Как заблокировать домен/программу так, что б запуск ВПН отменял эту блокировку?

Question

[Константин Мельников]

В общем вопрос состоит так. Я проживаю в регионе, который находится под санкциями США и в связи с этим у меня могут возникнуть (и уже возникали) проблемы с аккаунтом Steam если мой настоящий IP "спалят". По этому я использую виртуальную приватную сеть с российским IP что бы скрыть от Steam свой настоящий IP. Если конкретней то я использую клиент NekoBox для переброски трафика доменов "steamcommunity.com", "steampowered.com" и приложений "steam.exe", "steamservice.exe", "steamwebhelper.exe".

Но бывает что виртуальная сеть перестает работать по той или иной причине, или ее банально нужно перезапустить. И в такие моменты может проскочить подключение через мой настоящий IP. А я хотел бы этого избежать.

В общем я ищу способ заблокировать доступ в интернет приложениям "steam.exe", "steamservice.exe" и "steamwebhelper.exe", а так же домены "steamcommunity.com" и "steampowered.com" на ПК под управлением Windows 11. Но так, что б эта блокировка не распространялась на виртуальную сеть.

Клиент NekoBox НЕ СОЗДАЕТ свой сетевой адаптер. Есть какой то способ заблокировать указанные ресурсы так что б при ВПН подключении эта блокировка не работала? Что б указанные программы и сайты можно было открыть только через ВПН и никак иначе?

Comments

[tut_nick]

Зачем создавать еще один вопрос? Предыдущего мало?
Автора пора заблокировать на ресурсе.

[Евгений]

Думаю, что можно. НекоБокс в автозагрузку. Затем настроить в нем действие по умолчанию, т.е. сменить buypass на proxy.
Тогда если упадет ВПН сервер, у Вас не будет интернета, совсем.
Ну или ручками добавить домены которые можно не проксировать в список buypass. Тогда при падении ВПН сервера эти домены будут работать.
Вкратце как то так.

[Константин Мельников]

Евгений, не пойдет. Это будет работать если сам клиент НекоБокс запущен перманентно, и только при падении сервера. Что если само приложение НекоБокс не запущено? На автозапуск его к тому же не поставить, его нужно запускать от админа а оно так не умеет. При "автозапуске" появляется плашка нажимая которую программа перезапускается с правами администратора. Мне по этому автозапуск Steam пришлось отключить. Так же иногда нужно перезапускать ВПН подключение или и вовсе менять на новое, если старое перестало работать. И в такие моменты опять же будет проскакивать реальный IP.

Нужен какой то независимый способ блокировки который не будет зависеть от НекоБокс.

[Евгений]

Константин Мельников, если ПКМ на клиенте некобокса, и выбрать "Свойства", то там есть опция "Запуск с правами администратора".
По остальному: что прямо одновременно и стиме сидеть и впн менять? По моему это нереалистичный вариант.

[Константин Мельников]

Евгений, если так сделать то автозапуск вообще перестает работать хоть как то.
Через планировщик задач удалось запустить поставив галочку "запускать с наивысшими правами". Но опять же это не совсем то что хотелось бы

Если по умолчанию стим заблокирован и только ВПН обходит блокировку, то почему это нереальный вариант? ВПН отключился и стим продолжает работать но в оффлайн режиме, запускаешь впн и он со временем пере подключится. Нужно только разобраться как заблокировать его так что б на ВПН блокировка не работала. Через файл например HOST блокировка окончательная и ВПН никак не помогает...

[Евгений]

Константин Мельников, давайте начнем по порядку. Потому, что нужно проблемы разбирать шаг за шагом, а не всем скопом.
По поводу запуска:

Героические усилия с максимальными привилегиями комментировать не буду.
Я постараюсь вернуться обратно, и объяснить, что режим TUN есть (тот который создает интерфейс)
И еще может быть плохие слова об УПОРОТОМ желании автора редактировать hosts.
Модераторы, это не дробление на посты, тут тяжелый случай:
- надо скачать некобокс (первый раз вижу его)
- убедиться, что это просто "морда"
- наделать скиншотов
Ну извините.

[Евгений]

Константин Мельников, возвращаемся к режиму TUN
Вы же говорили, что невозможно, но я добился этого, на стартовом экране:



Что там у нас осталось?
Даже не знаю с чего начать, чтобы не обидеть.
Есть такие протоколы как TCP и UDP и соответственно режимы работы впн клиента.
Если СистемныйПрокси, то UDP не попадает в него, ибо он работает только по TCP.
Если режим TUN, то создается виртуальный адаптер и туда заворачивается и TCP и UDP.
Вас палил Стим именно по UDP соединениям. Не могу привести статистику, но навскидку 90% игр использует UDP.

hosts еще остался, но это бредовая идея, судя по требованиям автора.

[Константин Мельников]

Евгений, ну так у меня стоит галочка "запускать вместе с системой", и знаешь что она делает? При запуске ПК появляется плашка
---------------------------
NekoBox
---------------------------
Пожалуйста, запустите NekoBox с правами администратора
---------------------------
&Yes &No
---------------------------
И только после того как я жму Yes программа стартует и активирует один из VPN конфигов, если он был включен до этого. А пока я ничего не делаю, просто висит это окно и ВПН не запускается.

Режим TUN у меня тоже включен, без него VPN вообще не работает. Это описано в любой инструкции по настройке VPN. Только интерфейс то оно не создает. Вот сам посмотри


Или под интерфейсом вы подразумеваете не сетевой адаптер а что-то другое?

Я говорил невозможно... что? Что невозможно. Режим TUN у меня был включен всегда. Я больше года использую этот клиент и TUN был включен всегда. Но отдельного сетевого адаптера не появилось. Или может он как то скрыт в Windows 11. В 10-ке можно было в классическом интерфейсе проводника открыть список всех адаптеров, а в 11-й интерфейс свой...

Касаемое Steam, меня палят именно когда я что-то делаю с НекоБокс. Бывает сервер залагал и его нужно выключить и включить. Или он и вовсе умер и нужно переключиться на другой. По хорошему в такие моменты нужно выключать Steam и только потом перезапускать ВПН. Но это не всегда удобно.

Может мне нужно НекоБокс переустановить? Хотя что там переустанавливать если у меня портативная версия. Как заставить его создавать виртуальный адаптер? Я так понимаю если такой адаптер будет создан то можно будет в базовом брандмауэре от винды настроить блокировку?

[Константин Мельников]

Евгений, вот, почитайте эту статью

Автозапуск Nekobox (NekoRay) под Windows в TUN режиме

Я надеюсь ссылки разрешены

[Евгений]

Константин Мельников, отказаться от некобокс, если он не делает то, что заявлено в интерфейсе.
Специально для Вас установил некобокс, протестировал, забавно. Соединяется, да, остальное - бред.
Все остальные настройки в некобокс ни на что не влияют, шаманить что то через реестр, это такое себе.
Может стоит попробовать hiddfynext.

[Константин Мельников]

Евгений, я поставил НекоБокс по тому что это единственное приложение которое было в инструкции ВПН сервиса который я когда то использовал. У него не было своего отдельного приложения, предоставлялись только настройки для сторонник ВПН клиентов. И для протоколов VLESS и Shadowsocks советовался именно этот. Поставил НекоБокс, запустил. Поразился гибкости настройки. Родные клиенты как OpenVPN и WireGuard которые я использовал в начале максимум что могли делать это включать белый/черный список для IP адресов. Этот же умеет куда больше. В нем можно указать IP адреса, домены сайтов которые можно:

• Пускать напрямую
  
• Пускать через VPN
  
• Блокировать
  

А в костюмных маршрутах оно может еще больше. Не только домены, но еще и ключевые слова или *.exe приложения пускать напрямую/через впн или блокировать. Я тогда впервые встретил настолько продвинутый ВПН клиент и меня это более чем устраивало. До того как вы мне не сказали что он чет там не умеет.



Есть еще клиент Throne, крайне похожий внешне но по описанию умеющий одновременно запускать два разных ВПН конфига с разными маршрутами. Сейчас попробую ваш hiddfynext, если он умеет тоже и даже больше то перейду на него...

[Константин Мельников]

Евгений, вот я скачал клиент hiddify-next. А как тут настроить раздельное туннелирование? Или как там это называется. Что б ВПН работал не на весь ПК а на отдельные домены и программы?

