- Регистрация
- 23 Август 2023
- Сообщения
- 3 016
- Лучшие ответы
- 0
- Реакции
- 0
- Баллы
- 51
Offline
Год назад я рассказывал на Хабре об open-source плагине XRAYUI для управления xray-core на роутерах ASUS с прошивкой MerlinWRT. За это время проект превратился из простого веб-интерфейса в полноценную экосистему управления сетевым трафиком домашней сети.
XRAY и Я
xray-core — это не просто «VPN» или «прокси», а универсальный инструмент маршрутизации трафика с поддержкой десятков протоколов. Он умеет принимать решения на основе домена, IP, порта, протокола и даже содержимого пакета. XRAYUI интегрирует эту систему в домашний роутер, превращая его в интеллектуальный шлюз.
XRAYUI — это плагин для роутеров ASUS, который интегрирует xray-core в экосистему домашнего роутера. Он позволяет:
Политики обхода/перенаправления для устройств
При включении прокси на роутере изначально весь трафик маршрутизируется через него. Это ломает IoT-устройства (условно поилка для кота идет через Финляндию), замедляет/блокирует игры и создаёт проблемы локальным сервисам.
Но теперь можно настроить политики для каждого устройства отдельно.
Настройка через веб-интерфейс: выбираете устройство по MAC-адресу, указываете порты — готово.
Читаем геофайлы налету
Шутка ли понять или угадать категории для подгруженных .dat файлов, когда этих категорий внутри тысячи? XRAYUI позволяет сразу же в правилах проверить валидность категорий на лету
так же работает и с geoip
Интеграция с IPSET
IPSET позволяет работать с большими списками IP-адресов без нагрузки на процессор роутера.
Как работают режимы DNS-обхода через IPSET:
OFF — условно классический режим
BYPASS — режим белого списка
REDIRECT — режим чёрного списка (продвинутый)
RTLS — это инструмент, который ищет наиближайший к вашему VPS домен, присутствующий на этом же хостинге. Проблема в том, что нужно найти сервер, который физически близок к вашему VPS и имеет валидный сертификат.
Как работает сканер:
Результат — интерактивная карта-радар, где каждая точка — это найденный сервер. Чем ближе к центру, тем меньше задержка относительно вашего VPS.
сканер TLS
Таким условным образом можно просканировать окражующую сеть и условно "паразитировать" чей-то рядом расположенный домен.
B4SNI — перехват SNI в реальном времени
Техническая реализация
B4SNI (B4SNIffer) — это процесс мониторинга, который перехватывает TCP/UDP ClientHello пакеты и извлекает из них SNI (Server Name Indication) на раннем этапе создания соедниения.
SNI во всей крас
Таким образом можно отследить любые второстепенные подключения сайта.
Что показывает B4SNI:
- Панель статистики в реальном времени
- Имена устройств или источники пакетов
- Фильтрация по протоколу, источнику, назначению, SNI
V2DAT - швейцарский нож для геоданных
Что такое Geodat файлы
В экосистеме Xray геоданные — это скомпилированные бинарные базы данных, содержащие тысячи IP-адресов и доменов, сгруппированных по категориям. Два основных файла:
Эти файлы используются в правилах маршрутизации вместо ручного перечисления сотен доменов:
# Вместо этого:
domain:netflix.com
domain:netflix.net
domain:nflxvideo.net
domain:nflximg.com
domain:nflxext.com
# ... ещё 200+ доменов
# Используем это:
geosite:netflix
Файлы геоданных - бинарные, протокол protobuf.
Нельзя просто открыть их в текстовом редакторе. Коммьюнити обновляет эти базы еженедельно, добавляя новые домены.
v2dat — что под капотом
v2dat — это процесс, который умеет парсить protobuf структуру geodat файлов и выводить содержимое в человекочитаемом виде.
PS
Сетевая тематика - сложная. Если у вас возникли вопросы, пожалуйста, задайте в комментариях. Я постораюсь ответить. Можно также писать в личку.
