Прокси-сервер на роутере (Help)

[barconi]

Друзья, есть вопрос/нужна помощь в настройке.

 

на роутере Keenetic Ultra (KN-1810) (KeeneticOS=4.1.7) поднят IKEv2/IPsec VPN server

телефон с Android подключается и видит его как 192.168.1.1

 

так же на этом роутере установлен OpenVPN  клиент и настроено VPN-подключение в удаленному платному OpenVPN серверу

вопрос - как завести мобильный телефон, подключенный через туннель к роутеру, на это соединение OpenVPN?

попробовал через установку 3proxy сервера - поднял, работает, телефон подключившись к тоннелю, использует прокси.

но непонятно, как теперь 3proxy заставить ходить в интернет через OpenVPN соединение?

 

возможно, путанно изложил.

какую задачу решаю - хочу иметь в телефоне постоянное VPN соединение с домашним роутером через мобильную сеть, а с роутера иметь доступ в интернет через OpenVPN, таким образом иметь свой работающий VPN на телефоне. Напрямую с телефона к OpenVPN подключиться не получается - опсос блокирует.

 

Изменено 21 августа, 2024 пользователем barconi

[Le ecureuil]

Если у вас Android подключается посредством IKEv2 через WAN, то через команду
crypto map VirtualIPServerIKE2 virtual-ip interface Bridge0

присоедините его в сегмент Bridge0 (или в другой), а этот сегмент уже добавьте в политику. В итоге все клиенты этого IKEv2 сервера будут ходить в Интернет через политику, а в ней уже оставьте OpenVPN и все. 

[barconi]

спасибо, попробовал

пишет так:

(config)> crypto map VirtualIPServerIKE2 virtual-ip interface VPN_hole
Command::Base error[7405600]: no such command: interface.

как будто не понимает параметр interface?

 

после virtual-ip такие предлагает варианты:

(config)> crypto map VirtualIPServerIKE2 virtual-ip

             dhcp - configure DHCP parameters
       dns-server - set Virtual IP extension DNS server
           enable - enable/disable Virtual IP extension on IPsec crypto map
      multi-login - enable multiple login mode
              nat - enable SNAT for remote network of Virtual IP extension server
            range - set Virtual IP extension server pool range
        static-ip - assign static IP address for a user

 

Изменено 31 августа, 2024 пользователем barconi

[Orbit]

В 21.03.2023 в 20:54, keenet07 сказал:

А если в конфиге 3proxy параметром external указать шлюз WireGuard. 

external 192.168.22.1

Вместо этого IP укажите свой шлюз WG.

Или вот так:

где wg0 - это имя вашего WG интерфейса на устройстве.

Тот же вопрос. При указании шлюза WG в external 3proxy его игнорирует, а команду route он вообще не знает. 

[wolfcharm]

Подскажите пожалуйста как пустить трафик с 3proxy через vpn клиент, настроенный на этом же роутере? Тут вроде пытались обсуждать указывание интерфейса, но ничего из предложенного не работает.

[Orbit]

В 20.03.2025 в 17:56, Orbit сказал:

Тот же вопрос. При указании шлюза WG в external 3proxy его игнорирует, а команду route он вообще не знает. 

У меня работает с такими настройками external 172.16.40.2,  где 172.16.40.2 адрес удалённого узла wereguard через который осуществляется доступ в сеть. 

[gamerka]

Получилось настроить 3proxy для проксирования трафика через VPN, но есть одна проблема, может быть кто-то сможет подсказать или направить на верный путь.

На роутере настроено два VPN подключения (wireguard), назовём VPN1 и VPN2, 
также есть два сегмента каждый из которых имеет доступ в интернет через соответствующее VPN подключение,
также настроены статические маршруты для доступа к определенным ресурсам через конкретное VPN соединение VPN2, это работает так что маршруты применяются в каком бы сегменте клиент не находился, например подключаюсь к точке доступа WiFi-VPN1, и по дефолту всё роутится через VPN1, но до заданных адресов роутится всё равно через VPN2.
Всё что выше работает исправно.

Теперь я установил 3proxy и настроил два сокс сервера, на двух разных портах, с одним внутренним адресом, но двумя внешними адресами.
socks -p1080 -i192.168.1.1 -e10.1.1.1
socks -p1081 -i192.168.1.1 -e10.2.2.2
на порту 1080 должно проксироваться в VPN1, а на 1081 - на VPN2.
10.1.1.1 и 10.2.2.2 здесь это адреса соответствующих wg интерфейсов.

На порту 1081 соответствующему VPN2 всё отлично работает, весь трафик бегает через правильный VPN.
Но на порту 1080 трафик бегает только до адресов для которых не настроены статические маршруты, то есть только через дефолтный маршрут.

Я подозреваю что это непреодолимое ограничение 3proxy или используемых возможностей ОС, 
но возможно кто-то подаст идею как это обойти.
Почему при указании -e10.1.1.1 трафик вообще больше не может пройти через 10.2.2.2 интерфейс?