[Константин Мельников]

Евгений, а вот это уже совсем странно. НекоБокс не запущен. Запущен только hiddify-next. При этом в диспетчере устройств в разделе сетевых адаптеров появляется такое же устройство sing-tun Tunnel как при работе НекоБокс. Оказывается интерфейс что создает НекоБокс только тут и видно, но никто об этом не знал...

А самое интересное, что я никак не настраивал hiddify-next, только включил режим VPN который кстати как и TUN в НекоБокс требует запуск с правами администратора (совпадение?). Так вот, запущен только hiddify-next, но он как буд-то использует те же правила маршрутизации что были настроены в НекоБокс. То есть к примеру страница yandex.ru/INTERNET открывается напрямую, а speedtest.net через ВПН (без ВПН этот сайт совсем не работает)

Откуда другой ВПН клиент взял эти настройки? Они в сетевом адаптере sing-tun Tunnel остались?

Я совсем запутался во всем этом...

Answer 1

[Константин Мельников]

Спасибо доброму человеку Zil1 что написал очень подробную инструкцию как решить мою проблему в этом комментарии ( Как заблокировать домен/программу так, что б запуск ВПН отменял эту блокировку? )

Тут я дублирую его ответ что бы отметить вопрос решенным

Итак. Я использовал ВПН клиент NekoBox и протокол Shadowsocks
В дополнение к этому нужно установить программу https://github.com/netchx/netch
А так же расширение браузера ZeroOmega (если используете Chrome как и я)

В NekoBox нужно вернуть настройки маршрутов к значению по умолчанию, если они были изменены. Так же нужно выключить режим TUN если он был включен. А лучше переустановить NekoBox с нуля

Другими словами удаляем NekoBox, ставим его заново, добавляем свой конфиг Shadowsocks, запускаем его и все Больше ничего с NekoBox делать не нужно, его настройка полностью завершена

Теперь переходим к настройке Netch. Тут нужно настроить SOCKS сервер


Ничего сложного, нужно заполнить только первые две строки, имя (любое) и IP : Порт из NekoBox
Остальные строки трогать не нужно


Следующим шагом нужно выбрать "Mode" из списка предустановленных или создать свой (Вкладка Mode >> Create Process Mode). Mode это настройка маршрутизации наподобие той что была в NekoBox. В предустановленных правилах уже есть Steam, можно использовать его, или создать на его основе своё прописав всё что нужно. Можно указать IP адреса, названия *.exe приложений, пути до приложений или до папки с приложениями. Интернет трафик всего что вы укажите в Mode, будет пропускаться через VPN NekoBox. Если же NekoBox не запущен, доступ в интернет указанным приложениям будет заблокирован


В целом это все что нужно. Можете еще текущий профиль с понятным названием, или сделать несколько для быстрого переключения, если нужно. Кнопка "Start" запускает процесс перенаправления. Теперь трафик ресурсов прописанных в выбранном Mode будет идти исключительно через NekoBox, или блокироваться если ВПН не подключен

Последний важный шаг, это настройка автозапуска Netch и NekoBox


C настройкой клиента Steam окончено. А что если мы откроем сайт Steam в браузере? Netch к сожалению не умеет работать напрямую с сайтами. Разве что весь браузер Chrome.exe прописать, но это перебор. Нужен избирательный метод

Для этого в браузер нужно поставить расширение ZeroOmega

https://chromewebstore.google.com/detail/proxy-swi...
После установки расширения заходим в его настройки, и добавляем профиль, почти так же как в Netch


А потом в разделе auto switch настраиваем маску доменов, которые должны открываться через NekoBox


В конце переходим на нужный сайт, и включаем режим auto switch в расширении


На этом вроде бы все. В итоге

Мы направляем трафик сайта Steam и клиента Steam через NekoBox. А если NekoBox не подключен к ВПН серверу, или банально даже не запущен, то ни сайт ни клиент не подключится к интернету. Именно это я и хотел сделать когда задавал свой вопрос, но не знал как этого добиться...

Answer 2

[benten115124]

Так как вопрос очень похож, отвечаю точно так же

Никак этого не добиться. Я тоже пытался такое сделать, перечитал десятки страниц (твой вопрос так через поиск и нашел), и пришел только к одному выводу. Единственный способ сделать нечто подобное это заблокировать нужные ресурсы на роутере, тогда в теории ВПН на ПК будет обходить эту блокировку. Но мой роутер не настолько продвинутый что бы я смог это проверить. Нужен действительно дрогой роутер, а мой всего 8к стоял...

З.Ы. И поменьше слушай "программистов". Они тебе столько теории насыпать могут сколько и за месяц не разгребешь. А действительно рабочий вариант ты от них не узнаешь. Если бы он был, в интернете давно бы написали реально работающую инструкцию. Но не написали. Или написали не на нашем языке. К сожалению этот сайт не для рабочих примеров...

Comments

[SlavaSch]

Но мой роутер не настолько продвинутый что бы я смог это проверить. Нужен действительно дрогой роутер, а мой всего 8к стоял...

Роутер под openwrt можно взять за 3-5 тысяч и настроить там всë, что душа пожелает

[benten115124]

SlavaSch, если шаришь в линуксе и умеешь работать с консолью то на OpenWRT многое можно сделать. Или если найдешь готовую инструкцию. А подобное не каждому по рукам...

[Vugluskr1]

benten115124, нужно не только роутер и инструкция. 90% людей не умеют читать, из-за этого много проблем возникает.

[Ratenti]

Написано решение вообще-то
https://qna.habr.com/answer?answer_id=2509682#answ...

[benten115124]

Ratenti, так это не решение. Это сухая теория о решении проблемы. Без конкретики.

Решение это конкретная пошаговая инструкция после прочтения которой даже не специалист сможешь решить проблему

Ну вот самое банальное:

на удаленной машине настраивается nat и эта удаленная машина локально прописывается как шлюз по умолчанию

Не специалист поймет что это и как такое сделать? Да и более того. Какой ВПН сервис даст что-то там настраивать на своем сервере? Ни разу такого не видел. Тебе дают конкретный конфиг для подключения или и вовсе скачиваний фирменный клиент который даже не понятно на каком протоколе работает

Это нужно арендовать сервер за границей и на нем подымать свой собственный ВПН сервер которым можно вертеть как угодно. ТС будет это делать? Сомневаюсь...

Далее:

В этой конфигурации достаточно для выбранных серверов прописать свой шлюз либо отключить прописывание автоматического роутера...

Опять же, теория. Не специалист поймет как это сделать в своей конкретной ситуации?. Опять же, нет...

По этому это не решение. Что бы понять это "решение" нужно кучу макулатуры прочитать

[benten115124]

Vugluskr1, напиши самую подробную инструкцию на техническом "жаргоне" и естественно что ее не поймут. Тут вопрос в том, а хочешь ли ты действительно помочь или пишешь для галочки?

На подобных сайтах как этот, как правило отвечают для галочки. Максимально кратко. А вот на других сайтах, где сам автор отвечает (пишет инструкцию) на немой вопрос который никто не задавал, он это делает максимально подробно по тому что сам когда то искал решение этой проблемы, нашел, и решил поделиться этим с остальными

Вот обрати внимание на какие нибудь инструкции, гайды, руководства в интернете. Если конечно читаешь такое а не сам до всего доходишь...

Answer 3

[Drno]

ну вообще то некобокс создает сетевой адаптер, если вместо system proxy использовать TUN
такой же как опенвпн делает

разве стим не имеет возможности в настройках прописать сокс прокси? когда текорей запускается - он поднимает сокс прокси. можно его указывать в настройках любых программ

Comments

[Константин Мельников]

Вот опять. Мне уже 4-й раз пишут про сетевые адаптеры. Но не создает НекоБокс никаких адаптеров. Вот давай я еще раз скину скриншот



Вот смотри, он запущен в режиме TUN. Без него ВПН ВООБЩЕ НЕ РАБОТАЕТ. Я больше года использую его исключительно с галочкой TUN. Но никаких сетевых адаптеров не появляется

А если он создает какой то скрытый сетевой адаптер, то подскажите где его найти

[Константин Мельников]

А стоп. Вот сейчас в диспетчере устройств появился сетевой адаптер tun

[Drno]

Константин Мельников, ну адаптер не может не появлсять, тогда бы впн не работал)) некорей использует стандартный TUn, такой же как опенВПН
и требует прав администратора)

смотреть надо в панели управления - центр упр сетями
а не в этих ваших новомодных "настройках", они мусорные)

[Константин Мельников]

Drno, ну да, тут тоже есть. Ты наверно первый человек за двое суток кто без высокомерия просто взял и ответил на вопрос



Осталось только понять как заставить определенный трафик пускать через этот адаптер. Родной брандмауэр Windows судя по всему так не умеет...

