> Статья на Хабре, по которой я стал делать и понял, что так делать не надо.
Только сейчас увидел вашу статью. Вы используйте огромный мощный инструмент, который по итогу работает точно по такой же логике. В статье по ссылке предлагается конфигурить всё через обычные конфиги OpenWrt без зависимостей. Можно поподробнее, почему не нужно так делать?
Роутер, который хотят выпускать довольно специфическая железка всего с двумя портами Ethernet. Похоже, будет что-то типа NanoPi R4S. Странный выбор. Более востребован бы был обычный роутер с 4-5 портами Ethernet. И M.2 разъём намекает, что это больше одноплатник, чем роутер.
Десять тысяч подсетей в address-list нормально себя чувствуют +\-. Тут дело именно в доменах, попробуйте на CHR команду из статьи, там около 550 доменов. И потом пустите трафик через этот роутер.
Чтоб было удобно писать посты в канал. Сразу пишешь в markdown, и он всё преобразует. А не выделяешь и потом тыкаешь мышкой или сочетанием клавиш. Bold, код, зачёркивание поддерживается, а ссылки нет. И нужно перед публикацией ещё сидеть несколько минут проставлять ссылки. Минусующие явно не ведут технический ТГ-канал.
Тоже вариант, особенно если не смущают пункты из "Зачем обходить блокировки точечно". Но даже при этом нужно иметь хороший VPN. В идеале failover между двумя и отключение обхода, если туннель упал.
Ко мне несколько раз приходили с вопросом "как отключить обход, если VPN упал?". Люди используют бесплатные, некачественные или тупо забывают их оплатить. И у них переставали работать часть незаблокированных сервисов из-за суммирования IP-адресов и использования подсетей. И при таком раскладе, если направлять весь трафик через VPN, будет вырубаться вообще всё.
Ну а в случае точечного обхода по доменам, отрубится только то, что и так не работало.
DNS пускать через VPN не очень идея по той же причине. DNS cервера Google и Cloudflare куда надёжнее, чем VPS за 3 бакса. А они ещё и бесплатные, можно подрубить кучу разных для отказоустойчивости.
Даже если у вас хороший VPN, острей встанет этот вопрос, когда его блокнут по протоколу)
Вы можете это всё накатить на виртуалку в том же VirtualBox. Ещё одну виртуалку рядом подключить как клиента через этот виртуальный роутер. И потестить всё, что вас интересует.
Если через Hetzner нет капчи, то проблема с С не особо проблема, даже если зайдёт в туннель.
Это универсальное решение, sing-box просто один из возможных вариантов для туннеля.
Конфигурить роутер через правила на роутере хорошая практика. Например, через Route rule можно заставить один хост в сети ходить полностью через туннель? Мой пример через стандартный /etc/config/firewall есть в соседней статье.
А как Route rule у этих утилит работает на роутере? Все пакеты через себя прогоняет и у всех смотрит заголовок? Если есть какая-нибудь дока по этой теме - буду благодарен. Скиньте полный конфиг для sing-box, пожалуйста. Интересно посмотреть, как это работает
С сайтом С не понял. Если IP известного ДЦ, то капчу выдаёт? Нужно только с домашнего IP ходить? C A, B. Тоже не понимаю, "не любить Россию" = Геоблок? Одно и то же для логики обхода.
Упрощаем: A, B - заблокированы. Надо гнать трафик через VPN. D - не заблокирован. Всё-равно как гнать в этом случае E - доступ только из РФ. Из таких сайтов знаю только ozon, но они поменяли политику несколько месяцев назад, как понимаю "Managed challenge" включили, мне всего один раз капча попалась. Есть ещё примеры?
Если у всех будет одинаковые адреса балансировщиков CF, которые занесены в sets, то да, все будут идти через туннель.
Проблема в этом случае только с E (опять же, примеры нужны) и C.
Чтоб адреса балансировщиков пересекались во всех случаях, ну это маловероятное событие.
Через sing-box можно разное поднять, что используется для прокси? И какой конфиг sing-box. Видимо, используется маскировка под сайт dl.google.com и она не работает.
Дело в количестве маршрутов. Если их несколько, то конечно можно с помощью ip route add, как в этом туториале для хоста antifilter. Но заблокированые ip адреса исчисляются десятками тысяч, поэтому ipset/nftables sets, либо bgp.
> Статья на Хабре, по которой я стал делать и понял, что так делать не надо.
Только сейчас увидел вашу статью. Вы используйте огромный мощный инструмент, который по итогу работает точно по такой же логике. В статье по ссылке предлагается конфигурить всё через обычные конфиги OpenWrt без зависимостей. Можно поподробнее, почему не нужно так делать?
Добавил, спасибо. Но для удаления прокси всё равно потребуется рестарт
Роутер, который хотят выпускать довольно специфическая железка всего с
двумя портами Ethernet. Похоже, будет что-то типа NanoPi R4S. Странный
выбор. Более востребован бы был обычный роутер с 4-5 портами Ethernet.
