Xray + прозрачный доступ к onion/i2p ресурсам

dimzon · November 18, 2023, 6:22am

Необходимости сохранять анонимность при доступе в даркнет нету. Просто хочется настроить прозрачный доступ чтобы было.

На сервере крутится xray + tor, имеется такое правило маршрутизации

{
                "type": "field",
                "outboundTag": "TOR",
                "domain": [
                    "domain:onion"
                ]
            },

имеем такой outbound

        {
            "tag": "TOR",
            "protocol": "socks",
            "settings": {
                "servers": [
                    {
                        "address": "127.0.0.1",
                        "port": 9050
                    }
                ]
            }
        },

В режиме socks5-прокси например с компа сайт http://flibustaongezhld6dibs2dps6vm4nvqg2kp7vgowbu76tzopgnhazqd.onion/ открывается но не с первого раза, при этом в логах на сервере в /var/log/xray/error.log имеем строки вида

2023/11/18 06:58:46 [Warning] [2410852795] app/proxyman/outbound: failed to process outbound traffic > proxy/socks: failed to establish connection to server > read tcp 127.0.0.1:12456->127.0.0.1:9050: i/o timeout

в документации к xray не нашел способа увеличить таймут для этого outbound.

Ну а на мобильном не всем браузерам подсунешь socks5 прокси. А в режиме tun - это вооще не работает…

Я так понимаю что должен быть какой-то “локальный” dns-сервер на xray-сервере который будет выдавать уникальные фейковые ip-адреса (наверное AAAA записи из какого-нибудь волшебного CIDR) для onion, весь dns клиента завернуть на xray чтобы он прозрачно получал ipv6 до onion и потом уже работал с ним…

Может кто-то уже делал что-то подобное?

С i2p аналогично, сейчас пока разбираюсь с onion…

0ka · November 18, 2023, 12:41pm

    "policy": {
        "levels": {
            "0": {
                "handshake": 10
            }
        }
    },

не помогает?

вот еще нашел конфиг для sing-box Regarding nonIPQuery · XTLS/Xray-core · Discussion #2298 · GitHub

dimzon · November 18, 2023, 9:24pm

Помогло!

Касательно DNS пошел путем linux-way. В torrc добавил строки:

DNSPort 127.0.0.2:53
AutomapHostsOnResolve 1
AutomapHostsSuffixes .onion

Потом склеил все с помощью dnsmasq добился такого поведения на стороне VDS

root@v2136098:/opt/real# nslookup flibustaongezhld6dibs2dps6vm4nvqg2kp7vgowbu76tzopgnhazqd.onion
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   flibustaongezhld6dibs2dps6vm4nvqg2kp7vgowbu76tzopgnhazqd.onion
Address: 127.230.9.54
Name:   flibustaongezhld6dibs2dps6vm4nvqg2kp7vgowbu76tzopgnhazqd.onion
Address: fe80:2f39:b9c6:12ab:10cf:1857:51ca:c510

root@v2136098:/opt/real# nslookup flibusta.lib
Server:         127.0.0.1
Address:        127.0.0.1#53

Non-authoritative answer:
Name:   flibusta.lib
Address: 179.43.150.83

В server-config.json поставил единственный сервер в dns

"dns": {
        "servers": [
            "tcp+local:\/\/127.0.0.1"
        ]
    }

В режиме socks заработала lib (потому как в настройках dnsmasq указал серверы OpenNIC) но в режиме tun на клиенте не работает: не ресолвится

Клиент - свежий v2rayNG…

0ka · November 18, 2023, 9:53pm

в v2rayng прописан remote dns 127.0.0.1?

dimzon · November 19, 2023, 2:45am

пробовал - вообще никакие страницы не находит, есть мысли но пока воюю на стороне VDS, прикрутил i2pd, все оказалось проще

В dnsmasq прибил гвоздями 1 адрес и для onion и i2p:

address=/i2p/127.254.0.1
address=/onion/127.254.0.1

повесил на http-порту привокси:

listen-address 127.254.0.1:80
forward-socks5t   .onion     127.0.0.1:9050 .
forward           .i2p   127.0.0.1:4444

итого wget на vds выдает и onion и i2p

Теперь вот думаю понравится ли ip адрес 127.254.0.1 клиенту, не попробует ли он сделать bypass lan

Не в курсе можно ли создать фиктивный адрес типа 195.1.1.1 который будет действовать в рамках VDS на который можно будет повесить привокси?

