Noções básicas e instalação da CLI
9 respostasSaiba o que é o PandaVPN CLI, como difere da aplicação de desktop e como instalá-lo.
Q O que é o Panda CLI?
Panda CLI é o cliente de linha de comandos da Panda e permite realizar o seguinte através do terminal:
- Início de sessão e gestão da conta
- Atualização de nós e ligação a nós
- Alternância entre os modos PandaVPN / Proxy / WireGuard / Auto
- Configuração do proxy do sistema
- Regras Split rules para divisão de tráfego
- Configuração de Split DNS
- Proteção Kill-switch
- Auto-connect
- Registos e diagnósticos
É adequado para utilizadores de testes internos, programadores, utilizadores avançados e cenários de teste que exigem operações por script.
Q Qual é a diferença entre o Panda CLI e o cliente de ambiente de trabalho?
Panda CLI é operado através da linha de comandos e é mais adequado para:
- Testes automatizados
- Resolução remota de problemas
- Ligações por script
- Visualização de informações de diagnóstico detalhadas
- Validação de comportamentos de baixo nível, como Kill-switch, DNS, encaminhamento e proxy do sistema
O cliente de desktop é mais adequado para operações gráficas diárias de utilizadores comuns.
Nota: não é recomendado que o antigo cliente de desktop Qt e CLI façam a gestão de VPN / proxy do sistema ao mesmo tempo, para evitar que substituam mutuamente a configuração.
Q Porque é que o Panda CLI precisa de um daemon / service?
Algumas capacidades exigem permissões ao nível do sistema, por exemplo:
- Criar interfaces de rede TUN / WireGuard
- Modificar o DNS
- Configurar o proxy do sistema
- Aplicar o Kill-switch
- Reparar rotas
- Gerir o packet VPN runtime
Por isso, a CLI executa estas operações através do daemon / service correspondente à plataforma.
Formas de daemon nas diferentes plataformas:
| Plataforma | Forma do daemon |
|---|---|
| macOS | LaunchDaemon / privileged helper |
| Linux | systemd service |
| Windows | Windows Service |
Q Qual é a diferença entre os métodos de instalação para Windows / macOS / Linux?
A principal diferença é: no Windows e no macOS, o serviço é normalmente instalado automaticamente através do pacote de instalação, enquanto no Linux o utilizador normalmente tem de executar manualmente sudo panda service install.
| Plataforma | Método de instalação recomendado | É necessário instalar service manualmente? |
|---|---|---|
| Windows | Pacote de instalação | Normalmente não; o pacote de instalação elevará privilégios e registará Windows Service |
| macOS | Pacote de instalação .pkg | Normalmente não; o pacote de instalação instalará LaunchDaemon / helper |
| Linux | binary + systemd service | Requer a execução de sudo panda service install |
No Windows, só se não utilizar o pacote de instalação e colocar manualmente o binário é que precisa de executar o seguinte no PowerShell como administrador:
panda service install windows
No macOS, isto só é necessário durante desenvolvimento e depuração, quando não se utiliza o pacote de instalação .pkg, ou quando o daemon não arranca automaticamente:
sudo panda start
No Linux, recomenda-se:
sudo panda service install
panda service status
Q Os passos de instalação para Windows ARM64 e AMD64 / x64 são os mesmos?
Sim, são os mesmos. A principal diferença está na arquitetura do pacote de instalação descarregado.
| Arquitetura | Dispositivos compatíveis |
|---|---|
| Windows x64 / AMD64 | A maioria dos computadores Windows com Intel / AMD |
| Windows ARM64 | Dispositivos Windows on ARM |
Os passos de instalação, os comandos e a forma de gestão do serviço são os mesmos. O instalador elevará automaticamente os privilégios e registará o Windows Service.
Modos de ligação e encaminhamento
10 respostasCompreenda os modos de ligação CLI, as opções de encaminhamento, a ligação inteligente, os nós e o estado atual.
Q Que modos são suportados pelo Panda CLI?
Suporta principalmente:
| Modo | Descrição |
|---|---|
auto |
Modo predefinido. Recomenda um runtime com base na API / metadados do nó e, em caso de falha, regressa ao PandaVPN global |
proxy |
Proxy local SOCKS5 / HTTP / PAC |
pandavpn |
PandaVPN packet VPN / TUN runtime |
wireguard |
WireGuard packet VPN |
Definições comuns:
panda mode auto
panda mode pandavpn global
panda mode proxy global
panda mode wireguard
Atualmente, não é recomendado apresentar openvpn como modo principal na documentação do utilizador.
Q Como escolher entre auto, proxy, pandavpn e wireguard?
Recomendação:
| Cenário | Modo recomendado |
|---|---|
| Novo utilizador / ligação diária | auto |
| Quer usar sempre uma VPN global | pandavpn global |
| Quer que apenas o navegador ou o proxy do sistema passe pelo Panda | proxy |
| Precisa de Kill-switch | auto, pandavpn ou wireguard |
| O nó fornece WireGuard metadata | auto ou wireguard |
| Precisa de validação profunda de Split rules / Split DNS | pandavpn |
Nota: mode proxy e Kill-switch são mutuamente exclusivos.
