CLI cơ bản và cài đặt
9 câu trả lờiTìm hiểu PandaVPN CLI là gì, nó khác với ứng dụng dành cho máy tính để bàn như thế nào và cách cài đặt nó.
Q Panda CLI là gì?
Panda CLI là ứng dụng dòng lệnh của Panda và hỗ trợ thực hiện các thao tác sau thông qua terminal:
- Đăng nhập và quản lý tài khoản
- Làm mới nút và kết nối nút
- Chuyển đổi giữa các chế độ PandaVPN / Proxy / WireGuard / Auto
- Cấu hình proxy hệ thống
- Split rules cho quy tắc phân luồng
- Cấu hình Split DNS
- Bảo vệ Kill-switch
- Auto-connect
- Nhật ký và chẩn đoán
Công cụ này phù hợp với người dùng thử nghiệm nội bộ, nhà phát triển, người dùng nâng cao và các kịch bản kiểm thử cần thao tác bằng script.
Q Panda CLI và ứng dụng khách trên máy tính để bàn khác nhau như thế nào?
Panda CLI hoạt động thông qua dòng lệnh và phù hợp hơn cho:
- Kiểm thử tự động
- Khắc phục sự cố từ xa
- Kết nối bằng script
- Xem thông tin chẩn đoán chi tiết
- Xác minh các hành vi tầng thấp như Kill-switch, DNS, định tuyến và proxy hệ thống
Ứng dụng desktop phù hợp hơn với các thao tác đồ họa hằng ngày của người dùng phổ thông.
Lưu ý: Không nên để ứng dụng desktop Qt cũ và CLI cùng quản lý VPN / proxy hệ thống cùng lúc, nhằm tránh việc ghi đè cấu hình lẫn nhau.
Q Tại sao Panda CLI cần daemon / service?
Một số khả năng yêu cầu quyền cấp hệ thống, ví dụ:
- Tạo giao diện mạng TUN / WireGuard
- Sửa đổi DNS
- Thiết lập proxy hệ thống
- Áp dụng Kill-switch
- Sửa tuyến
- Quản lý packet VPN runtime
Vì vậy, CLI sẽ thực hiện các thao tác này thông qua daemon / service tương ứng với nền tảng.
Các dạng daemon trên các nền tảng khác nhau:
| Nền tảng | Dạng daemon |
|---|---|
| macOS | LaunchDaemon / privileged helper |
| Linux | systemd service |
| Windows | Windows Service |
Q Các phương thức cài đặt trên Windows / macOS / Linux khác nhau như thế nào?
Điểm khác biệt chính là: Trên Windows và macOS, service thường được cài đặt tự động thông qua gói cài đặt, trong khi trên Linux người dùng thường cần tự chạy sudo panda service install.
| Nền tảng | Phương thức cài đặt khuyến nghị | Có cần cài đặt service thủ công không? |
|---|---|---|
| Windows | Gói cài đặt | Thường là không; gói cài đặt sẽ nâng quyền và đăng ký Windows Service |
| macOS | Gói cài đặt .pkg | Thường là không; gói cài đặt sẽ cài đặt LaunchDaemon / helper |
| Linux | binary + systemd service | Cần chạy sudo panda service install |
Trên Windows, chỉ khi không dùng gói cài đặt và đặt binary thủ công, bạn mới cần chạy lệnh sau trong PowerShell với quyền quản trị:
panda service install windows
Trên macOS, thao tác này chỉ cần khi phát triển và gỡ lỗi, khi không dùng gói cài đặt .pkg, hoặc khi daemon không tự khởi động:
sudo panda start
Trên Linux, khuyến nghị:
sudo panda service install
panda service status
Q Các bước cài đặt cho Windows ARM64 và AMD64 / x64 có giống nhau không?
Giống nhau. Khác biệt chủ yếu nằm ở kiến trúc của gói cài đặt được tải xuống.
| Kiến trúc | Thiết bị phù hợp |
|---|---|
| Windows x64 / AMD64 | Hầu hết máy tính Windows dùng Intel / AMD |
| Windows ARM64 | Thiết bị Windows on ARM |
Các bước cài đặt, lệnh và cách quản lý dịch vụ đều giống nhau. Gói cài đặt sẽ tự động nâng quyền và đăng ký Windows Service.
