Комментарии 159
AX3000T спокойно шьётся через XMIR-patcher за минуту. Тем более с последней версией OpenWRT, где он добавлен официально.
Это пока что, пока не выйдет очередная ревизия, raspberry,? Есть варианты пр лучше, banana pi bpi-r3, r3 mini, r4, вот как раз r3 mini рассматриваю к покупке домой, filogic 830. 8gb emmc, 128 nand и целых 2гб озу, при условии что для точечной маршрутизации требуется много озу, а у sign box ещё и память течёт на роутерах с 256 он зависает. То в целом отличное решение, как общий фаервол и маршрутизатор.
Уже появляется Xiaomi ax3000t "версия RD03V2 - новая ревизия на Qualcomm. Нет и не будет OpenWRT". +там разные свитчи и тп внутренности, часто перепрошивка чуть не программатором. Да и сколько лет их мучать? +Там порты медленные, оперативки отжлобили 256, размер крупный и совсем не портабл. Новые be5100 xiaomi чуууточку дороже на озоне(3 vs 4+), если бы не квалком и тп броадкомы и реалтеки SoC(( \
Кстати, недавно Cudy, Gl-inet и тп обновки wifi7 be смотрел, блин, разочарование! Если не квалком, так броадком 4*A7, ну хоть не огороженый mips без кастомов((
А WiFI7 медиатек недорогие(не про топовые Филоджик 880 в лице хотя бы banana pi r4, там компактного роутера по размерам как Bpi r3 mini нет на 4*A73+10G+m.2... А стоят +-=) теперь не медиатек, а Airoha AN7563PT 2x1.0GHz, которые без прошивок, и непонятно, появятся ли когда-то. xmir-patcher и тп пока работает, да, но не везде сразу и тп.
Ага, появляется новая ревизия, да только пока ни одного реального девайса этой ревизии никто не видел - это стоит иметь в виду и проверять ревизию при покупке. Про прошивку с программатором вы конечно загнули, там делов на 5 минут с xmir патчером или вручную с несколькими curl запросами. А разные свичи и чипы памяти - так давно уже есть прошивки, где все патчи добавлены. Возможностей роутера хватает с головой на непосредственное использование в качестве роутера и настройку на нëм впн, так что странные у вас претензии
Не совсем понятна роль как OpenWRT, так и RPI во всей этой затее, если порт на VLAN не стали нарезать.
Если нужен роутер, то в разы дешевле все это на Билайн Smartbox pro, к примеру, развернуть, перешив его на OpenWRT.
А если стоит задача просто трафик заворачивать, то КМК все это можно прямо внутри телефона поднять. Не проверял эту тему пока за ненадобностью.
=)
У Билайна ни .ax , ни вменяемых антенн. А стоимость примерно как у AX3000T.
Но в плане того, что городить малину, да ещё и с обвесом, там, где можно дешевле малины взять девайс, прошивающийся на OWRT за минуты- согласен, как и многие (не все) проекты на малине- Оверинжиниринг ради применения малины.
А у заворота трафика на роутере свои преимущества. Если в квартире гости- колупать их устройство на месте, ставя туда трёхбуквенный, или же устанавливая одну из кучи трафиколомалок- бред. А так- бесшовное решение, пришли гости- при простом подключении к вайфаю it just works. Комбинируя с network-wide адблоком на основе DNS, и туннелирующими DNS "от умельцев" - вообще получаешь отличную систему.
Интересный девайс, однако все что не вешается на стенку сразу уволить, да и к сетевым железкам сяоми я отношусь предвзято в плане их долговечности.
Лет пять мне служил R1D, потом ещё года три- AX1800, этой зимой переполз на Redmi AX6000. Ни один не помер- устарели, или потребности выросли.AX1800 - ради, собственно, AX. AX6000- ну, повод, возникший осенью, известен всем. На 1800 прошить. OWRT можно, но там уже геморрой- замена ОЗУ и ощутимый пердолинг при прошивке.
И R1D, и AX1800 живы-здоровы, первый летом обслуживает сеть на даче. Второй пока не пригодился, но жив.
Из всех роутеров Сяоми , с которыми имел дело (штук 15 в сумме), явно деградировал один, третьего поколения.
В целом- вполне адекватные железки, плюс сообщество живое на том же 4pda. К работе претензий нет. Есть некоторые претензии к админке, но если девайс брать именно для костылестроения- да и пофиг, всё равно шить на ВРТ.
Но ведь этот оверинжиниринг не отменяет того же распиаренного применения малинки в качестве медиакомбайна? Значит в принципе, как дополнение его функционала, сгодится.
Медиакомбайна на чём именно? OMV, Kodi или umbrel?
В современности- скорее на Jellyfin, для зажиточных бояр- Plex.
Чем боярский Plex лучше Kodi?
Когда-то ушёл с плекса, купив андроид приставку к ТВ и ни о чем не жалею. Она прекрасно по SMB всё с шары тянет и проигрывает.
