Nozioni di base e installazione della CLI
9 risposteScopri cos'è la CLI di PandaVPN, in cosa differisce dall'app desktop e come installarla.
Q Che cos’è Panda CLI?
Panda CLI è il client da riga di comando di Panda e consente di eseguire le seguenti operazioni dal terminale:
- Accesso e gestione dell’account
- Aggiornamento dei nodi e connessione ai nodi
- Passaggio tra le modalità PandaVPN / Proxy / WireGuard / Auto
- Configurazione del proxy di sistema
- Regole Split rules per la suddivisione del traffico
- Configurazione di Split DNS
- Protezione Kill-switch
- Auto-connect
- Log e diagnostica
È adatto a utenti di test interni, sviluppatori, utenti avanzati e scenari di test che richiedono operazioni tramite script.
Q Qual è la differenza tra Panda CLI e il client desktop?
Panda CLI viene utilizzato tramite la riga di comando ed è più adatto per:
- Test automatizzati
- Risoluzione dei problemi da remoto
- Connessioni tramite script
- Visualizzazione di informazioni diagnostiche dettagliate
- Verifica dei comportamenti di basso livello come Kill-switch, DNS, routing e proxy di sistema
Il client desktop è più adatto alle operazioni grafiche quotidiane degli utenti comuni.
Nota: non è consigliabile che il vecchio client desktop Qt e CLI gestiscano contemporaneamente VPN / proxy di sistema, per evitare che si sovrascrivano a vicenda la configurazione.
Q Perché Panda CLI ha bisogno di un daemon / service?
Alcune funzionalità richiedono autorizzazioni a livello di sistema, ad esempio:
- Creare interfacce di rete TUN / WireGuard
- Modificare il DNS
- Impostare il proxy di sistema
- Applicare il Kill-switch
- Riparare le route
- Gestire il packet VPN runtime
Pertanto, la CLI esegue queste operazioni tramite il daemon / service corrispondente alla piattaforma.
Forme di daemon sulle diverse piattaforme:
| Piattaforma | Forma del daemon |
|---|---|
| macOS | LaunchDaemon / privileged helper |
| Linux | systemd service |
| Windows | Windows Service |
Q Qual è la differenza tra i metodi di installazione per Windows / macOS / Linux?
La differenza principale è: su Windows e macOS il servizio viene solitamente installato automaticamente tramite il pacchetto di installazione, mentre su Linux l’utente di solito deve eseguire manualmente sudo panda service install.
| Piattaforma | Metodo di installazione consigliato | È necessario installare manualmente service? |
|---|---|---|
| Windows | Pacchetto di installazione | Di solito no; il pacchetto di installazione eleverà i privilegi e registrerà Windows Service |
| macOS | Pacchetto di installazione .pkg | Di solito no; il pacchetto di installazione installerà LaunchDaemon / helper |
| Linux | binary + systemd service | Richiede l’esecuzione di sudo panda service install |
Su Windows, solo se non si utilizza il pacchetto di installazione e si posizionano manualmente i binari, è necessario eseguire quanto segue in PowerShell come amministratore:
panda service install windows
Su macOS, questo è necessario solo durante sviluppo e debug, quando non si utilizza il pacchetto di installazione .pkg, o quando il daemon non si avvia automaticamente:
sudo panda start
Su Linux si consiglia:
sudo panda service install
panda service status
Q I passaggi di installazione per Windows ARM64 e AMD64 / x64 sono gli stessi?
Sì, sono gli stessi. La differenza principale riguarda l’architettura del pacchetto di installazione scaricato.
| Architettura | Dispositivi compatibili |
|---|---|
| Windows x64 / AMD64 | La maggior parte dei computer Windows Intel / AMD |
| Windows ARM64 | Dispositivi Windows on ARM |
I passaggi di installazione, i comandi e il metodo di gestione del servizio sono gli stessi. Il programma di installazione eleverà automaticamente i privilegi e registrerà Windows Service.
Modalità di connessione e routing
10 risposteComprendere le modalità di connessione CLI, le opzioni di routing, la connessione intelligente, i nodi e lo stato corrente.
Q Quali modalità supporta Panda CLI?
Supporta principalmente:
| Modalità | Descrizione |
|---|---|
auto |
Modalità predefinita. Consiglia un runtime in base all’API / ai metadati del nodo e, in caso di errore, torna a PandaVPN global |
proxy |
Proxy locale SOCKS5 / HTTP / PAC |
pandavpn |
PandaVPN packet VPN / TUN runtime |
wireguard |
WireGuard packet VPN |
Impostazioni comuni:
panda mode auto
panda mode pandavpn global
panda mode proxy global
panda mode wireguard
Al momento non è consigliato mostrare openvpn come modalità principale nella documentazione utente.
Q Come scegliere tra auto, proxy, pandavpn e wireguard?
Consiglio:
| Scenario | Modalità consigliata |
|---|---|
| Nuovo utente / connessione quotidiana | auto |
| Vuoi usare sempre una VPN globale | pandavpn global |
| Vuoi far passare solo il browser o il proxy di sistema tramite Panda | proxy |
| Hai bisogno di Kill-switch | auto, pandavpn o wireguard |
| Il nodo fornisce WireGuard metadata | auto o wireguard |
| Hai bisogno di una verifica approfondita di Split rules / Split DNS | pandavpn |
Nota: mode proxy e Kill-switch sono mutuamente esclusivi.
