Sing-box: vless через тоннель

finnya · June 17, 2025, 12:40pm

Здравствуйте!
Можно ли настроить sing-box с одним из протоколов маскировки трафика под TLS (vless. shadowtls, hysteria2 и тд.) таким образом, чтобы между сервером и клиентом; клиентом и клиентом через сервер создавался виртуальный тоннель; чтобы сервер выступал шлюзом и имел локальный ip, и клиенты имел ip из той же подсети? Например, чтобы с одного клиента я мог подключится по ssh к другому?

При помощи приложенных конфигов у меня получилось сделать так, чтобы я смог подключаться по локальному ip tun по ssh к серверу, но от сервера к клиенту по ssh по локальному ip я уже подключиться не могу.

Сервер:

Спойлер

{
“log”: {
“level”: “info”,
“timestamp”: true
},
“inbounds”: [
{
“type”: “vless”,
“tag”: “vless-server”,
“listen”: “…”,
“listen_port”: 1111,
“users”: [
{
“name”: “…”,
“uuid”: “…”,
“flow”: “xtls-rprx-vision”
}
],
“tls”: {
“enabled”: true,
“insecure”: false,
“min_version”: “1.2”,
“server_name”: “…”,
“reality”: {
“enabled”: true,
“handshake”: {
“server”: “…”,
“server_port”: 443
},
“private_key”: “…”,
“short_id”: [
“…”
]
}
},
“multiplex”: {
“enabled”: false,
“padding”: false
}
},
{
“type”: “tun”,
“tag”: “virtual_tun_adapter”,
“interface_name”: “vtas0”,
“address”: [
“178.78.0.1/24”
],
“auto_route”: false,
“strict_route”: false,
“stack”: “gvisor”,
“endpoint_independent_nat”: true
}
],
“outbounds”: [
{
“type”: “direct”,
“tag”: “direct”
}
],
“experimental”: {
“cache_file”: {
“enabled”: true,
“path”: “…”,
“store_fakeip”: true,
“store_rdrc”: true
}
}
}

Клиент:

Спойлер

{
“log”:
{
“disabled”: false,
“level”: “warn”,
“timestamp”: true
},
“dns”:
{
“servers”:
[
{
“tag”: “google-dns_doh”,
“address”: “https://8.8.8.8/dns-query”
},
{
“tag”: “cloudflare-dns_doh”,
“address”: “https://1.1.1.1/dns-query”
}
],
“strategy”: “ipv4_only”,
“final”: “cloudflare-dns_doh”
},
“inbounds”:
[
{
“type”: “tun”,
“tag”: “virtual_tun_adapter”,
“interface_name”: “vtas0”,
“address”:
[
“178.78.0.2/24”
],
“auto_route”: true,
“strict_route”: false,
“stack”: “gvisor”,
“endpoint_independent_nat”: true
}
],
“outbounds”:
[
{
“flow”: “xtls-rprx-vision”,
“multiplex”:
{
“enabled”: false,
“protocol”: “h2mux”,
“max_connections”: 32,
“padding”: false
},
“packet_encoding”: “xudp”,
“server”: “”,
“server_port”: 1111,
“tag”: “vless-client”,
“tls”:
{
“enabled”: true,
“insecure”: false,
“min_version”: “1.2”,
“reality”:
{
“enabled”: true,
“public_key”: “”,
“short_id”: “”
},
“server_name”: “”,
“utls”:
{
“enabled”: true,
“fingerprint”: “”
}
},
“type”: “vless”,
“uuid”: “”
},
{
“type”: “direct”,
“tag”: “direct”
},
{
“type”: “block”,
“tag”: “block”
}
],
“route”:
{
“rules”:
[
{
“ip_cidr”:
[
“”
],
“outbound”: “direct”
},
{
“inbound”: “mixed-in”,
“action”: “resolve”,
“strategy”: “ipv4_only”
},
{
“action”: “sniff”,
“sniffer”: [
“http”, “tls”, “quic”, “stun”, “dtls”, “ssh”, “rdp”, “dns”
]
},
{
“protocol”: “dns”,
“action”: “hijack-dns”
},
{
“domain”:
[
“”
],
“outbound”: “direct”
},
{
“domain”:
[
“”
],
“outbound”: “vless-client”
},
{
“domain_suffix”:
[
“.ru”
],
“outbound”: “direct”
},
{
“outbound”: “vless-client”
}
],
“auto_detect_interface”: true
},
“experimental”:
{
“cache_file”:
{
“enabled”: true,
“path”: “”
}
}
}

Так, подключится по ssh с 178.78.0.2 на 178.78.0.1 я могу, а с 178.78.0.1 на 178.78.0.2 нет.

generic_username · June 17, 2025, 1:57pm

Насколько знаю, это все прокси протоколы, не предназначенные для задач, которые вы перед собой поставили.
Почему бы не пойти по пути наименьшего сопротивления: завернуть в любой из протоколов wireguard? Или сразу взять SSL VPN типа OpenConnect?

EDIT: в sing-box есть встроенный wireguard модуль, у которого в настройках имеются ... // Dial Fields. Там в свою очередь есть detour, в котором можно указать нужный outbound. Я не тестировал такую конфигурацию, но должно работать.

throwaway1 · June 17, 2025, 5:01pm

Насчёт сингбокса не знаю, но на иксрее можно попробовать что-то подобное соорудить: XRay (с VLESS/XTLS): проброс портов, реверс-прокси, и псевдо-VPN / Хабр