kill-switch
- Auto-connect
- Registros y diagnósticos
Es adecuado para usuarios de pruebas internas, desarrolladores, usuarios avanzados y escenarios de prueba que requieren operaciones mediante scripts.
Q ¿Cuál es la diferencia entre Panda CLI y el cliente de escritorio?
Panda CLI se utiliza mediante la línea de comandos y es más adecuado para:
- Pruebas automatizadas
- Resolución remota de problemas
- Conexiones mediante scripts
- Visualización de información de diagnóstico detallada
- Validación de comportamientos de bajo nivel como Kill-switch, DNS, enrutamiento y proxy del sistema
El cliente de escritorio es más adecuado para las operaciones gráficas diarias de los usuarios normales.
Nota: No se recomienda que el antiguo cliente de escritorio Qt y CLI gestionen al mismo tiempo la VPN / el proxy del sistema, para evitar que se sobrescriban mutuamente la configuración.
Q ¿Por qué Panda CLI necesita un daemon / service?
Algunas capacidades requieren permisos a nivel del sistema, por ejemplo:
- Crear interfaces de red TUN / WireGuard
- Modificar DNS
- Configurar el proxy del sistema
- Aplicar el Kill-switch
- Reparar rutas
- Administrar el packet VPN runtime
Por eso, el CLI ejecuta estas operaciones mediante el daemon / service correspondiente a la plataforma.
Formas de daemon en distintas plataformas:
| Plataforma | Forma de daemon |
|---|---|
| macOS | LaunchDaemon / privileged helper |
| Linux | systemd service |
| Windows | Windows Service |
Q ¿Cuál es la diferencia entre los métodos de instalación para Windows / macOS / Linux?
La diferencia principal es: en Windows y macOS, el servicio normalmente se instala automáticamente mediante el paquete de instalación, mientras que en Linux el usuario normalmente debe ejecutar manualmente sudo panda service install.
| Plataforma | Método de instalación recomendado | ¿Es necesario instalar service manualmente? |
|---|---|---|
| Windows | Paquete de instalación | Normalmente no; el paquete de instalación elevará privilegios y registrará Windows Service |
| macOS | Paquete de instalación .pkg | Normalmente no; el paquete de instalación instalará LaunchDaemon / helper |
| Linux | binary + systemd service | Requiere ejecutar sudo panda service install |
En Windows, solo si no utilizas el paquete de instalación y colocas manualmente los binarios, debes ejecutar lo siguiente en PowerShell como administrador:
panda service install windows
En macOS, esto solo es necesario durante el desarrollo y la depuración, si no se utiliza el paquete de instalación .pkg, o si el daemon no se inicia automáticamente:
sudo panda start
En Linux se recomienda:
sudo panda service install
panda service status
Q ¿Los pasos de instalación para Windows ARM64 y AMD64 / x64 son los mismos?
Sí, son los mismos. La diferencia principal es la arquitectura del paquete de instalación que se descarga.
| Arquitectura | Dispositivos compatibles |
|---|---|
| Windows x64 / AMD64 | La mayoría de los equipos Windows con Intel / AMD |
| Windows ARM64 | Dispositivos Windows on ARM |
Los pasos de instalación, los comandos y la forma de administrar el servicio son los mismos. El instalador elevará automáticamente los privilegios y registrará Windows Service.
Modos de conexión y enrutamiento
10 respuestasComprenda los modos de conexión CLI, las opciones de enrutamiento, la conexión inteligente, los nodos y el estado actual.
Q ¿Qué modos admite Panda CLI?
Admite principalmente:
| Modo | Descripción |
|---|---|
auto |
Modo predeterminado. Recomienda un runtime según la API / los metadatos del nodo y, si falla, vuelve a PandaVPN global |
proxy |
Proxy local SOCKS5 / HTTP / PAC |
pandavpn |
PandaVPN packet VPN / TUN runtime |
wireguard |
WireGuard packet VPN |
Configuraciones comunes:
panda mode auto
panda mode pandavpn global
panda mode proxy global
panda mode wireguard
Actualmente no se recomienda mostrar openvpn como modo principal en la documentación de usuario.
Q ¿Cómo elegir entre auto, proxy, pandavpn y wireguard?
Recomendación:
| Escenario | Modo recomendado |
|---|---|
| Usuarios nuevos / conexión diaria | auto |
| Quieres usar siempre una VPN global | pandavpn global |
| Solo quieres que el navegador o el proxy del sistema pase por Panda | proxy |
| Necesitas Kill-switch | auto, pandavpn o wireguard |
| El nodo proporciona WireGuard metadata | auto o wireguard |
| Necesitas una validación profunda de Split rules / Split DNS | pandavpn |
Nota: mode proxy y Kill-switch son mutuamente excluyentes.
Q ¿Qué es mode auto?
mode auto es el modo predeterminado de la nueva versión.
