Комментарии 8
Так себе идея создавать правила фаервола таким образом. Лучше поставить пакет nwan3 и gui к нему (luci-app-mwan3) и настроить его. Будет намного удобнее писать правила какой трафик куда слать (это если соксов несколько, и устройств тоже) и даже балансировать нагрузку (пускать один девайс сразу в несколько соксов). Да и ваш скрипт сломается если mwan3 уже установлен.
интересный вариант, спасибо (узнал про nwan3, буду иметь ввиду). Правда, кажется применим для более мощных роутеров, которые помимо раздачи проксированного wi-fi делают что-то ещё. моя концепция - тяп-ляп сделали коробочку на чистой системе, которую воткнули в локалку и она раздаёт проксированный wi-fi, лазить и настраивать правила на регулярной основе не нужно. Ну и следует учесть, что один инстанс tun2socks может кушать под 60+мб оперативки, поэтому не только лишь каждый роутер вытянет несколько соксов
tun2socks отъедает намного больше ресурсов (особенно ram) чем mwan3, который запросто работает на довольно слабых девайсах.
Я делаю так: на каждый сокс запускается по экземпляру tun2socks с разными tun*, на них назначется по интерфейсу (статический ip/30) и на каждом default gateway с метрикой >1. Они прописываются в mwan3, в нём дефолтное правило: всё что пришло с wifi пускать в любой рабочий сокс. Для отдельных девайсов своё правило если нужно выбрать один конкретный сокс. Mwan3 следит за живостью соксов (посылая периодически http в инет (нужно установить пакет httping)), и не пытается слать пакеты если сокс дохлый.
красивое:) для полного счастья не хватает конфига соксов через вебморду + разный вывод dns для разных девайсов (если например соксы разных стран и хочется избежать dns leak). как вариант, отдавать разные локальные адреса в качестве резолвера, а трафик с них пихать в соответствующий туннель..
а не подскажете, для общего развития - какое железо используете и сколько инстансов tun2socks?
Обычные "роутеры" из магазина - 0 (не хватает ram для tun2socks). На перешитом микротике - 1. OpenWRT в виртуалке (kvm) на самом дешёвом хостинге - 4 но это далеко не предел ( и на нём же ещё v2ray/websocket/nginx).
Насчёт dns - есть грязный хак: пропускать через тот же сокс (не все соксы умеют udp, и каждый раз надо искать подходящий dns (если брать провайдерский) который будет доступен с того сокса). Это работает, но заемучашся при каждой смене сокса подбирать dns. Проще и удобнее прописать взятый с opennicproject для 99% целей это годный вариант.
спасибо. я когда-то для проекта думал брать роутербокс (платформу с али "под пфсенс"), но проект в итоге в массы не пошёл. удивлён, что не один я перешивал микротики под openwrt :D думал я один такой дурачок :D
по dns мне вот очень зашёл вариант с DoH. не надо подбирать подходящий днс, не надо искать сокс с udp, всё идёт через tcp. Кажется чуть более изящное решение
В KeeneticOS начиная с 3.9 есть поддержка socks/http proxy как полноценных интерфейсов.
Публикации
Wi-Fi через прокси без шума и пыли (почти)