[Drno]

Константин Мельников, виндовый фаервоол много чего не умеет
некорей должен перехватывать траффик. и направлять куда надо
режима "блокировки" при отключении впн в нём нету
наверно это можно еще как то сделать, но я невкурсе

как я уже выше написал - вроде бы стим в настройках сети умеет работать через прокси, если его там прописать (взять из настроек некорея - он поднимает локальный прокси при старте)
то если некорей не будет работать - у стима тупо не будет инета. но это конечно отправит весь траффик стима в впн(насчет игр хз - надо проверять)

[Константин Мельников]

Drno, я только что просмотрел настройки Steam и не нашел там ничего похожего. И раньше я ничего подобного не помню. Максимум что я помню это выбор сервера загрузки игр. Если там правда есть такая опция то покажи в каком разделе. Если помнишь, мне найти не удалось

И да, ВПН не умеет блокировать трафик который через него не проходит

В итоге мы выяснили что НекоБокс как и hiddify-next все же создает сетевой адаптер. Но как этим воспользоваться по прежнему непонятно...

[Drno]

Константин Мельников, ну мы и знали что он создаёт свой адаптер. только делает он это только во впремя старта подключения)
ну значит нет прокси в стиме, странно и печально...

тебе нужна функция Kill Switch - хз есть ли такие клиенты \ можно ли её сделать самому..

[Константин Мельников]

Drno, получается вопрос останется без ответа. Хотя тут каждый второй писал что это очень легко сделать. Но как конкретно никто не знает...

Answer 4

[rPman]

Типовой способ работы vpn - появляется еще одна локальная сеть (сетевой адаптер, в данном случае tun или tap, отличаются по степени функционала, лучше tap, так как это полнофункциональный ethernet адаптер), с минимум двумя машинами в ней - локальный клиент и удаленный сервер, машинам выдается локальный ip адрес, на удаленной машине настраивается nat и эта удаленная машина локально прописывается как шлюз по умолчанию.

В этой конфигурации достаточно для выбранных серверов прописать свой шлюз либо отключить прописывание автоматического роутера (смотреть возможности клиента vpn) и прописать его персонально для выбранных серверов и подсетей. Это можно сделать из консоли командой route add ... (читать документацию к ос, они примерно одинаково работают). При добавлении этих путей (роуты) можно указать приоритет, число, если оно больше чем указано в шлюзе по умолчанию, то этот путь будет приаритетнее.

Таким образом можно сделать следующее, добавить заведомо неправильные route add для выбранных сетей и серверов, но с низким приоритетом, ниже чем приоритет шлюза по умолчанию у vpn но выше чем шлюз по умолчанию для локальной сети без интернета. Тогда без vpn доступа к указанным сетям не будет

Comments

[Ziptar]

Таким образом можно сделать следующее, добавить заведомо неправильные route add для выбранных сетей и серверов, но с низким приоритетом, ниже чем приоритет шлюза по умолчанию у vpn но выше чем шлюз по умолчанию для локальной сети без интернета. Тогда без vpn доступа к указанным сетям не будет

Только надо учитывать, что шлюз должен быть всегда доступен, иначе винда его проигнорит и пойдет искать доступный. Причем просто длступность тоже не панацея.

[rPman]

я в таких случаях указываю ip адрес этой же клиентской машины

Answer 5

[xTorus]

Поднять локальный dns сервер, например pi-hole в докере. На нем заблокировать домены стима. Для основного подключения к инету использовать его. В vpn любой другой

Answer 6

[mrAsh4r]

Я не знаю почему ТС не скачал Proxifier и в нём не пробросил все процессы Стима на прокси, который запускается через nekobox.
В нём можно точечно выбрать процессы к определенным прокси серверам. Если прокси будет не доступен, то Стим просто не сможет получить доступ в интернет. Разве не это нужно?

spoiler

P.s. Но меня прям корёжит от таких умельцев, которые отмечены как "Решение вопроса", и в итоге "Не слушай этих программистов, так сделать нельзя, бла бла была". Можно все сделать, голову нужно просто включить

Comments

[mrAsh4r]

И кстати уже отвечали, тебе реально нужен KillSwitch. Типа "механизм для супер анонимусов, чтоб не палить реальный айпи адрес, если вдруг ВПН/прокси ляжет. Чисто фича для хакеров". Реализуется где угодно и как угодно.
Ещё из вариантов с оверинжиниргом поднять виртуалку/контейнер на котором будет висеть условный OpenWrt, pfSense, opnsense и прочие роутеры, настроить в нём подключение через твой прокси/ВПН с правилами, таблицей маршрутизации и бла бла бла (гпт поможет).
А есть ещё более жёсткий вариант, покупка либо отдельного роутера с гибкой настройкой (mikrotik, keenetic + кастомные прошивки), либо orangepi с двумя ethernet. Один на вход твой интернет, второй на выход твой комп. Тогда это будет миникоробка, выступающая хардверным прокси/ВПН/туннелем с встроенным killswitch, тогда не нужно будет париться с настройками винды, с её приколом по автоматическому поиску шлюза (чем она жёстко грешит и у меня раз в месяц полностью отваливается интернет на компе).

Есть ещё бомж вариант, насколько он рабочий не знаю, но это правка hosts на компе, где ты к доменам прописываешь свой прокси. Плюс его в том что не нужно городить свой днс в виде условного pi-hole (который я встречаю в каждом вопросе на Хабре)

имхо

(люди забудьте вы про этот pi-hole, есть способы проще и лучше чем этот кал)

Насчёт hosts возможно нужно будет поднять какой нибудь прокси роутер в виде squid, nginx, haproxy (честно не уверен, но так обходят блокировки чатагпт через dns, аля comss; правда не знаю как оно работает)

[mrAsh4r]

mrAsh4r, есть ещё более грамотное, лаконичное решение через средства винды. Ты там говорил у тебя нет нового адаптера, а потом неожиданно для себя открыл что он есть. Так вот. Решение от нейроночки, сам не проверял, но в теории работает:
PowerShell скрипт

# Запускать с админских прав
# Настрой:
$ifaceNamePart = "Neko"  # часть имени интерфейса, который создаёт Nekobox. Поменяй при необходимости
$steamPaths = @(
  "C:\Program Files (x86)\Steam\steam.exe",
  "C:\Program Files (x86)\Steam\steamservice.exe",
  "C:\Program Files (x86)\Steam\steamwebhelper.exe"
)

# Поиск интерфейса
$iface = Get-NetAdapter | Where-Object { $_.Name -match $ifaceNamePart -and $_.Status -eq "Up" } | Select-Object -First 1
if (-not $iface) {
  Write-Host "Интерфейс с '$ifaceNamePart' не найден / не поднят. Скрипт всё равно создаст правила, но Allow для интерфейса не будет работать." -ForegroundColor Yellow
  $ifaceAlias = $null
} else {
  $ifaceAlias = $iface.Name
  Write-Host "Найден интерфейс: $ifaceAlias (ifIndex $($iface.ifIndex))" -ForegroundColor Green
}

# Создать Allow-правила только для интерфейса (IPv4+IPv6)
foreach ($p in $steamPaths) {
  # Allow через VPN интерфейс (если интерфейс найден)
  if ($ifaceAlias) {
    # имя правила
    $allowName = "Allow $([IO.Path]::GetFileName($p)) via $ifaceAlias"
    # удаляем старое если есть
    Get-NetFirewallRule -DisplayName $allowName -ErrorAction SilentlyContinue | Remove-NetFirewallRule -Confirm:$false -ErrorAction SilentlyContinue

    New-NetFirewallRule -DisplayName $allowName `
      -Direction Outbound `
      -Program $p `
      -Action Allow `
      -InterfaceAlias $ifaceAlias `
      -Profile Any `
      -Enabled True `
      -EdgeTraversalPolicy Block `
      -AddressFamily Any `
      -ErrorAction Stop

    Write-Host "Добавлено Allow правило: $allowName"
  }

  # Block правило глобально (резервный дубль) — сначала удаляем старое, потом создаём
  $blockName = "Block $([IO.Path]::GetFileName($p)) Everywhere"
  Get-NetFirewallRule -DisplayName $blockName -ErrorAction SilentlyContinue | Remove-NetFirewallRule -Confirm:$false -ErrorAction SilentlyContinue

  New-NetFirewallRule -DisplayName $blockName `
    -Direction Outbound `
    -Program $p `
    -Action Block `
    -Profile Any `
    -Enabled True `
    -EdgeTraversalPolicy Block `
    -AddressFamily Any `
    -ErrorAction Stop

  Write-Host "Добавлено Block правило: $blockName"
}

Write-Host "`nГотово. Проверь порядок правил и протестируй при выключенном/включенном TUN." -ForegroundColor Cyan

Важные нюансы и подводные камни — читай и не матерись потом

• Имя процесса/путь. Windows Firewall привязывается к полному пути к exe. Если Steam обновит путь или запускается из другого места — правило не сработает. Проверь точные пути.
  
