AGluk

Уважаемые участники, это опять я. Замучился, не могу настроить Xray в режиме TPROXY на роутере Keneetic. Прошу Вашей помощи. Сконфигурировал Xray: "inbounds": [ { "tag": "tproxy", "port": 12345, "protocol": "dokodemo-door", "settings": { "network": "tcp,udp", "followRedirect": true }, "streamSettings": { "sockopt": { "tproxy": "tproxy" } } ] Прописал маршруты: ip rule add fwmark 0x1 table 100 ip route add local 0.0.0.0/0 dev lo table 100 Добавляю клиента: iptables -t mangle -A PREROUTING -m mac --mac-source XX:XX:XX:XX:XX:XX -p tcp -j TPROXY --on-port 12345 --tproxy-mark 0x1 iptables -t mangle -A PREROUTING -m mac --mac-source XX:XX:XX:XX:XX:XX -p udp -j TPROXY --on-port 12345 --tproxy-mark 0x1 Все... после этого у клиента полностью пропадает доступ IPv4. IPv6 продолжает работать, что логично. Для проверки outbounds и работы Xray в целом добавил еще один inbound: "inbounds": [ { "tag": "redirect", "port": 12345, "protocol": "dokodemo-door", "settings": { "network": "tcp", "followRedirect": true } ] Добавляю того же клиента: iptables -t nat -A PREROUTING -m mac --mac-source XX:XX:XX:XX:XX:XX -p tcp -j REDIRECT --to-port 12345 ip6tables -t nat -A PREROUTING -m mac --mac-source XX:XX:XX:XX:XX:XX -p tcp -j REDIRECT --to-port 12345 Все замечательно работает. IPv4 и IPv6 адреса на клиенте меняется на адрес моего VPS. А вот в режиме прозрачного прокси ну никак не могу настроить. Большое спасибо!

Кажется разобрался, не хватало компонента: Модули ядра подсистемы Netfilter

Добрый день. У меня аналогичная проблема, но в директории /lib/modules/$(uname -r) нет модуля xt_TPROXY.ko. Может какого компонента не хватает? Большое спасибо!

Большое спасибо за ответ!

Здравствуйте. Подскажите, пожалуйста, как подключиться к IPv6 серверу SSTP? При вводе IPv6 адреса в поле оно становится красным и пишет, что необходимо ввести IPv4-адрес, доменное имя или HTTPS URL. Прошивка 4.2.2 на KN-1811. Большое спасибо!

Большое спасибо. Хотя бы что-то! Через интерфейс, как понимаю, не посмотреть?

Согласен, DNS over QUIC использует UDP, а этот должен TCP. Но через роутер почему-то все равно не получается настроить.

В общем как понял из прочитанного, DoH использует UDP протокол, который не проходит через SOCKS5 прокси. Его необходимо либо туннелировать через TCP, либо искать другие решения. Возможно данный функционал еще не до конца реализован в ПО Keenetic. Сейчас поднял Softether на сервере и включил SSTP в нем. В Keenetic установил SSTP клиент. Работает вполне нормально, DNS используется тот, что настроен в разделе интернет-фильтров. Появился вопрос, в новой версии прошивки 4.2.0 не могу понять, как отключить DNS сервера мобильного провайдера? Для проводного в соответствующем разделе есть пункты "Игнорировать DNSv4(6) интернет-провайдера". А вот для мобильного подключения я такого не нашел. В предыдущей версии прошивки был переключатель в разделе интернет-фильтров, который позволял отключать DNS от провайдера. Большое спасибо!

Добрый день. На дворе конец 2024 Прошивка - 4.2.0 Подскажите, можно где-то в Web-интерфейсе (ну или хотя бы через стандартный CLI) вывести список всех добавленных исключений firewall для IPv6: ipv6 static … Спасибо!

Добрый день. Пробовал ставить OPKG на внутренний накопитель. Больше не требуется, удалил поддержку OPKG, но как теперь очистить внутренний накопитель? Часть папок я могу удалить через Web-интерфейс, а вот системные не доступны для удаления. Большое спасибо!

Дальнейшие копания привели меня к тому, что через этот туннель ssh -D 2986 -N ... не проходят DoH запросы... Оказывается когда я подключаюсь с компьютера напрямую, то используется обычный DNS моего провайдера VPS. Настройки безопасного DNS в браузерах игнорируются. Буду разбираться.