ValdikSS · November 19, 2023, 3:12am

Установите какой-то локальный адрес на интерфейс lo, его и пропишите в конфигурационных файлах. При этом слушать (bind’ится) только на этом интерфейсе не нужно.

dimzon · November 19, 2023, 7:07am

root@v2136098:~# ip address show dev lo
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet 195.195.195.195/32 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever

root@v2136098:~# nslookup stats.i2p 195.195.195.195
Server:         195.195.195.195
Address:        195.195.195.195#53

Name:   stats.i2p
Address: 195.195.195.195

root@v2136098:~# nslookup ya.ru 195.195.195.195
Server:         195.195.195.195
Address:        195.195.195.195#53

Non-authoritative answer:
Name:   ya.ru
Address: 5.255.255.242
Name:   ya.ru
Address: 77.88.55.242
Name:   ya.ru
Address: 2a02:6b8::2:242

root@v2136098:~# nslookup rutor.lib 195.195.195.195
Server:         195.195.195.195
Address:        195.195.195.195#53

Non-authoritative answer:
Name:   rutor.lib
Address: 193.46.255.25

ya.ru - работает!
rutor.lib - не ресолвит!

Вот такая фигня. Может scope поменять попробовать у 195.195.195.195 ?

ЗЫ. Прописал в v2rayng левые dns - при соединении проверка средствами v2rayng говорит что сбой а браузер работает как ни в чем не бывало, ip vps на 2ip.ru показывает

ЗЫ2. Включил галочку fakedns в клиенте, заработало. Но это я так понимаю костыль на стороне клиента, и мой внутренний перфекционист грызет меня со страшной силой.

dimzon · November 19, 2023, 10:58am

Заработало.

При включенной галочке на виртуальном адресе 26.26.26.2:53 поднимается UDP-only который редиректит dns-запросы на удаленный ресолвер xray

Смысл опций “удаленная / внутреняя dns” пока не ясен

dimzon · November 21, 2023, 1:58am

@ValdikSS получилось, вот инструкция может кому пригодится

Обычный DNS рулим на VDS стандартными средствами, ресолвер вешаем на 127.0.0.1:53, помним про /etc/resolve.conf
Сломался outbound protocol=“wireguard” , пришлось запускать 2-й экземпляр XRay и лазить в него из основного через socks:

{
    "log": {
        "loglevel": "warning",
        "access": "\/var\/log\/xray\/wg-access.log",
        "error": "\/var\/log\/xray\/wg-error.log",
        "dnsLog": false
    },
    "dns": {
        "servers": [
            "tcp+local:1.1.1.1",
            "tcp+local:1.0.0.1"
        ]
    },
    "inbounds": [
        {
            "port": "1081",
            "listen": "127.0.0.1",
            "tag": "wireproxy",
            "protocol": "socks",
            "settings": {
                "auth": "noauth",
                "udp": true
            }
        }
    ],
    "outbounds": [
        {
            "tag": "WARP",
            "protocol": "wireguard",
            "settings": {
                "secretKey": "...",
                "address": [
                    "172.16.0.2\/32",
                    "2606:4700:110:8de1:4b29:ef08:2482:535d\/128"
                ],
                "peers": [
                    {
                        "endpoint": "engage.cloudflareclient.com:2408",
                        "publicKey": "bmXOC+F1FxEMF9dyiK2H5\/1SUtzH0JuVo51h2wPfgyo="
                    }
                ],
                "mtu": 1280
            }
        }
    ],
    "routing": {
        "domainStrategy": "IPOnDemand",
        "rules": []
    }
}

