Пихал Метрович

Будьте добры, скиньте пожалуйста. На гитхабе уже версия 9.2

Доброго времени суток, а можно ли как-то добавить не домен, а несколько подсетей (в дополнение к списку antifilter, которые с ними не пересекаются), трафик на IP которых должен идти через прокси? Видео с телеги долго грузится, заворачиваешь весь трафик клиентов роутера на прокси - загрузка происходит раз в 10 быстрее, видимо, мобильный провайдер подрезает скорость, а весь трафик не хочется заворачивать.

Пришлите пароль ss в личку - попробую протестировать.

А файл клиента ss /opt/etc/shadowsocks.json заполнен верно (IP сервера, порт, метод шифрования, пароль)? К какому серверу ss вы пытаетесь приконнектиться - к своему, поднятому на VDS, или найденному в глобальной сети? Вы проверили, что сервер доступен и отвечает на запросы (это можно сделать из клиента ss под Android)?

На роутере запускали (через ss-redir) или на linux-клиенте (ss-tunnel)?

Можно так, например - https://lore.kernel.org/wireguard/CAMwURuCj4O2rik1kWeA22x7ovHxfGNTEyk_aNsTwc9yYbihvbw@mail.gmail.com/T/, как-то давно настраивал и это даже работало. Да, можно, настройки по созданию тоннельного интерфейса есть, но это не полноценная замена тоннелю VPN (хотя маршрутизация в отношении оного должна работать), некоторыми функциями все равно невозможно будет воспользоваться - https://ntc.party/t/topic/1425/3 "Все технологии туннелирования так или иначе строятся на двух принципах: VPN: пакетная передача данных, ПО создаёт отдельный сетевой интерфейс (L2/L3), возможность использования стандартных способов маршрутизации, передачи любых протоколов и приёма входящих соединений; Прокси: потоковая передача данных, ПО создаёт отдельный TCP/UDP-порт, возможность передачи только TCP/UDP-трафика, невозможность (в общем случае) приёма входящих соединений. Через прокси у вас не будет работать ping (протокол ICMP), а голосовая связь VoIP (и другие p2p-программы) может работать плохо или не работать вовсе, из-за невозможности входящих подключений. Тем не менее, для большинства обычных программ функциональности прокси вполне достаточно. Нередко прокси-программы эмулируют VPN-интерфейс для удобства настройки или из-за технических ограничений – не каждая программа поддерживает работу через прокси, а VPN-интерфейс настраивается на уровне операционной системы и не требует ничего от программ. Эмуляция VPN-интерфейса не добавляет недостающих функций прокси – вы всё ещё не сможете пользоваться ping, принимать входящие соединения."

Спасибо за скрипт, все работает отлично, заблокированные сайты открываются. Это правило работать не будет, трафик udp можно затолкать на порт локального прокси только через механизм TPROXY iptables (пример куска скрипта ниже - для DNS-запросов как клиентов локальной сети роутера, так и его самого; для роутера и для его клиентов локальной сети нужно в настройках DHCP установить любой внешний обычный DNS-сервер без шифрования, типа 1.1.1.1, 8.8.8.8 и т.п.): if [ -z "$(ip route list table 100)" ]; then ip route add local default dev lo table 100 ip rule add fwmark 1 lookup 100 fi if [ -z "$(iptables-save 2>/dev/null | grep SS-REDIR_UDP)" ]; then insmod /lib/modules/$(uname -r)/xt_TPROXY.ko iptables -w -t mangle -N SS-REDIR_UDP iptables -w -t mangle -A SS-REDIR_UDP -p udp --dport 53 -j TPROXY --on-port 1080 --tproxy-mark 0x01/0x01 fi if [ -z "$(ps | grep -v grep | grep ss-redir)" ]; then ss-redir -u -c /opt/etc/shadowsocks.json -f /opt/var/run/ss-redir.pid fi Кстати, shadowsocks-rust, собранный под архитектуру mips, нормально работает на сабже (запускал вместе с плагином обфускации трафика simle-tls, собранного также под mips-архитектуру; архивы бинарников можно скачать на гитхабе). Команда на запуск transparent proxy (редирект tcp и udp-трафика (DNS-запросы)): sslocal --local-addr 0.0.0.0:1080 --protocol redir --tcp-redir redirect --udp-redir tproxy -d -U -c /opt/etc/shadowsocks/shadowsocks.json Загрузка процессора конечно выше, чем в случае shadowsocks-libev, но жить можно, каких-то сильных тормозов не заметил (даже в случае скачки торрентов на внешний жесткий диск встроенным торрент-клиентом роутера).

Можете выложить весь скрипт? Кстати, если вашем текущем скрипте удалить строку: то я теряю доступ к веб-морде роутера (роутер работает, но перестает отвечать на запросы), я так понимаю, что это просто проверка доступности интернета. Вопрос - как эту строку выпилить правильно?

Не работатет скрипт, правила iptables просто тупо не создаются после перезагрузки, в том числе, если и DNS-запросы на прокси заворачивать (дополнительно добавлял строку [ "$table" != "mangle" ] && exit 0). Правила без вышеуказанных строк не дублируются, проверял много раз.

Да, в этом случае проблема с DNS-запросами клиентов локальной сети роутера решается, а как быть с самим роутером (его службами), например, torrent-клиентом transmission, который качает торренты на внешний жесткий диск, подключенный к роутеру и постоянно обращается к трекеру по udp? Насколько я понимаю, установка внешних DNS-серверов, поддерживающих шифрование, из веб-морды роутера работает только для клиентов его локальной сети, а не для него самого, или нет? Если соединение (не тоннель, shadowsocks-прокси - это не VPN, отдельного тоннельного интерфейса он не создает) с сервером ss пропадет (за всю трехгодовую практику использования ss у меня такого не было ни разу; считаем, что все правила iptables удалились вместе с процессом ss), DNS для клиентов локальной сети роутера (и для его самого) будет также доступен - вы же как для роутера, так и для клиентов его локальной сети указали внешний IP вашего сервера VDS, где "поднят" сервер DNS - в этом случае DNS-запросы пойдут на сервер, но будут незашифрованы.

А зачем с ним мучится? Отправляйте все DNS-запросы через механизм TPROXY ядра операционной системы роутера до своего сервера VDS, на котором "поднят" сервер DNS. Вы же не на все заблокированные сайты заходите, добавьте всю пачку в /opt/root/sites, да и дело с концом. Или коренной способ - отправлять весь трафик через прокси до VDS, арендованного за бугром (или в российском дата-центре, до которого пока не добрался роскомнадзор).

Обязательно, как сам разберусь - кое-какая информация по настройке полноценного v2ray (Project V) есть здесь - Кратко - для прозрачного проксирования нужно использовать протокол Dokodemo-door - https://www.v2ray.com/ru/configuration/protocols/dokodemo.html

Вот все, что вам нужно, чтобы запустить ss-redir (с полным или частичным заворотом tcp-трафика, а также DNS-запросов). Если вы используете v2ray-plugin, нужно и его скачать с гитхаба, разархивировать архив и указать в конфиге ss путь до исполняемого файла плагина. Пакеты установлены через opkg, никакие дополнительные пакеты ставить не нужно.

Служба DNS никак не связана с shadowsocks-прокси - вы лишь можете заставить DNS-запросы, исходящие как от самого роутера, так и от клиентов его локальной сети, заворачиваться на порт клиента ss-прокси, поднятого на роутере через механизм TPROXY ядра Linux операционной системы роутера - в этом случае, DNS-запросы будут зашифрованы.

Значит, трафик не идет через прокси, поднятый на роутере, а в обход прокси.