Andrevich Dec 15 2023 at 15:06

Боремся с блокировками с помощью Trojan TCP на слабых устройствах c OpenWRT

Medium

8 min

13K

Information Security*System administration*Network technologies*

Tutorial

+13

Comments 13

aborouhin Dec 15 2023 at 15:55

А производительность этого решения какова? А то я на гораздо более шустрых Микротиках (128/1024, да и CPU пободрее) сначала потратил кучу времени на тестирование разных стойких к блокировкам протоколов в контейнерах, - а в итоге протестировал максимальную скорость, прослезился и прикрутил к этим микротам Orange Pi, на которых уже подняты экзотические туннели.

decompressor Dec 16 2023 at 10:30

а можно модель апельсина, что дало норм производительность с xray/ss2022?openwrt как операционка? даже hap ax3 не очень что-то:(

aborouhin Dec 16 2023 at 20:49

del

aborouhin Dec 16 2023 at 21:24

Orange Pi 5, Armbian, amnezia-wg по тесту iperf3 выдаёт 455 Мбит/с, в момент теста одно из 4 ядер апельсинки грузится максимум до 65%, остальные не более 25%. Та же amnezia-wg в контейнере на Mikrotik RB3011 упиралась в CPU уже на ~30 Мбит/с.

XRay / SS2022 в планах нет, т.к. нужен полноценный VPN, есть в планах WG через Cloak, как запущу - дополню комментарий.

P.S. Если кто успел прочитать первый комментарий про 770 Мбит/с - это я ступил, iperf3 через другой интерфейс до апельсинки достучался :) Но 455 меня тоже вполне устраивает.

P.P.S. По-быстрому запустил на той же апельсинке Amnezia-WG поверх Cloak (понятно, что через Cloak достаточно и обычного WG, но подружить обычный и Amnezia на одной машине заняло бы некоторое время).

Результат - 185 Мбит/с, загрузка первого/остальных ядер апельсинки - в пределах 85%/50% соответственно. Уже не так радужно, но приемлемо, и с обычным WG должно получиться ещё немного повеселее.

aborouhin Dec 16 2023 at 22:28

Ну и обычный WG через Cloak - те же 185 Мбит/с, что у Amnezia-WG через Cloak, но загрузка CPU апельсинки чуть меньше - в пределах 80%/40% для первого/остальных ядер. В общем, существенной разницы нет, можно оставлять одну Амнезию для простоты настройки.

Всё, тесты закончил :)

viktorf3ss Dec 16 2023 at 10:30

Поделитесь топ 3 решениями в плане скорости?

aborouhin Dec 16 2023 at 20:51

Вряд ли, у меня нет задачи сравнить совершенно все решения, т.к. моим потребностям удовлетворяет небольшая часть (те, которые дают полноценный VPN для связи сетей за обеими сторонами тоннеля). Сейчас это Amnezia-WG, Cloak, через который проброшен обычный WG, и OpenConnect. На роутерах мне интересны первые два, а OpenConnect для мобильных клиентов.

brugger Dec 16 2023 at 10:30

Можно подробнее о вариантах вашего решения? Думаю ,будет полезно. Многим.

aborouhin Dec 16 2023 at 21:04

Цепляем апельсинку к одному из портов микрота. Настраиваем на этом порту три VLAN - management, in и out, для каждого своя подсеть (management у меня в bridge с другими сетями для управления, но это уже детали). Через management ходим по ssh, через in маршрутизируем с микрота через апельсинку трафик, который должен идти через VPN, через out апельсинка получает доступ к другому концу тоннеля через микрот. Наверное, можно и без VLAN'ов, но мне так понятнее, чтобы не запутаться.

Потом на это всё натягиваем динамическую маршрутизацию на OSPF и BGP, но тут рассказывать долго, сложно и всё равно у всех разные потребности. Да и у меня там пока есть несколько недоделанных моментов.

После этого меняем на апельсинке VPN хоть каждую неделю в зависимости от успехов РКН, не трогая настройки микрота вообще.

php7 Dec 16 2023 at 14:56

Я вот чет не доверяю программе с названием Trojan

AcckiyGerman Dec 16 2023 at 19:57

А Shadow Socks (теневые носки?)

solimity Dec 25 2023 at 13:53

Интересно, а реально ли заворачивать трафик на впн сервер(например openvpn) через прокси туннель(например vless)

Andrevich Dec 25 2023 at 13:54

Проксировать OpenVPN можно через любой прокси который умеет слушать на локальном socks5 порту. Вы о такой схеме спрашиваете или как-то по другому заворачивать нужно?