Выборочный роутинг через VPN туннель

[TheBB]

А что с пакетом

~ # opkg info v2ray
Package: v2ray
Version: 5.1.0-1
Depends: libc, libssp, librt, libpthread, ca-bundle
Status: unknown ok not-installed
Section: net
Architecture: mipsel-3.4
Size: 7553410
Filename: v2ray_5.1.0-1_mipsel-3.4.ipk
Description: A platform for building proxies to bypass network restrictions.
~ #

не так?

[zyxmon]

По моему тут спрашивали, как настроить v2ray. Сегодня настраивал под Debian на VPS. На Entware будет все аналогично, только init.d вместо systemd и папки слегка другие.

Писал доя себя, но может кому пригодится - https://forums.zyxmon.org/viewtopic.php?f=7&t=5802

[zyxmon]

В 03.01.2023 в 23:08, Mastersland сказал:

Вопрос такой, что можно использовать для ключей vmess или trojan? Как я понял, нужно использовать qv2ray или v2ray, но подходящих пакетов не нашёл. Есть только плагин v2ray для shadowsocks, но как я его настраивать. И опять же, одно дело плагин, но как использовать ключ vmess? Может подскажете куда копать?)

В репе Entware есть v2ray (не плагин, а клиент и сервер) и trojan. Плагин v2ray для shadowsocks не поддерживает vmess. Если нужно - могу выложить для теста troyan-go и badvpn (последнее преобразует socks proxy в tun).

[Mastersland]

Подскажите плиз, как с помощью плагина v2ray, ссылку на который дал @TheBB, настроить так, чтобы можно было редиректнуть в нужный порт мой трафик?

https://habr.com/ru/post/669314/ 

в этом файле mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh я по аналогии редиректнул на порт 10810, который прописал в конфиге. Конфиг прикрепляю (убраны только часть сведений из ключа). Описалово взял вот тут (спасибо @zyxmon)

https://guide.v2fly.org/en_US/app/transparent_proxy.html

Единственное, у меня не сработал создание конфига sysctl -p

А готовый конфиг взял https://telegra.ph/HiLoad-Undef-v2rayN-dlya-Windows-instrukciya-12-22 вот отсюда, добавив строчки из описалова

 

В итоге при запуске

 /opt/sbin/v2ray run  --config=/opt/etc/v2ray/config.json

 ругается на 

192.168.1.108:51969 rejected  common/drain: common/drain: unable to drain connection > EOF > proxy/vmess/encoding: invalid user > proxy/vmess: Not Found

китайские братья толком ничего не говорят...

config.json

[zyxmon]

1 час назад, Mastersland сказал:

как с помощью плагина v2ray, ссылку на который дал @TheBB, настроить

Предлагаю для начала определится с терминами. Есть плагин v2ray для shadowsocks-libev, а есть бинарник v2ray, который Вы запускаете командой `v2ray run  --config=...`. Плагин не поддерживает протокол vmess, а бинарник поддерживает.

Я взял конфиг от HiLoad (в нем только секция outbound) добавил секцию inbound и у меня все запустилось:

{
    "inbounds": [{
    "port": 1088,
    "listen": "127.0.0.1",
    "tag": "socks-inbound",
    "protocol": "socks",
    "settings": {
      "auth": "noauth",
      "ip": "127.0.0.1"
    }
  }],

    "outbounds": [
        {
            "mux": {
            },
            "protocol": "vmess", 
...................

Что показывает запуск

v2ray run -c /opt/root/config.json
V2Ray 5.1.0 (Entware) 1670143683 (go1.19.3 linux/arm64)
A unified platform for anti-censorship.
2023/01/09 20:59:43 [Warning] V2Ray 5.1.0 started
2023/01/09 21:00:03 [Warning] [3221076303] app/dispatcher: default route for tcp:95.217.228.176:443
2023/01/09 21:01:21 [Warning] [4072096863] app/dispatcher: default route for tcp:[2a01:4f9:4b:4c8f::2]:443

и тестирование (как по ipv4, так и по ipv6)

 curl -4 --socks5 socks5://localhost:1088 https://myip.wtf/json
{
    "YourFuckingIPAddress": "65.21.156.57",
    "YourFuckingLocation": "Helsinki, 18, Finland",
    "YourFuckingHostname": "vm-7-access.undef.network",
    "YourFuckingISP": "Hetzner Online GmbH",
    "YourFuckingTorExit": false,
    "YourFuckingCity": "Helsinki",
    "YourFuckingCountry": "Finland",
    "YourFuckingCountryCode": "FI"
}

Я нифига в shadowsocks не понимаю, не факт, что правильно написал `inbounds`. Я не проверил работу по udp. Но тут надеюсь другие исследуют, допилят....