[Bavaria190]

Подниму тему в связи с возросшей актуальностью использования и заворота Socks в Wireguard или SSTP.

Настроил на KN-2910 и KN-1012 два 3proxy - с auth none все работает - со strong не соединяется - пробовал и в файл passwd юзеров прописывать - и в сам 3proxy config - так и не взлетело.

В чем может быть проблема?

Может в синтаксисе passwd хитрость какая-то - прописывал как admin:CL:password - так же нужно?

Изменено Суббота в 11:06 пользователем Bavaria190

[Tempest]

Приветствую. Здесь ранее обсуждали подключение к прокси через доменное имя кинетика. Указал, как показано на картинке в посту порт, который должен смотреть наружу. Но всё равно не подключается. Локально прокси работает. То есть в качестве прокси указать, например, локальный адрес роутера и порт из конфига 3Proxy и всё отлично работает. Возможно проблема заключается в том что я пересадил сервисы keenDNS на другой порт, не 443, но не уверен что именно в этом проблема. Либо я что-то не то указываю в качестве прокси сервера. Использую Socks5. Отсюда вопрос, как же подключаться извне? ip адрес динамический белый. Например в качестве прокси сервера я указываю myname.crazedns.ru, порт 1080. Авторизацию я пока не включал. Не хочет подключаться. В локалке работает без проблем. Подскажите, пожалуйста, что можно сделать?

[mrGhotius]

26 минут назад, Tempest сказал:

ip адрес динамический белый.

Да ну? Режим работы "Прямой доступ"?

26 минут назад, Tempest сказал:

Например в качестве прокси сервера я указываю myname.crazedns.ru, порт 1080.

https://support.netcraze.ru/viva/nc-1913/ru/15882.html#15882-сервис-доменных-имен-crazedns

Цитата

Важно

Облачная служба CrazeDNS в режиме Через облако поддерживает работу только по протоколам HTTP/HTTPS по следующим портам:

• HTTP: 80, 81, 280, 591, 777, 5080, 8080, 8090 и 65080

• HTTPS: 443, 5083, 5443, 8083, 8443 и 65083

В режиме Через облако возможен доступ только к веб-интерфейсу интернет-центра. Доступ к интерфейсу командной строки (CLI) интернет-центра по TELNET работать не будет.

 

Изменено Воскресенье в 14:06 пользователем mrGhotius

[Tempest]

1 час назад, mrGhotius сказал:

Да ну? Режим работы "Прямой доступ"?

Да, режим работы прямой доступ!

У меня режим не через облако, ссылку что вы скинули не имеет отношения к моему вопросу. Я спросил как мне сделать доступ к прокси Socks5 через доменное имя кинетика. 

Изменено Воскресенье в 15:45 пользователем Tempest

[mrGhotius]

41 минуту назад, Tempest сказал:

Да, режим работы прямой доступ!

Ну прямой так прямой. Порт 1080 открыт в МСЭ?

https://portscaner.ru

Изменено Воскресенье в 16:26 пользователем mrGhotius

[Tempest]

2 часа назад, mrGhotius сказал:

Порт 1080 открыт в МСЭ?

Делал по этой инструкции сначала:

https://help.keenetic.com/hc/ru/articles/360000360760-Переадресация-портов

Там написано что в МСЭ правило добавлять не нужно. Но я пробовал и так и так. В данном случае в конфиге 3Proxy я использую порт 1180. Сначала я указал его в переадресации портов. Это не дало результата. Далее я попробовал использовать открытие порта в МСЭ и всё так же. По ссылке что вы скинули порт 1180 закрыт. Проверил порт на котором сидят сервисы кинетика (8443), он открыт. Так же попробовал переадресацию с порта 8443 на 1180 и тоже ничего. При этом порт SSH доступен извне без каких либо проблем. - в консоли указываю ssh "имя пользователя"@myname.crazedns.ru -p "порт" и подключаюсь. Ну то есть сомнений что ip белый никаких нет. Может провайдер порты блокирует? Что-то не знаю как ещё это объяснить... Спасибо за желание помочь.

[mrGhotius]

42 минуты назад, Tempest сказал:

Может провайдер порты блокирует?

Как вариант.

А посмотрите этот порт вообще кто-то слушает?

~ # netstat -lpn | grep :1180

Изменено Воскресенье в 20:13 пользователем mrGhotius

[dchusovitin]

44 минуты назад, Tempest сказал:

Там написано что в МСЭ правило добавлять не нужно. Но я пробовал и так и так. В данном случае в конфиге 3Proxy я использую порт 1180. Сначала я указал его в переадресации портов. Это не дало результата. Далее я попробовал использовать открытие порта в МСЭ и всё так же. По ссылке что вы скинули порт 1180 закрыт. Проверил порт на котором сидят сервисы кинетика (8443), он открыт. Так же попробовал переадресацию с порта 8443 на 1180 и тоже ничего. При этом порт SSH доступен извне без каких либо проблем. - в консоли указываю ssh "имя пользователя"@myname.crazedns.ru -p "порт" и подключаюсь. Ну то есть сомнений что ip белый никаких нет. Может провайдер порты блокирует? Что-то не знаю как ещё это объяснить... Спасибо за желание помочь.