Su comportamiento es:
- API node / smart connect elige el runtime con prioridad según
meta.protocol; - Si se recomienda WireGuard, intentará usar WireGuard primero;
- Si fallan los metadatos de WireGuard, la asignación de dirección, el inicio del runtime, el handshake o la prueba de conectividad, volverá a PandaVPN global compilado desde SS payload;
SS,OPENVPNy los protocolos desconocidos o ausentes usarán PandaVPN global como respaldo;mode autono acepta el parámetro policy, y el runtime resuelto siempre es global.
Recomendado para nuevos usuarios:
panda mode auto
panda connect
Q ¿Cuál es la diferencia entre global, gfwlist, direct-region y proxy-region?
| Policy | Significado |
|---|---|
global | Todo pasa por proxy / tunnel |
gfwlist | default direct; las coincidencias de GFWList pasan por proxy / tunnel |
direct-region in | default proxy / tunnel; las coincidencias del código de país de dos letras in van directas |
proxy-region us | default direct; las coincidencias del código de país de dos letras us pasan por proxy / tunnel |
direct-region es la sintaxis recomendada; bypass-region / bypass son alias de compatibilidad.
Por ejemplo:
panda mode pandavpn direct-region in
Equivale al alias de compatibilidad:
panda mode pandavpn bypass-region in
Q ¿Cuál es el comando largo explícito de split para PandaVPN?
La nueva versión admite una sintaxis de split profile más completa:
panda mode pandavpn split default direct proxy-region <cc>
panda mode pandavpn split default proxy direct-region <cc>
Tokens comunes:
| Token | Significado |
|---|---|
default direct |
Conexión directa por defecto cuando no coincide ninguna regla |
default proxy |
Uso del túnel por defecto cuando no coincide ninguna regla |
proxy-region <cc> |
La región especificada usa el túnel |
direct-region <cc> |
La región especificada usa conexión directa |
gfwlist |
Activa GFWList source |
direct-lan |
Conexión directa para LAN |
proxy-lan |
LAN también usa el túnel |
custom-rules |
Activa split rules personalizadas |
exclude-custom-rules |
No carga split rules personalizadas |
Ejemplos:
panda mode pandavpn split default direct proxy-region us custom-rules
panda mode pandavpn split default proxy direct-region in direct-lan custom-rules
No se recomienda mostrar comandos largos en la documentación para principiantes; son más adecuados para la documentación avanzada de split.
Diagnostics and logs
9 respuestasUtilice estas preguntas para médico, reparación, registros, proxy del sistema, reglas divididas, DNS dividido y comportamiento del interruptor de apagado.
Q ¿Para qué sirve panda doctor?
doctor es un comando de diagnóstico de solo lectura que se usa para ver el estado clave actual de Panda CLI.
panda doctor
panda doctor --json
Forma corta:
panda do
Presta especial atención a:
runtime
kill_switch
selected_node
vpn_dns
dns_lockdown
split_policy
system_proxy_state
vpn_routes
last_error
Q ¿Qué es panda trace?
trace se usa para ver qué regla, DNS action y route seguirá un objetivo.
panda trace example.com:443
panda trace 8.8.8.8:53 --json
Nota: la capacidad completa de trace requiere active PandaVPN packet runtime. Sin un runtime compatible, solo se puede hacer una validación limitada o volver a legacy trace.
Q ¿Por qué aparecen dos Panda daemon compitiendo por la route?
Normalmente ocurre porque se instaló el service / LaunchDaemon oficial y además se ejecutó manualmente:
sudo panda start
sudo panda start inicia un daemon unmanaged / no gestionado, que puede gestionar al mismo tiempo que el daemon oficial:
- VPN route
- DNS
- TUN
- system proxy
- Kill-switch
El principio de solución es: mantener solo un daemon.
Tratamiento habitual en macOS / Linux:
panda disconnect
panda kill-switch off
sudo panda stop
panda repair
panda doctor
En Linux, si usas systemd service, reinicia después el servicio oficial:
sudo panda service restart
panda doctor
En macOS, si usas instalación con .pkg, normalmente deja que LaunchDaemon / helper gestione el daemon y no uses sudo panda start a largo plazo como método de inicio diario.
Q ¿Cómo salgo de Panda daemon?
Si solo quieres desconectar la VPN, no necesitas salir del daemon:
panda disconnect
panda kill-switch off
Si realmente quieres detener el daemon:
sudo panda stop
Confirmar:
panda status
Si muestra panda daemon unavailable, significa que el daemon principal se ha detenido.
Nota: El LaunchDaemon / helper instalado mediante macOS .pkg puede estar gestionado por el sistema. No se recomienda que los usuarios normales detengan manualmente el servicio con frecuencia.