Chế độ kết nối và định tuyến
10 câu trả lờiHiểu các chế độ kết nối CLI, tùy chọn định tuyến, kết nối thông minh, nút và trạng thái hiện tại.
Q Panda CLI hỗ trợ những chế độ nào?
Chủ yếu hỗ trợ:
| Chế độ | Mô tả |
|---|---|
auto |
Chế độ mặc định. Đề xuất runtime dựa trên API / metadata của node, và nếu thất bại sẽ quay về PandaVPN global |
proxy |
Proxy cục bộ SOCKS5 / HTTP / PAC |
pandavpn |
PandaVPN packet VPN / TUN runtime |
wireguard |
WireGuard packet VPN |
Cài đặt thường dùng:
panda mode auto
panda mode pandavpn global
panda mode proxy global
panda mode wireguard
Hiện tại không khuyến nghị hiển thị openvpn như một chế độ chính trong tài liệu người dùng.
Q Nên chọn giữa auto, proxy, pandavpn và wireguard như thế nào?
Khuyến nghị:
| Trường hợp | Chế độ khuyến nghị |
|---|---|
| Người dùng mới / kết nối hằng ngày | auto |
| Muốn cố định sử dụng VPN global | pandavpn global |
| Chỉ muốn trình duyệt hoặc proxy hệ thống đi qua Panda | proxy |
| Cần Kill-switch | auto, pandavpn hoặc wireguard |
| Node cung cấp WireGuard metadata | auto hoặc wireguard |
| Cần xác thực chuyên sâu Split rules / Split DNS | pandavpn |
Lưu ý: mode proxy xung đột với Kill-switch.
Q mode auto là gì?
mode auto là chế độ mặc định trong phiên bản mới.
Cách hoạt động của nó là:
- API node / smart connect ưu tiên chọn runtime dựa trên
meta.protocol; - Nếu WireGuard được đề xuất, hệ thống sẽ thử WireGuard trước;
- Nếu metadata của WireGuard, cấp phát địa chỉ, khởi động runtime, handshake hoặc kiểm tra kết nối thất bại, hệ thống sẽ fallback về PandaVPN global được biên dịch từ SS payload;
SS,OPENVPN, giao thức không xác định hoặc bị thiếu sẽ dùng PandaVPN global làm fallback;mode autokhông nhận tham số policy, và runtime được phân giải luôn là global.
Khuyến nghị cho người dùng mới:
panda mode auto
panda connect
Q global, gfwlist, direct-region và proxy-region khác nhau như thế nào?
| Policy | Ý nghĩa |
|---|---|
global | Tất cả đi qua proxy / tunnel |
gfwlist | default direct; các mục khớp GFWList đi qua proxy / tunnel |
direct-region in | default proxy / tunnel; khi khớp mã quốc gia hai chữ cái in thì đi trực tiếp |
proxy-region us | default direct; khi khớp mã quốc gia hai chữ cái us thì đi qua proxy / tunnel |
direct-region là cách viết được khuyến nghị; bypass-region / bypass là alias tương thích.
Ví dụ:
panda mode pandavpn direct-region in
Tương đương với alias tương thích:
panda mode pandavpn bypass-region in
Q Lệnh split dạng dài rõ ràng của PandaVPN là gì?
Phiên bản mới hỗ trợ cú pháp split profile đầy đủ hơn:
panda mode pandavpn split default direct proxy-region <cc>
panda mode pandavpn split default proxy direct-region <cc>
Các token thường dùng:
| Token | Ý nghĩa |
|---|---|
default direct |
Nếu không khớp rule nào, mặc định kết nối trực tiếp |
default proxy |
Nếu không khớp rule nào, mặc định đi qua tunnel |
proxy-region <cc> |
Khu vực được chỉ định đi qua tunnel |
direct-region <cc> |
Khu vực được chỉ định kết nối trực tiếp |
gfwlist |
Bật GFWList source |
direct-lan |
LAN kết nối trực tiếp |
proxy-lan |
LAN cũng đi qua tunnel |
custom-rules |
Bật split rules tùy chỉnh |
exclude-custom-rules |
Không tải split rules tùy chỉnh |
Ví dụ:
panda mode pandavpn split default direct proxy-region us custom-rules
panda mode pandavpn split default proxy direct-region in direct-lan custom-rules
Không khuyến nghị hiển thị lệnh dài trong tài liệu cho người mới; phù hợp hơn khi đặt trong tài liệu split nâng cao.
