Я ещё чисто теоретически думал над такой схемой: берётся, например, такой миниПК на x86 проце, на него ставится Proxmox и в нём поднимается две виртуальные машины: одна - виртуальный роутер на базе OpenWRT или OPNsense, другая рядышком - Линуксятина типа Ubuntu Server, Debian, Arch Linux, кому что больше нравится, и уже там наруливается Zapret, v2rayA и всё прочее. Ну а дальше после этой Линуксятины Proxmox отправляет трафик на второй физический ethernet-порт, откуда приходит в точку доступа. Как думаете?
Да, у меня именно такая схема и используется, и всех друзей-родственников я по ней подключаю. На миник накатываю Proxmox, виртуалка OPNsense как основной роутер, в неё через бриджи прокинуты физические интерфейсы, виртуалка ubuntu server рядом как проксирующий хост, они слинкованы через отдельный бридж в proxmox.
Выглядит это примерно так (тут ещё LXC контейнер с adguard-home):
Только у меня трафик с OPNsense заворачивается на ubuntu через PBR маршрут, там выборочно проксируется/идёт напрямую согласно правилам sing-box, и весь возвращается обратно на OPNsense через другой интерфейс, и оттуда идёт в интернет. Я хотел, чтобы у меня именно OPNsense оставался пограничным фаерволом.
Я вот тут более подробно описывал свой метод (оба хоста - виртуалки в proxmox): Mikrotik + VM (OpenWRT + sing-box) для Youtube, Instagram и т.д - #19 by MasterYoba
Зачем использовать PBR? Я хотел, чтобы на прокси-хост по маршруту заворачивались только “избранные” хосты в локалке, а всякие умные лампочки и гостевые устройства шли в интернет строго напрямую по дефолт маршруту и не могли даже в теории попасть на прокси-хост. Возможно, не всем это актуально и можно обойтись обычным маршрутом.
Сейчас использую такую железку: https://sl.aliexpress.ru/p?key=SW8rGs7
Там пассивное охлаждение, 4 2.5gbps порта, очень удобно.
1 Like
Во, отлично, спасибо большое, а то я ещё думал, может, мысль, что мне в голову пришла, - чушь, но по твоему кейсу вижу, что очень даже жизнеспособно. Мне просто что в этой схеме нравится: если вдруг что-то в Запретом или v2rayA ломается (неважно что: упал удалённый vless-сервер или паттерн трафика с Zapret Роскмонадзор забанил или ещё что-то), у меня дом не остаётся без интернета (а это и компы, и телевизоры, и телефоны, и ноутбуки), потому что я могу быстренько провалиться в веб-морду Проксмокса и пустить трафик напрямую с виртуального роутера на физический LAN-порт к точке доступа. И, если да, можно ли это повесить на сценарий типа: если трафик в виртуалке с Убунтой заткнулся, то вывести трафик с OPNsense напрямую на физический LAN-порт. Такое можно нарулить в Proxmox?
Да, это можно сделать, только настраивать это нужно будет именно в OPNsense. Там есть такая штука как Gateways (документация - Gateways — OPNsense documentation)
Можно настроить два шлюза, один напрямую в интернет с самым низким приоритетом, и второй через прокси-хост, и дать ему приоритет повыше, чтобы по умолчанию использовался он. Дальше можно настроить мониторинг какого-нибудь адреса в интернете через прокси-шлюз (параметр Monitor IP), и если адрес станет недоступен, он автоматом переключит трафик на другой шлюз. Собственно, это своего рода реализация multi-wan сценария, только вместо второго wan у вас прокси-хост. Gateway groups / Multi WAN — OPNsense documentation
Но лично я это не использую, потому что у меня выборочно проксируются только заблокированные в РФ ресурсы, и если произойдёт условый отвал vless-сервера, то остальной интернет в доме это никак не затронет, т.к. этот трафик sing-box выпускает напрямую.
Если сделать петлю кабелем, то iperf прокачивает 2.5 Гбит/с? Интересна скорость без виртуализации и с виртуализацией, чтобы с рабочего компа можно было на файлопомоечный компутер заходить. И какие скорости максимальные OpenVPN AES-256 и WG достигаются локальной петлёй.
UPD: Ещё интересно, какой беспроводной адаптер используется и какая скорость максимальная достигается, и можно ли свой адаптер вставить.
Большое спасибо за информацию, ты прям посеял зерно раздумий в голову, респект. Интересная тема.
Отличная схема, спасибо! Как раз сейчас рассматриваю себе подобное под mini PC x86 на AMD Ryzen. Единственное сомнение хватит ли мне 8 ГБ RAM, чтобы реализовать подобное. Не подскажете как вы распределили RAM между виртуалками?
Если использовать как роутер, то хватит за глаза и за уши. Если как второй десктоп с кучкой виртуалок, то лучше сразу ставить побольше.