• Сервисы и системные процессы. steamservice.exe часто запускается как сервис от SYSTEM — правило по Program всё равно работает, но можно дополнительно создать правило по -Service если нужно.
  
• Дочерние процессы. Некоторые компоненты могут запускаться другим exe (например helper/renderer). Добавь их в список. Иначе они уйдут в обход.
  
• Права администратора. Пользователь с правами администратора может удалить правила и обойти систему. Для стопроцентной защиты нужен контроль прав доступа пользователя.
  
• Защита от DNS / IPv6 утечек. Правило по процессу перекрывает трафик на любом интерфейсе, поэтому утекать по IPv6 не должно — если ты добавил AddressFamily Any. Но лучше проверить отдельно (IPv6-адреса у Steam).
  
• VPN-клиент не использует интерфейс? Некоторые «прокси» не создают видимый интерфейс и проксируют через локальный socks — в таком случае InterfaceAlias не поможет. Тогда Proxifier/SocksCap — проще.
  
• Порядок правил. Allow на интерфейсе + Block глобально — логика: если трафик проходит через интерфейс, Allow даёт доступ; если интерфейса нет — Allow не применяется и Block режет трафик. Это нормально.
  
• Тестирование. После применения: выключи TUN и проверь, что Steam не выходит в сеть. Включи TUN — проверь, что Steam подключается. Делай Get-NetFirewallRule | Where-Object DisplayName -like "*Steam*" чтобы увидеть правила.
  

[Константин Мельников]

mrAsh4r, а тс знает что такое Proxifier? Ему до этого момента кто то советовал это приложение? Вот сейчас я о нем узнал, попробую скачать и посмотреть что оно делает и как. Если разберусь с интерфейсом...

Вот нужен мне KillSwitch. Хорошо. KillSwitch это конкретное приложение, или это функция в каком то другом приложении? Вот сейчас ты написал о нем, буду гуглить что это и как его настроить

Виртуалка. Я ищу наиболее простой способ что бы он работал с моим минимальным участием. В идеале что б автоматически вообще было. Виртуалка звучит достаточно сложно что бы суметь настроить автоматизацию. Этот вариант я рассматривать не стану

Роутер я и так покупал за 8к. Не из дешёвых. Но даже такое устройство многое не умеет. Ещё более дорогое устройство я покупать не стану. Пока. Этому роутеру и двух лет ещё нет

Про хостс можно поподробнее? Там к домену прописывается свой прокси, ты имеешь ввиду ip из конфига моего ВПН? Попробую такой вариант...

Решения от нейронки работает в 50% случаев. По крайней мере так с нейронкой от Яндекса. После нее ещё перепроверять нужно код и указывать ей на ее ошибки. К примеру в коде она может написать домен, не работает, потом пишешь что этот код не работает а она отвечает что в коде домен, а нужен только IP. И вот такие ошибки довольно часто. Я конечно проверю этот скрипт но у меня большие сомнения что он сходу заработает...

[Константин Мельников]

mrAsh4r, наконец руки дошли до того что ты мне написал.

Вот посмотрел я на Proxifier. И что? Я разочарован. Во первых приложение платное. Я нашел ключ для стандартной версии программы и нашел ключ для портативной. Запустил, нагуглил инструкцию об использовании. И... смысл было это советовать если я не могу этим воспользоваться?

Разговор был о чем? О ВПН. Если конкретно об протоколе Shadowsocks, и другого у меня нет. А эта программа работает только с прокси. Так какой мне от нее прок? Только время зря потратил, а ты получаешься зря об этом написал...

[Константин Мельников]

mrAsh4r, дальше, KillSwitch. Так как мне так и не написали что это за программа я не знаю что мне искать этим пользоваться. Хоть бы один человек написал бы что делать. Но все как воды в рот набрали...

[Константин Мельников]

mrAsh4r, про хостс ничего не ответил а значит я как не знаю что там настраивать так и не знаю, перехожу к последнему, код от нейросети...

[Константин Мельников]

mrAsh4r, и вот твой PowerShell скрипт. С PowerShell я раньше вообще дел не имел, немного разбираюсь только в cmd и с помощью нейронки пишу там рабочие скрипты для себя, а тут...

Я изменил первые строчки этого скрипта

$ifaceNamePart = "sing-tun Tunnel"  # часть имени интерфейса, который создаёт Nekobox. Поменяй при необходимости
$steamPaths = @(
  "C:\Program Files (x86)\Steam\steam.exe",
  "C:\Program Files (x86)\Common Files\Steam\steamservice.exe",
  "C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe"
)

Сохранил в файл MyScript.ps1 и выполнил с помощью PowerShell. Окно консоли открывается и тут же закрывается. И... ? Это что значит? Скрипт заработал? Правила создались? Или нет? Сейчас спрошу у яндекса, но почти уверен что это не заработает...

[Zil1]

Константин Мельников, если разговор зашёл за проксирование, могу посоветовать такие программы как https://github.com/netchx/netch
https://github.com/wiresock/proxifyre
Обе умеют в udp, нетч так точно
Netch поддерживает встроенные конфигурации в том числе shadowsocks
Но я бы использовал такой вариант
V2rayN/NekoRay > Netch/poxifyre > steam
Засунуть netch/proxifyre в автозагрузку
Если вы забыли подключить NekoRay или V2rayN то Стим просто не будет грузится, я уже не помню какой там код ошибки но браузер обычно пишет что-то типо ошибки подключения к прокси серверу. Это конечно же не полноценное kill switch решение но куда более простое и понятное. Не знаю существует ли на windows вообще one click killswitch решения чтобы они не залезали в ядро настолько глубоко или ещё что-нибудь. Ну и конечно по хорошему убрать steam из автозапуска или поставить ему таймер чтобы успевало запустится Netch в первую очередь а потом уже если хотите заранее настроенный V2rayN где уже есть функция запоминания подключения к последнему серверу, то есть приложение будет запускаться из автозапуска, сервер будет сам применяться, включатся и приложение будет обратно закрываться и висеть в трее. Если не понимаете как это работает то это работает по средствам socks5 туннелирования например, у вас поднимается socks5 на предположим 127.0.0.1 и 10808 порту, это все делает V2rayN или NekoRay, далее такие программы как netch или proxifyre берут этот socks5 и заворачивают в него steam.exe, steamwebhelper.exe и все что угодно ещё.
P.s мне это решение очень помогло во время бана aws и cf когда мастер сервер battlefield 5 не мог подключить меня к серверу для игры, потому что сам мастер север работал на aws, я проксировал ea.exe и bfv.exe через netch и сервер в мск, и игра отлично работала с минимальным пингом, этакий аналог решений по типу exitlag

[Константин Мельников]

Zil1, таймер и так стоит. Я через планировщик задач на 5 минут затянул запуск Steam. К тому же у меня в Steam несколько пользователей и при каждом запуске он спрашивает за какого пользователя авторизироваться.

Но если автозапуск ВПН по какой то причине не сработал, или я менял конфиг и NekoBox "забыл" последний активный профиль, а я этого не заметил, то опять же могу спалить IP.

Чем https://github.com/wiresock/proxifyre отличается отProxifier? Названия капец схожи но это разные приложения?

