Linux: Туннелирование трафика через прокси

[maximilionus]

Описание

Уверен, что кто-то уже занимался подобным и хотел попросить помощи с конфигурацией и поделиться тем, что уже смог настроить. Есть задача туннелировать весь трафик Linux системы на byedpi socks5 прокси, который работает на этой же системе (по адресу 127.0.0.1:4080), но что бы я не пытался сделать для полного туннелирования, весь трафик либо запирается в бесконечный цикл, либо byedpi отказывается его обрабатывать, либо работает все частично. Перечислю свои варианты ниже.

Методы

Transparent proxy + iptables (Рабочий вариант)

Суть заключается в запуске byedpi в режиме прозрачного прокси сервера (ниже пример) и последующей настройке перебрасывания всего трафика TCP/UDP на порт прокси через iptables.

byedpi:

ciadpi --ip 127.0.0.1 --port 4080 --transparent <...>

iptables:

sudo iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner root \
    -j REDIRECT --to-port 4080
sudo iptables -t nat -A OUTPUT -p udp -m owner ! --uid-owner root \
    -j REDIRECT --to-port 4080

Автоматизация настроек уже без UDP - тут.

Данный вариант рабочий для TCP трафика, однако любые UDP пакеты просто пропадают в бездне без каких либо ошибок у прокси сервера. Было несколько попыток отправить UDP пакеты, включая WebRTC дискорда для голосовой связи, однако все безуспешно. При идентичной конфигурации дискорд работает спокойно на ByeDPIAndroid.

SOCKS5 + Nekobox

В данном варианте byedpi запускается как обычный socks5 прокси сервер, для подключения к которому используется NekoBox For PC.

byedpi:

ciadpi --ip 127.0.0.1 --port 4080 <...>

nekobox:

После запуска прокси и включения "Tun Mode" (Туннелирования всего трафика), byedpi захлебывается ошибками:

...
Oct 12 18:06:24 xxx ciadpi[10976]: bind: Address in use
Oct 12 18:06:24 xxx ciadpi[10976]: bind: Address in use
Oct 12 18:06:24 xxx ciadpi[10976]: bind: Address in use
Oct 12 18:06:25 xxx ciadpi[10976]: bind: Address in use
Oct 12 18:06:25 xxx ciadpi[10976]: bind: Address in use
Oct 12 18:06:25 xxx ciadpi[10976]: bind: Address in use
Oct 12 18:06:25 xxx ciadpi[10976]: recv: Connection reset by peer
Oct 12 18:06:26 xxx ciadpi[10976]: recv: Connection reset by peer
Oct 12 18:06:26 xxx ciadpi[10976]: recv: Connection reset by peer
Oct 12 18:06:26 xxx ciadpi[10976]: recv: Connection reset by peer

Как и nekobox:

...
ERROR[0030] [2912541060 15.48s] dns: exchange failed for www.google.com. IN A: Post "https://8.8.8.8/dns-query": socks5: request rejected, code=1
INFO[0030] [431817713 0ms] inbound/tun[tun-in]: inbound connection from 172.19.0.1:40848
INFO[0030] [431817713 0ms] inbound/tun[tun-in]: inbound connection to 8.8.8.8:443
ERROR[0030] [2912541060 15.49s] dns: exchange failed for android.clients.google.com. IN A: Post "https://8.8.8.8/dns-query": socks5: request rejected, code=1
INFO[0031] [2912541060 15.64s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [1328436227 0ms] inbound/tun[tun-in]: inbound connection from 172.19.0.1:40856
INFO[0031] [1328436227 0ms] inbound/tun[tun-in]: inbound connection to 8.8.8.8:443
INFO[0031] [2912541060 15.71s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
ERROR[0031] [2912541060 15.72s] dns: exchange failed for www.youtube.com. IN A: Post "https://8.8.8.8/dns-query": socks5: request rejected, code=1
INFO[0031] [2830701949 300ms] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [3642738206 0ms] inbound/tun[tun-in]: inbound connection from 172.19.0.1:40870
INFO[0031] [3642738206 0ms] inbound/tun[tun-in]: inbound connection to 8.8.8.8:443
INFO[0031] [431817713 300ms] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
ERROR[0031] [431817713 308ms] inbound/tun[tun-in]: socks5: request rejected, code=1
INFO[0031] [1328436227 300ms] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2377859299 0ms] inbound/tun[tun-in]: inbound connection from 172.19.0.1:40892
INFO[0031] [2377859299 0ms] inbound/tun[tun-in]: inbound connection to 8.8.8.8:443
INFO[0031] [3642738206 300ms] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
ERROR[0031] [3642738206 310ms] inbound/tun[tun-in]: socks5: request rejected, code=1
INFO[0031] [2377859299 300ms] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [280266687 0ms] inbound/tun[tun-in]: inbound connection from 172.19.0.1:40916
INFO[0031] [280266687 0ms] inbound/tun[tun-in]: inbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
INFO[0031] [2912541060 16.46s] outbound/socks[proxy]: outbound connection to 8.8.8.8:443
ERROR[0031] [2912541060 16.47s] dns: exchange failed for ssl.gstatic.com. IN AAAA: Post "https://8.8.8.8/dns-query": socks5: request rejected, code=1
...

