Выборочный роутинг в TOR

[YujiTFD]

Здравствуйте.

Прочёл статью Александра Рыжова http://keenetic-gi.ga/2018/01/16/selective-routing.html , очень помогла в понимании ряда вопросов, но всё равно остались пробелы, мешающие доделать маршрутизацию через TOR, основываясь на инструкции http://4pda.ru/forum/index.php?showtopic=736801&st=21520#entry71165973. Буду очень благодарен за советы по исправлению проблемы.

Я прошёл по инструкции до скриптов (т.к. нужны свои), и создал 100-start_script.sh и 100-post_iptables_script.sh (первый - часть start_script.sh из инструкции, и начинается с ipset -N rublack-dns iphash).

В dnsmasq.conf заменил

### ISP bypass list
ipset=/oip.cc/rublock
ipset=/kinozal.tv/rublock

на

### Tor
server=/onion/127.0.0.1#9053
ipset=/onion/onion
conf-file=/opt/etc/runblock/runblock.dnsmasq

Всё остальное сделал по той инструкции, ошибок в логе нет (см. вложение), но TOR не стартует, хоть тресни, умирает сразу после запуска. Пробовал оставить скрипт по-умолчанию, копировал из инструкции - всё едино. Причём, несмотря на наличие списка хостов и прочего, я вообще не вижу, чтобы перенаправление работало: все запросы идут базовыми маршрутами. Пакеты Netfilter и прочие установлены.

Какие шаги предпринять для работы скрипта с Keenetic Entware-3x? Или, возможно, есть более элегантный способ, т.к. даже с платным VPN скорость оставляет желать лучшего, но если это вариант - я с удовольствием поучаствую в поиске решения.

log.txt

Изменено 10 апреля, 2018 пользователем YujiTFD

[ale_xb]

у меня на Ultra II с некоторых пор  Tor 0.4.8.16 + obfs4 отжирает почти все процессорные ресурсы, но ОЗУ хватает, остается свободно из 256Мб процентов 40. ОС 4.2.6. Web интерфейс и CLI по ssh практически перестают откликаться. Последним сдается родной shell Keenetic, но и он еле шевелится. Останавливаю tor (если удается что-то в Cli сделать), все приходит в норму. Что бы проверить/поправить прежде всего? Пробовал в torrc добавить параметр NumCPUs 2, но разницы не заметил.

Изменено 23 декабря, 2025 пользователем ale_xb

[ale_xb]

у меня целая пачка вопросов по мостам в Tor, буду признателен за ответы:

Кто-то настраивал webtunnel+Tor на Keenetic? Можете подсказать, что для этого необходимо? Нужен более свежий транспорт lirebird

Достаточно ли для этого установить из opkg/entware webtunnel-client lirebird? да webtunnel-server при этом не требуется? Как это правильно прописать в torrc?  аналогично obfs4

Почему-то сообщество Tor выдает мосты для webtunnel только для ipv6. Это так и есть или я что-то неправильно запросил/посмотрел?

Я правильно понимаю, что obfs4 и webtunnel - в текущей реализации взаимоисключающие вещи? Нет. Читал, что lyrebird умеет работать одновременно с различными транспортами, но этого (пока?) нет в opkg/entware. Есть.

Изменено 17 февраля пользователем ale_xb

[ale_xb]

В 24.12.2025 в 23:52, ale_xb сказал:

целая пачка вопросов по мостам в Tor

продолжаю пока сам с собой: Установил из Entware lyrebird, указал к нему путь в torrc, получил возможность использовать мосты obfs4, webtunnel, snowflake. Нашел/запросил 100% рабочие мосты, проверил их в Tor Browser на Windows клиенте, затем вписал их в torrc на роутере. На роутере tor успешно поднимается (Bootstrapped 100%), в логах видно, что к мостам есть успешное подключение, но при попытке открыть на клиенте в браузере (не в Tor Browser, а в обычном) любой ресурс, предварительно внесенный в список для доступа через tor, получаю сообщение ERR_CONNECTION_REFUSED. При этом 1) имя ресурса успешно разрешается в IPv4 и (при его наличии) в IPv6; 2) Оба адреса успешно добавляются в соответствующие ipset; 3) Правила в цепочке PREROUTING таблицы nat с редиректом на порт прозрачного прокси tor для обоих вариантов адресов имеются и 4) видно, что счетчик пакетов для правил увеличивается в момент обращения на ресурс. В Tor Browser ресурс открывается успешно с этими же мостами. В чем могут быть отличия в работе tor и мостов на роутере и в Tor Browser  на Windows клиенте? Что следует проверить, поправить?

Дополнительно, сделал тест: очистил все ipset, остановил tor на роутере и проверил доступность сети tor с помощью OONI Probe. Результат - подключения проходят, хэндшейк - нет, но гугл говорит, что это может быть нормально.

Как же Tor Browser умудряется работать и как добиться того же на роутере? Могут ли здесь помочь манипуляции с mtu, mss ? Есть предположение, что я что-то напутал в а) конфиге dnsmasq, б) правилах для DNS и редиректа на прозрачный tor прокси. У меня установлен и настроен  Dnsmasq + в веб интерфейсе Кинетик-а DoT/DoH резолверы + у tor работает свой DNS. Транзитные запросы запрещены.

 

Спойлер

 

Изменено 17 февраля пользователем ale_xb

[BFT]

Socks в torrc включите и проверьте через браузер работу для начала.

[ale_xb]

В 18.02.2026 в 13:29, BFT сказал:

Socks в torrc включите и проверьте через браузер работу для начала.

Спасибо, оказался сам себе злобный Буратино. Зачем-то в настройках прозрачного прокси в torrc для TransPort указал 127.0.0.1/::1. 

Сменил на 0.0.0.0/:: и все заработало. Наверное, правильнее вместо этого указать 192.168.1.0/24, но не уверен, какой из адресов в этом случае следует указывать для Ipv6 - linklocal вида fe........?

Итог: в tor теперь перенаправляется tcp (udp не проверял) трафик по IPv4/IPv6 (проверено). Работают obfs4, webtunnel, snowflake (все три варианта проверены).

Старая черная ultra еще поработает!

Изменено 19 февраля пользователем ale_xb