Комментарии 122
На мобильных операторах у меня не работает (из-за 22 порта?)
Неделю назад купил себе роутер для openwrt. Заменить свой текущий по некоторым причинам не могу, а вот подключить роутер к роутеру ещё как😅
И вот что скажу, это восхитительная игрушка для человека, который далёк от всей этой настройки сетей и прочих сисадминских штук. Без иронии. Уже 2 раза сбрасывался до заводских ибо все сломалось. Очень нравится копаться во всем.
Тем, кто хочет обходить блокировки (собственно, ради этого и брал) советую гуглить в сторону PBR (Policy-Based Routing). С этим пакетом все делается мышкой и без заклинаний в терминале. Для новичков (как я) - самое то.
Почему бы просто не поднять OpenWRT в качестве какой-нибудь маленькой виртуальной машине на VirtualBox и просто на неё весь трафик отсылать? Это ещё дешевле...
Не у всех есть дома сервер. А роутер работает себе 24х7.
А причём тут сервер, я не рекомендую сервер дома ставить. Я говорю поднять виртуалку маленькую на своём компьютере. Компьютер же у всех есть? Или кто-то в 2024 выключает его, как раньше сотовые телефоны выключали на ночь и он не 24/7 работает? Ну можно перестать выключать, проблема-то... зато бесплатно) Хотя... вон сяоми ах3000т дешёвый вообще, для кого-то проще на него потратиться и поставить, чем не выключать компьютер) Тут каждому своё, конечно. Мне вот кажется, что виртуалку поднять и дешевле и проще (есть снэпшоты - не окирпичешь), чем покупать маршрутизатор и ковырять его ещё, а в случае неудачи дак вообще...
компьютере. Компьютер же у всех есть?
Не факт. Он не всем нужен.
и он не 24/7 работает?
А зачем? Кулеры гудят, спать мешает.
Компьютер же у всех есть? Или кто-то в 2024 выключает его, как раньше сотовые телефоны выключали на ночь и он не 24/7 работает?
Подозреваю, что под "компьютером" вы понимаете лэптоп
ну на ночь пока ютуб и т. д. не используется можно и выключать же... а просыпать его по lan с мобильника
Ну вот у меня нет компьютера, а роутер купил с опенврт, привез друга с компьютером, он настроил, отвёз друга. Так что виртуалка не вариант...
На телефоне и других устройствах тоже виртуалку поднимать?
У меня есть компьютер, да. И он обычно выключен. Работаем с женой на ноутах. Пару часов в день ноут включен. Комп включается раз в неделю. Не каждую неделю.
можно подробнее описать о чем вы? есть свободный miniPC дома. как реализовать?
можно эту идею в развернутом виде? Дома есть как-раз мини PC)
А можно подробнее?
А такое можно проделать если например есть тв-приставка Zidoo X8 на Android со встроенным в прошивку OpenWRT? Сама приставка подключена к роутеру по кабелю
del
Почему бы просто не поднять OpenWRT в качестве какой-нибудь маленькой виртуальной машине на VirtualBox и просто на неё весь трафик отсылать? Это ещё дешевле...
Или просто на WSL?
Судя по комментариям ниже, никто не знает, что это такое!
Плюсую.
Через pbr + dnsmasq-full + https-dns-proxy можно очень удобно заворачивать на любой интерфейс (т.е. любой VPN и т.д.) прямо по доменному имени. dnsmasq резолвит имя через шифрованный канал dns-proxy, pbr помечает полученный ip для последующего роутинга согласно настроенным правилам. CPU вообще не жрёт, и, немаловажно, прекрасно работает с SW и HW offload, в отличие от анти-DPI решений.
Минусы: бывают проблемы, если сервис комбинирует доменные имена или где-то делает редиректы.
"И вот что скажу, это восхитительная игрушка для человека, который далёк от всей этой настройки сетей и прочих сисадминских штук. Без иронии. Уже 2 раза сбрасывался до заводских ибо все сломалось".
Для разных экспериментов можно установить openWrt на виртуальной машине (например, VirtualBox).
Я рекомендую использовать для этого ImmortalWrt.
Какую модель и засколько купили, если можно?
Спасибо!
Скорее всего (на нескольких московских операторах сработало) youtube обходится без vpn, через абьюз dpi. В контексте openwrt - google("bol-van/zapret").
