Я ещё чисто теоретически думал над такой схемой: берётся, например, такой миниПК на x86 проце, на него ставится Proxmox и в нём поднимается две виртуальные машины: одна - виртуальный роутер на базе OpenWRT или OPNsense, другая рядышком - Линуксятина типа Ubuntu Server, Debian, Arch Linux, кому что больше нравится, и уже там наруливается Zapret, v2rayA и всё прочее. Ну а дальше после этой Линуксятины Proxmox отправляет трафик на второй физический ethernet-порт, откуда приходит в точку доступа. Как думаете?
Да, у меня именно такая схема и используется, и всех друзей-родственников я по ней подключаю. На миник накатываю Proxmox, виртуалка OPNsense как основной роутер, в неё через бриджи прокинуты физические интерфейсы, виртуалка ubuntu server рядом как проксирующий хост, они слинкованы через отдельный бридж в proxmox.
Выглядит это примерно так (тут ещё LXC контейнер с adguard-home):
Только у меня трафик с OPNsense заворачивается на ubuntu через PBR маршрут, там выборочно проксируется/идёт напрямую согласно правилам sing-box, и весь возвращается обратно на OPNsense через другой интерфейс, и оттуда идёт в интернет. Я хотел, чтобы у меня именно OPNsense оставался пограничным фаерволом.
Я вот тут более подробно описывал свой метод (оба хоста - виртуалки в proxmox): Mikrotik + VM (OpenWRT + sing-box) для Youtube, Instagram и т.д - #19 by MasterYoba
Зачем использовать PBR? Я хотел, чтобы на прокси-хост по маршруту заворачивались только “избранные” хосты в локалке, а всякие умные лампочки и гостевые устройства шли в интернет строго напрямую по дефолт маршруту и не могли даже в теории попасть на прокси-хост. Возможно, не всем это актуально и можно обойтись обычным маршрутом.
Сейчас использую такую железку: https://sl.aliexpress.ru/p?key=SW8rGs7
Там пассивное охлаждение, 4 2.5gbps порта, очень удобно.
1 Like
Во, отлично, спасибо большое, а то я ещё думал, может, мысль, что мне в голову пришла, - чушь, но по твоему кейсу вижу, что очень даже жизнеспособно. Мне просто что в этой схеме нравится: если вдруг что-то в Запретом или v2rayA ломается (неважно что: упал удалённый vless-сервер или паттерн трафика с Zapret Роскмонадзор забанил или ещё что-то), у меня дом не остаётся без интернета (а это и компы, и телевизоры, и телефоны, и ноутбуки), потому что я могу быстренько провалиться в веб-морду Проксмокса и пустить трафик напрямую с виртуального роутера на физический LAN-порт к точке доступа. И, если да, можно ли это повесить на сценарий типа: если трафик в виртуалке с Убунтой заткнулся, то вывести трафик с OPNsense напрямую на физический LAN-порт. Такое можно нарулить в Proxmox?
Да, это можно сделать, только настраивать это нужно будет именно в OPNsense. Там есть такая штука как Gateways (документация - Gateways — OPNsense documentation)
Можно настроить два шлюза, один напрямую в интернет с самым низким приоритетом, и второй через прокси-хост, и дать ему приоритет повыше, чтобы по умолчанию использовался он. Дальше можно настроить мониторинг какого-нибудь адреса в интернете через прокси-шлюз (параметр Monitor IP), и если адрес станет недоступен, он автоматом переключит трафик на другой шлюз. Собственно, это своего рода реализация multi-wan сценария, только вместо второго wan у вас прокси-хост. Gateway groups / Multi WAN — OPNsense documentation
Но лично я это не использую, потому что у меня выборочно проксируются только заблокированные в РФ ресурсы, и если произойдёт условый отвал vless-сервера, то остальной интернет в доме это никак не затронет, т.к. этот трафик sing-box выпускает напрямую.
Если сделать петлю кабелем, то iperf прокачивает 2.5 Гбит/с? Интересна скорость без виртуализации и с виртуализацией, чтобы с рабочего компа можно было на файлопомоечный компутер заходить. И какие скорости максимальные OpenVPN AES-256 и WG достигаются локальной петлёй.
UPD: Ещё интересно, какой беспроводной адаптер используется и какая скорость максимальная достигается, и можно ли свой адаптер вставить.
Большое спасибо за информацию, ты прям посеял зерно раздумий в голову, респект. Интересная тема.