Diagnostics and logs
9 câu trả lờiSử dụng những câu hỏi này cho bác sĩ, sửa chữa, nhật ký, proxy hệ thống, quy tắc phân tách, phân tách DNS và hành vi Kill-switch.
Q panda doctor dùng để làm gì?
doctor là lệnh chẩn đoán chỉ đọc, dùng để xem các trạng thái quan trọng hiện tại của Panda CLI.
panda doctor
panda doctor --json
Cách viết ngắn:
panda do
Tập trung vào:
runtime
kill_switch
selected_node
vpn_dns
dns_lockdown
split_policy
system_proxy_state
vpn_routes
last_error
Q panda trace là gì?
trace dùng để xem một target sẽ đi theo rule nào, DNS action nào và route nào.
panda trace example.com:443
panda trace 8.8.8.8:53 --json
Lưu ý: khả năng trace đầy đủ cần active PandaVPN packet runtime. Khi không có runtime tương thích, chỉ có thể kiểm tra giới hạn hoặc fallback về legacy trace.
Q Vì sao có hai Panda daemon tranh route?
Thông thường là do đã cài service / LaunchDaemon chính thức, đồng thời bạn cũng đã chạy thủ công:
sudo panda start
sudo panda start sẽ khởi động một daemon unmanaged / không được quản lý, có thể cùng lúc với daemon chính thức quản lý:
- VPN route
- DNS
- TUN
- system proxy
- Kill-switch
Nguyên tắc xử lý là: chỉ giữ lại một daemon.
Cách xử lý thường dùng trên macOS / Linux:
panda disconnect
panda kill-switch off
sudo panda stop
panda repair
panda doctor
Trên Linux, nếu dùng systemd service, sau đó hãy khởi động lại service chính thức:
sudo panda service restart
panda doctor
Trên macOS, nếu cài bằng .pkg, thường nên để LaunchDaemon / helper quản lý daemon, không dùng sudo panda start lâu dài như cách khởi động hằng ngày.
Q Làm thế nào để thoát Panda daemon?
Nếu bạn chỉ muốn ngắt VPN, không cần thoát daemon:
panda disconnect
panda kill-switch off
Nếu thực sự muốn dừng daemon:
sudo panda stop
Xác nhận:
panda status
Nếu hiển thị panda daemon unavailable, nghĩa là daemon chính đã dừng.
Lưu ý: LaunchDaemon / helper được cài bằng macOS .pkg có thể do hệ thống quản lý; người dùng thông thường không nên thường xuyên dừng service theo cách thủ công.
Q Làm thế nào để xem logs?
panda log
panda log --lines 200
panda log --all
Xóa logs:
panda log clear
Tạm thời bật debug:
panda log level debug dns,tcp --ttl 10m
Khôi phục default:
panda log level reset
Proxy and repair
5 câu trả lờiSử dụng những câu hỏi này cho bác sĩ, sửa chữa, nhật ký, proxy hệ thống, quy tắc phân tách, phân tách DNS và hành vi Kill-switch.
Q panda repair và panda proxy repair khác nhau như thế nào?
panda repair toàn diện hơn và có thể sửa:
- VPN route
- DNS snapshot
- Kill-switch guard
- trạng thái liên quan đến system proxy
panda proxy repair chủ yếu sửa system proxy drift của người dùng hiện tại.
panda repair
panda proxy repair
Q System proxy có được bật mặc định không?
Với Fresh install, mặc định là proxy system-proxy on.
Nếu người dùng đã lưu rõ ràng off, cấu hình đó sẽ được giữ lại.
Xem hoặc thiết lập:
panda proxy system-proxy on
panda proxy system-proxy off
panda proxy system-proxy lock-on
Lưu ý: trong mode auto, pandavpn và wireguard, VPN runtime sẽ bỏ qua tùy chọn system proxy đã được lưu; VPN companion proxy vẫn khả dụng và đi qua scoped egress.