Согласен с предыдущим комментом, "bol-van/zapret" в плане фикса замедления Ютуба сейчас гораздо предпочтительнее, поскольку не требует трансграничных VPN, которые в случае массового их использования под тяжёлый(и не кэшируемый при таком раскладе) медиатрафик быстро станут новым замедлителем Ютуба и не только его.
А как насчёт роутеров Asus, на которые нет ни OpenWRT, ни DD-WRT? А именно - RT-N19. И менять на другой не хочется (железка-то вроде бы годная), и Sony Smart TV хотелось бы оживить.
А что если ключ в формате ssconf:// ?
В первый день, когда YouTube перестал открываться, я написал себе простой SOCKS прокси и proxy.pac, который только YouTube в него заворачивает (что интересно medium тоже через него заработал). Сейчас сижу через него, и пока он работает работает ставить что-то другое не планирую, тем более лезть в роутер с риском без интернета остаться.
У кучи хостеров, доступных к оплате из РФ, прокси запрещены правилами, зато запрещенные рекламировать три буквы у них же не запрещены. Так что ваш совет подойдет не только лишь всем.
мы активно используем SOCKS5 протокол - замечаем дропы пакетов, где-то немного, где-то может вообще просто упасть всё соединение, причем если пускать под VPN - с пакетами всё хорошо (при дополнительном оверхеде). Так что SOCKS протокол точно под вопросом - совсем не убили, но проблемы имеются.
Напишите подробнее о вашем решении
Если совсем кратко, то алгоритм такой:
Получаем запрос на соединение от браузера, обрабатываем его как обычный SOCK5 до установки соединения;
Вычитываем первые 1024 байта от браузера и передаем по одному байту на пакет (пассивный DPI не может склеить эти пакеты и найти в них имя хоста);
После первых 1024 байт остальной трафик идет как есть что получили то и отправляем;
Обратный трафик от сервера в браузер передаем как есть, без разбиения на маленькие пакетики.
Если интересно посмотреть код - вот репка (написано на Rust). Реализация находится в src/main.rs, логики там строчек на 50, остальное: протокол SOCK5 и обработка ошибок.
У меня он уже больше недели работает на двух компьютерах с Linux и Windows, за это время ни каких проблем с YouTube не заметил.
подскажите, пжл - я далёкий от IT человек
кое как разобрался с помощью гугла:
поставил rust на win10
cargo скомпилил no-dpi-socks, появилась папка target
захожу target\release и запускаю no-dpi-socks.exe
захожу в настройки прокси в винде->жму auto detect proxy+use setup script и вписываю URL ...\rust-no-dpi-socks-master\proxy.pac
youtube также не работает( в окошке no-dpi-socks.exe 0 инфы
что делаю не так?
В поле setup script нужно указывать URL, а не относительный путь к файлу на диске. URL будет выглядеть примерно так: file:///D:/my-path/proxy.pac. В начале префикс file:///, дальше полный путь к файлу через / (можно из проводника скопировать и заменить слеши). Альтернативно можете прокси в ручную указать без URL: host -127.0.0.1; port -1080; protocol - SOCKS5.
В окошке нет информации потому что по умолчанию логи отключены, нужно добавить переменную окружения RUST_LOG=no_dpi_socks=debug. Тогда программа будет обо всех событиях писать, но пока прокси не указан правильно там будет только информация на каком порту он запущен.
PS: если не получится настроить лучше напишите в личку или в Телеграм.
я не программист от слова СОВСЕМ) подскажите пожалйста - можно ли это реализовать на роутере с openwrt?
Добрый день, возможно ли при таком варианте удалить один конкретный адрес проксирования и пускать его напрямую без VPN. (скажем, сам google.com, если IP-адрес VPS в серых списках google и при каждом запросе требует ввести captcha.)
По идее фильтрами BGP должно получиться. Но я хз как это настроить на OpenWRT.
конкретный IP адрес или подсеть можно направлять через шлюз по умолчанию путём добавления статического маршрута, через веб это Сеть - Статические маршруты и добавляете Назначение (IP адрес или подсеть), маску подсети (можно пропустить если подсеть указана с /, как 192.168.7.0/24), шлюз и интерфейс (интерфейсом будет например wan, а шлюз можно посмотреть на главной странице или в настройках интерфейса wan, его указывать чаще всего необходимо)
добрый день) по гайду все работало, но стало вылетать с учетки IPTV . Походу трафик от него тоже через впн идет. Как это пофиксить ? А если остановить в роутере tune2 то вообще потом половина сайтов не работает) можете какой нибудь гайдик набросать если не трудно)
Добрый вечер.