И M.2 разъём намекает, что это больше одноплатник, чем роутер.
Списки уже давно есть и вовсю используются. В статье про них речь. https://community.antifilter.download/
https://github.com/itdoginfo/allow-domains/blob/main/Russia/inside-raw.lst
Десять тысяч подсетей в address-list нормально себя чувствуют +\-. Тут дело именно в доменах, попробуйте на CHR команду из статьи, там около 550 доменов. И потом пустите трафик через этот роутер.
Важная деталь в том, сколько этих сотен. Если это сотня или даже две, то проблем, скорее всего, не будет. А вот где-то с 300 начинаются.
Теперь есть смысл. Добавил пример конфигурации для VLESS.
Чтоб было удобно писать посты в канал. Сразу пишешь в markdown, и он всё преобразует. А не выделяешь и потом тыкаешь мышкой или сочетанием клавиш.
Bold, код, зачёркивание поддерживается, а ссылки нет. И нужно перед публикацией ещё сидеть несколько минут проставлять ссылки.
Минусующие явно не ведут технический ТГ-канал.
Когда они дойдут до поддержки такой банальной штуки, как markdown для ссылок? Готов за эту "фичу" купить премиум.
Тоже вариант, особенно если не смущают пункты из "Зачем обходить блокировки точечно".
Но даже при этом нужно иметь хороший VPN. В идеале failover между двумя и отключение обхода, если туннель упал.
Ко мне несколько раз приходили с вопросом "как отключить обход, если VPN упал?". Люди используют бесплатные, некачественные или тупо забывают их оплатить. И у них переставали работать часть незаблокированных сервисов из-за суммирования IP-адресов и использования подсетей. И при таком раскладе, если направлять весь трафик через VPN, будет вырубаться вообще всё.
Ну а в случае точечного обхода по доменам, отрубится только то, что и так не работало.
DNS пускать через VPN не очень идея по той же причине. DNS cервера Google и Cloudflare куда надёжнее, чем VPS за 3 бакса. А они ещё и бесплатные, можно подрубить кучу разных для отказоустойчивости.
Даже если у вас хороший VPN, острей встанет этот вопрос, когда его блокнут по протоколу)
Вы можете это всё накатить на виртуалку в том же VirtualBox. Ещё одну виртуалку рядом подключить как клиента через этот виртуальный роутер. И потестить всё, что вас интересует.
Если через Hetzner нет капчи, то проблема с С не особо проблема, даже если зайдёт в туннель.
Интересно, насколько быстро это работает в сравнении с nftables sets. И как это всё с другими правилами в фаерволе взаимодействует.
Спасибо за конфиг. PassWall2 же много весит, сколько у вашего роутера памяти?
Это универсальное решение, sing-box просто один из возможных вариантов для туннеля.
Конфигурить роутер через правила на роутере хорошая практика. Например, через Route rule можно заставить один хост в сети ходить полностью через туннель? Мой пример через стандартный /etc/config/firewall есть в соседней статье.
А как Route rule у этих утилит работает на роутере? Все пакеты через себя прогоняет и у всех смотрит заголовок? Если есть какая-нибудь дока по этой теме - буду благодарен.
Скиньте полный конфиг для sing-box, пожалуйста. Интересно посмотреть, как это работает
Видимо, нужно настраивать sing-box под это дело, если он вообще это умеет. Я не настраивал это, не вижу на данный момент в этом никакого смысла.
Могу лишь посоветовать посмотреть документацию https://sing-box.sagernet.org/ и issues на гитхабе проекта.
С сайтом С не понял. Если IP известного ДЦ, то капчу выдаёт? Нужно только с домашнего IP ходить?
C A, B. Тоже не понимаю, "не любить Россию" = Геоблок? Одно и то же для логики обхода.
Упрощаем:
A, B - заблокированы. Надо гнать трафик через VPN.
D - не заблокирован. Всё-равно как гнать в этом случае
E - доступ только из РФ. Из таких сайтов знаю только ozon, но они поменяли политику несколько месяцев назад, как понимаю "Managed challenge" включили, мне всего один раз капча попалась. Есть ещё примеры?
Если у всех будет одинаковые адреса балансировщиков CF, которые занесены в sets, то да, все будут идти через туннель.
Проблема в этом случае только с E (опять же, примеры нужны) и C.
Чтоб адреса балансировщиков пересекались во всех случаях, ну это маловероятное событие.
Через sing-box можно разное поднять, что используется для прокси? И какой конфиг sing-box. Видимо, используется маскировка под сайт dl.google.com и она не работает.
Дело в количестве маршрутов. Если их несколько, то конечно можно с помощью
ip route add, как в этом туториале для хоста antifilter. Но заблокированые ip адреса исчисляются десятками тысяч, поэтому ipset/nftables sets, либо bgp.Крутой подход к решению проблемы с маленькими чипами! Со скольки на сколько перепаивали? Сколько такие чипы стоят?
Добавил, спасибо