Q Tại sao system proxy không có hiệu lực trên Windows?
Windows system proxy là thiết lập HKCU WinINET của người dùng hiện tại và cần per-user user-agent.
Nếu bạn đang ở trong phiên SSH hoặc phiên không tương tác, proxy repair có thể không phải lúc nào cũng tự động khởi động được user-agent.
Khuyến nghị:
panda proxy status
panda proxy repair
panda doctor
Nếu vẫn không có hiệu lực, hãy thử lại trong phiên đăng nhập desktop.
Q Vì sao system proxy trên Linux hiển thị là unsupported?
Linux Phase 1 chủ yếu hỗ trợ GNOME gsettings.
Các môi trường như KDE / XFCE có thể hiển thị là unsupported.
Điều này không nhất thiết ảnh hưởng đến PandaVPN packet runtime, nhưng có thể ảnh hưởng đến trải nghiệm system proxy mode.
Q Tại sao Kill-switch không thể dùng cùng proxy mode?
Ý nghĩa của Kill-switch là chỉ cho phép lưu lượng đi qua TUN, còn các lưu lượng thông thường khác sẽ bị chặn.
proxy mode là standalone local proxy mode, không có packet VPN / TUN và cũng không có bảo vệ DNS cũng như routing tương đương. Vì vậy Kill-switch không hỗ trợ standalone proxy mode.
Khi cần Kill-switch, hãy dùng:
panda mode auto
panda kill-switch on
Hoặc:
panda mode pandavpn global
panda kill-switch on
Hoặc:
panda mode wireguard
panda kill-switch on
Split rules and Kill-switch
11 câu trả lờiSử dụng những câu hỏi này cho bác sĩ, sửa chữa, nhật ký, proxy hệ thống, quy tắc phân tách, phân tách DNS và hành vi Kill-switch.
Q Auto-connect có nghĩa là tự động kết nối lại sau khi mất kết nối không?
Không.
Auto-connect chủ yếu bao gồm best-effort connect khi daemon / service khởi động, cùng với pending retry khi startup tạm thời chưa có network.
Bật:
panda config auto-connect on
Tắt:
panda config auto-connect off
Nó không phải là cơ chế runtime automatic reconnect chung.
Q Split rules là gì?
Split rules dùng để chỉ định một số domain, keyword, regex hoặc IP đi qua proxy, direct hoặc block.
File rules:
split/rules/proxy.txt
split/rules/direct.txt
split/rules/block.txt
Commands thường dùng:
panda split rules list
panda split rules add proxy suffix:github.com
panda split rules add direct ip-cidr:10.0.0.0/8
panda split rules add block keyword:adservice
Q Sau khi đăng nhập, pending auto-connect có tự động được kích hoạt không?
Giới hạn đã biết hiện tại: sau khi login, pending auto-connect đang chờ retry sẽ không được wake tự động.
Sau khi login, nên chạy thủ công:
panda connect
Q Split rules hỗ trợ những syntax nào?
- Pattern
- Bare domain
- Ví dụ
example.com- Ý nghĩa
- Suffix match
- Pattern
domain:- Ví dụ
domain:api.example.com- Ý nghĩa
- Exact host
- Pattern
suffix:- Ví dụ
suffix:google.com- Ý nghĩa
- Suffix match
- Pattern
- Ví dụ
- Ý nghĩa
- google.com
- Suffix match
- Pattern
keyword:- Ví dụ
keyword:netflix- Ý nghĩa
- Substring match
- Pattern
regexp:- Ví dụ
regexp:.*\.cdn\.example\.com- Ý nghĩa
- Go regex
- Pattern
ip-cidr:- Ví dụ
ip-cidr:10.0.0.0/8- Ý nghĩa
- IP rule
Q Sau khi thay đổi Split DNS có cần reconnect không?
Thông thường không cần. Các thay đổi cấu hình Split DNS sẽ được hot-load.
Commands thường dùng:
panda split dns status
panda split dns local set 223.5.5.5 114.114.114.114
panda split dns policy tunnel-only
panda split dns fake-ip on
Nếu platform không hỗ trợ một số nguồn local DNS, doctor sẽ hiển thị warning.