Есть инструкция, как отдельные IP из локальной сети пускать только по дефолтному маршруту? (в сети есть почтовый сервер, который перестал принимать почту с gmail)
Теоретически возможно.
По идее в туннель идёт не всё а только по спискам. При желании можно исключить определённые адреса/сети из импорта по BGP. Не уверен потому что на практике не встречал частичные коллизии и не знаю как себя поведёт.
P.S В изначальной версии конфига для статьи @itdog было что то типа защиты от дурака, чтоб внутренние сети по случайности не заворачивать в туннель.
Касаемо опроса: решил проблему другим способом, не указанном в вариантах
vpn с выборочной маршрутизацией (dnsmasq+ipset) на забугорном vps у меня уже давным-давно используется. Просто добавил домены ютуба в конфиг на роутере, да и всё. И все устройства в локалке сразу охвачены — дектоп, смартфон, телевизор.
аналогично:)
т.е. трафик на сервера ютуба идёт через VPS? друг подсказывает, что когда он так делал, то в ютубе реклама появилась.
без премиума её не вырезать в телевизорах, телефонах (ну или точечно, или городить всякие pi hole, которые работают не идеально).
А способ автора позволяет сделать также - ходить через VPN на сайты только из списка, а на остальные - обычно?
Использую zapret на tp-link mr3020. По командам curl видно, что замедление есть и zapret помогает его обойти (запускаю при остановленном и включенном zapret). Но у меня сейчас мобильный Мегафон и Ютуб отлично работает без всякого обхода, напрямую. (Интересно, как такое может быть?)
По моему мнению zapret идеальный способ (не надо использовать внешние сервера).
Хотелось бы только решить вопрос с просмотром сайтов, которые zapret не позволяет смотреть (которые заблокированы с той стороны, например, intel.com). Как можно выборочно смотреть отдельные сайты через туннель (ВПН)? Желательно на устройстве с 8/64 мб (флеш-память/ОЗУ).
На мобильных работает нормально, потому что товарищ Хинштейн так и обещал (в основном создать проблемы на стационарном подключении).
Как можно выборочно смотреть отдельные сайты через туннель (ВПН)? Желательно на устройстве с 8/64 мб (флеш-память/ОЗУ).
Создаём отдельную таблицу маршрутизации с default route на vpn
Загоняем нужные хосты в ipset(nftset) (удобнее всего с помощью опции ipset/nftset dnsmasq. В openwrt эта опция доступна в пакете dnsmasq-full)
В iptables/nftables/правилах fw4 назначаем трафику к хостам из этого ipset fwmark
В правилах маршрутизации назначаем пакетам с этим fwmark таблицу маршрутизации из первого шага
Вот и появилась главная причина перешить мой старый MikroTik в openWrt.
Vpn generator не подходит для ютюба, там скорость максимум мегабайт в секунду.
мегабайт в секунду - это не так уж плохо.... но да 4K не посмотришь, да FHD скорее всего тоже (но может и хватит на FHD при 25 кадрах в сек и глубоком сжатии Youtube, главное, чтобы просадок скорости часто не было - на пребуферизацию скорости может не хватать - и придётся понижать качество до 720p и ниже).
Альтернатива - скачивать ролик перед просмотром! Но.... далеко не на всех умныхTV такое возможно :-(
я видеокарточку за 50к купил, потому что гугл поменял видеокодек и у меня начали тормозить ролики 4к 60fps. Для меня хорошая картинка очень важна.
У каждого свои заморочки! А капканы для всех единые.... ну или не совсем для всех....
Жесть. Ну, хорошие кодеки в Intel видеокартах (по крайней мере для YouTube с запасом и на надолго хватило бы). Например, arc a310 я себе брал как основу для рабочего компьютера.
Почтенная видюха RX580 с 4ГБ видеопамяти покупал за 7к рублей, ОС Linux Mint 20.1, свободный видеодрайвер mesa.
Видео с Ютуба 4к 60fps летает прямо в веб-браузере Chromium без малейших лагов...
интересно, у меня наоборот на процессоре intel 10го поколения хардварно только av09 от ”high quality” опции есть, а вот все что ниже - av1, греет процессор.
