Socks 5 PROXY

[keenet07]

Множество программ на ПК имеют функцию подключения к сети через PROXY сервер. Само по себе соединение PROXY как правило ничем не защищено. А что если бы на роутере было приложение типа Socks 5 PROXY cервер с доступом только из локалки, в котором можно было бы легко выбирать точку выхода.

Например через любое VPN соединение на роутере. И канал получается защищенным. 

К примеру, настраиваешь один из браузеров на работу через этот прокси 192.168.1.1:3128, где порт в принципе может быть любой. И выходишь из него на сайты по разным причинам недоступные напрямую. И уже нет необходимости прописывать каждый сайт маршрутом через VPN в роутере.

То же самое и с программами. Как насчёт торрента на ПК  через такой прокси?

Да. Сейчас можно настроить роутер так, что весь трафик с любого устройства (например ПК или телефона) может идти напрямую через VPN. Но ведь далеко не всегда и далеко не всё нужно прокачивать через VPN.

Почему не расширить эту возможность до уровня любой программы а не только любого устройства?

 

Варианты в OPKG не очень интересны. Их не удобно настраивать, да и наверное не любое из них можно настроить на VPN.

 

Edited December 2, 2019 by keenet07

[r13]

Имхо для такого сценария правильнее прокси на vps где VPN развернут поднимать, а тут получается также проблема маршрутизации трафика, просто не клиента, а уже после прокси. 

[plagioklaz]

2 часа назад, r13 сказал:

Имхо для такого сценария правильнее прокси на vps где VPN развернут поднимать, а тут получается также проблема маршрутизации трафика, просто не клиента, а уже после прокси. 

так точно. Всегда можно бесплатно на год взять сервачок на амазоне и распробовать. А потом уже, поняв потребности и задачи, купить где-нибудь в банановой республике и сидеть спокойно, покачивая нужное через личный прокси, впн или что там ещё ))

[Кинетиковод]

4 часа назад, r13 сказал:

Имхо для такого сценария правильнее прокси на vps где VPN развернут поднимать

Не все пользуются vps. Идею прокси на Кинетике поддерживаю. Смысл её в том, чтобы иметь возможность распределять по VPN не только устройства, как это сделано сейчас, но и отдельные программы, как многие давно мечтают. Прокси на Keenetic OS может выглядеть как некое устройство, которое можно привязать к любому подключению. А уже необходимые программы можно будет пускать через данный прокси. Пускать программы через желаемый VPN Кинетика на данный момент не представляется возможным.

[keenet07]

6 часов назад, r13 сказал:

Имхо для такого сценария правильнее прокси на vps где VPN развернут поднимать, а тут получается также проблема маршрутизации трафика, просто не клиента, а уже после прокси. 

VPS, согласитесь это решение далеко не для всех. И это решение с одним VPN. В моем подходе VPN можно легко менять если требуется.

Напишите пожалуйста чуть подробнее какую проблему маршрутизации вы видите по моей схеме реализации.

 

[r13]

39 минут назад, keenet07 сказал:

Напишите пожалуйста чуть подробнее какую проблему маршрутизации вы видите по моей схеме реализации.

Смущает напрашивающееся скрещивание этого сервера и policy кинетика если просто интерфейс(ы) а с policy не понятно как приоритеты интерфейсов к прокси серверу прикручивать. 

[keenet07]

2 минуты назад, r13 сказал:

Смущает напрашивающееся скрещивание этого сервера и policy кинетика если просто интерфейс(ы) а с policy не понятно как приоритеты интерфейсов к прокси серверу прикручивать. 

А для чего? Интерфейсом будет VPN и все полиси относительно него. Сервер прокси будет выступать в качестве клиента для интерфейса VPN. Можно его и представить в виде отдельного интерфейса. И тогда даже можно будет настраивать какие-то правила фаервола для него в Межсетевом экране. 

[r13]

39 минут назад, keenet07 сказал:

А для чего? Интерфейсом будет VPN и все полиси относительно него. Сервер прокси будет выступать в качестве клиента для интерфейса VPN. Можно его и представить в виде отдельного интерфейса. И тогда даже можно будет настраивать какие-то правила фаервола для него в Межсетевом экране. 