PS Собрал trojan-go и с ним подобные тесты так же проходят.

[avn]

54 минуты назад, zyxmon сказал:

Предлагаю для начала определится с терминами. Есть плагин v2ray для shadowsocks-libev, а есть бинарник v2ray, который Вы запускаете командой `v2ray run  --config=...`. Плагин не поддерживает протокол vmess, а бинарник поддерживает.

Я взял конфиг от HiLoad (в нем только секция outbound) добавил секцию inbound и у меня все запустилось:

{
    "inbounds": [{
    "port": 1088,
    "listen": "127.0.0.1",
    "tag": "socks-inbound",
    "protocol": "socks",
    "settings": {
      "auth": "noauth",
      "ip": "127.0.0.1"
    }
  }],

    "outbounds": [
        {
            "mux": {
            },
            "protocol": "vmess", 
...................

Что показывает запуск

v2ray run -c /opt/root/config.json
V2Ray 5.1.0 (Entware) 1670143683 (go1.19.3 linux/arm64)
A unified platform for anti-censorship.
2023/01/09 20:59:43 [Warning] V2Ray 5.1.0 started
2023/01/09 21:00:03 [Warning] [3221076303] app/dispatcher: default route for tcp:95.217.228.176:443
2023/01/09 21:01:21 [Warning] [4072096863] app/dispatcher: default route for tcp:[2a01:4f9:4b:4c8f::2]:443

и тестирование (как по ipv4, так и по ipv6)

 curl -4 --socks5 socks5://localhost:1088 https://myip.wtf/json
{
    "YourFuckingIPAddress": "65.21.156.57",
    "YourFuckingLocation": "Helsinki, 18, Finland",
    "YourFuckingHostname": "vm-7-access.undef.network",
    "YourFuckingISP": "Hetzner Online GmbH",
    "YourFuckingTorExit": false,
    "YourFuckingCity": "Helsinki",
    "YourFuckingCountry": "Finland",
    "YourFuckingCountryCode": "FI"
}

Я нифига в shadowsocks не понимаю, не факт, что правильно написал `inbounds`. Я не проверил работу по udp. Но тут надеюсь другие исследуют, допилят....

PS Собрал trojan-go и с ним подобные тесты так же проходят.

Я взял конфиг c https://hi-l.im (Это тот самый Hi!Load?) Скормил его ss-local и уменя все заработало без всяхих trojan, vmess и т.д.

{
	"server": "fi-3-access.undef.network",
	"server_port": 15687,
	"password": "PASSWORDJ",
	"method": "chacha20-ietf-poly1305",
	"mode": "tcp_only",
	"local_address": "::",
	"local_port": 1082,
	"timeout": 300,
	"fast_open": true,
	"ipv6_first": false
}

Так какую конфигурацию проверяем?

[zyxmon]

7 минут назад, avn сказал:

Это тот самый Hi!Load

Это тот самый. Но кроме ss там есть поддержка и vmess и trojan для премиум пользователей. 

@Masterslandимел в виду т.н. HiLoad Undef.

[zyxmon]

В 03.01.2023 в 23:45, avn сказал:

т.к. во первых Go

Удивительное рядом. Производительность разных реализаций shadowsocs

GO: shadowsocks2: download - 1876 mbit\s; upload - 1981 mbit\s.
rust: shadowsocks-rust: download - 1605 mbit\s; upload - 1895 mbit\s.
C/C++: Shadowsocks-libev: download — 1584 mbit\s; upload — 1265 mbit\s.
python: download - 993 mbit\s; upload - 770 mbit\s

Отсюда - https://habr.com/ru/post/479146/

[krass]

1 час назад, zyxmon сказал:

Я нифига в shadowsocks не понимаю, не факт, что правильно написал `inbounds`. Я не проверил работу по udp. Но тут надеюсь другие исследуют, допилят....

PS Собрал trojan-go и с ним подобные тесты так же проходят.

А не могли бы Вы запилить отдельную тему со всеми этими плюшками, чтобы здесь не затерялось?