А за ответ спасибо, как будет время посмотрю эти программы и сообщу о результатах...

[Константин Мельников]

Zil1, вот сейчас дошли руки до того что ты мне посоветовал

https://github.com/wiresock/proxifyre

Скачал, запустил, приложение закрылось, ничего не понял. Пошел читать инструкцию:

The application uses a configuration file named app-config.json. This JSON file should contain configurations for different applications. Each configuration object should have the following properties:

• appNames: An array of strings representing the names of applications this configuration applies to.
  
• socks5ProxyEndpoint: A string that specifies the SOCKS5 proxy endpoint.
  

Дальше читать не стал, у меня же VPN а не прокси да еще и с протоколом SOCKS5

[Константин Мельников]

Zil1, с https://github.com/netchx/netch решил не повторять прежню ошибку, и сначала прочитал что написано



Нужный протокол вроде на месте, скачиваю. Как оказалось это интересная штука. Это буквально ВПН клиент в который я могу добавить ВПН конфиг и выбрать какие приложения будут работать через ВПН. И... это же почти тоже самое что мой NekoBox. Когда это приложение работает и подключено к ВПН серверу, правило работает. Выключаю приложение или отключаюсь от сервера и правило тоже перестает работать. То есть оно не блокирует указанным приложением доступ в интернет когда не активно

В итоге возвращаемся к тому с чего начали....

[Zil1]

Константин Мельников, когда ты отключаешься от сервера у тебя не должен работать интернет в проксируемых exe.. да тебе придется держать это по в автозапуске и постоянно открытым но так ли велика проблема?

[Zil1]

Константин Мельников,
>Дальше читать не стал, у меня же VPN а не прокси да еще и с протоколом SOCKS5

Socks5 это всего лишь локальный прокси через который будут проксироваться твои exe процессы. По поводу vpn я не понял, у тебя shadowsocks, он идёт как стандартный конфиг файл который ты добавляешь например в NekoRay, все, причем тут ВПН или нет, используй этот конфиг в NekoRay но не включай TUN режим, в таком случае у тебя будет работать только socks5 туннель с твоим сервером shadowsocks или любым другим. А программа по типу proxifyre нужна чтобы завернуть exe в socks5 туннель. Тебе также придется добавить proxifyre в автозапуск и держать его постоянно открытым, если у тебя не будет открыт или подключен сервер в NekoRay а программа будет запущена и будет проксировать exe то когда NekoRay в данном сценарии не запущен то и программы у тебя работать не будут, потому что они завёрнуты в socks5 от NekoRay а сам NekoRay не запущен. Значит интернета для этих проксируемых exe тоже не будет, и они не будут работать даже если сам интернет у тебя есть и работает отлично. Но опять же придется держать открытым proxifyre или netch, тут от того что больше по душе,

[Константин Мельников]

Zil1, когда тебя могут заблокировать аккаунт если ты спалишь IP? Да, это велика проблема

Мне нужно что бы Steam совершенно никак не работал пока я не запущу ВПН что бы не дай бог никак не спалить IP. Пока клиент ВПН запущен и подключение к серверу активно спалить IP не выйдет, если сервер ляжет, то просто пропадет интернет. Но если я вручную переподключаю ВПН, или он почему то не запустился при старте Виндовс, или запустился но не подключился к серверу, и при этом я запустил Steam не заметив проблему, я подключусь с реального IP и в этом проблема. Сейчас я вручную выключаю Steam когда нужно перезапустить VPN, но иногда забываю это делать...

Вот я и ищу способ блокировать подключение без ВПН, или способ привязать трафик Steam к сетевому адаптеру который VPN клиент создает при подключении к серверу, и если этот адаптер не существует то и Steam не сможет выйти в интернет

Один из двух вариантов мне нужен но я не знаю способов это реализовать

[Константин Мельников]

Zil1, если не включать TUN режим VPN НЕ РАБОТАЕТ! Я в самом начале как поставил этот клиент год назад не понимал почему при добавлении конфига и подключении к серверу ничего не меняется. А дело было в том что я не включал TUN как было написано в инструкции которую я в начале не прочитал. И вот сейчас у меня всегда включен TUN ведь без него ВПН НЕ РАБОТАЕТ!

Вернемся к SOCKS5. Протоколы SOCKS5 и Shadowsocks связаны? Я могу использовать в proxifyre свой конфиг от Shadowsocks и он там заработает?

Сейчас попробую еще раз...

[Zil1]

Константин Мельников,
>когда тебя могут заблокировать аккаунт если ты спалишь IP? Да, это велика проблема

Ну так держи программы в автозапуске, опять же в чем проблема? Автозапуск на винде работает как надо и как часы, программа автоматически запускается, если ты хочешь чего-то большего то есть nssm для винды, там как раз можно настроить автозапуск если сама программа консольного вида и не поддерживает работу в качестве службы и автозапуск соответственно, ее можно завернуть в nssm, в нем же выставить путь до конфига и нужные флаги, все будет работать как часы

>Мне нужно что бы Steam совершенно никак не работал пока я не запущу ВПН что бы не дай бог никак не спалить IP.

Ну вот и держи netch или proxifyre в автозапуске с автоматическим конфигом на проксирование stem.exe и остального, даже если представим сценарий что ты включаешь комп, у тебя запускается netch, он автоматически начинает работать и проксировать steam.exe через socks5 127.0.0.1 на порту 2080 который в свою очередь привязан к NekoRay но сам NekoRay в этот момент не будет запущен, то работать steam не будет ровно до того момента пока ты не откроешь NekoRay и не выберешь там нужный сервер, после того как ты его выбрал, Коннект в socks5 туннеле пошел, и Стим начинает работать через тот сервер который ты выбрал в NekoRay.

>Вот я и ищу способ блокировать подключение без ВПН, или способ привязать трафик Steam к сетевому адаптеру который VPN клиент создает при подключении к серверу, и если этот адаптер не существует то и Steam не сможет выйти в интернет

Зачем тебе адаптер когда у тебя есть удобный transparent proxy на базе NekoRay или любого другого клиента и туннеля socks5 + программы по типу netch или proxifyre которая будет тебе проксировать exe процессы

[Zil1]

Константин Мельников,
>если не включать TUN режим VPN НЕ РАБОТАЕТ!
Он работает просто ты не понимаешь азов работы этого программного решения и таких решений в целом, я о NekoRay и V2rayN в частности, по умолчанию там есть два режима работы TUN и transparent proxy, когда ты только устанавливаешь программу она работает в transparent proxy режиме когда у тебя поднимается socks5 туннель через который ты можешь работать с туннелированием трафика. TUN режим нужен только в крайнем случае если тебе нужно overkill решение, а именно завёрнут всю тачку в туннель, но зачем тебе заворачивать все когда у тебя есть потребность только в steam. Соответственно TUN режим тебе не нужен

>Вернемся к SOCKS5. Протоколы SOCKS5 и Shadowsocks связаны?

Ты не понимаешь логику работы. Просто не понимаешь. Давай попытаюсь объяснить тебе на чем-то простом, у тебя есть кастрюля с shadowsocks, из этой кастрюли идёт маленький краник socks5, когда ты открываешь краник, shadowsocks трафик течет по кранику socks5, ты подключаешь к кранику socks5 трубку, трубку ведёшь к кастрюле поменьше, кастрюля поменьше называется Netch или proxifyre, и уже из этой кастрюли ты можешь провести трубки к steam exe, ea.exe и к чему угодно

[Константин Мельников]

Zil1, если программа не умеет автозапускаться то качай другую программу которая будет автозапускаться и автозапускать первую программу

Тебе не кажется что это перебор?

Зачем мне netch? Это самостоятельный VPN который работает и без NekoBox и я не заметил что бы он умел сильно больше.

Так "удобный transparent proxy на базе NekoRay" создает свой адаптер при подключении в серверу.

proxifyre судя по твоим комментариям это прям то что мне нужно, но боже, как же сложно его настроить! ПРЕДВАРИТЕЛЬНЫЕ действия, установить и настроить какой то Windows Packet Filter (WinpkFilter), затем установить и настроить Visual Studio 2022 redistributable download page, только потом ставить сам proxifyre, потом еще черти как добавить его как службу, потом еще свой билд в виртуал студии создавать.