А если тв с андроидом на борту, наверняка можно и туда Коди засунуть, тогда и приставка не нужна.
Разница примерно как между GoogleDrive/Nextcloud и локальной папкой. Если вы всё делаете из одной точки - вас устроит Kodi. Если есть несколько людей, которые хотят свой список просмотренного, да ещё и с разных устройств, а то и начинать просмотр на одном и заканчивать на другом - то тут уже нужен Plex.
Коди- это для случаев, когда один источник контента и один приёмник. Т.е. у тебя только ТВ дома, тв\приставка - и всё. В таком случае даже Kodi -часто излишество.
Но в доме-то обычно больше одного устройства с экранчиком! У нас, банально, ТВ в зале, планшет на кухне для рецептов и просмотра кинчиков под нарезку всякого, плюс планшет как "личный" девайс. А впереди -лето, дача. Там тоже ТВ, да и с планшета что-то глянуть можно.
Желлифин\Плекс- это гораздо более комплексная штука.
Из вот прям киллер-фич- транскодинг! Можно хранить контент в современных кодеках с низким битрейтом, а смотреть - на любой развалюхе, которая выше h264 видеть не видит ничего. Можно хранить контент с HDR и в хорошем качестве для просмотра на ТВ, и не геморроиться с ним, если на кухне под готовку стоит тв с HDReady-матрицей за копейки. И т.д.
Фич поменьше- уйма. Синхронизация прогресса, выгрузка с сервера одной кнопкой, совместный просмотр с разных устройств и сетей. Тысячи их.
В смысле- если в вашем случае Коди работает и делает всё, что нужно- окей. Но в целом - это уже далеко не самая продвинутая платформа, и с т.з. интерфейсов, и с т.з. функционала.
Медикомбайн на опенврт?
Если в гости пришли гости - лучше пообщайтесь с ними, угостите их едой,чаем, кофеечком. А в вот зачем лезть куда-то через vpn, когда ты пришел к кому-то в гости - не пойму.
Да проще все- купите routerich и всего делов
Почему нужно создавать новый проект (со всеми возможными косяками и детскими болезнями), вместо того, чтобы настроить оригинальный X-Ray?
Потрясающе неграмотная статья по ссылке. Автор ниасилил посмотреть, как пишется название софта, котроый он настраивает (не "X-Ray", а "XRay"), считает что V2Ray - это протокол, а в примерах конфигов у него болтается "Sorry for the cutoff! Here is the rest of the content, starting from where it was interrupted" от ChatGPT, то есть он даже не утрудился проверить что ему там нейросеть сгенерила.
Да пофигу на статью по ссылке. Я взял верхнюю в поисковой выдаче. Но если вам эта инструкция не понравилась, воспользуйтесь любой другой из того же результата поиска.
Ведь вопрос не в конкретной инструкции, а в том, зачем нужно создавать новый проект (со всеми возможными косяками и детскими болезнями), вместо того, чтобы настроить оригинальный XRay? И на этот вопрос, вы почему-то ответить не захотели.
И на этот вопрос, вы почему-то ответить не захотели
А с какого я вообще на него отвечать должен? Я ж не автор статьи.
Я ж не автор статьи.
Но ведь это же не помешало вам высказать собственное мнение вместо автора статьи на заданный ему вопрос?
Uporoty не высказывал собственное мнение насчёт использования оригинального XRay вместо того, что предлагается в статье. Uporoty высказал своё мнение насчёт той статьи, на которую Вы сослались. Абсолютно обоснованно. Ваша претензия неуместна.
В статье многое притянуто за уши. Например:
Современные VPN-решения имеют два серьёзных недостатка. Во-первых, их необходимо устанавливать на каждое устройство в доме, что может быть проблематично, особенно если устройства работают на разных операционных системах
Нет, не обязательно ставить на каждое устройство.
Далее:
Во-вторых, при использовании VPN периодически приходится отключать его для доступа к локальным ресурсам.
При грамотной настройке маршрутов на роутере не нужно.
Ну и апофеоз всего этого:
В какой-то момент их стало столько, что я уже не знал, какой включен, какой отключен, где подписка закончилась, а где опять надо искать новый сервер
Подытожу: если у вас куча подписок на разные ВПН-сервисы и вы так страдали, как описали в статье - то вы - очень неординарный человек. По факту, за стоимость одной-двух подписок на ВПН-сервисы вы можете поднять свой забугорный VPS с VPN , на роутере прописать настройки и маршруты, все ваши устройства будут ходить на разрешенные адреса без ВПН, а на неразрешенные - через ВПН. Любой Кинетик из коробки подойдет для этих целей без танцев с бубном. Нужны лишь настройки VPN-сервера и текстовый файл с маршрутами на закрытые адреса.