[avn]

3 часа назад, Mastersland сказал:

Подскажите плиз, как с помощью плагина v2ray, ссылку на который дал @TheBB, настроить так, чтобы можно было редиректнуть в нужный порт мой трафик?

https://habr.com/ru/post/669314/ 

в этом файле mcedit /opt/etc/ndm/netfilter.d/100-redirect.sh я по аналогии редиректнул на порт 10810, который прописал в конфиге. Конфиг прикрепляю (убраны только часть сведений из ключа). Описалово взял вот тут (спасибо @zyxmon)

https://guide.v2fly.org/en_US/app/transparent_proxy.html

Единственное, у меня не сработал создание конфига sysctl -p

А готовый конфиг взял https://telegra.ph/HiLoad-Undef-v2rayN-dlya-Windows-instrukciya-12-22 вот отсюда, добавив строчки из описалова

 

В итоге при запуске

 /opt/sbin/v2ray run  --config=/opt/etc/v2ray/config.json

 ругается на 

192.168.1.108:51969 rejected  common/drain: common/drain: unable to drain connection > EOF > proxy/vmess/encoding: invalid user > proxy/vmess: Not Found

китайские братья толком ничего не говорят...

config.json 2.86 \u041a\u0431 · 5 downloads

Трафик надо заворачивать на порт протокола dokodemo-door. Заметьте, только tcp. С UDP все очень сложно

	"inbounds": [
		...,
		{
			"port": 10809,
			"listen": "::",
			"protocol": "dokodemo-door",
			"settings": {
				"network": "tcp",
				"followRedirect": true
			}
		},...
	],

 

Edited January 9 by avn

[avn]

16 минут назад, avn сказал:

Трафик надо заворачивать на порт протокола dokodemo-door. Заметьте, только tcp. С UDP все очень сложно

	"inbounds": [
		...,
		{
			"port": 10809,
			"listen": "::",
			"protocol": "dokodemo-door",
			"settings": {
				"network": "tcp",
				"followRedirect": true
			}
		},...
	],

 

Пример для ShadowSocks.

TCP-трафик

ipset create unblock4-ssp hash:net timeout 86400 family inet -exist
ip4t PREROUTING -t nat -i br0 -p tcp -m set --match-set unblock4-ssp dst -j REDIRECT --to-port 9171

UDP-тафик. Не тестировано, т.к. nginx не выпустил версию с quic (http/3). Поэтому udp в таких сервисах как правило сейчас не работает.

#!/bin/sh

[ "$type" != "iptables" ] && exit 0
[ "$table" != "mangle" ] && exit 0

ip4t() {
	if ! iptables -C "$@" &>/dev/null; then
		iptables -A "$@" || exit 0
	fi
}

# Shadowsocks+
ipset create unblock4-ssp hash:net timeout 86400 family inet -exist
ip -4 route add local default dev lo table 233 2>/dev/null
ip -4 rule add fwmark 0x2333 table 233 priority 233 2>/dev/null
iptables -N SSREDIR -t mangle 2>/dev/null
#iptables -F SSREDIR -t mangle 2>/dev/null

# connection-mark -> packet-mark
ip4t SSREDIR -t mangle -m set ! --match-set unblock4-ssp dst -j RETURN
ip4t SSREDIR -t mangle -d 0.0.0.0/8 -j RETURN
ip4t SSREDIR -t mangle -d 10.0.0.0/8 -j RETURN
ip4t SSREDIR -t mangle -d 127.0.0.0/8 -j RETURN
ip4t SSREDIR -t mangle -d 169.254.0.0/16 -j RETURN
ip4t SSREDIR -t mangle -d 172.16.0.0/12 -j RETURN
ip4t SSREDIR -t mangle -d 192.168.0.0/16 -j RETURN
ip4t SSREDIR -t mangle -d 224.0.0.0/4 -j RETURN
ip4t SSREDIR -t mangle -d 240.0.0.0/4 -j RETURN
ip4t SSREDIR -t mangle -j CONNMARK --restore-mark
ip4t SSREDIR -t mangle -m mark --mark 0x2333 -j RETURN
ip4t SSREDIR -t mangle -p udp -m conntrack --ctstate NEW -j MARK --set-mark 0x2333
ip4t SSREDIR -t mangle -j CONNMARK --save-mark

ip4t PREROUTING -t mangle -p udp -m set --match-set unblock4-ssp dst -j SSREDIR
ip4t OUTPUT     -t mangle -p udp -m set --match-set unblock4-ssp dst -j SSREDIR

ip4t PREROUTING -t mangle -p udp -m mark --mark 0x2333 -j TPROXY --on-ip 127.0.0.1 --on-port 9171

exit 0

 

[Mastersland]

всё вроде получается, но с автозапуском какие-то проблемы....

 /opt/sbin/v2ray test

отлично срабатывает

/opt/sbin/v2ray run

тоже. И после этой команды даже работает.

Но в автозагрузку то его как прописать?