Первым же делом, отталкиваясь от логов byedpi попытался изменить адрес прокси сервера на другие варианты (127.0.1.11, 127.0.2.22), но все безуспешно, та же ошибка повторяется бесконечно. Соединение так и не удалось пока что установить.

Итоги

Я понимаю, что туннелирование можно настроить и без nekobox и я пробовал эти методы, однако у меня так и не получилось настроить свой интерфейс туннеля, так что даже и включать эти попытки сюда не буду.

[SingleInfiniteLoop]

Хотелось бы увидеть хотя бы поддержку обработки UDP-трафика в режиме прозрачного прокси. Может, тогда и голосовые каналы в Discord заработают.

[maximilionus]

А я был в полной уверенности, что UDP трафик поддерживается и в прозрачном режиме. Тогда это многое объясняет.

[zimbabwe303]

Как на счёт вот этого: https://github.com/tun2proxy/tun2proxy. Хотя, ИМХО, задача поставлена в корне неверно: куда именно тунелируется трафик? Если не на некий сервер по ту сторону ТСПУ, то и тунелировать что либо не имеет смысла. У любой клиент-серверной системы должен быть сервер, понимающий тот же протокол. Вы свой трафик во что-то завернули, кто и где это будет разворачивать?

[maximilionus]

Возможно я не совсем правильно использую терминологию в данном случае, потому что задача абсолютно "простая" - мне нужно в пределах одной машины перенаправлять все TCP/UDP пакеты на byedpi прокси сервер, который работает на этой же машине, а уже после этого все модифицированные пакеты должны уходить в глобальную сеть по своему назначению.

Режим обычного прокси тут не подходит, так как много софта попросту не умеет или не хочет обнаруживать socks5, как и в целом любые прокси настройки окружения (Discord яркий тому пример).

[maximilionus]

И да, tun2proxy действительно то, что мне нужно в данной ситуации, просто я так ещё и не смог разобраться в его настройке. Поэтому и решил поспрашивать здесь, возможно кто-то проворачивал подобное.

[zimbabwe303]

Также ИМХО: UPD трафик не идёт потому, что UDP - connectionless протокол, ему всё равно сначала нужен TCP, хотя бы только для хендшейка. Скорее всего блочится именно стартовый TCP коннект. Ищите другие настройки, например, которые оттянут начало UDP передачи, т.е. увеличьте размер TCP фейка специально для UDP протокола. Попробуйте вариант с маленьким размером буфера (--buf-size), как я понимаю, это увеличивает фрагментацию (сокращает размер MSS), и ТСПУ отказывается от таких пакетов.

Могу ошибаться, но поддержка UDP со стороны ByeDpi заключается только в том, что он эти пакеты перебрасывает как есть. Если указана опция --udp-fake то он добавляет туда мусор, но мусор в UDP - не то же, что мусор в TCP, где он в самом пиковом случае приводит к обрыву соединения: для UDP нельзя даже сказать, что соединение установлено, и если принимающая сторона принципиально не ожидает мусор, то даже один мусорный байт всё испортит. С другой стороны, у UDP заголовок простейший, и поэтому не так легко обнаружить какие именно данные и куда (кроме IP адреса) по нему идут.

