Комментарии 45
Прецедент Алешандри ди Мораиса Вас не пугает? Догоним и перегоним Бразилию!
А есть рецепт для NAS-сервера с Докером? У меня настроен VPS с VLESS и дома жужжит NAS от Synology с парой образов на Докере через докер-композ. Хотелось бы узнать надежный клиент, чтобы раздавал локально прокси. Ну и заодно как тот же телевизор через него подключить.
Создаёте tun-интерфейс, прописываете ему айпишник.
Прописываете дефолтный маршрут через этот интерфейс с метрикой 1.
Прописываете ещё один дефолтный маршрут через основной физический интерфейс (в интернет), но в отдельной таблице маршрутизации.
Запускаете tun2socks и направляете весь трафик через tun-интерфейс в локальный прокси.
С помощью uidrange прописываете правило, чтобы весь исходящий трафик от пользователя с определённым id шёл через физический интерфейс (через отдельную таблицу маршрутизации).
Запускаете 3proxy от имени этого пользователя.
Примерно так:
#!/bin/bash
sudo ip tuntap add mode tun dev tun0
sudo ip addr add 10.10.10.10/24 dev tun0
sudo ip link set dev tun0 up
sudo ip route del default
sudo ip route add default via 10.10.10.10 dev tun0 metric 1
sudo ip route add default via 192.168.0.100 dev eth0 metric 1 table 110
tun2socks -device tun0 -proxy socks5://127.0.0.1:1080
sudo ip rule add uidrange 1001-1001 lookup 110 pref 29000
pkexec --user 3proxy_user ./3proxy ./config.txtАлгоритм взял отсюда. В телевизоре просто прописывается шлюзом айпишник, который прописан у NAS на физическом интерфейсе.
Альтернативный вариант - через поднятие DNS-сервера + XRay. Тогда в телевизоре надо будет айпишник NAS прописать в качестве DNS.
Не уверен, что первый вариант взлетит на Synology. Там нужно именно что-то на докере. А вот во втором вижу образ с Xray. Понял как его сделать для DNS, но можно ли через него и классический прокси сделать? Ряду моих приложений в настройках нужен именно прокси - HTTP или Socks.
Да, можно. Вот конфиг для Socks:
{
"inbounds": [
{
"listen": "192.168.0.100",
"port": 1080,
"protocol": "socks",
"tag": "socks"
},
"sniffing": {
"enabled": false,
}
],
"outbounds": [
{
"protocol": "vless",
"settings": {
...
}
}
]
}Ага, понял. А если я в listen пропишу 192.168.0.0, то тогда к проксе смогут подключиться только устройства в моей локальной сети, верно?
В listen прописывается айпишник интерфейса, который будет прослушивать XRay. Если нужно ограничить устройствами внутри сети, то это прописывается в "routing" → "rules":
{
"inbounds": [
...
]
"outbounds": [
...
]
"routing": {
"rules": [
{
"type": "field",
"port": "1080",
"outboundTag": "proxy",
"network": "tcp",
"source": [
"192.168.0.0/24",
"192.168.1.0/24"
],
"inboundTag": [
"in"
]
}
],
"domainStrategy": "IPIfNonMatch"
}
}
Статья ориентирована на обычных людей
К сожалению, это по прежнему все очень сложно для обычных людей.
Обычным людям нужно просто воткнуть в розетку волшебную коробочку и чтоб все стало хорошо как прежде. И чтобы еще и недорого.
Сейчас какраз занимаюсь подобным проектом. Суть в том чтобы подкинуть в домашнюю сеть самую дешевую "малинку". И она будет дирижировать траффик - основной шел как обычно через имеющийся домашний роутер, а какие захотят домены чтоб прогонялись через слово_из_3х_букв. Ну и конечно абсолютно любое устройство сможет этим пользоваться. Просто подключился к домашнему wifi (или кабелем) и больше ничего не нужно.
По цене выйдет относительно приемлимо: ~2тыс за любую малинку на авито и плюс ~100р/мес за то самое окно в Париж.
Уже все опробовано и отлично работает. Сложность лишь в том чтоб все это максимально упростить для конечного пользователя. Нужно максимально автоматизировать, чтоб пользователю как можно меньше пришлось вводить страшных комманд и всяких цифр непонятных (ip адресов).
Это отличный вариант! Сам размышлял на эту тему. Тут ещё на хабре недавно вышел цикл статей про ультрабюджетный Мурмулятор (Raspberry Pi Pico) - вот думал, можно ли на чём-то подобном такую штуку сделать... Желательно, чтобы оно и само могло трафик модифицировать, и отправлять нужные домены на три буквы.
