V2RAY 透明代理 - VPN 研究室 - 電訊茶室

Rank: 1

16^# 跳轉到 »

發表於 2019-11-5 19:21 | 只看該作者

回復 15# tomleehk

謝謝你的分享，我用了這個script,dns 可過V2Ray ，但網頁都是直出。好頭痕。。。。

tomleehk

Rank: 1

17^#

發表於 2019-11-5 19:49 | 只看該作者

本帖最後由 tomleehk 於 2019-11-5 19:53 編輯

回復 16# harold

我當年Openwrt + ss-client tcp轉發所用嘅script, 不知有無幫助

#!/bin/sh
#create a new chain named SHADOWSOCKS
iptables -t nat -N SHADOWSOCKS
# Ignore your shadowsocks server's addresses
# It's very IMPORTANT, just be careful.
iptables -t nat -A SHADOWSOCKS -p tcp --dport 993 -j RETURN
# Ignore LANs IP address
iptables -t nat -A SHADOWSOCKS -d 0.0.0.0/8 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 10.0.0.0/8 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 127.0.0.0/8 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 169.254.0.0/16 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 172.16.0.0/12 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 192.168.0.0/16 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 224.0.0.0/4 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 240.0.0.0/4 -j RETURN
# Anything else should be redirected to shadowsocks's local port
iptables -t nat -A SHADOWSOCKS -p tcp -j REDIRECT --to-ports 1080
# Apply the rules
iptables -t nat -I PREROUTING -p tcp -j SHADOWSOCKS

複製代碼

其中
iptables -t nat -A SHADOWSOCKS -p tcp --dport 993 -j RETURN
--dport 993, 993 喺 server side 嘅listening port

iptables -t nat -A SHADOWSOCKS -p tcp -j REDIRECT --to-ports 1080
--to-ports 1080 , 1080 喺 client side 嘅listening port

Good Luck !!

Rank: 1

18^#

發表於 2019-11-5 20:40 | 只看該作者

V2ray 用唔到！！

Rank: 1

19^#

發表於 2019-11-5 21:38 | 只看該作者

本帖最後由 kingwilliam 於 2019-11-6 06:34 編輯

回復 11# harold
＊
＊
＊
以下config.json是跟你之前的config作了一些改動
！！！一定要修改openwrt內dns port到5301！！！
＊
＊
＊
加入部份
<-- add by kingwilliam (有1項)
刪除部份
<-- disabled by kingwilliam (有7項)

{
"log": {
"access": "/var/log/v2rayaccess.log",
"error": "/var/log/v2rayerror.log",
//"loglevel": "warning"
"loglevel": "debug"
},
"inbounds": [
{
"tag":"transparent",
"port": 12345,
"protocol": "dokodemo-door",
"settings": {"network": "tcp,udp","followRedirect": true},
"sniffing": {"enabled": true,"destOverride": ["http","tls"]}
// "sockopt": {"mark": 255} <-- disabled by kingwilliam
// "streamSettings": {"sockopt": { "tproxy": "tproxy" }} <-- disabled by kingwilliam
},
// dokodemo-door:53 <--- add by kingwilliam
{
"tag": "dns-in",
"port": 53,
"protocol": "dokodemo-door",
"settings": {
"address": "127.0.0.1",
"port": 5301,
"network": "udp,tcp"
}
},
{
"port": 1081,
"protocol": "http",
"sniffing": {"enabled": true,"destOverride": ["http", "tls"]}
// "settings": {"network": "tcp,udp"}, <-- disabled by kingwilliam
// "sockopt": {"mark": 255}, <-- disabled by kingwilliam
},
{
"port": 1080,
"protocol": "socks",
"sniffing": {"enabled": true,"destOverride": ["http", "tls"]}
}
],
"outbounds":[
{
"tag": "proxy",
"protocol": "vmess",
"settings": {
"vnext": [
{
"address": "server_address",
"port": 8080,
"users": [{"id": "uuid","level": 1,"alterId": 64,"security": "aes-128-gcm"}]
}
]
},
"streamSettings": {
"sockopt": {"mark": 255},
"network": "ws",
//"security": "true",
"security": "tls",
//"allowInsecure": true,
"tlsSettings": {"allowInsecure": true,"serverName": "server_address"},
"wsSettings": { "path": "/v2/" }
//"mux": {"enabled": true,"concurrency": 8}
},
"mux": {"enabled": true}
},
{
"tag": "direct",
"protocol": "freedom",
// "settings": {"domainStrategy": "UseIP"}, <-- disabled by kingwilliam
"streamSettings": {"sockopt": {"mark": 255}}
},
{
"tag": "block",
"protocol": "blackhole",
"settings": {"response": {"type": "http"}}
},
{
"tag": "dns-out",
"protocol": "dns",
"streamSettings": {"sockopt": {"mark": 255}}
}
],
"dns": {
"servers": [
"8.8.8.8","1.1.1.1",
//,"114.114.114.114", <-- disabled by kingwilliam
{
"address": "223.5.5.5",
"port": 53,
"domains": ["geosite:cn","ntp.org","changip.com","amy.dns04.com"]
}
]
},
"routing": {
// "domainStrategy": "IPOnDemand", <-- disabled by kingwilliam
"rules": [
// {"type": "field","inboundTag": ["transparent"],"port": 53,"network": "udp","outboundTag": "dns-out"}, <-- disabled by kingwilliam
// dns route <- add by kingwilliam
{
"type": "field",
"inboundTag": "dns-in",
"outboundTag": "dns-out"
},
{"type": "field","inboundTag": ["transparent"],"port": 123,"network": "udp","outboundTag": "direct"},
{"type": "field","ip": ["223.5.5.5","114.114.114.114"],"outboundTag": "direct"},
{"type": "field","ip": ["8.8.8.8","1.1.1.1"],"outboundTag": "proxy"},
{"type": "field","protocol":["bittorrent"],"outboundTag": "direct"},
{"type": "field","ip": ["geoip:private","geoip:cn"],"outboundTag": "direct" },
{"type": "field","domain": ["geosite:cn"],"outboundTag": "direct"},
{"type": "field","ip": ["192.168.1.0/24"],"outboundTag": "direct"}
]
}
}