[zimbabwe303]

Для отдельных программ можно использовать proxychains или redsocks.

[maximilionus]

Проблема в том, что абсолютно идентичные настройки, поданные в ByeDPIAndroid работают идеально и даже WebRTC Дискорда подключается без проблем, поэтому проблема все же где-то то в моем подходе.

Насколько я понял, андроид версия ByeDPI использует HevSocks5Tunnel для перенаправления всего трафика. Хотелось бы реализовать что-то подобное.

Proxychains в UDP совсем не могет к сожалению, redsocks пока не рассматривал.

Спасибо за советы.

[irregular-circle]

Только что настроил перенаправление всего трафика на локальный прокси byedpi через HevSocks5Tunnel и войс чат дискорда на линуксе заработал как на андроиде. Основные сложности были с избавлением бесконечной петли трафика между прокси и интерфейсом, заюзал следующее костыльное решение, хотя лучше бы сделать через fwmark, но пока не разобрался, как.

[7oundabout]

можешь написать гайд, пожалуйста

[maximilionus]

Да, это как раз та проблема, с которой столкнулся и я. Сейчас буду пытаться все это развернуть, отчет о результатах по готовности.

[irregular-circle]

можешь написать гайд, пожалуйста

Я полный нуб в таких вопросах, поэтому сразу извиняюсь за костыльность, мб оно у вас вообще работать не будет.

1. Качаем HevSocks5Tunnel (hev-socks5-tunnel-2.7.4.tar.gz), распаковываем, компилируем с помощью make.
2. Создаем нового юзера ciadpi, через которого мы будем запускать прокси, запоминаем его uid:
   sudo useradd ciadpi
id ciadpi
3. Если нужно, то в конфиге conf/main.yml меняем дефолтный порт прокси.
4. Запускаем hevsocks5tunnel, в качестве аргумента файл конфига:
   sudo bin/hev-socks5-tunnel conf/main.yml
5. Добавляем правило, чтобы трафик исходящий от юзера ciadpi перенаправлялся по другому маршруту:
   sudo ip rule add uidrange 1001-1001 lookup 110 pref 28000
   Здесь 1001 нужно заменить на uid ciadpi.
6. Добавляем отдельный маршрут для предыдущего правила:
   sudo ip route add default via 192.168.1.1 dev eth0 metric 50 table 110
   Здесь вместо 192.168.1.1 адрес шлюза, вместо eth0 адрес интернет интерфейса.
7. Запускаем ciadpi от имени юзера ciadpi:
   sudo -u ciadpi ciadpi <ваши аргументы для ciadpi>
8. Наконец направляем весь трафик в интерфейс tun0, который был создан при запуске hevsock5tunnel:
   sudo ip route add default via 198.18.0.1 dev tun0 metric 1
   (198.18.0.1 это дефолтный айпи tun0 из конфига)
   Все, после этого в идеале всё должно работать.

[7oundabout]

Спасибо большое!

[maximilionus]

Безумно благодарю тебя @irregular-circle за совет и полноценную инструкцию по запуску. К этому времени я тоже добился успехов, но с tun2socks. У меня немного посложнее решение, так как утилита не умеет сама создавать адаптеры для туннелирования, но в целом что-то близкое получилось.

# Создаем пользователя byedpi без оболочки и домашней папки, что бы
# десктоп среды не считали его за полноценного пользователя.
sudo useradd -M -s /bin/false byedpi

# Запускаем byedpi от нового пользователя
# Добавляйте & и nohup для постоянной работы в фоне.
sudo -u byedpi ciadpi --ip 127.0.0.1 --port 4080 <...>
# Можно использовать и обычный su по необходимости
# Пример ниже дополнительно использует nohup для запуска в фоне.
nohup su - byedpi -s /bin/bash -c 'ciadpi --ip 127.0.0.1 --port 4080 <...>' > /dev/null 2>&1 &

# Создаем адаптер для туннелирования трафика с названием byedpi-tun
sudo ip tuntap add mode tun dev byedpi-tun

# Назначаем адрес адаптеру
# НЕ НАЗНАЧАТЬ loopback адреса 127.0.0.1/8
# Диапазоны доступных адресов можно узнать тут https://en.wikipedia.org/wiki/Private_network#Private_IPv4_addresses
sudo ip addr add 172.20.0.1/24 dev byedpi-tun