Ставим привокси:

listen-address 127.0.0.1:8118
accept-intercepted-requests 1

user-manual /usr/share/doc/privoxy/user-manual
confdir /etc/privoxy
logdir /var/log/privoxy

forward-socks5t   .onion     127.0.0.1:9050 .
forward           .i2p   127.0.0.1:4444

logfile logfile
toggle  0
enable-remote-toggle  0
enable-remote-http-toggle  0
enable-edit-actions 0
enforce-blocks 0
buffer-limit 4096
enable-proxy-authentication-forwarding 0
forwarded-connect-retries  0
allow-cgi-request-crunching 0
split-large-forms 0
keep-alive-timeout 5
tolerate-pipelining 1
socket-timeout 300

xray

{

"dns": {
        "tag": "dns_inbound",
        "servers": [
            "localhost"
        ],
        "hosts": {
            "domain:onion": "155.155.155.155",
            "domain:i2p": "155.155.155.155"
        }
    },
    "inbounds": [
        {
            "listen": "127.0.0.4",
            "port": 53,
            "protocol": "dokodemo-door",
            "network": "tcp,udp",
            "settings": {
                "address": "127.0.0.1",
                "port": 53,
                "network": "tcp,udp"
            },
            "tag": "dns-in"
        },
.....
],
    "outbounds": [
        {
            "protocol": "freedom",
            "domainStrategy": "AsIs",
            "tag": "freedom",
            "settings": {}
        },
        {
            "protocol": "freedom",
            "domainStrategy": "AsIs",
            "tag": "privoxy",
            "redirect": "127.0.0.1:8118",
            "userLevel": 5,
            "settings": {}
        },
        {
            "protocol": "dns",
            "address": "9.9.9.9",
            "port": 53,
            "settings": {
                "nonIPQuery": "drop"
            },
            "tag": "dns-out"
        },
        {
            "tag": "WARP",
            "protocol": "socks",
            "settings": {
                "servers": [
                    {
                        "address": "127.0.0.1",
                        "port": 1081
                    }
                ],
            }
        },
        {
            "tag": "TOR",
            "protocol": "socks",
            "settings": {
                "servers": [
                    {
                        "address": "127.0.0.1",
                        "port": 9050,
                        "users": [
                            {
                                "user": "tor-user",
                                "pass": "tor-pass",
                                "level": 5
                            }
                        ]
                    }
                ]
            }
        },
        {
            "tag": "i2p",
            "protocol": "socks",
            "settings": {
                "servers": [
                    {
                        "address": "127.0.0.1",
                        "port": 4447,
                        "users": [
                            {
                                "user": "i2p-user",
                                "pass": "i2p-pass",
                                "level": 5
                            }
                        ]
                    }
                ]
            }
        },
        {
            "protocol": "blackhole",
            "tag": "block"
        }
    ],
    "routing": {
        "domainStrategy": "IPIfNonMatch",
        "rules": [
            {
                "type": "field",
                "inboundTag": [
                    "dns_inbound"
                ],
                "outboundTag": "freedom",
                "network": "tcp,udp"
            },
            {
                "type": "field",
                "port": "53",
                "outboundTag": "dns-out",
                "network": "tcp,udp"
            },
            {
                "type": "field",
                "outboundTag": "TOR",
                "domain": [
                    "domain:onion"
                ]
            },
            {
                "type": "field",
                "outboundTag": "i2p",
                "domain": [
                    "domain:i2p"
                ]
            },
            {
                "type": "field",
                "ip": [
                    "155.155.155.15"
                ],
                "outboundTag": "privoxy",
                "network": "tcp"
            },
            {
                "type": "field",
                "ip": [
                    "geoip:private"
                ],
                "outboundTag": "block"
            },
            {
                "type": "field",
                "port": "25, 587, 465, 2525",
                "network": "tcp",
                "outboundTag": "block"
            },
            {
                "type": "field",
                "outboundTag": "block",
                "domain": [
                    "geosite:category-ads-all"
                ]
            },
            {
                "type": "field",
                "user": [
                    "rl_0_Dmitry"
                ],
                "outboundTag": "WARP"
            },
            {
                "type": "field",
                "protocol": [
                    "bittorrent"
                ],
                "outboundTag": "block"
            }
        ]
    },
    "policy": {
        "levels": {
            "0": {
                "handshake": 5,
                "connIdle": 120
            },
            "5": {
                "handshake": 120,
                "connIdle": 300
            }
        }
    }
}

Настрока v2rayng
включаем эту галочку

image1080×1007 102 KB

а тут забавнее. Явно тыкаем на удаленная DNS и очищаем значение. При этом в UI все равно будет отображаться 1.1.1.1 Поэтому тыкаем и убеждаемся что в окошке редактирования поле пустое

Касательно “Внутренная DNS” наоборот - открывам и явно прописываем 223.5.5.5 (тыкаем и убеждаемся что в окошке редактирования поле НЕ пустое)