Как можно подключиться к 3proxy по внешнему ip, если запущен клиент adguardvpn-cli?

Question

[mrigpop1980]

1.1) так работает.
На VirtualBox7 установлен Ubuntu 22.04 (на хосте win10).
Установлен 3proxy сервер на порт 3129 (установлен в убунту на вирталке).
(проброшен порт на модеме Ростелекома, например, 86.123.201.201:33129 на 192.168.0.14:33129).
(проброшен порт VirtualBox, например, 192.168.0.14:33129 на <:3129> или на <10.0.2.15:3129>).
подключаюсь на мобильном (сотовый оператор ТЕЛЕ2 или wifi от Ростелекома).
ПОДКЛЮЧАЕТСЯ ОТЛИЧНО.
и интернет на телефоне работает.
1.2) не работает через ВНЕШНИЙ
как только подключаю VPN клиент на убунту (например, adguardvpn-cli).
то 3proxy становиться не доступным через внешний ip (т.е. нельзя подключиться к прокси).
Если телефон уже был подключен к прокси, и уже после этого подключается соединение VPN, то на телефоне пропадает интернет.
2-1) так работает
если на телефон подключить wifi.
И прокси подключать по внутреннему ip 192.168.0.14:33129.
ПОДКЛЮЧАЕТСЯ ОТЛИЧНО.
и интернет на телефоне работает.
2-2) так работает не через внешний
включаем VPN-соединение (например, adguardvpn-cli на убунту).
ПОДКЛЮЧАЕТСЯ ОТЛИЧНО.
и интернет на телефоне работает.
Интернет на телефоне уже идет через VPN-соединение на убунту.
-------------
Уже полгода дома так работает. Когда подключаюсь к wifi:
через внутренний ip работает, и ВСЕ сайты доступны (хоть сразу на десяти телефонах)
через внешний ip не получается подключиться к 3proxy
--------
Подскажите, как настроить через внешний ip???
Т.е. охота подключаться находясь вне дома (и использовать "свой" VPN)
Возможно, посоветуете другой софт? (я совсем не привязываюсь к софту)

в клиенте socks5 использую dns (например, 8.8.8.8), но не использую настройки dns в конфиге 3proxy
default gateway нигде не прописывал
network.proxy.socks_remote_dns нигде не прописывал
Не использовал и того, что напишу в скобках
{
iptables -t nat -A POSTROUTING -s 192.168.5.0/24 ! -d 192.168.5.0/24 -o tun0 -j SNAT --to-source 10.8.0.5

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE.
В этой команде:
-t nat — указывает на использование таблицы NAT.
-A POSTROUTING — добавляет правило в цепочку POSTROUTING, которая обрабатывает пакеты перед их выходом из интерфейса.
-o eth0 — указывает выходной интерфейс (в данном случае eth0 — это внешний интерфейс).
-j MASQUERADE — указывает действие — применить маскарадинг.
}

Comments

[mrigpop1980]

на этой же виртуалке (ubuntu) установлен nextcloud и еще с десяток сайтов. Все сайты работают на телефоне, даже если включено соединение VPN в ubuntu (т.е. все домены используют ВНЕШНИЙ ip). Но socks5 (3proxy) не подключается при включенном VPN-соединении (клиент(на андроиде) подключается к socks5 только при выключенном vpn-соединении на виртуалке с ubuntu)

[mrigpop1980]

3proxy.cfg[
setuid 127
setgid 139

# nserver 77.88.8.8
# nserver 8.8.8.8

nscache 65536
timeouts 1 5 30 60 180 1800 15 60

# external 111.111.111.111
# internal 111.111.111.111

log /var/log/3proxy/3proxy.log D
# logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T"
logformat "- +_L%t.%. %N.%p %E %U %C:%c %R:%r %O %I %h %T %d-%m-%Y %H:%M:%S"
rotate 30

# auth none
# включаем авторизацию по логину/паролю
auth strong
# Включаем авторизацию по логинам и паролям
# auth cache strong

users "myuser:CR:hash!!!!!!!"

