Mikrotik + VLESS + REALITY

fatmaster · September 30, 2024, 3:45pm

Все привет! Арендую vds через marzban за рубежом. Настроен только vless. На ПК и андроид через соответствующие приложения всё работает четко! Очень хочу реализовать данный впн на микроте. Есть микрот. хап ac2. Планирую поменять на хап AX3. По Вашей инструкции не понял, где взять конфиг config.json. Путь /usr/local/x-ui/bin/config.json это где именно находится? На каком то уже настроенном клиенте? Много туманного в настройке через докер)

s.v.d · September 30, 2024, 4:06pm

Я просто предложил развернуть где-нибудь инсталляцию 3x-ui, настроить всё там через ГУЙ, стянуть конфигу отуда и чуть-чуть её подправить. Ну типа вместо того чтоб руками всё писать.

white · October 2, 2024, 10:00am

Благодарю за разъяснения, удалось поднять.

так же воспользовался 3x-ui для генерации конфига. все прекрасно работает

timz · October 31, 2024, 2:17pm

смогли победить?

the-d-kid · November 16, 2024, 12:20pm

Добавляете вот такой инбаунд:

		{
			"tag": "wireguard",
			"listen": "0.0.0.0",
			"port": СЮДА_ПОРТ_СЕРВЕРА,
			"protocol": "wireguard",
			"settings": {
				"secretKey": "СЮДА_ПРИВАТНЫЙ_КЛЮЧ_СЕРВЕРА",
				"peers": [
					{
						"publicKey": "СЮДА_ПУБЛИЧНЫЙ_КЛЮЧ_КЛИЕНТА",
						"allowedIPs": [
							"192.168.8.2/32"
						]
					}
				],
				"kernelMode": false
			}
		},

С таким инбаундом XRay становится wireguard сервером, соответственно можно несколько пиров добавить в блок peers по аналогии, первый пир - сам микротик по идее, соответственно микротик настраиваете как клиента WG
С ключами надеюсь не запутаетесь, если что пишите
Чуть не забыл, в routing rules добавляете

            {
                "inboundTag": [
                    "wireguard"
                ],
                "network": "udp",
                "outboundTag": "proxy",
                "port": "СЮДА_ПОРТ_СЕРВЕРА",
                "source": [
                    "192.168.0.0/16",
                    "10.0.0.0/8",
                    "172.16.0.0/12"
                ],
                "type": "field"
            },

соответственно эта часть конфига отвечает за то, что всё что пришло в Wireguard inbound уйдёт в “proxy” outbound, слушаем мы WG только из подсетей описанных в source

UPD2: У вас кстати почему то TAG outbound не проставлен, так что правило роутинга не сработает, по этому допишите в самый конец перед закрывающей скобкой блока с VLESS (между жёлтой и синей скобкой)

"tag": "proxy"

the-d-kid · November 16, 2024, 12:41pm

нет никакого смысла с поднятым Xray/sing-box грузить бедный микрот задачей набивать адрес листы, тем более что работает реально хреново, гораздо проще в случае с Xray добавить inbound’ы по аналогии с этой инструкцией но вместо MaraDNS исользовать самого микрота, добавляя записи заблокированных ресурсов в DNS static на IP с Xray, и всё. Всё что угодно в вебе так можно разбанить на уровне всей сети миротика

s.v.d · November 16, 2024, 12:57pm

Этот подход вырабатывался ещё на тех версиях ROS, когда FWD записи не работали с включённым DOH. Сейчас тоже перешёл на вариант с DNS

centayrus · November 18, 2024, 6:46pm

Схема с использованием ВМ с клиентом показалась мне рабочей, с учетем нехватки ресурсов на ac hap2, и реализовал ее - ру сегмент интернета напрямую, зарубежный через VPS. Только пока работает только через браузер, и все летает, указав прокси клиента xray. Но хочется, чтобы все работало через Mikrotik. Для этого нужно завернуть трафик на ВМ, что не получается сделать, т.к. не шарю в микроте. В идеале хотелось бы заворачивать только заблокированные ресурсы, используя antifilter. Может у кого-то уже есть такие настройки или знает как сделать?