Нет, никак не работает. Только единичные IP адреса работают через него. Если же прокси интерфейс сделать первым в политике по умолчанию, или в одной из пользовательских политик, которую затем применить к одному из клиентов, то интернет перестает работать соответственно на всех клиентах или только на тех, которые выбраны к данной политике. Все же есть подозрение, что через прокси не проходят DoH запросы. В случае, когда мы указываем маршрут до определенного IP-адреса у нас получается, что DoH запросы идут по старым маршрутам и только запрос и получение данных с конкретного сайта происходят через прокси. Если же у нас есть маршрут: 0.0.0.0/0 0.0.0.0 SSH Proxy то тогда все запросы начинают идти через него, в том числе DoH. Это лишь мое предположение, вполне возможно я в корне не прав, прошу меня извинить тогда...

Если добавить статический маршрут до определенного IP (для примера взял сайт 2ip.ru), то данный сайт начинает грузиться через прокси. Пробовал и другие адреса - тоже работают. А вот если добавить маршрут по умолчанию 0.0.0.0/0 до прокси интерфейса (выбрать в политике по умолчанию самым верхним прокси соединение), то все перестает работать...

Еще вопрос, по маршрутам: До самого Proxy отображается только IPv6 маршрут: fc03:52b:6:a56:10c:14ac:81be:8200/128 :: SSH Tunnel При этом IPv4 адрес Proxy 172.20.12.1 также пингуется, но соответствующей строчки в разделе IPv4 почему-то нет??? 172.20.12.1/32 0.0.0.0 SSH Tunnel Если в политике по умолчанию верхним выбран Megafon, то в таблице есть следующие записи: 0.0.0.0/0 10.240.209.9 Megafon ::/0 fe80::2828:1ce5:4727:119 Megafon Если верхним выбрать SSH Tunnel, то в таблице записи изменятся на: 0.0.0.0/0 0.0.0.0 SSH Tunnel ::/0 :: SSH Tunnel И интернет перестает работать на всех подключенных устройствах. Полагаю при использовании других политик для выделенных клиентов происходит какая-то скрытая маршрутизация, которая никак не отображается в таблице, но имеет примерно тот же вид, который мы можем наблюдать при изменении политики по умолчанию. Информация из CLI: "Proxy0": { "id": "Proxy0", "index": 0, "interface-name": "Proxy0", "type": "Proxy", "description": "SSH Tunnel", "traits": [ "Ip", "Ip6", "Supplicant", "Proxy" ], "link": "up", "connected": "yes", "state": "up", "mtu": 1500, "tx-queue-length": 500, "address": "172.20.12.1", "mask": "255.255.255.255", "uptime": 3848, "global": true, "defaultgw": false, "priority": 32671, "security-level": "public", "ipv6": { "addresses": [ { "address": "fc03:52b:6:a56:10c:14ac:f7e5:3100", "prefix-length": 128, "proto": "DHCP", "valid-lifetime": "infinite" }, { "address": "fe80::ef95:be87:ff3c:c2d2", "prefix-length": 64, "proto": "KERNEL", "valid-lifetime": "infinite" } ], "defaultgw": false }, "via": "UsbQmi0", "summary": { "layer": { "conf": "running", "link": "running", "ipv4": "running", "ipv6": "running", "ctrl": "running" } } }

Вы имеете ввиду вкладку в настройках Proxy подключения? А что там нужно выбирать? Туннель запускается в Entware через openssh-client локально: ssh -f -N -D 2986 root@1.2.3.4 Сам туннель точно работает, т.к. я могу спокойно подключится к нему напрямую с компьютера, настроив Proxy на локальный адрес роутера - 192.168.1.1:2986. Все сайты открываются, 2ip - показывает адрес моего VPS в Нидерладнах. Для того чтобы openssh слушал не только на loopback добавил настройку - "GatewayPorts yes", в файл "opt/etc/ssh/ssh_config". На скрине видно, что Proxy соединение на роутере до локального Proxy устанавливается, даже IP прописывается. На мой взгляд тут возможная проблема с маршрутизацией DNS запросов или маршрутизацией в целом. Может они не направляются через Proxy или еще чего. Сайт 2ip открывается иногда возможно из-за того, что где-то в каком-нибудь кэш остается его прямой адрес. А вот другие адреса не могут разыменоваться. Могу провести любые дополнительные тесты, только скажите. Очень надеюсь на Вашу помощь. Большое Вам спасибо!