Жесть конечно. Боюсь без подробной пошаговой инструкции и пол литра я не то что настроить его, а даже установить не смогу. Буду гуглить чет на русском, авось найду

[Константин Мельников]

Zil1, почему tun мне не нужен?

Ну ок, давай для эксперимента я создам новый набор маршрутов в котором пропишу только браузер Edge. Затем выключу tun и подключусь к ВПН, будет ли трафик браузер Edge идти через ВПН? Ответ - НЕТ!
Я открыл страницу yandex.ru/internet в браузере Edge и Chrome, и оба показали одинаковый IP. Как же так? Ведь если я включил ВПН на приложение msedge.exe

{
    "rules": [
        {
            "outbound": "proxy",
            "process_name": [
                "msedge.exe"
            ]
        }
    ]
}

То оно должно идти через VPN, а что в итоге? БЕЗ TUN СОВСЕМ НЕ РАБОТАЕТ!

[Константин Мельников]

Zil1, а сейчас я изменил только одно, поставил галочку TUN в клиенте, он сам переподключился, я открыл браузер Edge, перезагрузил страницу yandex.ru/interne и там теперь другой IP, отличный от моего реального

Так нужен TUN или нет?

Ты вроде как больше меня разбираешься в этих протоколах, но с TUN у тебя какие то проблемы. Я знать не знаю о нем почти ничего, кроме того что если его не включать, VPN не работает...

[Zil1]

>если программа не умеет автозапускаться то качай другую программу которая будет автозапускаться и автозапускать первую программу

В том лишь случае если программа идёт в качестве терминального решения, это простая программа котов рассчитана на то что ты её будешь комбинировать с чем-то другим. Если ты видел что такое proxifyre и netch то ты можешь заметить что netch для начала имеет GUI, там можно что-то тыкать, proxifyre не работает в gui, это консольная утилита которой нужно кормить .config файл, насколько я помню в netch есть параметр автозапуска который можно тыкнуть и включить в его gui, потому что netch в целом более продвинутый софт, но никто не отменял что и proxifyre можно настроить так чтобы он запускался как служба и запускался через автозапуск. Вопрос в том на что ты готов пойти чтобы сделать себе подобие работающего killswitch решения.

>Тебе не кажется что это перебор?
Абсолютно нет. В Linux например ты такого же простого решения даже не найдешь, там просто нет софта по типу proxifyre или netch. Виндоюзерам повезло что есть люди которые готовы написать не то что proxifyre который без gui и это в целом консольная утилита, а написали даже netch с gui интерфейсом

Я сам пользуюсь и пользовался этими решениями, что netch что proxifyre, у меня так работает например discord.exe, и это очень удобно потому что это transparent proxy режим где ты можешь каждую мелочь настроить как ты хочешь, очень тонко, TUN режим такого не даст, и как видишь он не даст тебе волшебную таблетку для решения задачи со steam

>Зачем мне netch? Это самостоятельный VPN который работает и без NekoBox

Это в первую очередь софт который позволяет тебе проксировать exe процессы, присратый там функционал поддержки vless vmess и тд это всего лишь доп функция которая тебе не нужна в данном случае

>Так "удобный transparent proxy на базе NekoRay" создает свой адаптер при подключении в серверу.

О боги мои боги, я тебе говорю ещё раз, у NekoRay есть два варианта работы, TUN и transparent proxy, сетевой адаптер создаётся насколько я помню в TUN режиме и нужен он лишь с одной целью - завёрнут весь трафик твоего ПК в этот адаптер

>proxifyre судя по твоим комментариям это прям то что мне нужно, но боже, как же сложно его настроить!

А кто готовил что будет просто? Кто говорил? У тебя может быть есть выбор купить билет и поменять место жительства на неподсанкционный регион? А может быть даже США или ЕС где тебе даже vpn не нужен будет? Ты думаю не совсем осознаешь где ты находишься, увы но мы там где мы есть и нам нужно учиться что-то настраивать чтобы бороться с условиями, у меня были проблемы в период блокировки cf и aws а у тебя бан из-за региона

>потом еще свой билд в виртуал студии создавать.

Не нужно этого делать ты просто невнимательность читал и не осознаешь процесс установки

>Боюсь без подробной пошаговой инструкции и пол литра я не то что настроить его, а даже установить не смогу. Буду гуглить чет на русском, авось найду

Я всегда могу помочь тебе в личке например, если есть желание реально разобраться с этим вопросом.

[Константин Мельников]

Zil1, давай вернемся к netch. Вот я запустил его, и в его интерфейсе можно (и видимо нужно) добавить сервер



В первый раз я добавил Shadowsocks, и насколько я понял в таком случае он заменяет собой NekoBox.
Я проводил тот же эксперимент с браузером Edge и при выключенном NekoBox сам netch выполнял функции VPN.

А если я добавлю не Shadowsocks сервер а SOCKS, то он будет только перенаправлять трафик не более?

[Zil1]

Константин Мельников,
>почему tun мне не нужен?
Потому что то что ты пытаешься сделать, делается лучше и проще через режим transparent proxy, не через tun, Tun в моем понимании нужен лишь тогда когда тебе нужно завернуть весь трафик твоего пк в туннель

>Ну ок, давай для эксперимента я создам новый набор маршрутов в котором пропишу только браузер Edge. Затем выключу tun и подключусь к ВПН, будет ли трафик браузер Edge идти через ВПН? Ответ - НЕТ!
Я открыл страницу yandex.ru/internet в браузере Edge и Chrome, и оба показали одинаковый IP. Как же так? Ведь если я включил ВПН на приложение msedge.exe

Тебе не нужно вообще ничего создавать и делать в NekoRay ничего там настравить не нужно, ничего вписывать тоже потому что проксирование exe процессов перекладывается с nekoray на netch или proxifyre, безусловно nekoray тоже умеет в это но мой вариант куда гибче

[Константин Мельников]

Zil1, почему твой вариант гибче? NekoBox умеет перенаправлять трафик *.exe, доменом и ключевых слов доменов ну и естественно IP. Он может как пропускать напрямую, так и через VPN или блокировать.

А netch насколько я понял так не умеет. Я покопался в готовых модах и понял что он умеет работать с IP, с *.exe и с папками. Но не с доменами что открываются в браузере. А ведь я Steam не только через клиент использую но и через браузер Chrome что б например руководства писать и открывать несколько вкладок сразу. А значит и сайт мне нужно нужно перенаправлять. NekoBox так может, netch вроде бы нет

[Константин Мельников]

Zil1, как тебе в ЛС написать?

[Zil1]

Константин Мельников, Хорошо давай я тебе тут расскажу подробно

Начнем с самого начала, с NekoRay


Рассматриваем интерфейс программы. мы видим что у нас тут есть сервер vless, моя vps настроенная с 3xui но это не важно. У нас выбран именно конфиг этого сервера, мы видим что стоит галочка, видим логи в NekoRay там написано что профиль запущен, галочка и синяя заливка на профиле тоже говорят нам об этом. Далее. Режим TUN у нас выключен, обязательно. Если ты будешь повторять за мной то сбрось пожалуйста все настройки NekoRay потому что из-за твоих настроек с проксированием все может не работать. Далее мы видим стрелочку которая нам показывает на то что у нас mixed режим проксирования, то есть там и http прокси и socks5 не важно, нас интересует только socks5.

Далее у нас есть программа Netch

Тут мы видим что у меня добавлен socks5 который у меня в Nekoray а именно на 127.0.0.1 и порту 2080

зеленый маркер с цифоркой ноль означает что туннель наш работает, что nekoray дает нам socks5 на 127.0.0.1 и порту 2080

Если я закрою NekoRay то у меня эта штучка будет красной, потому что программа закрыта и наш туннель socks5 не работает.


Далее пункт Mode, режим работы программы очевидно, вот мой пример mode, это уже насколько помню была встроенная в Netch функция, то есть из коробки разрабы добавили туда ее

Что именно нас тут интересует? Левая колонка с параметром discord, то есть все процессы что будут иметь в название это слово, будут захватываться программой Netch и пускаться по пути Discord>Netch(через socks5)>NekoRay>Твой shadowsocks\vless\vmess и так далее сервер

ВСЕ

Вот пример со стимом если тебе нужно он тоже идет по умолчанию

Тут захват уже более точный, четко прописано все что нужно, все exe

Что мы имеем по итогу? На моем приеме?