поднять свой забугорный VPS с VPN ,
У этого решения есть небольшой, но неприятный недостаток: невозможно менять страну. Я так сначала долго понять не могу, почему у меня некоторые видосы на ютубчике не играются - оказалось что у них геоблок на Нидерланды
Ютубчик вроде бы честно пишет причину, если геоблок.
ютубчик это меньшая неприятность. Вот когда для PS5 тебе нужна Польша, для Нетфликса Турция, для Амазона и Спотифая Америка. И желательно, одновременно 🤷♂️
Спотифая Америка
Раз в три месяца захожу через американский VPN, чтобы гиф-карту погасить. Чаще не требует
Portmaster + SPN, но платно(наверно можно полностью свое поднять - сам Portmaster - opensource), но - это в принципе решение под Windows(причем Win7 уже с ньюансами)/Linux и придется маршруты выбирать либо по приложениям либо хотя бы по доменам прописывать.
Либо - роутер который умеет в policy-based routing нормально (ну или на уровне XRay на роутере настраивать), куча VPN разных стран которые при этом нормально работают и настраивать.
Бонусом - проблемы когда 2 разных DNS-имени разных сервисов резолвяться в одни и те же IP-адреса Cloudflare но требования сервисов к правильной стране - взаимоисключающие :( и надо чтбы это на роутере работало
Policy Based Routing для IP адреса, сайта, порта, которому хотите поменять страну.
Сложнее всего настроить OpenWrt с множественными исходящими VPN, чем в LuCi прописать правила на конкретное локальное устройство
Кинетик- не любой вроде как. Штатные средства keenos позволяют маршрутизацию по ip, а не домену, для того же ютуба загружать и обновлять списки ip устанешь. По домену настроить можно, но нужен usb порт для установки доп пакетов.
Поправьте, если не так, буду благодарен.
Тоже думал, что устану обновлять, однако в августе всё один раз настроил и ни разу не обновлял списки ip ютуба и прочих, всё работает без проблем. Так что для кинетика без usb оказался простой рабочий вариант, рекомендую.
В январе надо было обновить, далее полёт нормальный
Можно же проще: роутер безальтернативно заворачивает всё на три буквы, но при этом на нём (у меня - не на нём даже) стоит прокся, дающая прямой доступ. На компе браузер сам по сколь угодно сложным правилам решает, идти ему в проксю или не идти, а на девайсах уже по ситуации настраиваешь.
del
Если не ошибаюсь, то entware можно грузить и на внутреннюю память (на некоторых моделях).
У самого speedster, нашел списки айпишников ютуба/инсты/дискорда, забил в чатгпт, который сам все разбил по подсетям и через батник добавил маршруты. За последнее время добавлял только пару айпишников дискорда. Дел на час максимум.
Любая маршрутизация в принципе работает по ip.
для того же ютуба загружать и обновлять списки ip устанешь.
https://antifilter.network/bgp А можно чтобы список вели другие...
Кинетик компроментирован
Про VPS автор прямо говорит:
Для сервера подойдёт любой VPS в зоне где работают сервисы которые нам нужны, например такой...
Кто уже сделает такой мануал для микротика?
Всё уже сделано за вас...
Точечная маршрутизация на Mikrotik: BGP и Address lists + Mangle. Реализация через домены / Хабр
Там про WireGuard, это немного другое
Ниже пример с контейнером, ;)
Ох...
Да, этот вариант где-то уже мне попадался, но сильно сомневаюсь что условный mikrotik hap ac 2 потянет контейнер внутри себя. Кажется, для этого варианта нужна более солидная (и более дорогая) железяка. И тогда проще купить что-то под OpenWRT и накатить по текущей инструкции, ибо цена на микротики сегодня - конь )
Про цены на новые не могу сказать, но на вторичке последние месяцы активно выкладывали RB2011 за 5-6к.
На данный момент мне хватает bgp + wg, но понятно, что это не вечно.
Это интересная мысль, можно попробовать купить какое-нибудь бу для подобных экспериментов...Подумаю!
На данный момент мне хватает bgp + wg, но понятно, что это не вечно.
У меня Ростелеком блокирует wg (
Поменяйте порты
Да не работает это. Даже обфусцированный порт WG - AmnesiaWG блочится на мобильном инете до состояния "подключается в 1 из 4 попыток". Самое забавное, что у меня на проводном инете работает даже ванильный WG. Можно "прикуривать" VPN дома или на работе, а дальше пользоваться им на мобильном инете, благо хэндовер у WG работает безшовно.
Видимо, зависит от локации (как клиента, так и сервера) и оператора. Дошло до смешного. Четыре ВПН сервера у одного и того же хостера на одной зарубежной площадке. У двоих WG блокируется полностью на мобильном инете (AWG частично), у двоих - нет. Чудеса!
В связи с этим, считаю WG лотереей.
Ну мне пока везёт. Ростелеком - DigitalOcean полет нормальный. Однажды была проблема, которая исчезла после смены порта. Может быть просто совпадение.
