LINUX.ORG.RU

Раздельное туннелирование OpenWRT

 , ,


0

2

Уже несколько дней вожусь с казалось бы простой темой, но без помощи похоже не обойтись. Задача в целом простая, но наболевшая. Есть основной микротик pppoe, dhcp, nat правила Есть OpenWRT на Proxmox с одним виртуальным интерфейсом Есть 3 сайта youtube, chatgpt, ya Суть в том, что я хочу сделать OpenWRT в качестве шлюза для разделения трафика youtube идет через SpoofDPI chatgpt через Xray ya без обработки сразу в микротик

Если с xray существуют разные варианты, которые даже работают, то с http прокси уже пытаюсь побороться два дня.

Какой правильный и комплексный вариант построения такой системы? Может вообще сделать на чем-то другом?

Через firefox если прописать http прокси, работает все замечательно. Инструкции по «превращению» дебиан в шлюз сводятся к поднятию redsocks, разрешению net.ipv4.ip_forward=1 и правилам

sudo iptables -t nat -N REDSOCKS

sudo iptables -t nat -A REDSOCKS -d 0.0.0.0/8 -j RETURN

sudo iptables -t nat -A REDSOCKS -d 10.0.0.0/8 -j RETURN

sudo iptables -t nat -A REDSOCKS -d 127.0.0.0/8 -j RETURN

sudo iptables -t nat -A REDSOCKS -d 169.254.0.0/16 -j RETURN

sudo iptables -t nat -A REDSOCKS -d 172.16.0.0/12 -j RETURN

sudo iptables -t nat -A REDSOCKS -d 192.168.0.0/16 -j RETURN

sudo iptables -t nat -A REDSOCKS -d 224.0.0.0/4 -j RETURN

sudo iptables -t nat -A REDSOCKS -d 240.0.0.0/4 -j RETURN

Перенаправление трафика на порты 80 и 443

sudo iptables -t nat -A REDSOCKS -p tcp –dport 80 -j REDIRECT –to-ports 12345

sudo iptables -t nat -A REDSOCKS -p tcp –dport 443 -j REDIRECT –to-ports 12345

Применение правил к трафику sudo iptables -t nat -A OUTPUT -p tcp -j REDSOCKS

tcpdump при этом на порту 12345 молчит



Последнее исправление: yualko (всего исправлений: 1)
Ответ на: комментарий от NyXzOr

Не совсем, микротик очень не хочу задействовать и засорять правилами лишними. Я хочу сделать именно на виртуалке чтобы можно было без проблем мигрировать, бекапить, менять оборудование.

Policy based routing тут все понятно, но это уже следующая стадия после прелюдий

sing-box, tun2socks не поддерживают работу http прокси, в частности UPD.

Как пробросить Xray вопросов нет, там все значительно проще. Если задачу предельно упростить, то это Debian\OpenWrt виртуалка, на которой крутится SpoofDPI и система работает в качестве шлюза. Да, пускай http прокси не сможет ничего пробрасывать кроме 80 и 443, но главное начать работать.

yualko
() автор топика
Ответ на: комментарий от NyXzOr

В конечном итоге поставил чистый OpenWRT, на него накатил Passwall2 со всеми пакетами, http прокси прекрасно подключился через sing-box, через xray встал туннель, далее стандартно шунт, правила и все работает. Ну и само собой обошелся без микротика, как и планировал. Спасибо за наводку

yualko
() автор топика