複製代碼

＊
＊
＊
iptables
加入部份
iptables -t mangle -A V2RAY_MARK -p udp --dport 53 -j RETURN
刪除部份
<-- disabled by kingwilliam (有1項)

hostip2=`dig -t A +short myservername`
iptables -t nat -N V2RAY
iptables -t nat -A V2RAY -d $hostip2 -j RETURN
iptables -t nat -A V2RAY -d 0.0.0.0/8 -j RETURN
iptables -t nat -A V2RAY -d 127.0.0.0/8 -j RETURN
iptables -t nat -A V2RAY -d 192.168.1.0/24 -j RETURN
iptables -t nat -A V2RAY -d 224.0.0.0/4 -j RETURN
iptables -t nat -A V2RAY -d 240.0.0.0/4 -j RETURN
iptables -t nat -A V2RAY -p tcp -j RETURN -m mark --mark 0xff
iptables -t nat -A V2RAY -p tcp -j REDIRECT --to-ports 12345
iptables -t nat -A PREROUTING -p tcp -j V2RAY
# iptables -t nat -A OUTPUT -p tcp -j V2RAY <-- disabled by kingwilliam
ip rule add fwmark 1 table 100
ip route add local 0.0.0.0/0 dev lo table 100
iptables -t mangle -N V2RAY_MASK
iptables -t mangle -A V2RAY_MASK -d $hostip2 -j RETURN
iptables -t mangle -A V2RAY_MASK -d 0.0.0.0/8 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 127.0.0.0/8 -j RETURN
iptables -t mangle -A V2RAY_MASK -d 192.168.1.0/24 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 224.0.0.0/4 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 240.0.0.0/4 -j RETURN
iptables -t mangle -A V2RAY_MARK -p udp --dport 53 -j RETURN
iptables -t mangle -A V2RAY_MASK -p udp -j TPROXY --on-port 12345 --tproxy-mark 1
iptables -t mangle -A PREROUTING -p udp -j V2RAY_MASK

複製代碼

＊
＊
＊
［［［　　　解說　　　］］］
１。iptables 內的 mark0xff 等同 config.json 內的"sockopt": {"mark": 255}, 目的是識別那個數據包是入, 那個數據包是出.
所以入的數據不用打mark (就是這原因 config.json 內所有inbound "sockopt": {"mark": 255} 都給刪除.
同一原因, outbound全都要保留

iptables -t nat -A V2RAY -p tcp -j RETURN -m mark --mark 0xff
意思是 tcp 有mark 255 就直連

２。你在routing內攔截udp 53, 好多人都在官網發問接近問題,所以我加入dokodemo-door:53, 同時在iptables 加入udp 53直連.　前題是openwrt dns port 一定要改走.

３。direct freedom 不用刻意用 "useip". 沒甚麼作為所以給刪除

４。dns servers 內114. 不應同 1.1. 8.8. 放在同一層所以給刪除

５。 routing 不需用 "ipondemand", 在你的設定看不到有需要所以給刪除

６。inbounds socks同http 是可以共全的, 同時在 http "settings": {"network": "tcp,udp"} 也給我刪除.