Скажем так - я видел чужой конфиг у лица не аффилированного со мной. Из-за специфики докера в микроте (криво работающий tun интерфейс в контейнере) нужны два контейнера - один tun2socs и второй докер-клиент. Памяти под это нужно минимум 1 гиг. То есть от hap ax3. Зато работает и даже работает красиво - указываешь список доменов, микрот их сам резолвит и бросает в контейнер с VPN.
Вот ейбогу, все руки не дойдут. У меня не такой громоздкий вариант, как в статье ниже, у меня проще: поднят VPS на RouterOS на хостинге vdc, остальные микроты цепляются к нему по SSTP (самый стабильный протокол, аптайм уже полгода без разрывов). Соответственно, для того же ютуба и гуглов в микротах создан список с dns-именами, а в разделе DNS static созданы правила, указывающие на любые поддомены. Потом создается отдельная таблица маршрутизации, в ней шлюз по умолчанию - мой VPS (локальный адрес на SSTP интерфейсе). В Mangle создано правило для dst-address-list - собсно список адресов для перенаправления, action - mark routing, там указывается собственно название этой отдельной таблицы. В итоге все нужные сайты пашут, при этом нет занимающей всю оперативку громоздкой таблицы маршрутов с кучей подсетей, которая берется из BGP. По факту перенаправляются только те сайты, которые мне нужны, а не половина интернета))) А в статье хоть и рабочий способ, но из разряда "купить бульдозер чтобы выкопать ямку для хомячка".
У меня нет мануала, но мне на фрилансе человек настроил между облачным chr и домашним routeros такую связку, что весь трафик идёт через квн, а те сайты, которые обязаны идти только через РФ сегмент сети - отдельным листом настраиваются (добавил госуслуги и пару локальных сайтов).
И очень удобно, находясь дома пользоваться нормальным интернетом, без переключения туда-сюда.
Лично я предпочитаю связку обычный роутер (на стандартной прошивке) + дополнительное устройство к нему, подключенное по lan. Это может быть другой роутер/одноплатник/виртуальная машина на openWrt. Мне такая конструкция показалась удобнее всего, но это мое личное мнение. Просто мне так настраивать удобнее.
Роутер - он ведь должен всегда работать и обеспечивать нас интернетом. А с учетом кривых/косых настроек (я ведь всегда учусь) - лучше экспериментировать на отдельном устройстве.
А за инструкцию большое спасибо.
Зависит от цели. Если нужно управлять всем траффиком, то придётся городить на роутере. Иначе нужно будет строить хитрые схемы отправки части траффика на этот второй девайс, что тоже выглядит не особо.
Согласен, у меня по лану подключен минипк с Proxmox, запущен сервер УД, Torserv, NAS, ну и опенврт крутится с автомаршрутизацией. Всё стабильно хорошо работает, а роутер на стоке.
А как вы этот варинт настраивали? ваш же роутер все равно должен отправить нужные домены на допустройство, обернуть в NAT их, устройство должно через роутер же вернуть пакеты в Интернет в обертке XRay, получить ответ, развернуть, вернуть его роутеру, а он - вам. Прокси типа Redsocks?
Raspberry Pi тут как троллейбус из буханки, только еще и дорого и работать будет плохо. Покупается любой подходящий роутер, прошивается OpenWRT и вперед. И это обойдется дешевле чем топовая малинка плюс внешний адаптер...
Просто малина часто уже есть. Как и адаптер.
А если есть rpi в наличии. Почему бы и нет. У меня 4 валяется после покупки 5. Можно сделать
Да, сейчас покупать rpi нет смысла, но если уже есть в наличии, то почему бы и нет.
У меня по квартире mesh из нескольких Keenetic Speedster, это которые без USB. И был в доковидные времена за небольшие деньги купленный rpi4 + гигабитный USB адаптер.
Так я на rpi4 поставил OpenWRT и воткнул его между провайдером и ведущим роутером. На Keenetic даже перенастраивать ничего не потребовалось.
Настроил AmneziaWG (мой провайдер пока не режет его) и Policy Based Routing. Так rpi даже не напрягается. Температура в районе 52 градусов (корпус точно такой же как на картинке к статье), тротлинг отсутствует, текущий аптайм уже месяца 4.
Во всех этих прозрачных инструкциях смущает необходимость заворота всего исходящего трафика (tcp+udp) в некий процесс (xray) который уже сам разбирается куда дальше этот трафик отправлять.
Во первых, мы создаем точку отказа, а во вторых что с производительностью? Как он отнесется к сотням мегабит скачек битторента например?
У меня XKeen (XRay под Keenetic). Точка отказа - да, недавно отвалился из-за включенных автообновлений, положив при этом весь интернет целиком. Благо что в интерфейсе роутера можно клиента поместить в сегмент xkeen или в основной.