Q Che cos’è mode auto?
mode auto è la modalità predefinita della nuova versione.
Il suo comportamento è:
- API node / smart connect seleziona il runtime con priorità in base a
meta.protocol; - Se viene consigliato WireGuard, proverà prima WireGuard;
- Se i metadati WireGuard, l’assegnazione dell’indirizzo, l’avvio del runtime, l’handshake o il controllo di connettività falliscono, torna a PandaVPN global compilato da SS payload;
SS,OPENVPNe protocolli sconosciuti o mancanti useranno PandaVPN global come fallback;mode autonon accetta il parametro policy e il runtime risolto è sempre global.
Consigliato per i nuovi utenti:
panda mode auto
panda connect
Q Qual è la differenza tra global, gfwlist, direct-region e proxy-region?
| Policy | Significato |
|---|---|
global | Tutto passa tramite proxy / tunnel |
gfwlist | default direct; le corrispondenze GFWList passano tramite proxy / tunnel |
direct-region in | default proxy / tunnel; le corrispondenze con il codice paese a due lettere in passano in direct |
proxy-region us | default direct; le corrispondenze con il codice paese a due lettere us passano tramite proxy / tunnel |
direct-region è la sintassi consigliata; bypass-region / bypass sono alias di compatibilità.
Ad esempio:
panda mode pandavpn direct-region in
Equivale all’alias di compatibilità:
panda mode pandavpn bypass-region in
Q Qual è il comando lungo esplicito split di PandaVPN?
La nuova versione supporta una sintassi split profile più completa:
panda mode pandavpn split default direct proxy-region <cc>
panda mode pandavpn split default proxy direct-region <cc>
Token comuni:
| Token | Significato |
|---|---|
default direct |
Connessione diretta predefinita quando nessuna regola corrisponde |
default proxy |
Uso del tunnel predefinito quando nessuna regola corrisponde |
proxy-region <cc> |
La regione specificata passa attraverso il tunnel |
direct-region <cc> |
La regione specificata usa la connessione diretta |
gfwlist |
Abilita GFWList source |
direct-lan |
Connessione diretta per LAN |
proxy-lan |
Anche la LAN passa attraverso il tunnel |
custom-rules |
Abilita split rules personalizzate |
exclude-custom-rules |
Non carica split rules personalizzate |
Esempi:
panda mode pandavpn split default direct proxy-region us custom-rules
panda mode pandavpn split default proxy direct-region in direct-lan custom-rules
Non è consigliato mostrare comandi lunghi nella documentazione per principianti; sono più adatti alla documentazione split avanzata.
Diagnostics and logs
9 risposteUtilizza queste domande per il medico, la riparazione, i registri, il proxy di sistema, le regole di divisione, il DNS diviso e il comportamento del kill switch.
Q A cosa serve panda doctor?
doctor è un comando diagnostico in sola lettura, usato per visualizzare gli stati chiave attuali di Panda CLI.
panda doctor
panda doctor --json
Forma breve:
panda do
Concentrati soprattutto su:
runtime
kill_switch
selected_node
vpn_dns
dns_lockdown
split_policy
system_proxy_state
vpn_routes
last_error
Q Che cos’è panda trace?
trace serve a vedere quale regola, DNS action e route userà un determinato target.
panda trace example.com:443
panda trace 8.8.8.8:53 --json
Nota: la funzionalità trace completa richiede active PandaVPN packet runtime. Senza un runtime compatibile, è possibile solo una validazione limitata oppure il fallback a legacy trace.
Q Perché due Panda daemon competono per la route?
Di solito succede perché è stato installato il service / LaunchDaemon ufficiale e inoltre è stato eseguito manualmente:
sudo panda start
sudo panda start avvia un daemon unmanaged / non gestito, che può gestire contemporaneamente al daemon ufficiale:
- VPN route
- DNS
- TUN
- system proxy
- Kill-switch
Il principio di gestione è: mantenere un solo daemon.
Gestione comune su macOS / Linux:
panda disconnect
panda kill-switch off
sudo panda stop
panda repair
panda doctor
Su Linux, se usi systemd service, riavvia poi il servizio ufficiale:
sudo panda service restart
panda doctor
Su macOS, se usi l’installazione .pkg, di solito lascia che LaunchDaemon / helper gestisca il daemon e non usare sudo panda start a lungo termine come metodo di avvio quotidiano.
Q Come uscire da Panda daemon?
Se vuoi solo disconnettere la VPN, non è necessario uscire dal daemon:
panda disconnect
panda kill-switch off
Se vuoi davvero fermare il daemon:
sudo panda stop
Conferma:
panda status
Se viene mostrato panda daemon unavailable, significa che il daemon principale è stato arrestato.
Nota: il LaunchDaemon / helper installato tramite macOS .pkg potrebbe essere gestito dal sistema; agli utenti normali non è consigliato arrestare manualmente il servizio di frequente.