Начать надо с отключения того, что ранее делали. Явно что-то осталось лишние.
С настройками по умолчанию (только отключена авторизация), завелось сразу. Достаточно открыть порт в МСЭ или сделать переадресацию, либо-либо.

Спойлер

Либо

Еще есть шанс, что провайдер (на клиенте) режет socks. А если подключение через http, то в 3proxy по умолчанию отключен HTTP CONNECT.

[Bavaria190]

На самом деле все по Socks с авторизацией не так однозначно оказалось - похоже 3proxy отрабатывает правильно - проверил с Ubuntu через curl - работает - адрес возвращает верно.

Вопрос почему клиент известного популярного мессенджера при настройке подключения через 3proxy Socks c авторизацией не соединяется- а с auth none такой проблемы нет- похоже режется провайдерами российскими - curl запускал на VDS за пределами РФ.

Есть мысли у кого?

[Tempest]

15 часов назад, dchusovitin сказал:

Достаточно открыть порт в МСЭ или сделать переадресацию, либо-либо.

Делал по разному. И так и так. При этом external у меня указывает на ip от VPN сервера и в локалке это работает, к прокси подключаются хосты без авторизации и ошибок. Ещё пробовал указать 0.0.0.0, но в таком случае даже в локалке ничего не работает. Сейчас вернул как было, конфиг самый простой, без авторизаций и наворотов. Указал в переадресации портов 1180. Не получается через доменное имя подключиться.

 

15 часов назад, mrGhotius сказал:

netstat -lpn

На роутере выдаёт локальный адрес самого роутера:

tcp        0      0 xxx.xxx.xxx.xxx:1180       0.0.0.0:*               LISTEN      15595/3proxy

 

 

Ради интереса открыл порт 90. На нём висит у меня вэб интерфейс NFQWS. Всё отлично сразу же. Я добавил порт в переадресацию портов. Указывая доменное имя и порт я теперь легко попадаю в вэб интерфейс NFQWS. У 3Proxy тоже есть вэб интерфейс. Посадил я его на 91 порт. Локально он доступен. Извне никак. Порт просто не открывается. Похоже тоже самое и с Socks5. Порты 1080 и 1180... да любые извне не доступны. У провайдера уточнил, никакие порты не заблокированы.

Изменено вчера в 12:05 пользователем Tempest
Доп. инфа.

[mrGhotius]

3 часа назад, Tempest сказал:

xxx.xxx.xxx.xxx:1180

Здесь какой адрес? Ваш белый с WAN интерфейса?

Изменено вчера в 13:21 пользователем mrGhotius

[Tempest]

2 часа назад, mrGhotius сказал:

Здесь какой адрес? Ваш белый с WAN интерфейса?

Локальный. Вопрос такой, а что нужно указывать в internal? Похоже я понял в чём проблема... 🤦🏽‍♂️

 

UPD:

В общем в конфиге в internal я указал 0.0.0.0 и так всё работает. До этого я указывал локальный адрес кинетика. По крайней мере так я понял из инструкции. Как итог сейчас всё завелось, как локально, так и извне. Прокся работает, порты открылись. Отсюда вопрос, а правильно ли что в internal нужно ставить 0.0.0.0 или я что-то не понял? 

Изменено 22 часа назад пользователем Tempest

[mrGhotius]

3 часа назад, Tempest сказал:

В общем в конфиге в internal я указал 0.0.0.0 и так всё работает

0.0.0.0 означает, что сервис слушает все доступные интерфейсы, указав конкретный адрес(например 192.168.1.1) вы сделаете доступным сервис только для сети на этом интерфейсе.

[Tempest]

3 часа назад, mrGhotius сказал:

указав конкретный адрес(например 192.168.1.1) вы сделаете доступным сервис только для сети на этом интерфейсе.

Благодарю за помощь и информацию. Собственно поэтому прокси работал только в локалке. У меня есть ещё один вопрос, если вас не затруднит помочь. Собственно я использую проксю для синего мессенджера и socks как раз потому что можно использовать звонки. В общем через прокси даже в локальной сети не получается их использовать. Обрывается на "соединении". Нужно ли добавить в конфиг 3proxy что-то ещё, разрешить UDP или может открыть ещё какие-то порты? В инструкции по 3proxy ничего конкретного не нашёл об этом. Если просто использовать ВЧС, то всё работает, и сообщения и звонки без проблем. 

[mrGhotius]

1 час назад, Tempest сказал:

Нужно ли добавить в конфиг 3proxy что-то ещё, разрешить UDP или может открыть ещё какие-то порты?

Голосовой трафик обычно передают по UDP. Попробуйте настроить проксирование UDP трафика. Или включить скрытую настройку принудительного использования TCP (Forcе TCP) на клиентах.

Изменено 15 часов назад пользователем mrGhotius