Решил переездом в другую страну)
Автор, вы сделали инструкцию для «неопытных пользователей», но не объяснили как собственно работает схема: При чём тут BGP, какова роль neighbor 45.154.73.71 as 65432, etc.
Второй вопрос - почему ваш скрипт скачивает бинарники из гитхаба, а не устанавливает из репозиториев openwrt или других.
Здравствуйте, сделал, спасибо за уточнение, погружаться в особенности настройки BGP неопытному пользователю не предлагаю, так идея обойти блок, а не разобраться как BGP работает. Neighbor 45.154.73.71 это адрес BGP сервера Antifilter.download, 65432 номер автономной системы (их может быть несколько на одном IP). Бинарники скачивает потому что пакетов на openwrt нет, нужно собирать, бинарники собраны мной
Чета както мудро, если на компе, то проще поставить расширение которое обходит блокировку. Я установил это https://chromewebstore.google.com/search/RuDostup.ru, ваще норм пока что, бесплатно и никаких танцев с бубном
Автор, спасибо за простое решение -- долго искал.
Увы, есть нюанс - у меня пропал доступ к 192.168.1.1. Подскажешь как вернуть?
На VPSине собрал OpenConnect с камуфляжем (и аутентификацией по сертификатам), дома поднял виртуалку в которой стоит openconnect + ocproxy (это SOCKS5 прокси, которая поднимается самим клиентом - очень удобно это всё поднимать автоматически после перезагрузок именно с сертификатом + оно само поднимается при случайных разрывах связи), рядом стоит privoxy для тупых того что не умеет SOCKS5 + для тех клиентов что умеют работать со скриптами автоконфигурации написан proxy.pac на три десятка строк с обходами для всяких инстаграмов-линкединов и прочих мест где можно легально скачать линукс-дистрибутивы.
Как настроить роутер так, чтобы он ходил через VPN только на сайты по списку, а на остальные сайты ходил как обычно.
Если без дополнительного инструментария - то писать статические маршруты к хостам или сетям. https://bgp.he.net в этом отлично помогает - в поле Search пишете сайты, ищете A записи в результатах, это будут хосты. Если нажать на хост - вам покажут сеть, к которой он принадлежит. Правда, такое решение годится для небольших объёмов, потому как уже при нескольких сотнях таких маршрутов их ручная поддержка становится утомительной.
Правильно писать «рутер» или «маршрутизатор».
Super Simple Clash – https://github.com/zerolabnet/ssclash
+
Ultimate Antifilter – https://github.com/zerolabnet/ultimate-antifilter
у меня роутер на 23.05.4. В разднле "менеджер пакетов" есть возиожность установки пакетов через web-интерфейс роутера. Три необходимых пакета без проблем установились. Какую ссылку нужно прописать для установки пакета socks ? Можноли дальнейшуюмнастройку селать через Web роутера?
Так, а как мне в набор сайты intel.com доавить, чтобы без бубнов качать дровишки посвежее?
В телефоне через мобильный интернет+OpenVPN c антизапретом на удивление работает ютуб. В компьютере решил вопрос расширением ЮБуст для браузера - однокнопочное решение без танцев с бубном. Конечно, надо бы реализовать на уровне роутера, но подожду более простых решений, да и роутер яблочный особо ничего не позволяет с ним делать.
Доброго вечера уважаемые ITшники!
Не могу взять в толк, для того чтоб обходить блокировки я бы хотел использовать OpenVPN.
На роутере есть VPN сервер и VPN Fusion (Client).
Все для настройки VPN на роутере прутся приобретать VPN (неважно какой) или поднимают VDS/VPS.
Не могу понять, нельзя сделать все на роутере?
Чтоб роутер сам ходил на OpenVPN, строил туннель в мою локалку (WI-FI), то есть чтоб провайдер видел что гуляет трафик, но что то там я делаю он не понимал, соот-но чтоб работало все от инсты, но ютуба на тивилизере?
После установки данного решения сайт drive2.ru начал отвечать 403 хотя в теории его никак не должно было затронуть тк он не запрещен. Как мне внести изменения в список сайтов на которых распространяется впн?
После вчерашнего обвала инета . Ютуб снова умер через финский впн
Если речь идет не только про ютуб, но и про сайты, которые блокируются обеими сторонами, то самое универсальное решение на мой взгляд - это VPS сервер с внешним импортным IP.