По производительности - оверхед есть, конечно, но трафика, который не заворачивается в vpn это почти не касается (торренты сюда входят). А тот, что заворачивается - видел цифры про единицы процентов (можно считать что до 10), без учета потерь самой маршрутизации, разумеется.
Ну, весь не обязательно. Я, к примеру, делаю проще (или сложнее) - заворачиваю Wireguard в XRay.
Но XRay даёт всякие удобные возможности по гео-управлению траффиком, получению SNI из хендшейков и направлению их куда надо. Поэтому если всё это нужно - придётся в него заворачивать.
Производительность? На малине сотен мегабит, конечно, ждать не стоит. У меня у родителей на PCEngines APU2 стоит оно и в этом режиме Wireguard-over-Xray выдаёт мегабит 20 может быть, с нагрузкой одного ядра почти полностью.
VPN стоит несколько сотен руб. в год на 5-10 хостов. В настройках большинства клиентов есть обход VPN для отдельных приложений, либо , наоборот, указание какие приложение должны ходить через VPN (а ля черные-белые списки). Блондинка вполне может настроить сама, как захочет.
В подходе - один клиент на роутере у вас нет доступа к приложению, стало быть вам придется настраивать порты и адреса для каждого случая. Тут блондинка немного пролетает. Плюс арендовать VPS (что дороже).
В общем, оба подхода имеют как свои плюсы, так и минусы.
Из статьи так и не понял зачем нужен роутер с openwrt, если xray прекрасно настраивается на VPS + конечных клиентских устройствах.
Для каждой платформы есть хотя бы одно клиентское приложение с xray core и маршрутизацией для россиян. Даже для ТВ. Настраивать маршрутизацию через json и базы geoip + geosite ухайдокаешься. Ну и для обхода замедления ютьюба (единственный сценарий для тв, который приходит в голову) нужно настроить днс резолвинг на стороне серверной части.
Роутер как раз и нужен, чтобы не настраивать на конечных клиентских устройствах. Ибо каждая настройка отнимает не только время, но и увеличивает вероятность ошибок. Некорректно настроенный клиент может привести к блокировке ip вашего vps на уровне ТСПУ (сейчас РКН этим не занимается, но не факт, что через некоторое время не начнёт)
Не понял как у вас работает https трафик. Чтобы его пропускать в режиме прозрачного прокси требуется установка кастомного сертификата на клиентские устройства
Зачем? В данном случае не требуется никакой расшифровки промежуточного трафика.
SNI для маршрутизации вытаскивается из незашифрованной части (TLS-хендшейка).
Прежде чем получить TLS-хендшейк нужно дождаться установки TCP соединения с сервером. А если TCP соединение уже установлено то перенаправить его не получиться. Проблема курицы и яйца
Никакой проблемы. Это же прокси, а не VPN. VPN оперирует пакетами и пересылает их "как есть" (максимум - делает NAT). Прокси же оперирует потоками (соединениями), клиентский софт подключается к прокси, а уже прокси подключается к требуемому серверу и "связывает" эти два подключения.
Прокси делает вид для браузера или любого другого клиентского приложения, якобы TCP-соединение с удаленным сервером уже установлено (на самом деле нет). Клиент шлет TLS-хендшейк, прокси подслушивает SNI, и после этого уже решает, на какой адрес и через какой outbound подключаться, устанавливает соединение, отправляет через него тот самый полученный ранее хендшейк, и дальше пересылает данные туда-сюда.
Ну и как ты теперь ходишь на госуслуги и прочее? Рестартишь роутер или устанавливаешь русский ВПН?
В статье есть ответ на ваш вопрос.
Скрытый текст
{
"domain": [
"geosite:PRIVATE", // Частные сети
"geosite:APPLE", // Доменные зоны Apple
"geosite:CATEGORY-GOV-RU", // Государственные сайты России
"geosite:YANDEX", // Сайты Яндекса
"geosite:MAILRU", // Сайты Mail.ru
"regexp:.ru$" // Все сайты в зоне .ru
],
"outboundTag": "direct", // Направление трафика напрямую
"type": "field"
},
{
"ip": [
"geoip:PRIVATE", // Частные IP-адреса
"geoip:RU" // IP-адреса, принадлежащие России
],
"outboundTag": "direct", // Трафик идет напрямую
"type": "field"
}Руками каждый раз исключения в конфиг писать? Ок спасибо, ну не сказать, что это без мучений способ. Я подумываю второй вайфай роутер завести с ВПН и подрубать к нему при необходимости, для ютуп в основном.
Я подумываю второй вайфай роутер завести с ВПН и подрубать к нему при необходимости
Ну это-то гораздо проще, чем раз в месяц обновлять черный список! /s
Волшебства не существует, либо вы сами пишете ручками исключения в конфиг либо используете уже собранные кем-то базы geosite/geoip.
Если вы заранее знаете для чего вам нужен впн то проще пойти от обратного, все в direct а исключения в proxy, dns желательно тоже в proxy.