Главная страница steam с включенным NekoRay, все работает замечательно

В одно касание выключаю nekoray, при этом инет на компе есть, все остальное, браузер, игры и тд работает нормально и продолжает работать, но стим дает нам код ошибки и говорит что что-то у вас с интернетом не так, а не так у нас то что мы отключили nekoRay у нас не работает socks5 туннель, трафик не идет по нему, но программа Netch работает, она гонит трафик по несуществующему не работающему туннелю, из-за чего у нас ошибка сети и ничего не работает, ВУАЛЯ

Что мы видим в настройках Netch? Правильно, все что нам нужно а именно включение при startup и run при при открытие, все

[Константин Мельников]

Zil1, отличная инструкция. Получается если я запускаю NekoBox без галочки TUN, и вообще без каких либо галочек то он работает "в холостую" никого никуда не перенаправляя. И только Netch управляет маршрутами если я укажу IP и порт своего конфига из NekoBox

НО. А что делать с браузером? Не со всем браузером а только с сайтами Steam которые я буду открывать не через встроенный браузер Steam а через свой собственный? С ним как быть?

[Zil1]

Константин Мельников,
>отличная инструкция. Получается если я запускаю NekoBox без галочки TUN, и вообще без каких либо галочек то он работает "в холостую" никого никуда не перенаправляя

Если у тебя выбран сервер для подключения то у тебя запускается тот самый Transparent proxy на 127.0.0.1 2080, Повторяю TUN нужен чтобы заворачивать весь трафик пк в туннель твоего Vless или shadowsocks

>НО. А что делать с браузером? Не со всем браузером а только с сайтами Steam которые я буду открывать не через встроенный браузер Steam а через свой собственный? С ним как быть?

Для этого есть замечательнейший инструмент

В этом инструменте есть такая штука как профиль авто переключения. Видишь там есть хосты и напротив указано то через что они открываются?

Все что помечено как Nekoray открывается именно через него. Видишь там указано то же самое что и в Netch, те же самые 127.0.0.1 и 2080?

А теперь заворачиваем все от Steam в тот же Nekoray который у нас не включен. И вуаля, у нас та же самая ошибка подключения, что и в лаунчере стима на пк

А теперь меняем все обратно( на direct, то есть твое прямое подключение к интернету)


(на заднем плане видно что у меня загрузился стим, просто хабр не дает больше 1мб файлик прикрепить, так что полный скриншот не влезает в 1мб)

[Константин Мельников]

Zil1, это расширение браузера? Выглядит все круто. И твои комментарии бы оформить в качестве ответа, что бы я пометил его решением. Так как похоже это именно то что мне нужно. Если с автозапуском Netch не будет никаких проблем.

Сейчас попробую настроить все как ты написал...

[Zil1]

Константин Мельников,
>это расширение браузера?
Да, на лисе есть FoxyProxy работает примерно также, только выглядит иначе.
>И твои комментарии бы оформить в качестве ответа, что бы я пометил его решением
Я не онанирую на карму тут. Ты можешь сам сейчас попробовать настроить все это. Написать сам гайд от себя, потому что мне честно очень лень это расписывать все. И сам пометить свое решение как правильное и закрыть этот тикет с вопросом.

[Константин Мельников]

Zil1, святые угодники! Вроде работает





Только у меня почему то не подсвечивается красным как у тебя. Но сайт в Steam не открывается и внизу клиент пишет что нет соединения. Так что вроде работает...

И с Zero Omega все вроде заработало. Скриншоты не отправляю, поверь на слово. Осталось только проверить как обстоят дела с автозапуском. Так что сейчас ПК перезапущу и проверю

[Zil1]

Константин Мельников,
>Только у меня почему то не подсвечивается красным как у тебя
Там есть кнопка молнии которая дает пинг по socks5, она не автоматическая, то есть нужно каждый раз самому нажимать для проверки, если выключить nekoray и нажать на кнопку пинга то будет красная

>И с Zero Omega все вроде заработало.
Там нужно предварительно выставить режим autoswitch, оно запоминает какой последний режим у тебя был перед закрытием браузера, то есть если поставить autoswitch и не трогать, и засунуть в этот autoswitch хост от steam то оно всегда будет работать так как нужно, при каждом открытии браузера

[Константин Мельников]

Zil1, где же ты раньше был с твоим комментарием. Это буквально именно то что мне было нужно все это время. Почти...

Я не только для Steam ВПН юзал но и для ютаба. И NekoBox позволял даже в окне Steam смотреть ютуб. А сейчас нужно как то иначе это делать

[Zil1]

>И NekoBox позволял даже в окне Steam смотреть ютуб. А сейчас нужно как то иначе это делать
Нужно понять какой процесс за это отвечает, могу наванговать что это какой-то там SteamUI или еще что, это же все завязано на оверлее. Так что по идее если стим проксируется хорошо то и ютуб в окне стим браузера будет работать через тот же shadowsocks что в nekoray

[Zil1]

Константин Мельников,
Браузер в оверлее тоже спокойно проксируется
процесс оверлея уже есть во встроенном конфиге в Netch

[Константин Мельников]

Zil1, я кажется нашел косяк этого метода. Вернее не косяк а огромную такую проблеёвину.

IP НЕ МЕНЯЕТСЯ! Да программа Netch блокирует Steam выход в интернет если VPN не активен. Но если VPN активен... Steam выходит в интернет напрямую, с моего реального IP! Я открыл в оверлее Steam браузер и посмотрел свой IP в Яндексе, он такой же как в браузере Chrome. По тому и ютуб не работает ни в Steam ни в Chrome даже после того как я добавил его адреса в Омегу

Ты абсолютно точно уверен что TUN не нужно включать?

[Zil1]

>IP НЕ МЕНЯЕТСЯ!
Я только что зашел в стим браузере на 2ip.ru и там у меня рижская локация, с моего прокси сервера в nekoray. Видимо тут уже ты что-то неправильно сделал
>он такой же как в браузере Chrome
Он должен быть тем же что и в shadowsocks твоем, только если у тебя там не настроен роутинг по типу warp для ру доментов, ну короче тебе это знать не обязательно в целом
>По тому и ютуб не работает ни в Steam ни в Chrome даже после того как я добавил его адреса в Омегу
Давай для начала ты переустановишь nekoray потому что ты уже там что-то мутил с правилами роутинга

{
    "rules": [
        {
            "outbound": "proxy",
            "process_name": [
                "msedge.exe"
            ]
        }
    ]
}

с вот этими вот правилами. Константин Мельников,

[Константин Мельников]

Zil1, у меня этих правил несколько и я между ними переключаюсь. NekoBox у меня портативный, там нечего переустанавливать. И правила дефолтные насколько я помню

[Zil1]

Константин Мельников,
Внимательнее, пожалуйста,

[Zil1]

Константин Мельников,

[Константин Мельников]

Zil1, а что не так? У тебя же ведь так же [SOCKS] {NONE] NekoBox

[Константин Мельников]

Zil1, ну

[Zil1]

Константин Мельников,
>а что не так? У тебя же ведь так же [SOCKS] {NONE] NekoBox
Ну я наверное не просто так описывал выбор MODE в NETCH, потому что программа NETCH должна знать, а точнее ТЫ ей должен указать что ей нужно проксировать. А проксировать нужно STEAM лист с EXE от STEAM

[Zil1]

Константин Мельников, Выбери в менюшке Steam именно в менюшке mode, может быть из json она не хавает exe, нужно именно steam.txt

[Zil1]

Константин Мельников,

[Константин Мельников]

Zil1, я "переустановил" NekoBox и все заработало. Я хз че это было. Смотрю свои скриншоты и сравниваю с настройками маршрутов по умолчанию. Вроде все так же как и было, но теперь ВПН работает. Мистика какая-то

[Zil1]

Константин Мельников, Еще бы версию по свежее поставить, там его кстати форкнули и теперь
это не NekoRay а уже какой-то Throne

[Константин Мельников]

Zil1, у меня самая свежа версия, на гитхабе я другую не видел. Throne позволяет активировать два разных ВПН конфига одновременно с двумя разными настройками маршрутизации. По крайней мере так пишут. Я его запускал но не разобрался и лень было вникать

Кстати, как мне правильно свой IP в Steam проверить?