В файле /opt/etc/init.d/S24v2ray

#!/bin/sh

export V2RAY_LOCATION_ASSET=/opt/etc/v2ray
export V2RAY_LOCATION_CONFIG=/opt/etc/v2ray
export V2RAY_BUF_READV=auto
export V2RAY_RAY_BUFFER_SIZE=2

ENABLED=yes
PROCS=v2ray
ARGS="-confdir /opt/etc/v2ray"
PREARGS=""
DESC=$PROCS
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

. /opt/etc/init.d/rc.func

прописаны стандартные настройки. Команда 

/opt/etc/init.d/S24v2ray start

стартует v2ray. Но, видимо, сразу закрывается, т.к. повторный запуск также срабатывает

В логах v2ray (прописанных в конфиге) запуска не видно, в отличии от логов роутера

[zyxmon]

11 минуту назад, Mastersland сказал:

ARGS="-confdir /opt/etc/v2ray"

Вот это нужно поменять на

ARGS="run -config <path-to-your-config>"

И разобраться - нужны ли переменные окружения. Путь к конфигу выше нужно прописать. Папку, где куча конфигов не указывать.

[Mastersland]

15 минут назад, zyxmon сказал:

Вот это нужно поменять на

ARGS="run -config <path-to-your-config>"

И разобраться - нужны ли переменные окружения. Путь к конфигу выше нужно прописать. Папку, где куча конфигов не указывать.

да, всё вышло. Убрал полностью конфиг за ненадобностью оставил просто "run"

[TheBB]

"Раз пошла такая пьянка, режь последний огурец!"

mipsel only (как самый массовый)

http://bin.entware.net/mipselsf-k3.4/test/net/go-shadowsocks2_0.1.5-1_mipsel-3.4.ipk - тот самый GO

http://bin.entware.net/mipselsf-k3.4/test/net/shadowsocks-rust_1.15.2-1_mipsel-3.4.ipk - тот самый rust

http://bin.entware.net/mipselsf-k3.4/test/net/v2ray-plugin_1.3.2-1_mipsel-3.4.ipk - тот самый плагин

http://bin.entware.net/mipselsf-k3.4/test/net/v2raya_2.0.1-1_mipsel-3.4.ipk - морда лица (есть в owrt)

http://bin.entware.net/mipselsf-k3.4/test/net/xray-core_1.7.2-1_mipsel-3.4.ipk - хрэй-коре (есть в owrt)

[Mastersland]

app/proxyman/outbound: failed to process outbound traffic > proxy/vmess/outbound: failed to find an available destination > common/retry: [transport/internet/websocket: failed to dial WebSocket > transport/internet/websocket: failed to dial to (wss://vmaccess.undef.network/mes):  > context deadline exceeded transport/internet/websocket: failed to dial WebSocket > transport/internet/websocket: failed to dial to (wss://vmaccess.undef.network/mes):  > dial tcp: lookup vmaccess.undef.network: operation was canceled] > common/retry: all retry attempts failed

При обращении к части сайтов вылезает вот такая ошибка в логах. Сайт не открывается. А, например, книгалиц спокойно открывается. Конфиг в прикреплении

config.json

[Mastersland]

30 минут назад, Mastersland сказал:

При обращении к части сайтов вылезает вот такая ошибка в логах. Сайт не открывается. А, например, книгалиц спокойно открывается. Конфиг в прикреплении

config.json 2.18 \u041a\u0431 · 1 download

Нашёл ошибку. Вот тут надо true поставить

[Mastersland]

И ещё вопрос про trojan. Я из репозитория установил пакет

opkg install trojan

Как я понял, это пакет https://trojan-gfw.github.io/trojan/

в папке есть конфиг файл

/opt/etc/trojan/config.json

Но настроить его не получается.

Ключ выглядит вот таким образом (убраны данные о сервере и пароль):

Конфиг пока такой:

/opt/etc/init.d/S22trojan start

Стартуется норм, но сайт, который открывается через данный порт не работает

У меня предположение, что плагины нужно подключить obfs, либо я где-то в конфиге накосячил. Помогите плиз

[zyxmon]

@Masterslandа чем Вам не нравится

"run_type": "nat"

 https://github.com/trojan-gfw/trojan/blob/master/docs/config.md#a-valid-natjson

В этом случае ИМХО конфигурация аналогична shadowsocks с ss-redir

[sssergey83]

Подскажите как обойти блокировку https://www.strava.com/ ?
Есть мой Keenetic в Польше, на нем создал SSTP сервер.
С телефона или с компа подключаюсь к нему - нет проблем все работает. Но хотелось бы настроить свой домашний keenetic GIGA (из Беларуси), чтобы он выборочно  для определенных ресурсов использовал это соединение , в частности для strava.com
 

Указал IPшники сайта, и шлюз - SSTP подключение, Но не получается, все равно не пускает. 

