Как завернуть трафик Wireguard через shadowsocks на роутере

[MountainGoat]

Придумал бы кто-нибудь способ наоборот. То есть: имею сервер Wireguard, но подключаться хочется через прокси, чтобы не весь трафик туда отправлять, а до определённых доменов. Ничего разумнее локального контейнера докер с Privoxy и клиентом Wireguard пока не придумал.

[entze]

https://github.com/pufferffish/wireproxy
не совсем то (в плане разруливания по доменам), но позволяет поднять WG как прокси-клиент. Потом уже хочешь браузер, хочешь Curl.
Можно сослаться в конфиге на conf от WG.

[MountainGoat]

Попробовал - не работает. Страницы открываются, а скачивание чего-то большого или просто большие картинки обрывают соединение.

[DennoN]

у меня разделение на то куда направлять трафик сделано через маршруты на самом роутере. bird ими управляет. скачивает по bgp список, и направляет в wg. + можно накастомить и указать свои ip адреса. ну а все клиенты роутера уже через роутер и идут либо в тунель, либо в провайдера

[DennoN]

ага. если что смотреть сюда https://github.com/DennoN-RUS/Bird4Static/wiki

там раз в час по умолчанию идет резлов доменов, которые в ручную в файл внесены. Но для cdn такое не подходит, сразу говорю.

ну или просто тот же iprange прикрутить на добавление маршрутов

[vasek00]

Речь ниже о роутере Keenetic и много примеров на forum.keenetic.com

Adguardhome + ipset, в файле ipset conf описано domen.com/filter1, domen1.com/

filter2ipset: []
ipset_file: /opt/home/AdGuardHome/ipset.conf

а filter

ipset create filter1 hash:ip hashsize 4096

Далее уже как хотите любым удобным вариантом маркировки или готовый список загоняете IP

iptables -t mangle .... -m set --match-set filter1 dst -j MARK ....

промаркированный в нужную таблицу маршрутизации

ip rule add fwmark .... table ....

В место Adguardhome можно ipset-dns то же самое, но в отличие от Adguardhome нет сервиса блокировки рекламы. Данные сервисы есть в наличие в Entware как для mips так и для arm процессоров.

Так же имеется в строенный прокси сервис из прошивки, можно создать профиль в него клиента и в этом профиле только канал от прокси. Тут есть так же варианты так как для данного сервиса прокси используется tun2 sock -> есть IP на данный сервис, а раз есть IP то могут быть и варианты

...--http-server-addr хх.хх.хх.хх:80 --tundev t2s_px0 --netif-ipaddr 172.20.12.1

[Sensuyaki]

https://github.com/qzeleza/kvas

[mercurykd]

а без роутера если? как выглядеть будет?

выглядит так будто бы достаточно ендпоинт поменять на локальный сервер СС, а в СС добавить туннель для вг-порта, правильно?

[DennoN]

да, верно. просто поднимаем ss-tunnel на клиенте, на сервере ss-server. и вг направляем на порт ss-tunnel, который уже сам переадресует на вг

[XOR2048]

Shadowsocks не выход, если делать какие-то предположения на будущее, так как его умеют вычислять и блокировать (если мы говорим про РФ, то уже были успешные не массовые тесты), но как выход в текущей ситуации, достаточно неплохо.

[DennoN]

да, если его начнут блочить, то в какую сторону смотреть? кроме смены места жительства)

[XOR2048]

Если говорить про маскировку VPN трафика в целом, то можно смотреть в сторону Cloak, VLESS и прочего (на Habr есть отличная серия статей на этот счет - 1, 2, 3, 4).

Если важно маскировать именно WireGuard трафик, то очень неплох wstunnel.

[DennoN]

спасибо! про wg и wstunnel интересно. ппробую на досуге)

[Ryav]

Ну как?

[DennoN]

попробовал, взлетело без проблем по примерно той же схеме. но скорость еще ниже, чем под шедоусокс. надо попробовать этот туннель поднимать на чем-то более мощном, чем проц роутера)

[dtkbrbq]

Роскомпозор сейчас душит VPN через мобильных операторов, xray(vless) прекрасно при этом работает.