# Поднимаем адаптер
sudo ip link set dev byedpi-tun up

# Задаем минимальную метрику, что бы весь трафик шел через туннель
sudo ip route add default via 172.20.0.1 dev byedpi-tun metric 1

# Настройка маршрутизации трафика по пользователю
# 192.168.1.1 заменить на адрес шлюза основной сети.
# 1001-1001 заменить на uid пользователя byedpi.
# enp9s0 заменить на название основного адаптера.
sudo ip route add default via 192.168.1.1 dev enp9s0 metric 50 table 110
sudo ip rule add uidrange 1001-1001 lookup 110 pref 29000

# Запуск туннелирования
# Опять же, & и nohup по необходимости.
tun2socks -device byedpi-tun -proxy socks5://127.0.0.1:4080

Полностью рабочий вариант вот тут.

[7oundabout]

Спасибо

[0x131313]

@maximilionus @irregular-circle
Подскажите пожалуйста, а подойдет ли microsocks для решения byedpi на openwrt и его связи с клиентами роутера? (у роутера мало памяти)

Подробнее описал тут:
#206

Спасибо!

[maximilionus]

Ещё как вариант будет заменить в nft цепочку OUTPUT на PREROUTING. OUTPUT был необходим для отловки пакетов внутри одной системы, что в случае роутера не имеет смысла. Возможно это и вызывает проблемы.

После этого теоретически можно убрать и -m owner ! --uid-owner root.

[0x131313]

С заменой кажется вариант попроще, но у меня вопроса тогда 2:

1. заменить в nft цепочку OUTPUT на PREROUTING

Это имеется ввиду будет 2 preprouting, или это все в один слить?

2. как это можно быстро и удобно менять? (возможно можно открыть и ручками без команд?) :)

Спасибо!

[maximilionus]

По nft больше ничего подсказать не могу, тут ты остаешься сам за себя к сожалению. Примерно должно выглядеть как-то так, только не забудь перед этим перегрузить роутер для сброса предыдущей таблицы:

nft add table ip nat
nft add chain ip nat PREROUTING
nft add rule ip nat PREROUTING ip protocol tcp skuid != 0 counter redirect to :18081

Мы тут чуть ниже как раз решали немного схожую проблему. Попробуй запустить сервер byedpi от другого системного пользователя:

$ useradd -M byedpi

$ su - byedpi -c "ciadpi --ip 127.0.0.1 --port 18081 <...>"

[0x131313]

Понял, спасибо большое за оперативные и очень полезные ответы!
Буду доковыривать)

[maximilionus]

Удачи!!!

[MercurialPony]

Подскажите, что я делаю не так? Использовал ваш конфиг iptables

sudo iptables -t nat -A OUTPUT -p tcp -m owner ! --uid-owner root
-j REDIRECT --to-port 4080

Но при каком-нибудь curl -L x.com получаю Empty reply from server и следующую ошибку в прокси:

socket: No file descriptors available
socket: No file descriptors available
connect_hook: No file descriptors available
state: 7
send: Broken pipe

Вот мои параметры для прокси: ./ciadpi-x86_64 --ip 127.0.0.1 --port 4080 --transparent --split 1 --disorder 1
В чем может быть проблема?

[MercurialPony]

Оказывается я просто запускал byedpi на своей учетке, а не на root X3. Проблема решена

[maximilionus]

Оказывается я просто запускал byedpi на своей учетке, а не на root X3. Проблема решена

Бывает. Хорошо что все решилось, удачи.

[MercurialPony]

Ох, только заметил еще проблему. Внутри докер контейнеров видимо не работает это правило iptables... Случаем не знаете, как починить?

[MercurialPony]

UPD: столько времени потратил, а опять оказалось глупая ошибка. Надо было просто добавить правило на PREROUTING (т.к. оказывается запросы из докера не проходят через цепочку OUTPUT - подробнее здесь). И ГЛАВНОЕ надо было сделать так, чтобы прокся слушала на 0.0.0.0 вместо 127.0.0.1 😭

[maximilionus]

Интересная особенность, спасибо, теперь тоже буду знать.

А про 0.0.0.0 да, возможно докер не имеет доступа к loopback (127.0.0.1) хоста.