wiktorbgu · November 18, 2024, 7:47pm

По текущей теме это xray vless + hev-socks5-tunnel в одном контейнере!
wiktorbgu/vless-hev-socks5-tunnel-mikrotik
Если нужна какая-то кастомизация, пишите)

Полезные контейнеры для Mikrotik
Решил собрать в одном сообщении
https://hub.docker.com/u/wiktorbgu
—————————————————————————
AmneziaWG client and server on Mikrotik container
wiktorbgu/amneziawg-mikrotik
———————————————————————
xray vless + hev-socks5-tunnel in one container!
wiktorbgu/vless-hev-socks5-tunnel-mikrotik
—————————————————————————
ByeDPI + hev-socks5-tunnel in one container! < 4Mb
wiktorbgu/byedpi-hev-socks5-tunnel:mikro
————————————————————
Mikro container hev socks tunnel! <3Mb
wiktorbgu/hev-socks5-tunnel-mikrotik
————————————————
Mikro container ByeDPI! <100kb
wiktorbgu/byedpi-mikrotik

centayrus · November 19, 2024, 4:34am

Микротик hap ac2 со 128Mb памяти потянет контейнер совместно с vless? Здесь писали, что xray-core нужно куда больше оперативы.

centayrus · November 19, 2024, 6:43pm

Запустился на микротике, норм. Опять же, используя как прокси из браузера норм работает. Как в него завернуть трафик из роутера?

wiktorbgu · November 19, 2024, 9:12pm

Добавил микро версию на 10Мб меньше, дальше ужиматься некуда

xray vless + hev-socks5-tunnel in one container! 48Mb
wiktorbgu/vless-hev-socks5-tunnel-mikrotik:mikro

Заворачивается как обычно через таблицу

/routing table 
add disabled=no fib name=vless
/ip route
add comment=VLESS disabled=no distance=1 dst-address=0.0.0.0/0 gateway=VLESS routing-table=vless

По аналогии с инструкцией можете посмотреть как заворачивать нужные ресурсы в таблицу (ссылки тут в описании https://hub.docker.com/r/wiktorbgu/byedpi-hev-socks5-tunnel)

centayrus · November 20, 2024, 3:33pm

Все прекрасно работает, спасибо

s.v.d · November 21, 2024, 8:15am

Можно выкинуть hev-socks5 и подключаться через Wireguard

wiktorbgu · November 21, 2024, 12:06pm

а смысл?

s.v.d · November 21, 2024, 12:22pm

Удобно, нет проблем с ipv6 маршрутизацией, получаем отдельный интерфейс вместо общего бриджа для всех контейнеров(что позволяет без лишнего головняка например делать марк коннекшн), можно ещё немного порезать образ, нет дополнительного процесса в памяти. Работает очень шустро и стабильно, т.к. wg на некротиках реализован модулем ядра, я этим способом чёрти сколько пользуюсь, с момента когда в xray появилась поддержка wireguard inbound. Ну и вишенкой на торте - можно сделать несколько независимых аутбаунд коннектов, к ним 1к1 сконфигурить wireguard инбаунды и вся эта красота будет реализовываться одним контейнером. В схеме с tun2sock проксёй так не получится.

wiktorbgu · November 21, 2024, 12:37pm

Со всем тем что описано и с ipv6 да, логично оно и нужно для этого. А большинству нужно просто и быстро подключиться к vless серверу поэтому мой контейнер самый простой в настройке. Данные в env вбил, маршрут в контейнер направил и всё работает. Всяко лучше же чем соединяют по 2 контейнера.
Спрос рождает предложение, поэтому и собрал. Мне до сих пор простого wg хватает, я vless не использую, но потестить и чет собрать полезное интересно)
Спасибо за описание схемы, подробно и понятно, приятно было читать.

s.v.d · November 21, 2024, 12:56pm

В таком ключе да, но я из ваших постов предположил, что стояла задача сэкономить каждый байт, чтобы оно нормально крутилось даже на AC2. Потому и предложил)

wiktorbgu · November 21, 2024, 5:26pm

у меня ax3, а уменьшение образов тупо спортивный интерес))
а пользую я на все byedpi и на пару тройку сайтов бесплатные wg warp и proton)
сразу скажу, команды байдпи я не подбираю каждый день как некоторые думают , раз поставил и забыл даже инста работает через него