Все нынешние инструкции можно свести к "наиболее универсальной схеме": создаём ipset (или несколько), пополняем - либо из статических файлов (при запуске), либо динамически - при разрешении имён через тот же dnsmasq. Потом матчим исходящие коннекты по айпишникам на созданные ipset и в роутере их маркируем.
Наконец, в зависимости от маркировки, отправляем их в разные таблицы роутинга.
А вот сами таблицы - рабочие лошадки. Какие-то роутят напрямую по дефолту, какие-то напрямую принудительно (те же госуслуги), какие-то роутят "особым образом" - это может быть всё от openvpn/amneziavg до упомянутого xray. Там уже решены все вопросы "кого куда", нужно лишь решить "как".
Я может просмотрел, а что происходит, когда вы с телефоном или ноутбуком выходите на улицу?
В какой-то момент их стало столько, что я уже не знал, какой включен, какой отключен, где подписка закончилась, а где опять надо искать новый сервер
Блин, да у нормальных сервисов можно по одной подписке подключать несколько устройств.
Настройка VPN сервера и клиента это ясное дело. Но как узнать диапазон белых IP и найти из него хостинг? Может есть какие то инструменты или типа сканеров? Потому что найти доступный хостинг трудное дело, если в твоём регионе заблокирована 1/3 мирового интернета
Все это здорово только в границах домашнего wifi. Вышел из дома и телефон или ноут перестали ходить "куда надо", а VPN ткнул, подключился и зашёл. Если канал "свой" , через импортный VPS, то скорость делишь сам с собой, + есть решения, которые не блочат со времен их появления. Так, что вариант only for home and office use.
Вау, это что очередной Confluence?
В общем-то, я пришёл примерно к тем же выводам, что и автор данной статьи. Одна беда - OpenWRT уже не вштыривал и хотелось перейти на более тяжелые вещества.
Взял неттоп о двух сетевых дырках (Intel N100/8Gb RAM/256 SSD) и взгромоздил туда OPNsense. Убив выходные, мне таки удалось там завести VPN-клиент, доступ к IPv6 через he.net и некоторые другие вкусности.
Старый роутер на OpenWRT остался точкой, раздающей WiFi.
Из бонусов - классный веб-GUI, из которого всё рулится на ура.
Из минусов - классный веб-GUI, логика работы которого не всегда понятна и после ящика водки. В силу чего, дабы понять логику работы, приходилось в процессе наладки заходить на неттоп через консоль и смотреть содержимое конфигов, которое сгенерилось этим самым GUI :))))
P.S. Так-то, почти со всем вышеперечисленным справлялся и старый роутер, пока не появился VPN в забугорье, который хотелось сделать автоматическим (то есть, гнать через него трафик исключительно для сайтов и сервисов, которые реально в этом нуждаются).
тоже N100 2Lan хочу приспособить. но смотрю в сторону OpenWRT в proxmox, т.к. N100 у меня 16/512 и думаю туда еще что нибудь войдет.
не понял почему именно OPNsense.
Честно пытался поднять управляемый роутинг на OpenWRT (сайты группы A - шлюз N1, сайты группы B - шлюз N2, e.t.c.), но не осилил, запутался и громко ругался - постоянно какие-нибудь интерфейсы отваливались.
А тут по работе требовалось нечто для контроля трафика. Методом тыка выбрал OPNsense (open source и активно развивается) и он мне понравился.
Так вот, оказалось, что OPNsense весьма хорош и для для условного роутинга. Например, создаём алиас Detour, накидываем в него урлы сайтов, IP и группы IP. А потом говорим - для алиаса Detour использовать шлюз N2 (например, VPN). А всё остальное, что в алиас не вошло, идёт через шлюз N1.
И, самое главное, там есть вменяемый GUI, то есть, я могу поручить управление настройками не только себе, но и кому-то менее подготовленному, для кого все эти iptables со товарищи - китайская грамота.
Я OPNsense обкатал на домашнем проксмоксе, после чего решил, что оно достойно отдельной железки, ибо сервер с проксмоксом я иногда могу долго терзать, а домашние в результате остаются без инета.
пытался поднять управляемый роутинг на OpenWRT
в своё время решил это с помощью v2rayA на OpenWRT - удобный роутинг с GUI и поддержкой всех современных протоколов.
благодарю за развернутый ответ
Я возможно что-то недопонимаю, но как это спасает от установки на телефон, ноутбук... разве что телевизор в исходном списке не вызывает вопросов. Или автор не выходит из дома и всегда висит на домашней сети? Судя по окончанию и формулировке "можно даже взять LTE-модем и .." есть ощущение, что эта схема осталась лишь как теоретическое соображение. Везде с собой таскать такую связку.. ну, кхм для ноута еще реально, хотя удобство сомнительное, а для телефона - уже точно будет выглядеть мягко говоря странновато
но как это спасает от установки на телефон, ноутбук...