Q ¿Cómo veo los logs?
panda log
panda log --lines 200
panda log --all
Limpiar logs:
panda log clear
Activar debug temporalmente:
panda log level debug dns,tcp --ttl 10m
Restaurar valores predeterminados:
panda log level reset
Proxy and repair
5 respuestasUtilice estas preguntas para médico, reparación, registros, proxy del sistema, reglas divididas, DNS dividido y comportamiento del interruptor de apagado.
Q ¿Cuál es la diferencia entre panda repair y panda proxy repair?
panda repair es más completo y puede reparar:
- VPN route
- DNS snapshot
- Kill-switch guard
- estado relacionado con system proxy
panda proxy repair repara principalmente el system proxy drift del usuario actual.
panda repair
panda proxy repair
Q ¿El system proxy se activa de forma predeterminada?
En una Fresh install, el valor predeterminado es proxy system-proxy on.
Si el usuario guardó explícitamente off, se conservará esa configuración.
Ver o configurar:
panda proxy system-proxy on
panda proxy system-proxy off
panda proxy system-proxy lock-on
Nota: en mode auto, pandavpn y wireguard, el VPN runtime ignora la preferencia persistente de system proxy; el VPN companion proxy sigue disponible y usa scoped egress.
Q ¿Por qué no surte efecto el system proxy en Windows?
Windows system proxy es la configuración HKCU WinINET del usuario actual y requiere un per-user user-agent.
Si estás en una sesión SSH o no interactiva, proxy repair no siempre podrá iniciar automáticamente el user-agent.
Recomendado:
panda proxy status
panda proxy repair
panda doctor
Si sigue sin surtir efecto, inténtalo de nuevo en una sesión de inicio de sesión de escritorio.
Q ¿Por qué el system proxy aparece como unsupported en Linux?
Linux Phase 1 admite principalmente GNOME gsettings.
Entornos como KDE / XFCE pueden aparecer como unsupported.
Esto no afecta necesariamente al PandaVPN packet runtime, pero puede afectar la experiencia del system proxy mode.
Q ¿Por qué Kill-switch no se puede usar con proxy mode?
La semántica de Kill-switch es permitir tráfico solo a través de TUN, mientras que el resto del tráfico normal queda bloqueado.
proxy mode es un modo de proxy local standalone. No tiene packet VPN / TUN ni ofrece una protección equivalente de DNS y enrutamiento. Por eso Kill-switch no admite standalone proxy mode.
Cuando necesites Kill-switch, usa:
panda mode auto
panda kill-switch on
O:
panda mode pandavpn global
panda kill-switch on
O:
panda mode wireguard
panda kill-switch on
Split rules and Kill-switch
11 respuestasUtilice estas preguntas para médico, reparación, registros, proxy del sistema, reglas divididas, DNS dividido y comportamiento del interruptor de apagado.
Q ¿Auto-connect significa reconexión automática después de una desconexión?
No.
Auto-connect cubre principalmente el best-effort connect cuando se inicia el daemon / service, además del pending retry cuando la red no está disponible temporalmente al iniciar.
Activar:
panda config auto-connect on
Desactivar:
panda config auto-connect off
No es un mecanismo general de reconexión automática en runtime.
Q ¿Qué son las Split rules?
Split rules se usan para especificar que ciertos dominios, palabras clave, regex o IP pasen por proxy, direct o block.
Archivos de reglas:
split/rules/proxy.txt
split/rules/direct.txt
split/rules/block.txt
Comandos comunes:
panda split rules list
panda split rules add proxy suffix:github.com
panda split rules add direct ip-cidr:10.0.0.0/8
panda split rules add block keyword:adservice
Q ¿Se activará automáticamente el pending auto-connect después de iniciar sesión?
Limitación conocida actual: después del login, el pending auto-connect que espera un reintento no se hará wake automáticamente.
Se recomienda ejecutar manualmente después del login:
panda connect
Q ¿Qué sintaxis admiten las Split rules?
- Pattern
- Dominio bare
- Ejemplo
example.com- Significado
- Coincidencia por suffix
- Pattern
domain:- Ejemplo
domain:api.example.com- Significado
- host exacto
- Pattern
suffix:- Ejemplo
suffix:google.com- Significado
- Coincidencia por suffix
- Pattern
- Ejemplo
- Significado
- google.com
- Coincidencia por suffix
- Pattern
keyword:- Ejemplo
keyword:netflix- Significado
- Coincidencia de substring
- Pattern
regexp:- Ejemplo
regexp:.*\.cdn\.example\.com- Significado
- Go regex
- Pattern
ip-cidr:- Ejemplo
ip-cidr:10.0.0.0/8- Significado
- Regla IP
Q ¿Necesito hacer reconnect después de cambiar Split DNS?
Normalmente no. Los cambios de configuración de Split DNS se cargan en caliente.
Comandos comunes:
panda split dns status
panda split dns local set 223.5.5.5 114.114.114.114
panda split dns policy tunnel-only
panda split dns fake-ip on
Si la plataforma no admite ciertas fuentes de local DNS, doctor mostrará un warning.