以上改動希望可以幫到你, 如有問題請告知, 看看可否再調配

Rank: 1

20^#

發表於 2019-11-5 22:47 | 只看該作者

本帖最後由 harold 於 2019-11-5 22:54 編輯

回復 19# kingwilliam

多謝你的無私詳細付出！！小弟萬分感激！
Openwrt 內的DNS 我在/etc/config/dhcp 內改了5301，也用nslookup yahoo.com 127.0.0.1#5301 試用是可行的
nslookup yahoo.com 127.0.0.1#53
Server:       127.0.0.1
Address:       127.0.0.1#53
Name:    yahoo.com
Address 1: 98.137.246.8

nslookup yahoo.com 127.0.0.1#5301
Server:       127.0.0.1
Address:       127.0.0.1#5301
Name:    yahoo.com
Address 1: 72.30.35.9

但行完個 script 都係resolve 唔到DNS，

！！真的唔明在那裏出問題！！
nslookup yahoo.com 127.0.0.1#53
;; connection timed out; no servers could be reached

nslookup yahoo.com 127.0.0.1#5301
;; connection timed out; no servers could be reached

Rank: 1

21^#

發表於 2019-11-5 22:58 | 只看該作者

回復 20# harold

V2ray config 都已update? 因加入了dokodemo 53

Rank: 1

22^#

發表於 2019-11-5 23:02 | 只看該作者

回復 6# kingwilliam

咁係唔係要udp 123 route去v2ray出。把direct改成proxy

Rank: 1

23^#

發表於 2019-11-5 23:04 | 只看該作者

回復 21# kingwilliam

但行完iptable就resolve唔到DNS。

Rank: 1

24^#

發表於 2019-11-5 23:05 | 只看該作者

回復 21# kingwilliam

全部都跟了你的設定。R爆頭。。。

Rank: 1

25^#

發表於 2019-11-5 23:27 | 只看該作者

回復 24# harold

抱歉, 原來小了 routing dns
已在之前coding後補加入

// dns route <- add by kingwilliam
{
"type": "field",
"inboundTag": "dns-in",
"outboundTag": "dns-out"
}

複製代碼

可再試試

Rank: 1

26^#

發表於 2019-11-5 23:30 | 只看該作者

回復 22# harold

其實 udp 123 只是 ntp (network time protocol) 影響不太大, routing 內的 udp 123, 可以刪除.

Rank: 1

27^#

發表於 2019-11-5 23:47 | 只看該作者

本帖最後由 harold 於 2019-11-14 09:35 編輯

回復 26# kingwilliam

成功了！！我加了一句！！我好多謝你的耐心教導
iptables -t mangle -A V2RAY_MASK -d 127.0.0.1 -j RETURN

但我啲問題，啲部Openwrt會放在國內用，主要來看電視合子！上下FB，IG，TG，WP！
這樣的設定，能否避免了DNS pollution嗎？dns over https 等於無用嗎？
我用 changeip 做 dynamic dns, 國內能可以用到嗎？

小弟多謝你的教導！！真的開心都訓唔著！！
多謝大大！！多謝各位的幫助！！

Rank: 1

28^#

發表於 2019-11-6 00:05 | 只看該作者

本帖最後由 harold 於 2019-11-6 00:08 編輯

回復 25# kingwilliam

謝謝你的努力！！加咗啲句時得時唔得！！

Rank: 1

29^#

發表於 2019-11-6 06:39 | 只看該作者

本帖最後由 kingwilliam 於 2019-11-6 07:16 編輯

回復 28# harold

在上面的iptables tcp同udp已追加四組subnet

iptables -t nat -A V2RAY -d 0.0.0.0/8 -j RETURN
iptables -t nat -A V2RAY -d 127.0.0.0/8 -j RETURN
iptables -t nat -A V2RAY -d 224.0.0.0/4 -j RETURN
iptables -t nat -A V2RAY -d 240.0.0.0/4 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 0.0.0.0/8 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 127.0.0.0/8 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 224.0.0.0/4 -j RETURN
iptables -t mangle -A V2RAY_MARK -d 240.0.0.0/4 -j RETURN

複製代碼

可再試試

Rank: 1

30^#

發表於 2019-11-6 06:48 | 只看該作者

回復 27# harold

Q1: 主要來看MYTV 電視合子.
A1: 在 http://www.telecom-cafe.com/foru ... =7774&pid=47642 有一些數據如你要看mytv superbox, 寬頻下限要有3Mbit/s 有10Mbit/s最好(是翻牆後的速度)

Q2:要睇FB，IG，TG，WP
A2: 一定沒問題

Q3: dns over https 等於無用嗎？
A3: dns over v2ray 即等同 dns over https. 如你在openwrt已設定dns over https應已用不到

Q4: 這樣的設定，能否避免了DNS pollution嗎？
A4: 能

Q5: 我用 changeip 做 dynamic dns, 國內能可以用到嗎？
A5: 要試