Я б ставил 1-1-5 (ядро-память-диск) и потом подгонял по мере надобности, можно сразу меньше, но зачем?
Спасибо! Да, строго роутер перед меш-сетью из азусов. Задача маршрутизировать силами sing-box + zapret. Устройств в сети немного. Разве что нас с торрентами может нагружать
Та до сих пор в топе AX3000T 2х ядерный с wifi 6 под wrt прошивку, правда он подорожал, летом 2 штуки стоил, у меня их только три и я всех знакомых надоумил купить, если круче, то AX6000T это 4х ядерный, в общем что такое wifi 6 ? Это новый протокол скорость не N, а AX, стены пробивает легко, дальность большая, любой роутер со стандартной прошивкой у него есть ограничение по вай фай, может обращали внимание на модели с низу на лейбе в скобках ru например или en, до сих пор толком никто не знает что это, а это ограничение вай фай по дальности, к примеру для ru максимальная мощность 20 дц, а в wrt можно выбрать нужную страну, такая только одна и передатчик на полную будет влючён, например на 26 дц как в этой модели на 2.4 герца, скорость может достигать 600 мгб по вай фай на 2.4, то есть частоту 5 можно и не включать, меньше облучений, не нужен меш, не прерываний в связи, плюс у этой модели она посылает маячки, что устройства которые поддерживают wifi 6, то соседские вай фай не мешают, устройство по этим маячкам вычисляет свой роутер, к примеру сравнить с любым тп линком, в два раза лучше вай фай работает, любой кинетик просто отдыхает, а почему, потому что на него нет прошивки wrt, а так поставить разных прог на AX3000T можно очень много, каких хочешь, выбор огромный, места на флеш хватает, оперативки хотелось бы больше конечно, но можно добавить zram плюс ещё 100 мгб в жатом виде, у меня в адблоке только 350 тысяч доменов и в luci-app-banip ещё сотка тысяч, sqm стоит, а запрет его оживил, хотя сам bolvan говорит что sqm типа работать не будет, но работает же с включённым software на запрете, я особо не вникал, но реально работает. в общем меня устраивает. У меня есть роутер древний, я поставил на него wrt, воткнул фшелку и сделал свой сервер, в ощем нужно рассматривать только модели роутеров под wrt прошивку, смотришь нет такой модели под прошивку, идёшь дальше, ищешь именно ту модель, чтоб на катить wrt и не кустарную сборку, а оф версия должна быть и тогда будет всё хорошо, просто совет.
Эту модель сложно прошить если не знаешь, особенно на убут, я даже один застрелил, купил usb программатор и вернул его к жизни, я просто тупанул, снапшот надо было ставить изначально и прошил я на убут их штук очень много, всем знакомым и кентам и брать нужно чистый китаец, он просто дешевле, сто процентная версия RD03 на верочку, но вроде как и RD23 уже поддерживает, не знаю, не юзал, в любом случаи по капусте и по начинке он даст фору большинству всяких там разных моделей роутеров.
А openwrt это открытый исходный код, никаких бэкторов, никакой лишней ерунды, чистый мини линукс, никакой злоумышленник не ломанёт его если настроить правильно, безопасность, производительность, запрет как родной становится без всяких там танцев с бубном, не нужны всякие там форумы с костылями, чистый продукт от лучшего разработчика, лучшую прогу запрет можно поставить.
И это не реклама, это просто дружеский совет, изначально нужно делать правильно и тогда всё остальное, весь гемор вас никогда не коснётся и если я не прав, ну попробуйте переубедить если сможете, хоть кто не будь
А это разве возможно? Я чисто из любопытства спрашиваю, у меня youtubeUnblock на роутере. Но разве возможно пустить весь трафик сети через устройство, не являющееся роутером?
Я пробовал так. Сеть 192.168.0.0/24. В ней есть комп (малина) 192.168.0.101. На нём есть правило, перенаправляющее весь HTTPS трафик в youtubeUnblock.
iptables -t mangle -A FORWARD -p tcp -m tcp --dport 443 -m connbytes --connbytes-dir original --connbytes-mode packets --connbytes 0:19 -j NFQUEUE --queue-num 537 --queue-bypass
На остальных компах он default gateway. Добавил еще такие правила
[almalinux@almalinux ~]$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all — 192.168.0.0/24 anywhere
ACCEPT all — anywhere 192.168.0.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[almalinux@almalinux ~]$
[almalinux@almalinux ~]$ sudo iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT tcp — 192.168.0.0/24 anywhere tcp dpt:https to:192.168.0.101
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[almalinux@almalinux ~]$
Пинги во внешней интернет идут, а никакие данные - нет, даже домены не резолвятся.
echo «1» | sudo tee /proc/sys/net/ipv4/ip_forward
сделано.
Если не работает резолвинг через реальный роутер после смены шлюзa то вы что-то сломали на устройстве. Кавычки в echo сломаны, на счет nat не уверен, сделай masquerade