LINUX.ORG.RU
ФорумAdmin

двойной прокси tun2socks

 , ,


0

2

Есть стандартная схема socks5 сервер и linux на vps сервер

нашел чудесный софт tun2socks, но не могу разобраться как с ним правильно работать, все «гайды» описывают проксирование всего трафика, что делать не нужно.

на VPS linux, я хочу поднять свой еще один прокси сервер и впн сервер, но что бы трафик через прокси и впн (поднятые на vps) ходил через интерфейс tun2socks, через socks прокси

3proxy parent это не та схема которая необходима.

может кто подсказать схему работы?



Последнее исправление: ffcc9393 (всего исправлений: 1)
Ответ на: комментарий от ffcc9393

«что бы трафик через прокси и впн (поднятые на vps) ходил через интерфейс tun2socks»
не похоже на задачу?

Нет. Ибо

описывают проксирование всего трафика, что делать не нужно.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

так а что здесь не похожего на задачу? нужно поднять tun2socks но без заворачивания всего трафика туда, а только от впн и прокси. вы если помочь не хотите, то не отвечайте подобные глупости, есть задача и есть описание того, какие статьи есть, что они не подходят под выполнение этой задачи, а вы что-то одно с другим непонятно как сопоставили.

ffcc9393
() автор топика
Ответ на: комментарий от AVL2

ахаха)) вы же умный человек вроде бы, исходя из профиля. видимо или трудно читать суть, или просто не понимаешь о чем речь. обычный трафик, соксовый, раздать через впн, что не понятно? есть прокси - есть впс - есть клиент впн вот на впс подрубаем tun2socks, запускаем впн сервер, настраиваем, передаём конфиг впн клиенту и он выходит в интернет через впн, через ПРОКСИ СЕРВЕР, а не IP впс сервера. таким образом я могу раздать на любое устройство поддерживающее впн, например микротик, ios(которые socks не поддерживают), любой прокси сервер, не меняя при этом профиль впн клиента, а меняя всё на ВПС сервере. я закончил.

ffcc9393
() автор топика
Ответ на: комментарий от ffcc9393

ну слов ты накидал еще больше и еще больше тумана стало но я похоже решал эту задачу.

читай multiisp ставь shorewall и настраивай. делов на полчаса.

AVL2 ★★★★★
()
Последнее исправление: AVL2 (всего исправлений: 2)
Ответ на: комментарий от AVL2

не понял что там урезанного и неподдерживаемого? это стандартный роутинг, я так же делал с LTE модемами, единственная разница что они были как интерфейсы сразу в ОС и не нужен был tun2socks, а просто добавил таблицу, прописал роутинг и поцепил интерфейс к впн или прокси, и оно работало.

ffcc9393
() автор топика
Ответ на: комментарий от ffcc9393

это стандартный роутинг,

Это не стандартный роутинг. В стандартном роутинге используется одна таблица и весь трафик по ней проходит.

В мультииспе таблиц несколько трафик проходит по тем или иным таблицам роутинга в зависимости от условий. Для этого трафик отдельно помечают, а затем направляют в ту или иную таблицу. С добавлением альтернативных шлюзов по умолчанию сложность растет геометрически.

Урезанный, поскольку там используется только rtrules, а можно еще использовать mangle и управлять трафиком отдельных протоколов и портов. Кроме того, там нет запрета на персылку с одного внешнего интерфейса на другой, а также ответ на трафик с того же внешнего интерфейса на который он пришел.

Неподдерживамый, потому что эту портянку правил в iptables уже через месяц не прочтешь и не изменишь под новые условия.

Но работает - работает.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

ну с модемами у меня тоже всё в разных таблицах. здесь тоже, как видите, отдельная таблица) зачем мне iptables еще сверху лепить? мне не нужно ничем управлять. там один MASQUERADE в правилах, где портянка?) сами пишите про портянку, а сами говорите еще mangel добавлять) оно же если по уму скрипт 1 раз сделать, то достаточно будет его запустить хоть 200 раз под разными интерфейсами, всё будет понятно.

ffcc9393
() автор топика
Ответ на: комментарий от ffcc9393

ну с модемами у меня тоже всё в разных таблицах.

И тоже нестандарт. Обычный мультиисп. Так он и называется, про это и надо читать, разбираться и поддерживать, с модемами он или с чем то еще.

зачем мне iptables еще сверху лепить?

потому что именно он всем этим и управляет.

там один MASQUERADE в правилах, где портянка

iptables -t nat -A PREROUTING -s $VPN_NET -i $VPN_IFACE -m conntrack --ctstate RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
iptables -t nat -A PREROUTING -s $VPN_NET -j MARK --set-xmark 0x1/0xffffffff
iptables -t nat -A PREROUTING -s $VPN_NET -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff

iptables -t nat -A POSTROUTING -s $VPN_NET -o $VPN_OFACE -j MASQUERADE

Из четырех правил одно - MASQUERADE

Остальные три бьюсь об заклад, ты даже не понимаешь, для чего…

Ладно, работает - работает.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Кстати, может кому то полезно, оказывается в systemd-networkd уже завезли поддержку мультиисп. Такой же обрезанный, но уже поддерживаемый вариант.

Будет полезен, как минимум, тем, кто пользуется nftables.

AVL2 ★★★★★
()