Сделать можно все что угодно, вопрос лишь в UX
Чтобы от пользователя нужно было минимум взаимодействия.
К примеру что делать с vps? Допустим ткнуть пользователю пальцем в несколько подобранных вариантов, расписать кратко куда там жать, чтоб он только зашел, оплатил, получил данные vps и все. Дальше нужно за него все полностью там настроить от и до. Заставлять его вводить простыни комманд (и иметь огромный шанс, что он что-то запорет) не вариант.
Т.е. с малины нужно запускать некий скрипт, который возьмет данные его vps, сам подключится, сам все установит, получит обратно ключи и т.д.
Сложностей вроде никаких, просто довольно много работы. И плюс оформлено все должно быть в конечном итоге красиво в виде сайта, а не тяп-ляп.
Надеюсь сильно не затянется, позже что-нть да рожу тут в виде статьи.
Еще сильно осложняется тем, что малин бывает много разных версий, могут быть и альтернативы (orange pi, tinker и т.д.). Домашних роутеров есть огромнейший зоопарк. От роутера желательно иметь доступ к его DHCP, чтоб не пришлось на каждом клиенте вручную вводить ip малины для шлюза и dns. И использовать wifi малины для подключения клиентов - тоже не вариант, т.к. он значительно хуже любого домашнего роутера.
А сделать нужно максимально универсальное решение, чтоб работало почти у всех.
Как вариант, можно просто в каждом экземпляре прописывать данные отдельного (заранее настроенного) VPS, и включать этот отдельный VPS в цену устройства. Ну либо, если клиент не хочет, то продавать без данной функции, просто с модификатором трафика на борту, и всё. Тогда ему вообще ничего настраивать не надо будет.
А вот с DHCP сложнее, конечно... Есть коробки с двумя Ethernet-портами, но они дороже.
Цели продавать что-то (софт или "коробки") не стоит. Можно проморгать момент когда это станет наказуемо (может даже уже).
Полностью opensource, чтоб кто угодно смог купить себе любую raspbery, nuc, itx или использовать уже имеющееся что-угодно, хоть древний ПК любой. Взять любой какой захочет самый дешевый vps. Установить с github, настроить под себя и пользоваться.
Потому как то что сейчас - это жесть...
Кто-то осилит все эти анти-dpi и гордо пользуется. Но далеко не все могут. Кто-то просто платит за готовое решение из 3х букв на телефоне и... приходится постоянно включать/выключать его и нет возможности использовать на каких-то хитрых устройствах типа телевизора старенького.
Цель сделать проще и гораздо удобней.
Я не сильно не понял, всегда сеть была отдельным элитным призванием, даже на погромисты "дёмок на асме" не всегда могли понять в глаза границу инкапсулированных матрешек пакетов, не говоря о керберосе и атм, у них появлялся запах сгоревшего бекона и пот на лбу, как будто это квантовая механика гравитационных петель... а сейчас любая шлюха с партаками на крестце включает луковый тор на телефоне и продает себя на сайтах потных бухгалтеров из Детройта.
Это неприемлемо, надо всё вернуть взад. Чтобы за скачку ролика давали жирным, бородатым, не моющимся админам в тельняшке, у которых изо рта пахнет миазмами удавленных крыс.
А вы хотите продавать шлюхам кнопку! Эти админы сами побегут куда надо и вас сдадут, шлюх тоже, кстати...
Это всё смешно, конечно, но ваши экзерсисы дадут власти ещё повод закрыть вообще всё. Окажемся мы не в Китае, даже не в Иране, а где-то на Нептуне, где связь с миром только по контрабасом через мулов идет в горах раз в десять лет. А власть не отдают голосованием, это к вопросу маленьких наших друзей из планеты, где пони пукают радужными пузыриками.
Очень буду надеяться, что к ближайшем 2025 такое появится на алике или озоне с инструкцией на флешке. Или это будет небольшой планшет с готовыми командами. И оплатой через сбп смену региона для ключа.
А пока что... Жаль никто не может переделать китайскую прогу и удалить из неё троян... На ней бы тогда давно висели миллионы людей.
Очень ждем статьи от вас с описанием решения ) Малинки уже закуплены
Кто-нибудь напишите, такое же решение только на Ubuntu. 3 день уже мучаюсь.