никак не спасает) просто дома удобно иметь настроенный роутер через который все подключенные клиенты будут иметь нужную маршрутизацию (условно direct/proxy для таких то доменов). а вне дома использовать XYZ клиент через туже VPS которая используется дома на роутере.
Ну на самом деле все роутеры из более менее живых позволяют у себя поднять VPN, проблема статик IP так же решается через ddns сервисы. Кинетики вон даже проблему серого адреса решают.
Просто делаешь VPN сервер у себя на роутере и вне дома подключаешся к нему, попадая в свою сеть а там уже все как на домашнем wifi
Прочитал пост, прочитал комментарии. Не понимаю, чем плох самый простой MikroTik в связке с бесплатным IPv6-туннелем, тем более для популярных ресурсов, не нуждающихся в маршрутизации. YouTube и Instagram летают на таком стеке. А если нужно больше, можно построить GRE-туннель на VPS и получать маршруты по общедоступным BGP, заворачивая трафик на VPS. Изм катка с бюджетом от пары тысяч р если на минималках.
MikroTik в связке с бесплатным IPv6-туннелем, тем более для популярных ресурсов, не нуждающихся в маршрутизации. YouTube и Instagram летают на таком стеке.
Можешь поподробней рассказать? Ну или кинуть ссылкой, чтобы понимать о чём речь и в какую сторону копать...
Ну, т.к. это всё делалось не по инструкции, то ссылки просто нет. Но могу поделиться наводящей информацией.
Тут я взял часть касательно префиксов запрещеннки https://antifilter.network/bgp но их бесплатный впн заменил на свою впску, просто не доверяю бесплатному внп , так же там есть тг канал с обсуждениями и помощью
А касательно ipv6 есть множество мануалов и статей по 6to4 туннелям на довольно обширный список оборудования .
К примеру https://habr.com/ru/articles/189008/
Ну и ко всему проделанному добавил вайгвард чтоб и вне дома пользоватся всеми плюсами
Так же добавлю что 6to4 отлично справляется и без префиксов, там где поддерживается ipv6, однако не работает в связке с wg
Все дело в том, что большинство, включая меня, не могут это сами сделать. Я вот еще в прошлом году купить TUF GAMING AX4200, перепрошил в OpenWRT и дальше затупил... причем у меня даже VPS есть (если не удалили т.к. выключил пару лет назад и не пользуюсь).
Хотя задача простая, те самые youtube и инстаграмм и еще пара сайтов которые сам бы перечислил. Перечитываю все статьи, что вижу. Но они или кривые (chatgpt автор) или чаще не полные.
Поищи инструкцию ipv6 туннеля на owrt.
Вот к примеру можно тут глянуть , с виду довольно доступно , я в этом деле столько кручусь что уже и не понять сложно это или нет https://habr.com/ru/articles/834308/comments/
Почитай стать itdog'a или в его канал сходи. YT можно и без VPS смотреть, через warp
Совсем на ipv6 переезжать не хочется из соображений совместимости. Можно по ipv6 гонять только избранные маршруты? Или наоборот, не гонять?
А там выходит так что если ресурс не поддерживает ipv6 , то пойдёт автоматом по ipv4 без танцев с бубном . Но если к примеру брать брокера от he то яндекс может не работать, в таком случае можно в фаервол добавить пул адресов ipv6 яндекса /48 или же взять адреса от селектел, там вообще никаких проблем не наблюдал
К сожалению, Google задалбывает своей капчей
Даже кастомную прошивку необязательно ставить. Я на стоке ASUSWRT поставил xray - это статически собранный бинарь без зависимостей, заводится везде, где есть возможность его запустить по SSH. И через iptables направил трафик через XRay.
На моей прошивке даже есть пути с постоянной памятью, куда можно положить бинарь и конфиг к нему.
Но автозапуск на стоке настроить получилось только через накопитель, подключённый к USB-порту. При монтировании оттуда запускается скрипт. Других способов настроить автозапуск на моей прошивке я не нашёл. На Merlin есть, но она пока не поддерживает мой роутер.
Keenetic Ultra (умеет в Entware из коробки) + Xkeen для устройств которые сами не могут, и прямое подключение со всех остальных.
это все хорошо, конечно. Но по опыту использования скажу, что не на всех провайдерах сработает. Многие научились блокировать. Просто тупо потому что большая доля трафика идет в одно какое то место - через 3 дня получишь замедление на этот адрес (замедление реализуют через дроп 50% пакетов)
А ведь когда создавали Роскомнадзор - цель создания была как раз в том, чтобы вот таким хитрож.... провайдерам руки выкручивать )
(экономили трафик через аплинк)
Ну, официальная...
Какие решения предлагаются ?)
делал подобную конструкцию на базе дешевого TV-бокса, только как отдельный прокси-сервер. Как раз чтобы рубить на нём правилами кучу всякого мусора.