Q O que é mode auto?
mode auto é o modo predefinido da nova versão.
O seu comportamento é:
- API node / smart connect escolhe o runtime com prioridade com base em
meta.protocol; - Se WireGuard for recomendado, o WireGuard será tentado primeiro;
- Se os metadados do WireGuard, a atribuição de endereço, o arranque do runtime, o handshake ou a verificação de conectividade falharem, regressa ao PandaVPN global compilado a partir do SS payload;
SS,OPENVPNe protocolos desconhecidos ou em falta usarão PandaVPN global como fallback;mode autonão aceita o parâmetro policy, e o runtime resolvido é sempre global.
Recomendado para novos utilizadores:
panda mode auto
panda connect
Q Qual é a diferença entre global, gfwlist, direct-region e proxy-region?
| Policy | Significado |
|---|---|
global | Tudo passa pelo proxy / tunnel |
gfwlist | default direct; correspondências da GFWList passam pelo proxy / tunnel |
direct-region in | default proxy / tunnel; correspondências do código de país de duas letras in seguem diretamente |
proxy-region us | default direct; correspondências do código de país de duas letras us passam pelo proxy / tunnel |
direct-region é a sintaxe recomendada; bypass-region / bypass são aliases de compatibilidade.
Por exemplo:
panda mode pandavpn direct-region in
Equivale ao alias de compatibilidade:
panda mode pandavpn bypass-region in
Q Qual é o comando longo explícito split do PandaVPN?
A nova versão suporta uma sintaxe de split profile mais completa:
panda mode pandavpn split default direct proxy-region <cc>
panda mode pandavpn split default proxy direct-region <cc>
Tokens comuns:
| Token | Significado |
|---|---|
default direct |
Ligação direta por predefinição quando nenhuma regra corresponde |
default proxy |
Usa o túnel por predefinição quando nenhuma regra corresponde |
proxy-region <cc> |
A região especificada passa pelo túnel |
direct-region <cc> |
A região especificada usa ligação direta |
gfwlist |
Ativa GFWList source |
direct-lan |
Ligação direta para LAN |
proxy-lan |
A LAN também passa pelo túnel |
custom-rules |
Ativa split rules personalizadas |
exclude-custom-rules |
Não carrega split rules personalizadas |
Exemplos:
panda mode pandavpn split default direct proxy-region us custom-rules
panda mode pandavpn split default proxy direct-region in direct-lan custom-rules
Não é recomendado apresentar comandos longos na documentação para principiantes; são mais adequados para documentação avançada de split.
Diagnostics and logs
9 respostasUtilize estas perguntas para médico, reparação, registos, proxy do sistema, regras de divisão, DNS dividido e comportamento do interruptor de interrupção.
Q Para que serve o panda doctor?
doctor é um comando de diagnóstico só de leitura usado para ver os principais estados atuais do Panda CLI.
panda doctor
panda doctor --json
Forma curta:
panda do
Preste especial atenção a:
runtime
kill_switch
selected_node
vpn_dns
dns_lockdown
split_policy
system_proxy_state
vpn_routes
last_error
Q O que é panda trace?
trace é usado para ver que regra, DNS action e route um destino irá usar.
panda trace example.com:443
panda trace 8.8.8.8:53 --json
Nota: a capacidade completa de trace exige active PandaVPN packet runtime. Sem um runtime compatível, só é possível fazer validação limitada ou fallback para legacy trace.
Q Porque é que dois Panda daemon competem pela route?
Isto geralmente acontece porque o service / LaunchDaemon oficial está instalado e também foi executado manualmente:
sudo panda start
sudo panda start inicia um daemon unmanaged / não gerido, que pode gerir ao mesmo tempo que o daemon oficial:
- VPN route
- DNS
- TUN
- system proxy
- Kill-switch
O princípio de tratamento é: manter apenas um daemon.
Tratamento comum em macOS / Linux:
panda disconnect
panda kill-switch off
sudo panda stop
panda repair
panda doctor
No Linux, se usar systemd service, reinicie depois o serviço oficial:
sudo panda service restart
panda doctor
No macOS, se a instalação foi feita com .pkg, normalmente deixe o LaunchDaemon / helper gerir o daemon e não use sudo panda start a longo prazo como método diário de arranque.
Q Como sair do Panda daemon?
Se apenas quiser desligar a VPN, não precisa de sair do daemon:
panda disconnect
panda kill-switch off
Se realmente quiser parar o daemon:
sudo panda stop
Confirmar:
panda status
Se aparecer panda daemon unavailable, significa que o daemon principal foi parado.
Nota: o LaunchDaemon / helper instalado pelo macOS .pkg pode ser gerido pelo sistema; não se recomenda que utilizadores comuns parem manualmente o serviço com frequência.