# только этим пользователям разрешён доступ
allow myuser

# users — список пользователей: имя:CL:пароль (CL — пароль в чистом виде, можно использовать хэширование)
# auth cache strong
# CL – пароль пользователя укаывается в открытом виде
# CR зашифрованный пароль (md5), можно получить с помощью команды openssl passwd -1 -salt yourSalt2
# MD5 шифрование онлайн https://coding.tools/ru/md5
# можно хранить пользователей и пароли в отдельном файле, тогда укажите такую строку users $/etc/3proxy/.proxyauth

# parent
# weight - вес или вероятность выбора этого Ip,вес прокси,
# type - тип прокси (tcp - перенаправление соединения, может быть только последним в цепочке, http - синоним tcp, connect - HTTP CONNECT/HTTPS прокси, socks4 - SOCKSv4 прокси, socks5 - SOCKSv5 прокси),
# ip - IP адрес прокси,
# port - порт прокси,
# username - имя для авторизации на прокси ,
# password - пароль для авторизации на прокси.
# Логин и пароль можно не указывать если сервер их не требует.
# Добавим строку parent 1000 connect IP_proxy_Сервера_2 8085 для порта 4890 (внимание ip и порт разделяются пробелом а не ":" как обычно )
# parent 1000 connect IP_proxy_Сервера_2 8085

daemon

# deny *

# proxy -p3129
socks -p3129
socks -p3130
socks -p3140
socks -p3150
]

[mrigpop1980]

ifconfig
[
enp0s3: flags=4163 mtu 1500
inet 10.0.2.15 netmask 255.255.255.0 broadcast 10.0.2.255
inet6 fe80::1cf0:f1ba:3d99:de69 prefixlen 64 scopeid 0x20
inet6 fd17:625c:f037:2:d463:8d49:72ea:ef3a prefixlen 64 scopeid 0x0
inet6 fd17:625c:f037:2:997e:58ec:3781:ef0a prefixlen 64 scopeid 0x0
ether 08:00:27:bc:cd:81 txqueuelen 1000 (Ethernet)
RX packets 8755 bytes 10644023 (10.6 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 3051 bytes 287494 (287.4 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

enp0s8: flags=4163 mtu 1500
inet 192.168.56.106 netmask 255.255.255.0 broadcast 192.168.56.255
inet6 fe80::98a0:432:77f1:cc4 prefixlen 64 scopeid 0x20
ether 08:00:27:83:7a:a8 txqueuelen 1000 (Ethernet)
RX packets 3 bytes 1240 (1.2 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 103 bytes 14908 (14.9 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

lo: flags=73 mtu 65536
inet 127.0.0.1 netmask 255.0.0.0
inet6 ::1 prefixlen 128 scopeid 0x10
loop txqueuelen 1000 (Local Loopback)
RX packets 742 bytes 69425 (69.4 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 742 bytes 69425 (69.4 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

tun0: flags=4305 mtu 1500
inet 172.16.219.2 netmask 255.255.255.255 destination 172.16.219.2
inet6 fe80::78b8:e3f4:6a0e:7680 prefixlen 64 scopeid 0x20
inet6 fd01::2 prefixlen 128 scopeid 0x0
unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 txqueuelen 500 (UNSPEC)
RX packets 31 bytes 2430 (2.4 KB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 130 bytes 6099 (6.0 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
]

Answer 1

[Владимир Дубровин]

NAT не требуется,
надо сконфигурировать external 172.16.219.2 или -e172.16.219.2 в 3proxy

Если включен ip forwarding (для прокси он не нужен, но судя по описанию проблемы у вас он включен), то требуется настроить source routing чтобы пакеты с SRC адреса 172.16.219.2 уходили в tun0, а с адреса 10.0.2.15 в enp0s3 и сконфигурировать external 172.16.219.2 или -e172.16.219.2 в 3proxy (по умолчанию в Linux трафик с любого IP может лететь в любой интерфейс, а вам надо чтобы трафик в сторону клиента летел в один интерфейс, а трафик в сторону сервера назначения - в другой)

Либо можно source routing не конфигурировать, но указать внешний и внутренний интерфейсы для 3proxy, например

socks -p3129 -i10.0.2.15 -Dienp0s3 -e172.16.219.2 -Detun0

для использования Di / De прокси должен быть запущен от рута и без setuid / setgid в конфиге

Comments

[mrigpop1980]

Сразу почувствовал профессионализм... Спасибо!
socks -p3129 -i10.0.2.15 -Dienp0s3 -e172.16.219.2 -Detun0
(реально помогло)

Я вначале, склонялся к первому решению (но мозгов не хватило).
Решил, что второй способ ничем не хуже - заработало сразу!
(e/i как только не крутил, а вот про параметры Di / De нигде не натыкался на просторах инета)

Answer 2

[Drno]

так ты фулл впн включаешь... у тебя меняется внешний IP на серваке)) конечно оно не будет подключаться, твой адГвард же не пробрасывает тебе порт

попробуй задать в 3proxy слушать только локальный IP, а не все