К слову, у zapret есть виндовс билд, и он ровно так же работает на мануалу предложенному автором goodbyedpi, как и сам goodbyedpi. Себе закрутил (аптайм уже несколько дней) днс прокси с goodbyedpi (и тестил zapret) на старом ноуте с разбитым экраном, на 2х ядерном n3350. Powertunnel и ByeDpi на моих гаджетах работают почему-то нестабильно, тогда как goodbyedpi (и zapret) работают безупречно на всех моих пк в домашней сети.
Интересно попробовать ещё ваш метод, спасибо.
Разумеется, это всё несерьёзно, и зарубежный vps решает, но пока работают локальные методы, буду использовать их.
А что делать с меняющимся ip компьютера, если мы используем способ раздачи vpn с компьютера? Неужели вводить каждый раз на телеке заново после перезапуска?
Hi
Что можно с этим сделать -
Комп с адресом -
hyper подключение -
Что то упустил в настройках?
Hyper-подключению надо тоже основной шлюз прописать 192.168.1.1
UDP is not enabled - так и должно быть?
В настройках (шестерёнка -> Settings) надо снять галочку "Do not forward UDP", если она стоит. Если снята, то, возможно, брандмауэр или антивирус не пропускают UDP, можно попробовать их отключить. Если телевизор и так работает, то можно и оставить как есть. UDP нужен для торрентов, звонков по скайпу и т. д.
Спасибо
UDP relay...Unpassed! Так и осталась. Брэндмауэр win 10 - отключен. Телек не работает. Очень долго открывается ytb загружает ролик и зависает. Может в роутере port forwarding нужен?
А TCP в итоге проходит? На компе GoodbyeDPI ютуб разблокирует при включённом SSTap? На телевизоре какой шлюз прописан?
Проходит TCP - Судя по тому что телик криво косо пытается работать - то проходит. На телеке прописан шлюз - физический порт в компе - 192.168.1.136 На компе Goodbay работает - разблокирует
Там в SSTap если на молнию нажать, должно показывать про TCP зелёненьким. Именно при запущенном SSTap ютуб на компе работает нормально? То есть если вот сначала его запустить, потом браузер открыть и на ютуб перейти. Потому что может быть проблема в том, что увеличилось количество хопов из-за прокси, тогда в гудбай надо просто добавить параметр --auto-ttl. Тут UDP ни при чём. Но почему он не проходит - это тоже странно, должно проходить.
Вот так - start "" goodbyedpi.exe -1 --auto-ttl --dns-addr 77.88.8.8 --dns-port 1253 ?
Инет отваливается на компе при работе SSTap. TCP зеленый
А как именно отваливается? Само подключение отключается или просто сайты перестают открываться? Если второе, то надо пробовать разные настройки гудбая. И последнюю версию скачать - https://github.com/ValdikSS/GoodbyeDPI/issues/378
Можно ещё вместо --auto-ttl попробовать --set-ttl и подобрать цифру (например, у меня работает --set-ttl 6).
Если TCP зелёный, это значит, что интернет работает. И при отключённом гудбае сайты должны открываться (которые незаблокированные).
Сайты не открываются все. Попробую
Нет. Инет не работает на компе при запуске SSTap, дело не в гудбай
А без запуска SSTap, если просто прописать в настройках браузера прокси 127.0.0.1:1080? Если тоже не работает, то надо ещё раз проверить настройки виртуального подключения (IP, шлюз).
Браузер не поддерживает SOCKS5, поэтому в конфиге 3proxy надо заменить socks на proxy и добавить номер порта, вот так:
proxy -p1080 -e192.168.1.102
Я, похоже, понял. Нужно в виртуальном подключении прописать и DNS тоже (как в основном).
Спасибо. Извиняюсь что долго. На компе инет перестал отваливаться при работе SStap. Но на телеке не работает инет. Вот на sstap подключении что написано -
На тв следующие параметры подключения
IP 192.168.1.139
255.255.255.0
192.168.1.136 шлюз
DNS 8.8.8.8
А во вкладке "Доступ" у SSTAP 1 какое подключение расшарено?
Основное Ethernet
А на телевизоре помимо ютуба другие вещи, связанные с интернетом, работают? Если на компе параллельно запущен торрент-клиент, то надо его отключить. Также для тестов можно подключить к тому же роутеру по вайфаю смартфон и прописать ему в качестве шлюза 192.168.1.136. И проверить, открываются ли на нём сайты (с отключённым гудбаем, с включённым гудбаем).
Да.
Как раздать модифицированный трафик с компьютера на телевизор за роутером