 

решил проверить почему не работает, для этого добавил так же сайт 2ip.ru. Он пишет что я в Польше, все норм. 

Но на сайт все равно не пускает. 

При подключении из Windows к серверу SSTP - strava.com работает. Также работает, если на роутере основное подключение полностью пропускать через SSTP. но в этом нет никакого смысла...
Объясните пожалуйста, почему так происходит и как сделать чтобы выборочные ресурсы работали через это SSTP соединение.

Edited February 14 by sssergey83

[Zeleza]

Доброго дня

10 минут назад, sssergey83 сказал:

Подскажите как обойти блокировку https://www.strava.com/ ?

Попробуйте Квас?

[bigpu]

31 минуту назад, sssergey83 сказал:

Объясните пожалуйста, почему так происходит и как сделать чтобы выборочные ресурсы работали через это SSTP соединение.

а если еще и диапазон 52.0.0.0 - 52.79.255.255 добавить, так заработало?

 

32 минуты назад, sssergey83 сказал:

Также работает, если на роутере основное подключение полностью пропускать через SSTP.

значит не все IP добавили ресурса, потому и работает тут, и не работает с маршрутами вручную

[vasek00]

39 минут назад, sssergey83 сказал:

Подскажите как обойти блокировку https://www.strava.com/ ?
Есть мой Keenetic в Польше, на нем создал SSTP сервер.
С телефона или с компа подключаюсь к нему - нет проблем все работает. Но хотелось бы настроить свой домашний keenetic GIGA (из Беларуси), чтобы он выборочно  для определенных ресурсов использовал это соединение , в частности для strava.com

На вскидку с минимальной настройкой данный сайт открывается например на Proton WG (вопрос только в стране, т.е. если из России то Нидерланды например) -> в Беларуси поднять WG Proton и проблем не должно быть с strava.com

 

Edited February 14 by vasek00

[sssergey83]

1 час назад, bigpu сказал:

а если еще и диапазон 52.0.0.0 - 52.79.255.255 добавить, так заработало?

 

значит не все IP добавили ресурса, потому и работает тут, и не работает с маршрутами вручную

тоже самое , не работает. 
грешил на адреса, уже добавил все что мог.
Есть ли какие способы определить откуда я реально выхожу используя мой вариант подключения?

[bigpu]

33 минуты назад, sssergey83 сказал:

тоже самое , не работает.

видимо, как и в случае аватарок на youtube, тут столько CDN и IP что проще обход по домену пилить, как выше советовали КВАС, но там тоже нюансы)

[vasek00]

43 минуты назад, sssergey83 сказал:

тоже самое , не работает. 
грешил на адреса, уже добавил все что мог.
Есть ли какие способы определить откуда я реально выхожу используя мой вариант подключения?

Мы легких путей не ищем

Цитата

Есть мой Keenetic в Польше, на нем создал SSTP сервер.
С телефона или с компа подключаюсь к нему - нет проблем все работает. Но хотелось бы настроить свой домашний keenetic GIGA (из Беларуси)

У вас трудность в поднятие на Giga Беларуси WG на Протон и спокойно любым клиентом полуить доступ к нужноиу сайту, что так упорно держитесь за SSTP канал.

[sssergey83]

Только что, vasek00 сказал:

Мы легких путей не ищем

У вас трудность в поднятие на Giga Беларуси WG на Протон и спокойно любым клиентом полуить доступ к нужноиу сайту, что так упорно держитесь за SSTP канал.

Нет. Я просто был уверен что заработает. А потом стало интересно почему не работает)

Ну а теперь вы мне сообщили про Протон. Раньше не слышал, вечером дома посмотрю что это такое попробую настроить.

[sssergey83]

 @vasek00 лайк тебе в карму) на телефоне настроил за 5 мин. С установкой программы, регистрацией и настройкой подключения. Где я был раньше?))

[Andyroll]

Такой же вопрос. Если делать как основное подключение или пускать траффик на одно(несколько) выборочное ус-во через WG тот же Proton и т.д., то сайты открываются. 

https://browserleaks.com/ip  Видны Нидерландские IP 

 

Но если задать маршруты до сайтов, то при открытии, сайты "ругаются".

При такой схеме проскакивает БЕЛ IP

Сайты: intel.com, dell.com и т.д. Сайты понятное дело блокируют доступ со своей стороны. Те сайты, доступ к которым заблокирован со стороны БЕЛки, открываются без проблем, тем же Warp'ом, прописывая маршруты.

Как решить то? КВАСЫ и прочие дела не предлагать, дохленький Lite не для них.

[Andyroll]

Так что, решения в таком случае нет?