Q Como ver os logs?
panda log
panda log --lines 200
panda log --all
Limpar logs:
panda log clear
Ativar debug temporariamente:
panda log level debug dns,tcp --ttl 10m
Restaurar predefinição:
panda log level reset
Proxy and repair
5 respostasUtilize estas perguntas para médico, reparação, registos, proxy do sistema, regras de divisão, DNS dividido e comportamento do interruptor de interrupção.
Q Qual é a diferença entre panda repair e panda proxy repair?
panda repair é mais abrangente e pode reparar:
- VPN route
- DNS snapshot
- Kill-switch guard
- estado relacionado com system proxy
panda proxy repair repara principalmente o system proxy drift do utilizador atual.
panda repair
panda proxy repair
Q O system proxy é ativado por predefinição?
Numa Fresh install, o padrão é proxy system-proxy on.
Se o utilizador guardou explicitamente off, essa configuração será preservada.
Ver ou configurar:
panda proxy system-proxy on
panda proxy system-proxy off
panda proxy system-proxy lock-on
Nota: em mode auto, pandavpn e wireguard, o VPN runtime ignora a preferência persistida de system proxy; o VPN companion proxy continua disponível e usa scoped egress.
Q Porque é que o system proxy não está a ter efeito no Windows?
O Windows system proxy é uma configuração HKCU WinINET do utilizador atual e requer um per-user user-agent.
Se estiver numa sessão SSH ou não interativa, proxy repair poderá nem sempre conseguir iniciar automaticamente o user-agent.
Recomendado:
panda proxy status
panda proxy repair
panda doctor
Se continuar sem efeito, tente novamente numa sessão de início de sessão no ambiente de trabalho.
Q Porque é que o system proxy aparece como unsupported no Linux?
Linux Phase 1 suporta principalmente GNOME gsettings.
Ambientes como KDE / XFCE podem aparecer como unsupported.
Isto não afeta necessariamente o PandaVPN packet runtime, mas pode afetar a experiência do system proxy mode.
Q Porque é que Kill-switch não pode ser usado com proxy mode?
O significado de Kill-switch é permitir tráfego apenas através do TUN, enquanto outro tráfego normal é bloqueado.
proxy mode é um modo de proxy local standalone, sem packet VPN / TUN e sem proteção equivalente de DNS e encaminhamento. Por isso, Kill-switch não suporta standalone proxy mode.
Quando precisar de Kill-switch, use:
panda mode auto
panda kill-switch on
Ou:
panda mode pandavpn global
panda kill-switch on
Ou:
panda mode wireguard
panda kill-switch on
Split rules and Kill-switch
11 respostasUtilize estas perguntas para médico, reparação, registos, proxy do sistema, regras de divisão, DNS dividido e comportamento do interruptor de interrupção.
Q Auto-connect significa religação automática após uma desconexão?
Não.
Auto-connect cobre principalmente o best-effort connect quando o daemon / service arranca, além do pending retry quando a rede fica temporariamente indisponível no arranque.
Ativar:
panda config auto-connect on
Desativar:
panda config auto-connect off
Não é um mecanismo geral de religação automática em runtime.
Q O que são Split rules?
As Split rules são usadas para especificar que certos domínios, palavras-chave, regex ou IPs passem por proxy, direct ou block.
Ficheiros de regras:
split/rules/proxy.txt
split/rules/direct.txt
split/rules/block.txt
Comandos comuns:
panda split rules list
panda split rules add proxy suffix:github.com
panda split rules add direct ip-cidr:10.0.0.0/8
panda split rules add block keyword:adservice
Q O pending auto-connect será acionado automaticamente após iniciar sessão?
Limitação conhecida atual: após iniciar sessão, o pending auto-connect a aguardar retry não será acordado automaticamente.
Após iniciar sessão, recomenda-se executar manualmente:
panda connect
Q Que sintaxe suportam as Split rules?
- Pattern
- Domínio bare
- Exemplo
example.com- Significado
- Correspondência por suffix
- Pattern
domain:- Exemplo
domain:api.example.com- Significado
- host exato
- Pattern
suffix:- Exemplo
suffix:google.com- Significado
- Correspondência por suffix
- Pattern
- Exemplo
- Significado
- google.com
- Correspondência por suffix
- Pattern
keyword:- Exemplo
keyword:netflix- Significado
- Correspondência de substring
- Pattern
regexp:- Exemplo
regexp:.*\.cdn\.example\.com- Significado
- Go regex
- Pattern
ip-cidr:- Exemplo
ip-cidr:10.0.0.0/8- Significado
- Regra IP
Q É necessário fazer reconnect depois de alterar Split DNS?
Normalmente não. As alterações de configuração do Split DNS são carregadas por hot-load.
Comandos comuns:
panda split dns status
panda split dns local set 223.5.5.5 114.114.114.114
panda split dns policy tunnel-only
panda split dns fake-ip on
Se a plataforma não suportar certas fontes de local DNS, doctor mostrará um warning.