В этом случае появляется возможность работать не только в домашней сети, но и на телефоне, или в дороге с ноутбуком, подключаясь к любому wifi.
На vps сервере стоит Linux, хостинг не рекламирую.
В моем случае установлены 2 VPN: Wireguard (раньше использовал StrongSwan) и OpenVPN.
Настроен resolved с DNSOverTLS, ну и на роутере в домашней сети тоже настроен DOT.
Еще я установил 3proxy, очень удобно, если работаешь из дома, чтобы не переключать весь трафик ПК на VPN, а только трафик браузера (в браузере есть плагин Proxy Switch). У меня VPN с работой и гонять его еще через один VPN такое себе.
OpenVPN я использую для организации туннеля от VPS к своему серверу (Raspberry pi) на котором есть мой личный сайт. Мой провайдер не выделяет внешние IP, поэтому пришлось мудрить. Организовывать для него отдельный хостинг – это еще расходы. Так как этот VPS я выбрал самый дешевый, на нем небольшой объем диска, поэтому я решил не переносить туда сайт, а сделать через туннель с пробросом трафика. Сам сервер VPS достаточно быстрый, используют его несколько человек одновременно с телефонов, с ПК + этот туннель. Стоить это будет ориентировочно 50 E в год, кстати хостинг еще предлагает свой DNS сервер бесплатно, если для сайта не хочется городить свой на сервере. Для управления сервером есть WEB панель. В общем вот такая экзотика получилась.
Всё получилось, хоть совсем тьма для меня эта область. Подскажите, пожалуйста, как потом можно поменять ключ на другой? Если снова через скрипт, не будет он захламлять память роутера дублируя проги?
И как можно удалить при необходимости всё установленное?
Может кому пригодится - список недорогих роутеров (а также таблица с их техническими характеристиками) с поддержкой OpenWrt, которые можно сейчас купить в России.
@Andrevich большое спасибо за статью, всё по ней работает, вопрос как добавлять свои хосты, чтоб тоже шли в VPN например для решения проблем с *iscord или иными приложениями, списки адресов есть, либо есть проекты, которые собирают адреса в кучку,
я так понимаю нужно создать IP Set, начать маркировать трафик из этого IP Set и маркированный траффик отправляем уже в отдельную таблицу маршрутизацию, которая уже указывает на tun1 или как-то иначе нужно решать эту проблему?
Сайт Antifilter.download - как раз такой проект и там allyouneed.lst. Eго могут тоже заблокировать. Поэтому сначала в ipset добавляете DNS серверы, которым можете доверять, и на которые настроен у вас DNS, потом через них достаете адрес(а) Antifilter.download, их добавляете в ipset, и потом скриптом на регулярной основе пополняете свой ipset данными оттуда. Учтите, что собранные ими в кучку ради экономии большие диапазоны адресов накрывают в том числе множество российских сайтов, которые вас потом не будут пускать с иностранного адреса. Поэтому нужен второй ipset, в который вы будете добавлять адреса таких сайтов (иногда даже диапазоны), и по которому маркировка трафика должна сниматься (через "and 0" для маркера).
Всем привет! После остановки сервиса BIRD весь трафик должен идти в SS? У мея после остановки все перестает работать.
Привет! Еще вопрос, tun2socks выедает память, пока не зависнет роутер. Что то можно сделать?
Можно попробовать уменьшить буфер и посмотреть изменится ли что-то Memory Optimization · xjasonlyu/tun2socks Wiki
К сожалению, не одна настройка не помогает - ни автотюнинг, ни зарезание буферов до 64кб. И это при том, что оперативки 512Мб. Вроде работает-работает потихоньку то подъедая, то освобождая память, а потом лавинообразно выжирает всю и падает. Перешел на v2raya, доволен, как слон. Он, конечно, до памяти больно охоч, но не падает, и действительно здорово настраивается. Заодно хочу поблагодарить за полезнейшие статьи.
Да, уже ставил 16К, гдето помогает, гдето нет. Но самое главное SS заблокировал МТС в Москве, как по оптике, так и по соте.Надо делать такое же простое рещение для VLess(((
У кого не работают настройки меняем на neighbor 45.154.73.71 as 65432; на neighbor 165.22.127.207 as 65412 в /etc/bird.config
Решаем проблему блокировок (и YouTube) за 5 минут на роутере с OpenWRT