Прокси сервер это служба, а не интерфейс, грубо говоря мы у этой службы в конфиге прописываем выходной интерфейс -наш VPN, все ок, работает. Возможно ли в какую нибудь из реализаций прокси серверов прикрутить список выходных интерфейсов из policy и ли брать только высшим приоритетом хз надо смотреть что есть вреализациях проксиков. А в простейшем варианте с одним выходом, да, реализуемо. 

[keenet07]

55 минут назад, r13 сказал:

Прокси сервер это служба, а не интерфейс, грубо говоря мы у этой службы в конфиге прописываем выходной интерфейс -наш VPN, все ок, работает. Возможно ли в какую нибудь из реализаций прокси серверов прикрутить список выходных интерфейсов из policy и ли брать только высшим приоритетом хз надо смотреть что есть вреализациях проксиков. А в простейшем варианте с одним выходом, да, реализуемо. 

С одним выходом это не интересно. Так оно видимо через интерфейс провайдера и будет работать. А если можно сделать выход через VPN, то уверен ничего сложного и в том, чтобы сделать выбор через какой именно VPN.

[Кинетиковод]

1 час назад, keenet07 сказал:

чтобы сделать выбор через какой именно VPN

Лучше бы даже задание нескольких профилей VPN. По одному порту выход на один VPN, по другому на другой. Как бы такое подобие интернет фильтра.

[keenet07]

1 минуту назад, Кинетиковод сказал:

Лучше бы даже задание нескольких профилей VPN. По одному порту выход на один VPN, по другому на другой. Как бы такое подобие интернет фильтра.

Да, тоже вариант. Но это наверное на каждый порт придётся свою копию службы запускать. Если пользоваться готовым решением.

[keenet07]

@eralde @Le ecureuil Есть вообще перспективы в реализации такой движухи? Есть смысл обсуждать дальше?

[Александр Рыжов]

Хорошо бы не забывать, что прокси  — это откровенный костыль, которого в идеале быть просто не должно. Оправдано использование проксика (почти) исключительно в корпоративной среде, где используются средства фильтрации и скорее всего не используется кинетик. В частности в windows, именно по этой причине всё больше программ используют общесистемные настройки прокси, а возможности его конфигурирования сокращены до перечня исключений.

[keenet07]

3 часа назад, Александр Рыжов сказал:

Хорошо бы не забывать, что прокси  — это откровенный костыль, которого в идеале быть просто не должно. Оправдано использование проксика (почти) исключительно в корпоративной среде, где используются средства фильтрации и скорее всего не используется кинетик. В частности в windows, именно по этой причине всё больше программ используют общесистемные настройки прокси, а возможности его конфигурирования сокращены до перечня исключений.

Но пока мне ничего не известно о каком-либо другом инструменте, который позволил бы направить трафик любой конкретной программы в нужном направлении. Через нужного поставщика услуг. Через подходящий VPN. Сейчас такое доступно только для трафика всего устройства в целом.

А это в некотором случае большой пробел в безопасности.

Я согласен с тем что такой прокси на роутере нужно реализовать так, чтобы трафик проходящий через него мог попадать под правила Межсетевого экрана. Чтоб он был виден в Активных соединениях в Диагностике. Т.е., чтоб он был прозрачен и дополнительно контролируем для пользователя. 

 

[Le ecureuil]

Я понимаю идею per-app routing, но техническая реализация выглядит сложной и запутает и без того непростую логику политик доступа. Надо еще подумать.

[keenet07]

Конечно подумайте. Может быть есть и другие подходы. Типа варианта с несколькими IP адресами на одном хосте, где тоже можно направлять трафик приложений разными маршрутами.

[miklelv]

Да хотя бы простой proxy сервер чтобы через его запустить обмен именами в торрент клиенте. Не обязательно весь p2p трафик.

[Naperegonki]

Полностью поддерживаю идею автора. Если реализовать проксирование через один из настроенных на роутере VPN-клиентов - будет круто.
Если же реализовать проксирование через разные порты или разные локальные IP на разные VPN-клиенты - будет еще круче.

