Как сделать туннель от WireGuard сервера до XTLS-Reality сервера?

Question

[nikolay1214]

Есть 2 сервера, 1 в РФ на WG, второй не в РФ на 3X-UI, Суть в том что хочу использовать WG как шлюз, чтобы сохранить удобство VPN со всеми плюшками в виде домашнего NAS, удаленного рабочего стола и т.д, но при том иметь выход во внешку, встал на моменте их объединения, не могу понять почему мой конфигурационный файл для reality отличается от примеров в интернете и есть ли не GUI версия клиента Xray под ubuntu ?
с командной строкой дружу плохо и настраивал всё через веб интерфейсы, но в данном случае придется лезть под капот, с чем самому справиться сложно.

Comments

[Drno]

Ну во первых покажите конфиг xray клиента

во вторых скорее всего Вам надо будет использовать sing-box (клиент), он может создать TUN интерфейс и дальше уже с помощью iptables завернете нужное в него

Answer 1

[zvl]

Для построения туннеля можно использовать Cloak, конфиги гораздо проще xray:

root@test:~# cat /etc/cloak/cloak-server.json
{
  "ProxyBook": {
    "wireguard": [
      "udp",
      "127.0.0.1:12345"
    ]
  },
  "BindAddr": [
    ":443"
  ],
  "BypassUID": [
    "Lkpevo0X6lV5bn33Rl1QCQ=="
  ],
  "RedirAddr": "mail.google.com",
  "PrivateKey": "+EvmB2L2vKaLsh/ynQgJpyEzQ216Ec2c8svs7au+Y10="
}

root@test:~# cat /etc/cloak/cloak-client-wireguard.json
{
  "Transport": "direct",
  "ProxyMethod": "wireguard",
  "EncryptionMethod": "plain",
  "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
  "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

На сервере, на внешнем интерфейсе, закрываем подключения к порту UDP:12345 средствами iptables или другими сетевыми фильтрами.
На клиенте запускаем:

cloak-client.exe -u -c C:\Windows\System32\cloak-client-wireguard.json -i 127.0.0.1 -l 12345 -s example.com -p 443

На клиенте WG настраиваем подключение на адрес прослушиваемый нашим Cloak-Client: 127.0.0.1:12345
То есть при данной схеме UDP трафик WG упаковывается в туннель TCP предоставляемый средствами cloak.
Если сработает блокировка, можно включить шифрование в конфиге cloak-client:

root@test:~# cat /etc/cloak/cloak-client-wireguard.json
{
  "Transport": "direct",
  "ProxyMethod": "wireguard",
  "EncryptionMethod": "aes-256-gcm",
  "UID": "Lkpevo0X6lV5bn33Rl1QCQ==",
  "PublicKey": "+GTHXOFTYJhRM4+xv9q+ZjSykSIMOLffIs8qJN/4V2Y=",
  "ServerName": "mail.google.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300
}

Comments

[nikolay1214]

Погуглил про Cloak, это получается что то, что работает по тому же принципу что и Reality, только является не отдельным протоколом а надстройкой для обфускации уже существующего впн, звучит весьма интересно, вопрос только в том, насколько сильно замедлится интернет из за двойной шифрации, и придется ли мне как то перенастраивать внешний сервер, умеет ли 3x-ui слушать такое из коробки ?

[zvl]

nikolay1214, cloak разрабатывался как плагин для сокрытия трафика shadowsocks. Он может накладывать дополнительный слой шифрования или не делать этого если тунелируемый трафик уже зашифрован. Шифрование включается и отключается на стороне клиента, серверную часть при этом перенастраивать не требуется. Cloak умеет работать как плагин для ss, так и в виде самостоятельной службы.