avn
-
Постов
652 -
Зарегистрирован
-
Посещение
-
Победитель дней
7
Тип контента
Профили
Форумы
Галерея
Загрузки
Блоги
События
Весь контент avn
-
Добрый вечер! Пришло время разобраться с TProxy для ipv4. Беру любой сервис (например v2ray,ss,squid и т.д.), который слушает определенный порт на роутере, например 9172, и пересылает траффик в режиме tproxy на удаленный сервер. Пишу симметричные скрипты для ipv4 и для ipv6 траффика. Так же сделаны настройки роутера system set net.ipv4.ip_forward 1 set net.ipv6.conf.all.forwarding 1 set net.ipv4.tcp_fwmark_accept 1 ! Тесты: curl -4v https://ipecho.net/plain -- не работает curl -6v https://ipecho.net/plain -- работает Что не так для ipv4? Уже все ядро перелопатил, все должно работать.
-
Все очень просто. Ставите dnsmasq, dns-ipset или adguard home. Делаете в них настройку списков доменов, которые нужно перенаправить на сторонний интерфейс или службу. Dns-server после настройки будет резолвить имена для этих доменов в ipset. Далее настраиваете маршрутизацию для ipset. Все профит!
-
Nпginx может проксировать все что угодно и куда угодно. Во первых можно настроить для xray транспорт ws или grpc. Во вторых можно развести потоки по доменному имени. У меня на одном порту сейчас сидят сервисы WireGuard, SSH, Web, xray и nginx успешно это проксирует. А web вообще бесконечно разводится на сторонние сервисы Transmission, TorrServer, mtproxy и т.д. Можно еще применять лайфхак для сервисов, которые не поддерживают proxyprotocol, например ssh
-
А что мешает на одном порту держать несколько разных сервисов? Вообще ничего.
-
Правила либо есть, либо их нету в текущем состоянии iptables. Вам надо разбираться, что происходит. Проблем с redirect не наблюдаю еще со времен shadowsocks.
-
Скажу по поводу tproxy - все мои эксперименты окончились фиаско. Длинные цепочки на keenetic работают очень плохо за счет постоянного их пересоздания и очистки. Думаю про tproxy можно забыть в длинных цепочках. А redirect работает и с udp. С ним проблем не наблюдаю.
-
Все коннекты идут через xray. А он уже принимает решение, как дальше маршрутизировать, отсюда и падение скорости.
-
Нафиг не нужно. Timeout для ipset и такой же в agh. А каждый раз дергать ipset для обновления ( удаления и добавления) для того, что бы обновить время timeout так себе идея.- 156 ответов
-
- 1
-
-
- adguardhome
- ipset
- (и ещё 1 )
-
Выборочный роутинг можно сделать через REDIRECT
-
/opt/etc/ppp/ip-up.d/10-accept.sh #!/bin/sh INTERFACE=$1 cat << EOF >/opt/etc/ndm/netfilter.d/55f-fortivpn-${INTERFACE}.sh #!/bin/sh [ "\$type" != "iptables" ] && exit 0 [ "\$table" != "filter" ] && exit 0 ip4t() { if ! iptables -C "\$@" &>/dev/null; then iptables -A "\$@" || exit 0 fi } ip4t _NDM_SL_FORWARD -m mac --mac-source dd:33:35:64:18:a7 -i br0 -o ${INTERFACE} -j ACCEPT ip4t _NDM_SL_FORWARD -m mac --mac-source ff:22:56:49:e1:fc -i br0 -o ${INTERFACE} -j ACCEPT exit 0 EOF chmod +x /opt/etc/ndm/netfilter.d/55f-fortivpn-${INTERFACE}.sh type=iptables table=filter /opt/etc/ndm/netfilter.d/55f-fortivpn-${INTERFACE}.sh &
-
Можно и из прошивки tls upstream us-ny-alula.heliumcloud.cc 853 sni us-ny-alula.heliumcloud.cc domain lib Ключевое слово domain
-
Можно backup-Tor-202308-31.tar
-
-
Что бы лишнего не ловить, можно такой фильтр использовать ip6 and ((udp and (port546 or port 547)) or (icmp6 and ((ip6[40] == 133) or (ip6[40] == 134))))
-
У вас вебинтерфейс AGH открывается по адресу 192.168.1.1:8080?
-
Получаю только префикс, адреса нету. 4.0.2 что я делаю не так?
-
С роутера трассировку делаете? А зря... Полиси создана? Проверьте метку по имени curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "<Имя полиси>") | .mark'
-
Можно mark так найти curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "Unblock-VPN") | .mark'
- 156 ответов
-
- 3
-
-
-
- adguardhome
- ipset
- (и ещё 1 )
-
А режим дебаг при этом включен на роутере?
-
Заведите свой днс и пропишите два ИП на одно имя. Рдп клиент сам разберётся к какому ип коннектиться.
- 4 ответа
-
- 1
-
-
Все правильно, ip адрес wg у вас на компьютере, и все работает. А когда wg на роутере - ipv6 адрес на роутере, а на компьютере ipv6 адреса нету и ничего не работает. Надо раздать ula адреса в сеть, а для wg на роутере настроить нат. Для вас самая простая схема.
-
Вам нужна такая схема, но не каждый VPS ее поддерживает. Тут нужно экспериментировать, либо ругаться с провайдерами. WG IPv6 NDP
-
Потому-что fe80:: это link-local адреса. Вам же надо раздать всем устройствам в сети ipv6-ULA адреса. Тогда все заработает, при условии включения маскардинга на интерфейсе wg.
-
А причем здесь устройства, подключенные через wireguard? На всех устройствах должны быть ipv6 адреса, не от wg, а от провайдера из диапазона 2000::/3. Если вы хотите пробросить адреса на устройства через wg, то это proxy_ndp. Или можно ещё попробовать nat6 настроить, что не правильно. В общем, не понятно что у Вас не работает и почему это должно работать.