Но там не OpenWRT, а Armbian.
Это к вопросу о "дорогой малинке" и "производительности"
я себе для тех же целей купил NanoPi R2S (сейчас уже есть R3S - он чуть шустрее и холоднее). У них свой форк openwrt под названием friendlywrt. На нем отлично встал запрет, а вот для xray что-то никак не дойдут руки роутинг вправить. И роутить я собираюсь только те ресурсы, которые сами ограничили доступ с ру айпишников, для остального есть запрет)
Давно уже сделано всё просто на MikroTik. Российские подсети ходят через шлюз провайдера, всё остальное по дефолтному маршруту через VPN.
Инвертировано одним словом.
Keenetic 4G + Xray на vps = vpn или выборочно или на всю сеть или как угодно еще. Тянет 2 TV с ютубом, пару компов с этим же и смартфоны. На днях обновление кинетика было - обновился по рекомендациям - все ОК.
Какую скорость выдаёт сия связка?
Я не знаю, как это проверить:( На TV - точно без понятия, а на компе: если предпололжить, что speedtest.net идет через прокси (т.е. через эту связку, то показывает 90 Mbps - что-то многовато).
720p60 - в таком разрешении на 2 tv параллельно можно смотреть ютуб. Если больше - видео подтормаживает. Но мы смотрим на одном - хватает.
Колумб Америку открыл. Извращаться с малиной. NanoPi R3S. Дешевле, мощнее под эти задачи. Прекрасно шьётся под OpenWRT... А там полёт фантазий
ЖАль микротик не умеет
только если в виртуалку
Микротику это не сильно нужно. У него встроенный DNS-сервер умеет добавлять полученные IP в список. А этот список можно маркировкой и маршрутами загонять в другой интерфейс, который может быть WireGuard, OpenVPN, IPsec или любой другой поддерживаемый в Mikrotik туннель.
В дополнение к этому можно получать готовый список маршрутов по BGP от "Антифильтров".
это все rocket саенс для меня. больно сложно
На Хабре есть статья рассказывающая как делать такие вещи.
А почему под всё это дело не использовать микротик? Зачем заморочки с RaspberiPi и всякими модемами ?
Подскажите кто шарит, поднять сервер на нем x-ui vless. На ПК работает нормально, а вот на смартфоне, если смотришь Ютуб, потом переключаешься на браузер, то грузит секунд 30 и наоборот так же, мне быстрее обходится, переподключить в приложение, чем ждать. Приложение пробовал разные итог тот же
Странно что не кто не написал что usb адаптер (и вообще любой адаптер) в режиме hotspot значительно хуже чем даже самый дешёвый роутер. По сути он ещё хоть как то справляется с тем чтобы раздать немного интернета на 1-2 подключенных устройства но например организовать связь между 2мя устройствами уже будет проблемой. Естественно там нет никаких mimo, beamforming, 2x2.
В статье не указаны параметры сети которую создаёт usb адаптер в режиме хотспот но думаю там что то типа 40мгц, ax в лучшем случае. Но даже это далеко не те 50/ах доступные даже в бюджетном роутере.
Естественно что всё описанное в статье имеет право на жизнь, но если кто то захочет повторить имейте в виду.
Я если честно не понял почему не взять тот же 3000T или любой из десятка других роутеров на которых доступна wrt или те же cudy которые уже сразу на wrt. Аргументы про "сложную прошивку" в контексте статьи выглядят несколько притянутыми за уши.
По цене тоже этот сетап выходит не дёшево.
Возможно было бы интересно что то подобное+ роутер, и как то разделить один lan на 2 виртуально или физически поставить usb сетевую. Что бы завести интернет на это устройство а раздачей wifi что бы занимлся роутер.
Не хотел никого отговорить от использования AX3000T(или других подходящих роутеров), но мне в какой-то момент после неудачной попытки прошивки пришлось припаивать к нему UART подключение, чтобы вывести из состояния кирпича. Конкретно этот упомянутый адаптер поддерживает WIFI 6 и AX 5GHz (80MHz). Что касается MIMO, то да RSSI выходит меньше (на большую квартиру/дом раздавать интернет будет проблематично).
Я не понял в чем проблема настроить Keenetic типа https://shop.keenetic.ru/product/keenetic-start-kn-1112 со статической маршрутизацией на определенные сайты? Я давно себе поставил и настроил запрещенные сайты только через VPN, все остальное идет из России
Мне лично подошёл полностью беслпатный тариф от протон впн, установленный на кинетик и загруженные из файлика роуты. Но у меня цель была добиться доступа к чатжпт\жемини и ещё паре ресурсов. Благо у нас (в РБ) пока ютуб и мету не блокируют и пропускной способности этого бесплатного добра хватает.
Наверное один я юзаю на роутере не VPN, а обычный прокси SOCKS5? И всё это работает с год без проблем.
Я устал возиться с кучей VPN и поставил Xray на роутер