Q Come visualizzare i logs?
panda log
panda log --lines 200
panda log --all
Pulire i logs:
panda log clear
Abilitare temporaneamente debug:
panda log level debug dns,tcp --ttl 10m
Ripristinare il valore predefinito:
panda log level reset
Proxy and repair
5 risposteUtilizza queste domande per il medico, la riparazione, i registri, il proxy di sistema, le regole di divisione, il DNS diviso e il comportamento del kill switch.
Q Qual è la differenza tra panda repair e panda proxy repair?
panda repair è più completo e può riparare:
- VPN route
- DNS snapshot
- Kill-switch guard
- stati relativi a system proxy
panda proxy repair ripara principalmente il system proxy drift dell’utente corrente.
panda repair
panda proxy repair
Q Il system proxy è abilitato per impostazione predefinita?
Con una Fresh install, il valore predefinito è proxy system-proxy on.
Se l’utente ha salvato esplicitamente off, quella configurazione verrà mantenuta.
Visualizzare o impostare:
panda proxy system-proxy on
panda proxy system-proxy off
panda proxy system-proxy lock-on
Nota: in mode auto, pandavpn e wireguard, il VPN runtime ignora la preferenza persistente di system proxy; il VPN companion proxy resta disponibile e usa scoped egress.
Q Perché il system proxy non ha effetto su Windows?
Il Windows system proxy è un’impostazione HKCU WinINET dell’utente corrente e richiede un per-user user-agent.
Se sei in una sessione SSH o non interattiva, proxy repair potrebbe non riuscire sempre ad avviare automaticamente lo user-agent.
Consigliato:
panda proxy status
panda proxy repair
panda doctor
Se continua a non avere effetto, riprova in una sessione di accesso desktop.
Q Perché il system proxy su Linux viene mostrato come unsupported?
Linux Phase 1 supporta principalmente GNOME gsettings.
Ambienti come KDE / XFCE possono risultare unsupported.
Questo non influisce necessariamente su PandaVPN packet runtime, ma può influire sull’esperienza del system proxy mode.
Q Perché Kill-switch non può essere usato con proxy mode?
Il significato di Kill-switch è consentire solo il traffico attraverso TUN, mentre tutto l’altro traffico normale viene bloccato.
proxy mode è una modalità proxy locale standalone, senza packet VPN / TUN e senza una protezione equivalente per DNS e routing. Per questo Kill-switch non supporta standalone proxy mode.
Quando serve Kill-switch, usa:
panda mode auto
panda kill-switch on
Oppure:
panda mode pandavpn global
panda kill-switch on
Oppure:
panda mode wireguard
panda kill-switch on
Split rules and Kill-switch
11 risposteUtilizza queste domande per il medico, la riparazione, i registri, il proxy di sistema, le regole di divisione, il DNS diviso e il comportamento del kill switch.
Q Auto-connect significa riconnessione automatica dopo una disconnessione?
No.
Auto-connect copre principalmente il best-effort connect all’avvio del daemon / service, oltre al pending retry quando la rete è temporaneamente non disponibile all’avvio.
Attivare:
panda config auto-connect on
Disattivare:
panda config auto-connect off
Non è un meccanismo generale di riconnessione automatica in runtime.
Q Che cosa sono le Split rules?
Le Split rules vengono usate per specificare che alcuni domini, parole chiave, regex o IP passino tramite proxy, direct o block.
File delle regole:
split/rules/proxy.txt
split/rules/direct.txt
split/rules/block.txt
Comandi comuni:
panda split rules list
panda split rules add proxy suffix:github.com
panda split rules add direct ip-cidr:10.0.0.0/8
panda split rules add block keyword:adservice
Q Il pending auto-connect viene attivato automaticamente dopo l’accesso?
Limitazione attualmente nota: dopo il login, il pending auto-connect in attesa di retry non verrà wake automaticamente.
Si consiglia di eseguire manualmente dopo il login:
panda connect
Q Quale sintassi supportano le Split rules?
- Pattern
- Dominio bare
- Esempio
example.com- Significato
- Corrispondenza suffix
- Pattern
domain:- Esempio
domain:api.example.com- Significato
- host esatto
- Pattern
suffix:- Esempio
suffix:google.com- Significato
- Corrispondenza suffix
- Pattern
- Esempio
- Significato
- google.com
- Corrispondenza suffix
- Pattern
keyword:- Esempio
keyword:netflix- Significato
- Corrispondenza substring
- Pattern
regexp:- Esempio
regexp:.*\.cdn\.example\.com- Significato
- Go regex
- Pattern
ip-cidr:- Esempio
ip-cidr:10.0.0.0/8- Significato
- Regola IP
Q È necessario fare reconnect dopo aver modificato Split DNS?
Di solito no. Le modifiche alla configurazione Split DNS vengono caricate con hot-load.
Comandi comuni:
panda split dns status
panda split dns local set 223.5.5.5 114.114.114.114
panda split dns policy tunnel-only
panda split dns fake-ip on
Se la piattaforma non supporta alcune fonti local DNS, doctor mostrerà un warning.