На сколько мне известно, без контейнеров, микротики не умеют в клиента для VLESS+REALITY.
Собственно вопрос, пытался кто-то поднять рядом виртуальную машину (в локальной сети роутера), на которой бы был развернут этот клиент, который подключался бы к зарубежному VPS в роли сервера?
То есть флоу бы был примерно таким.
Запрос из локальной сети на заблокированный ресурс > Микротик > VM > VPS.
У меня Hap ax2, на котором маленький внутренний накопитель и нет USB, по этому контейнеры крутить не получается.
Кто может описать примерные шаги, которые необходимы, что бы заставить это работать?
Ну по идее на микротике в mangle маркируешь трафик любым удобным способом, потом через route направляешь его на виртуалку (она будет в качестве шлюза). Но это теория. Как в том анекдоте, рассказать я и сам могу, а ты сделай) Я пробовал сделать маркировку через tls host (то есть sni), mark routing, потом route до вм, где стоит zapret от bol-van’a. Но что-то не срослось. Трафик вроде маркируется, но виртуалка с запретом его жрать не хочет. видимо дополнительная настройка файрвола на самой вм нужна. Хотя по идее zapret в режиме tpws это прозрачный прокси. В общем, сам бы почитал, что в ответ на твой вопрос напишут более опытные админы.
У меня похожая проблема, может кто тоже что то подскажет. Ситуация такая, на микротике подняты туннели wg. К своим серверам за рубежом. Пока все работает, но чувствуется новый виток эскалации и не хочется потерять доступ к сети. Для этих целей рядом есть апельсинка, на ней стоит sing-box с vless, там же поднят еще один wg с пересылкой пакетов на sing-box. Все поднялось работает. А теперь затык. С телефона по wg все работает, хожу под vless. А вот с микрота туннель поднимается, но сайты не открываются. Есть подозрение, что проблема в mtu, но пока нет подтверждений. Может кто-то, что-то подскажет.
Для себя достаточно давно уже сделал такую конструкцию. Наиболее простым и управляемым вариантом оказалось ходить с некротика в xray клиент через wireguard(xray поддерживает входной WG, там только маршруты в самом xray криво работают. Фильтрация по входному тегу не канает, канает только последний маршрут в списке, не подошедший ко всем остальным правилам. Впрочем, на текущий момент могли уже что-то пофиксить).
Соотв. Заводим белые списки проксируемых адресов, манглом метим им роутинг и всё из этой таблицы заворачиваем в wireguard туннель, который смотрит в xray.
Если надо заворачивать по sni(как раз для случая с ютьюбом, у которого тысячи адресов локального кеша) - добавляем в mangle правило, которое как раз по sni делает add dst to address list. Можно временно(опять же копить адреса ютьюба толку ноль) Первый запрос при таком подходе улетит вхолостую, зато последующие заработают.
Ну и да, важно помнить что для работы ipv6 важно добавить правило
routing rule add action=lookup interface=интерфейс-локального-WG routing-mark=наша_метка table=наша_метка
Ну и таблицу создать не забыть
Отвечу на свой же вопрос. Разобрался все таки с этой вещью, что бы заработала цепочка микрот клиент wg- апельсинка сервер wg и она же клиент vless нужно на микроте через мангл сделать разбиение mtu. И все заработало. Только скорость конечно так себе, но как резерв пойдет.
У себя добавил подсетями через адрес лист с маркировкой трафика. Пробовал через raw с доменом, но как то выходит так себе, много айпишников набивает в адрес лист.
Так таймаут же. ИМХО 48 часов жизни этим адресам с головой. Сначала тоже подсетями хотел, начао сканить вариации найденных адресов, но то ли я немного не уловил логику, то ли какие-то не нашёл, но насканенные списки получились с явными дырками, а лишенего в vpn заворачивать тоже не хотелось
Купил таки себе AX3, попробовал припарковать контейнер с xray прямо в роутер. Работает очень даже бодро, лучше чем при завороте чем через малинку, меньше задержки, выше скорость. Схема заворота траффика осталась старой - Для каждого аутбаунда в конфиге xray заводится соответсвующий wireguard-inbound и через маршрутизацию мапятся 1к1, разница только в том что тут WG траффик вообще за пределы роутера не выходит. Ресурсов почти не жрёт, память что-то где-то 50Мб (±), процессор не больше 1.5% (суммарно для WG и container) скорее всего AC3 тоже справится, но не проверял. Сам конфиг можно готовить через 3x-ui, после чего с минимальными правками подкидывать на роутер. Короче если есть подходящее железо - прекрасный вариант.
Сложно сказать, у меня что WAN 100мбит, что на VPS-ке тоже 100мбит. Ютуб у меня завёрнут через WARP внутри конфига Xray(потому что вот буквально вчера через нативный некротиковский клиент он подключаться отказался, а в xray работает. Загадочная загадка). В статистике воспроизведения видел цифры в районе 90мбит.
Трафиик через VLESS через импортный VPS проверить сложнее, но когда-то мерял что при прямом включении выдавало в районе тех же 90, а при завороте через малинку в районе 80Мбит. Сейчас что-то не получается нормально померять, VPS откочевал к другому ISP и я пока не понял куда точно.
Поправка, через некоторое время проц такие начинает поджирать, но в профайлере это поджирание вылезает в unclassified. Может конечно это и не контейнер, но вроде больше нечему. В любом случае, жрёт оно только одно ядро из четырёх, приемлимо.
выкидывайте мемкротики и покупай те роутеры которыйе держут openwrt, routeroсъ пропиертарщина два года ждали пока виригуард туда подвезут с doh’ом, хотя вон тут чувак через коньтейнеры рилиализовывал, может можн прикрутить коньтэйнер с sign-box, xray or whatever, я самолично заказал себе такуйю вундервафлю посмотрим щто из етого выйдет
Пока на OpenWRT, OpenSense\PfSense не появится API, для меня смысла выкидывать нет.
Просто нужно устройство с USB и нормальным CPU. В итоге можно что угодно засунуть в контейнер.
Я может подумаю о OpenWRT, когда будет стейбл версия под banana pi bpi-r4 с wifi 7 модулем.
Жду пока приедет rb5009, ax2 теперь будет просто точкой доступа.