Вот смотри, у меня в Steam браузере поисковик - Яндекс. Я вводу "мой IP" и yandex.ru/internet показывает мой настоящий IP. Но при этом speedtest.net показывает IP от VPN, этот сайт без ВПН даже не открывается. speedtest.rt.ru тоже показал IP ВПН. 2ip.ru - IP VPN. И ютуб в Steam браузере работает. Но показания Яндекса меня напрягают...

[Zil1]

>Кстати, как мне правильно свой IP в Steam проверить?

Любым проверщиком IP через стимовский браузер в оверлее который

>Но показания Яндекса меня напрягают...

Если ты там был залогинен то может быть как-то подтягивает твой старый ip через куки и прочее. Может быть у тебя настроен где-то роутинг на яндекс домены, что они должны открываться именно через direct, может так настроено в Nekoray, может так настроено на самом сервере(хотя на самом сервере такое вроде как не получится сделать, только с клиентского устройства, на сервере можно роутинг на другой сервер сделать только) где у тебя стоит shadowsocks, тут я знать не могу, вообще вот этот еще хорошо показывает https://browserleaks.com/ip но если у тебя на всех кроме яндекса ip твоего vpn то можно забить на этот яндекс я считаю Константин Мельников,

А ну и WebRTC утечку никто не отменял, может яндекс по ней айпишник смотрит - https://browserleaks.com/webrtc

>у меня самая свежа версия, на гитхабе я другую не видел.

А свежее там не будет, оригинальный проект в архиве, его больше ментейнер основной не поддерживает, не знаю что у него случилось, потом его индус какой-то начал поддерживать, под тем же именем, теперь вот какой-то чел из РФ его контрибутит, и он же его в трон переименовал

[Константин Мельников]

Zil1, ну в таком случае огромное спасибо за помощь. Один только ты действительно прочитал мой вопрос и невероятно доходчиво все рассказал.

[Zil1]

Константин Мельников, Не за что. Если бы мне не понадобилось в свое время проксировать игры через Netch, то я бы и этого тоже не знал и не разбирался бы

Answer 7

[The_KOPACb]

Это не подойдёт для подключения с ПК, но если интересна блокировка именно резолвинга - можно посмотреть в сторону dnsmasq.
```
server=/your.domain/192.168.33.1
```
На сервере с ВПН необходимо будет поднять днс сервер, в свой днс заменить на dnsmasq. 192.168.33.1 - адрес вашего сервера, доступный только через ВПН.

Но это не решит проблему с кещэм днс, все ещё будет шанс спалить свой ip

Comments

[Константин Мельников]

Как я на чужом сервере ВПН что-то там подберу? Мне дали ссылку на подключение, я подключился. А менять я там ничего не могу ну никак. Максимум что я могу это выбрать сервер (страну) ВПН и все

Answer 8

[Пума Тайланд]

В клиентах впн для такого есть опция килсвич обычно.

Comments

[Константин Мельников]

Ну давай погуглим...

Kill Switch (в переводе с английского — «выключатель») — это специальная функция безопасности в VPN-сервисах, которая блокирует доступ в интернет в случае неожиданного разрыва VPN-соединения. Её главная задача — не допустить утечку личных данных и реального IP-адреса пользователя.

В случае РАЗРЫВА впн соединения. То есть если проблемы на удаленном сервере. И как это связано с моим вопросом? Мне нужно что бы ДОСТУП БЛОКИРОВАЛСЯ ПОСТОЯННО! А не при разрыве соединения. При разрыве интернета и так нет! Я еще не встречал ВПН который при ошибке подключения бы продолжал давать доступ в интернет

[Пума Тайланд]

Константин Мельников, так оно постоянно блокируется особенно когда виртуальная сеть не доступна , виртуальная сеть не доступна это и есть разрыв соединения и у вас нет интернета по впн и килсвич убивает коннекты прямые без впн, собственно для решения проблемы что вы описали с топике он и сделан, или вы думаете что кабель из компа выключили и килсвич включается для решения какой задачи тогда ?

[Константин Мельников]

Пума Тайланд, а ты вопрос читал? А что если Я САМ отключаю ВПН что бы перенастроить или переподключить? А что если ВПН и вовсе не запущен на ПК? если автозапуск по какой то причине не сработал а я не заметил и запустил Steam. Тогда что?

Именно в таких случаях я и палю свой IP. Как твой Kill Switch поможет если ВПН не запущен?

Ну ты читай вопрос перед тем как советы давать

[Пума Тайланд]

Константин Мельников, ну тогда просто зароутить статично в впн , тогда хоть сам вырубил впн и все равно не спалишь айпи

[Константин Мельников]

Пума Тайланд, было бы неплохо. Но я не знаю как

Answer 9

[Dupych]

Как сделано у меня.
Микротик.
0.0.0.0/0 - обычный маршрут для обычного трафика. VFF - Main
0.0.0.0/0 - VPN маршрут через шлюз OPEN_VPN. VRF - OpenVPN.
Сделано 2 адрес листа.
OpenVPN- Sites - сюда добавляю сайты, которые будут идти через VPN
OpenVPN-PC - сюда добавляю ПК. Майнеры. Сервер DELL при обновлении. Все с этого IP идет через VPN.
Суть понятна.
Маркирую трафик для этих Адресоистов маркером - OpenVPN. После Routes перенаправляет траффик с маркером VRF - OpenVPN через VPN.
Да на микротике поднят интерфейс OpenVPN Client который подключен к серверу на Арубе. Все.
Даже если OpenVPN упадат, то трафик дальше не пойдет.
2. Вариант для тебя.
Ты уже понял, что весь траффик 0.0.0.0/0 идет на шлюз провайдера.
Так вот, если совсем тяжко, то можно сети или IP заворачивать как нужно.
К примеру
67.25.66.77/16 через шлюз VPN.
Создав такой маршрут на маршрутизаторе (на любом) ты завернешь всю подсеть через VPN.
Ты можешь заблочить отдельные подсети
Скажем
Подсети 123.123.222.0.16 через шлюз 127.0.0.1
Это если совсем по минималу.
Также можно на ПК прописать маршрут.
Route print
Смотришь номер твоего сетевого интерфейса с VPN
15 скажем
ROUTE ADD -P 54.56.55.77 MASK 255.255.0.0 GW 0.0.0.0/0 IF 15
Точно не помню, но -P вроде перманентно.
Суть такая, что выход в подсеть 54.56.55.77/16 (пример Стим.) будет выходить через интерфейс VPN.
Както так.

Comments

[Константин Мельников]

Микротик это что? Производитель роутеров? У тебя роутер от микротик и ты на нем все это настроил?

Мне такой вариант не подходит

Answer 10

[ki11j0y]

Использовать клиент с kill switch, xray клиентов нет, меняйте протокол на полноценный vpn. Openconnect, amnesiawg, openvpn с tls crypt v1, все данные протоколы на территории РФ работают не нужно натягивать сову на глобус с xray.

Comments

[Константин Мельников]

Что за xray такое? Впервые слышу. OpenVPN у меня раньше был, причем платный, но перестал работать где то пол года назад. Про остальные протоколы слышу впервые. Сейчас платный Shadowsocks. ВПН предоплачен на 2 года и я не буду его менять пока он работает...

[Константин Мельников]

И может мне кто-то наконец объяснить что такое этот ваш kill switch? Я нахожу самоу разную информацию об этом и до сих пор не могу понять а что это вообще такое.

Kill Switch (аварийный выключатель) — это механизм или процедура, предназначенная для быстрого отключения устройства, системы или программы в случае обнаружения угрозы или нарушения безопасности.

И вот как это понять? Я до сих пор не понимаю что это и как работает

[verssetty]

Константин Мельников, кто-то врунишка у нас

[Константин Мельников]

verssetty, повторяю ДЛЯ ТУПЫХ!

Как заблокировать домен/программу так, что б запуск ВПН отменял эту блокировку?

а ты вопрос читал? А что если Я САМ отключаю ВПН что бы перенастроить или переподключить? А что если ВПН и вовсе не запущен на ПК? если автозапуск по какой то причине не сработал а я не заметил и запустил Steam. Тогда что?

Именно в таких случаях я и палю свой IP. Как твой Kill Switch поможет если ВПН не запущен?

Ну ты читай вопрос перед тем как советы давать

Answer 11

[ssstiks]

Linux nekobox->socks5>proxychain->inet windows neko..->sock5->proxyfiler->inet