Помимо настройки работы через прокси отдельных программ, можно настраивать даже отдельно взятые сайты с помощь расширения SwitchyOmega, которое доступно для Firefox и Chrome.
У меня, например, сейчас так и работает: на сайты site1.com и site2.com я хожу через американский socks5 прокси, потому им нужен американский IP; на site3.com и site4.com, которые не хотят открываться с российских IP - через более быстрое европейское прокси. А все остальные сайты у меня работают напрямую, без прокси, поэтому скорость не страдает. Но во всей этой конструкции не хватает шифрования. Связка прокси+VPN решила бы эту проблему.

[Le ecureuil]

SSH на keeentic кстати умеет режим proxy, от вас нужно только putty на клиенте и натравить socks на него.

[keenet07]

В 15.04.2020 в 01:09, Le ecureuil сказал:

SSH на keeentic кстати умеет режим proxy, от вас нужно только putty на клиенте и натравить socks на него.

Да, работает. Прикольно. Браузер работает через прокси прокинутый Putty через SSH роутера. Все запросы идут напрямую с интерфейса с интернетом, так же как скачиваются обновления роутером. Сразу заметил, что этот трафик конечно виден на графике в Системном мониторе, но он конечно же полностью отсутствует  в Мониторе трафика хостов. Ну не суть.

Вот как теперь научить роутер заворачивать этот трафик на какой-нибудь запущенный на роутере VPN?

А то весь смысл теряется без этого. Хотя, как вспомогательный инструмент конечно интересно. Это такой фаервол на минималках для винды. Блокируем весь трафик на устройстве, кроме открытого прокси и DNS. И доступ остается только у избранных приложений настроенных на прокси.

Edited April 21, 2020 by keenet07

[Кинетиковод]

В 21.04.2020 в 23:00, keenet07 сказал:

Да, работает. Прикольно. Браузер работает через прокси прокинутый Putty через SSH роутера.

Putty кстати тоже "чачу" поддерживает, так что если нужен скоростной прокси, то извольте.

[keenet07]

26 минут назад, Кинетиковод сказал:

Putty кстати тоже "чачу" поддерживает, так что если нужен скоростной прокси, то извольте.

Проверил ChaCha20. Работает.

Speedtest до 88 мб/c смог прокачать. Загрузка CPU роутера до 38%

Неплохо.

Edited April 22, 2020 by keenet07

[Le ecureuil]

После разблокировки телеграмма эта задача все еще акутальна?

[keenet07]

52 минуты назад, Le ecureuil сказал:

После разблокировки телеграмма эта задача все еще акутальна?

Мне не для телеграмма нужно было. 

Для изоляции определенных программ. Браузер, торрент, ещё что-то...

[bigpu]

3 часа назад, Le ecureuil сказал:

После разблокировки телеграмма эта задача все еще акутальна?

А есть гарантии, что Телега опять не подпадет под блок? Да и верно сказали выше, не единой Телегой.

[LiqLover]

В 21.04.2020 в 23:00, keenet07 сказал:

работает. Прикольно. Браузер работает через прокси прокинутый Putty через SSH роутера. Все запросы идут напрямую с интерфейса с интернетом

Можете расписать как это сделать? Спасибо.

[keenet07]

9 минут назад, LiqLover сказал:

Можете расписать как это сделать? Спасибо.

Включаете на роутере SSH. 

На PC настраиваете Putty примерно как на видео, подставляя свои данные. Основный смысл должен быть понятен, если что спрашивайте.

 

[who]

Не давно реализовал это через entware + 3proxy. Ставим пакет и конфигурим конфиг и правила коннекта. Можно как хттп так и сокс5 проксю сделать, очень нужная штука. Так же можно повесить на разные интерфейсы и запустить несколько копий на разных портах. 

[keenet07]

Ну вот. По такой схеме же работает. Значит можно было бы и в прошивке реализовать.

[nagosh]

В 18.12.2022 в 22:58, who сказал:

Не давно реализовал это через entware + 3proxy. Ставим пакет и конфигурим конфиг и правила коннекта. Можно как хттп так и сокс5 проксю сделать, очень нужная штука. Так же можно повесить на разные интерфейсы и запустить несколько копий на разных портах. 

Добрый день, а не могли бы вы поподробней расписать как сделать? Например как указать шлюз впн соединения в конфиге 3proxy. 

[who]

auth iponly
allow * 192.168.101.0/24
proxy -n -p4444 -a -e1.2.3.4
flush

1.2.3.4 это IP шлюза.