XRay клиент в качестве gateway в домашней сети?

Question

[Voland69]

Есть классическая сеть - ISP-Router-клиенты, в ней виртуалка (debian) с 2-мя lan, типа brigde, соответственно имеет 2 ip в диапазоне домашней сети (eth0 192.168.1.100 и eth1 192.168.1.101, для примера).
Есть удаленный VPN сервер.
Задача - настроить виртуалку таким образом, чтобы она была клиентом удаленного VPN сервера, а клиенты, указав в качестве gw адрес виртуалки (eth1 192.168.1.101, для примера), могли выходить в интернет через VPN.
Что не понятно:

1. что брать в качестве клиента (хотелось бы консольный, GUI на шлюзе ни к чему)?
   
2. вопрос 1 решили, подключились, получили адрес, условно, tun0 10.0.8.8 - как организовать маршруты, чтобы eth1 мог выступать в качестве gw для доступа других клиентов через tun0?
   

Comments

[AlexVWill]

а клиенты, указав в качестве gw адрес виртуалки (eth1 192.168.1.101, для примера), могли выходить в интернет через VPN

А зачем это нужно? Для чего клиенты сами не могу подключаться к VPN напрямую, и им надо будет чесать правле ухо левой пяткой и использовать посредника, да еще и в виде виртуалки?

[Voland69]

AlexVWill, есть клиенты, которые сами к VPN подключаться не умеют, например smart TV (не андроид)

[Valentin Barbolin]

Базово достаточно включить NAT на tun0 и разрешить forward, потом можно указывать его как GW или еще проще, в DHCP указать его как GW если роутер позволяет.

sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE
sudo sysctl -w net.ipv4.ip_forward=1

[AlexVWill]

Voland69,

сами к VPN подключаться не умеют,

Принимается, только для этого не надо клиента (кстати, при чем тут Xray?) это решается грамотной установкой VPN клиента на домашнем Mikrotik'е и настройкой маршрутизации для конкретных клиентов пула IP адресов или сетевых интерфейсов.
Да и потом, ты же не можешь напрямую воткнуть ТВ в виртуалку, в этом случае да, нужен клиент какой то, с созданием отдельного сетевого интерфейса или отдельного маршрута (в случае прокси), а оно точно есть для твоего ТВ?

[Voland69]

AlexVWill, XRay не догма, привел как пример более устойчивого к dpi протокола, и потому что сервер уже настроен.
Домашнего микротика нет, есть домашний кинетик с wireguard туннелем, заведено в vlan и работает.
В ТВ точно можно установить gateway, отличный от пришеднего по DHCP - этого должно быть достаточно.
В крайнем случае заведу отдельный сегмент на роутере, который по DHCP будет раздавать параметры с нужным шлюзом.

[AlexVWill]

Voland69, А, понял... Но я бы всетаки попробовал поковырять на предмет создания из самого кинетика такого gateway. Я в кинетиках не очень понимаю (хотя у меня есть, но он как WiFi бридж работает), воможно там есть возможность прописать маршрутизацию для его клиентов?

[Drno]

Voland69, для xray это должен быть sing-box, по мойму только он умеет создавать TUN интерфейс. про маршрутизацю уже указали...
в целом это всё что надо сделать

ставим любой ВПН клиент подходящий, он создает TUN, включаем NAT в ядре, делаем маскард с помощью iptables

[zBornss]

Отдельный vlan на твоём кинетике с dhcp не релеем, и указанием шлюза на виртуалку.
А виртуалка случаем не esxi? Там все можно тоже самое через vswitch

[Voland69]

zBornss, виртуалка KVM, там наверное тоже так можно, надо покурить маны

Answer 1

[Samodelkin92]

Используй sing-box в качестве клиента
Настрой в нем tun и маршрут 0.0.0.1 - тогда он будет собирать весть весть трафик приходящий с компа
Так же пропиши локальную сеть в исключения маршрутов иначе он не отдаст пакеты твоим компас и зациклит их.
Собираться трафик будет с любых интерфейсов и будет передаваться в tun, а потом в маршрут по умолчанию.

{
  "type": "tun",
  "tag": "tun-in",
  "interface_name": "tun0",
  "address": [
    "172.18.0.1/30" // ip tun
  ],
"auto_route": true,
"strict_route": true,
"route_address": [
    "0.0.0.0/1",
    "128.0.0.0/1"
  ],
"route_exclude_address": [
    "192.168.0.0/16" // список всех локальных сетей
  ],
// Или же можешь через это вместо route_exclude_address
"include_interface": [
    "lan0"
  ],
  "exclude_interface": [
    "lan1"
  ],
}

Так же задать статический адрес для eth1 и настроить для него DHCP server. Все что будет воткнуть в eth1 будет получать свой ip, gw.

Comments

[alexencom]

Виртуалка с openwrt и развёрнутой на ней v2raya https://v2raya.org/ прекрасно работает. Любые vpn включая недетектируемые, разделение трафика по geoip и любым правилам. Можно настроить защиту против утечки DNS.

Прокачивает через себя чистый гигабит в X-ray vless reality.
Развернул в proxmox. 2 недели полёт нормальный.

Под openwt куча готовых решений, статей и реализаций.

[Voland69]

alexencom, спасибо, что-то я не подумал что можно софт роутера на openwrt поднять, все проще голого дебиана