Messages

Hello. Does this guide work on OPNsense version 25.7.10? My TUN device appears in the device overview, but it absolutely won't show up in Interfaces: Assignments. The same applies to the gateway.

Try to change "device: tun://tun2socks0" in /usr/local/etc/tun2socks/config.yaml for something else, like "device: tun://t2s0" or "device: tun://tun_3000"

Всех с Рождеством!
Если кто живой есть после праздников, подскажите как победить Tun2socks, по четырем инструкциям пробовал настраивать:
этой соответственно и
https://github.com/alardus/opnsense_shadowsocks
https://blog.kre3.net/en/article/setup-tun2socks-in-opnsense/
https://telegra.ph/Obhod-blokirovok-na-OPNsense-cherez-Xray-po-domenam-cherez-dnsmasq-rezolver-09-30
И автоматическим скриптом пробовал fetch -o - https://github.com/user-attachments/files/23259388/install.sh | sh.
Никак не добьюсь чтоб интерфейс tun0 в Interfaces: Assignments появился(один раз сделал, но это вручную правил config.xml и он всегда "missing" висел.
Максимум что получилось, после перезагрузки OPNsense во вкладке Обзор Интерфейсы tun0 показывал зеленый статус с прописанными IP и шлюзом, но в Assignments так и отсутствует.
 Это последняя версия OPN не даёт корректно настроить или руки всё же кривые?

возможно то же решение

Кстати, если кто интересуется возможностью управлять тем, какие домены заворачивать через dnsmasq, я столкнулся с проблемой которую пока не смог решить. Dnsmasq резолвит всегда в режиме wildcard, то есть если будет указан example.com, то завернется и e1.example.com, что в некоторых случаях будет вредно. Например, если взять epicgames.com - завернутся все поддомены, которые отвечают за оплату (это нам нужно что бы обойти "ой в вашем регионе не доступно", и поддомены которые отвечают за загрузку контента, что вообще ни разу не нужно. Имейте в виду.

Еще заметил, что sing-box в режиме auto_route при падении линка на шлюзе и последующем восстановлении не апдейтит состояния, то есть его нужно перезагружать, иначе он будет долбиться в пустоту. Наверное можно придумать какой-то скрипт и механизм отслеживания состояния шлюза чтоб оно запускало перезапуск, но я пока не настолько шарю в этом. Но как по мне в этом решении все же слишком много НО что бы использовать его стабильно. Может у кого-то есть опыт настройки и запуска голого sing-box?
я так понимаю эта солянка собрана вокруг этого пакета Vincent-Loeng

Более-менее разобрался в этом чуде китайской инженерной мысли, в целом понял логику работы sing-box.
Форвардинг в unbound нужен только для того чтоб перехватывать dns запросы внутри sing-box. То есть по сути unbound остается только в роли рабочего кэша и разных блокировок-перезаписей. DoH я настроил внутри конфига sing-box. "auto_route": true и "strict_route": true в конфиге позволяют перехватывать весь трафик системы и заворачивать его в тун, то есть правила фаервола на каждый конкретный интерфейс не нужны. Это удобно, но не без минусов. Например если sing-box упадет, трафик пойдет напрямую как раньше уже через не зашифрованный днс, который указан как заглушка для форвардинга. Из личных наблюдейний - MTU 9000 это прям дохрена, выше 1400 я бы не ставил, чтоб пакеты по wifi не фрагментировались, иначе будут большие потери скорости. Ну и стак с system на gvisor я у себя поменял - он работает быстрее как по мне, но местами не очень стабильно, вероятно вернусь к system

UPD: После доп тестов пришел к выводу, что MTU вообще никак не влияет на фрагментацию в этом конфиге. что 1400, что 9000 работают одинаково, пока оставил тестироваться с 9000. А вот stack влияет очень сильно. У меня внешняя ап точка, через system я не закачку по wifi не получаю больше 150 мегабит (по проводу получаю свои 500 по тарифу), однако стоит только сменить stack на gvisor - сразу 500 в обе стороны и по wifi. Не понятно с чем связано.

Делал такую связку.
Не сразу завелось, но заработало благодаря всем тут отписавшимся.
Но в этой связке нужно следить за двумя сервисами(службами).
Проще использовать sing-box. Будет при этом один сервис(служба).
Он может работать как просто прокси, так и сразу создавать интерфейс на который можно настроить переадресацию.
Вот ссыль на гитхаб, где можно взять установщик для OPNSense и pfSense.

А есть какая-то инфа почему там исользуется Unbound? У меня, например, doh через dnscrypt, и как его туда завести не понятно, документации толком никакой нет...

Привет. Почему-то при назначении интерфейса нет tun2socks, хотя сервис запускается

Подскажите пожалуйста, как решили эту проблему, или я что-то пропустил и не понимаю что, или просто чего-то не понимаю.
В interfaces: overview он присутсвует, но помечен как down, и в списке assignments его нет

UPD - так и не понял в чем было дело, на чистой системе установил еще раз - завелось
Теперь имею такой же вопрос по конфигу xray, может кто поделиться примером своим, если удалось завести?

UPD - Завел xray. Настраивал не через config.json, а в конфиг файлах самого xray по вдресу /usr/local/etc/xray-core/
содержание моего 05_inbounds.json :

Code Select Expand

{
    "inbounds": [
        {
            "listen": "10.13.66.1",
            "port": 10808,
            "protocol": "socks",
            "tag": "socks-in",
            "settings": {
                "udp": true,
                "auth": "noauth"
            }
        }
    ]
}
файл 03_routing.json

Code Select Expand

{
  "routing": {
    "domainStrategy": "IPIfNonMatch",
    "rules": [
      {
        "type": "field",
        "inboundTag": [
          "socks-in"
        ],
        "outboundTag": "vless-reality"
      }
    ]
  }
}

В файле 06_outbonds.json для своего соединения так же указан "tag": "vless-reality"
Я вообще хз правильно ли по тегам так их маршрутить, подсмотрел в других конфигах, я в этом деле не силен, настраиваю ручками первый раз.
Адресом прослушки я указал сам opnsense, по умолчанию стоял локалхост 127.0.0.1, любой другой у меня вываливался в ошибку
Теперь буду пытаться подружить tun2socks с xray-core, если у кого-то есть замечания и дополнения - буду только рад
Знаю только что айпишник и порт в inbounds должен соответствовать тому, что указан в конфиге tun2socks/config.yaml
Проверку, что конфиг xray вообще работает и перенаправляет трафик  проводил так - указал этот айпишник и порт, в браузере как прокси, странички забегали, но скорость оставляет желать лучшего, хотя железо на котором стоит opnsense не самое плохое, и явно лучше моего старого кинетика, но там скорость получается почему-то больше через xray, буду наблюдать. Единственное что - я не буду пользоваться списками какими-то, буду делать через свои с помощью правил aliases, так что протестировать пункт геобаз я не смогу.


UPD - вроде завел, осталось разобраться с правилами фаервола. Проверить работоспособность можно так:
для tun2socks:

Code Select Expand

curl --interface tun_3000 https://www.google.com - если выплюнет стену символов, значит всё ок
для xray можно запросить айпишник с сайта:

Code Select Expand

сurl https://whatismyip.akamai.com 1 -x socks5://10.13.66.1:10808вместо указанного айпишника подставьте тот который у вас слушает xray. Если вернет айпишник точки выхода xray - значит всё ок.