XRAY и Я
xray-core — это не просто «VPN» или «прокси», а универсальный инструмент маршрутизации трафика с поддержкой десятков протоколов. Он умеет принимать решения на основе домена, IP, порта, протокола и даже содержимого пакета. XRAYUI интегрирует эту систему в домашний роутер, превращая его в интеллектуальный шлюз.
XRAYUI — это плагин для роутеров ASUS, который интегрирует xray-core в экосистему домашнего роутера. Он позволяет:
Управлять маршрутизацией для конкретных устройств и портов
Автоматически настраивать прозрачное проксирование (TPROXY)
Контролировать DNS-резолвинг для предотвращения утечек
Работать с геоданными без ручного редактирования конфигов
Импортировать конфигурации по QR-коду или URL
По расписанию обновлять сторонние источники доменов
Политики обхода/перенаправления для устройств
При включении прокси на роутере изначально весь трафик маршрутизируется через него. Это ломает IoT-устройства (условно поилка для кота идет через Финляндию), замедляет/блокирует игры и создаёт проблемы локальным сервисам.
Но теперь можно настроить политики для каждого устройства отдельно.
Настройка через веб-интерфейс: выбираете устройство по MAC-адресу, указываете порты — готово.
Читаем геофайлы налету
Шутка ли понять или угадать категории для подгруженных .dat файлов, когда этих категорий внутри тысячи? XRAYUI позволяет сразу же в правилах проверить валидность категорий на лету
так же работает и с geoip
Интеграция с IPSET
IPSET позволяет работать с большими списками IP-адресов без нагрузки на процессор роутера.
Как работают режимы DNS-обхода через IPSET:
OFF — условно классический режим
Весь трафик проходит через процесс xray
Каждый пакет анализируется на уровне приложения
Максимальная гибкость, но высокая нагрузка на CPU
Подходит для мощных роутеров или небольшого количества правил
BYPASS — режим белого списка
Домены с правилом FREEDOM (прямой доступ) обрабатываются ядром Linux через IPSET
Xray даже не видит этот трафик — он идёт напрямую
Снижение нагрузки на CPU до 80% при большом количестве локальных ресурсов
Пример: у вас 5000 российских доменов для прямого доступа — они полностью минуют xray, работая на скорости ядра
REDIRECT — режим чёрного списка (продвинутый)
Через xray идёт только трафик к доменам, которые НЕ помечены как FREEDOM
Весь остальной трафик обрабатывается ядром напрямую
Минимальная нагрузка на xray — он работает только с тем, что действительно нужно проксировать
Идеально для: ситуаций, когда нужно проксировать только несколько заблокированных сервисов, а всё остальное должно работать напрямую.
RTLS Scanner
B4SNI
V2DAT
RTLS — это инструмент, который ищет наиближайший к вашему VPS домен, присутствующий на этом же хостинге. Проблема в том, что нужно найти сервер, который физически близок к вашему VPS и имеет валидный сертификат.
Как работает сканер:
Результат — интерактивная карта-радар, где каждая точка — это найденный сервер. Чем ближе к центру, тем меньше задержка относительно вашего VPS.
сканер TLS
Таким условным образом можно просканировать окражующую сеть и условно "паразитировать" чей-то рядом расположенный домен.
B4SNI — перехват SNI в реальном времени
Техническая реализация
B4SNI (B4SNIffer) — это процесс мониторинга, который перехватывает TCP/UDP ClientHello пакеты и извлекает из них SNI (Server Name Indication) на раннем этапе создания соедниения.
SNI во всей крас
Таким образом можно отследить любые второстепенные подключения сайта.
Что показывает B4SNI:
- Панель статистики в реальном времени
- Имена устройств или источники пакетов
- Фильтрация по протоколу, источнику, назначению, SNI
V2DAT - швейцарский нож для геоданных
Что такое Geodat файлы
В экосистеме Xray геоданные — это скомпилированные бинарные базы данных, содержащие тысячи IP-адресов и доменов, сгруппированных по категориям. Два основных файла:
geosite.dat — категоризированные списки доменов (Netflix, Google, рекламные сети, страны)
geoip.dat — диапазоны IP-адресов по странам и организациям (Cloudflare, AWS, частные сети)
Эти файлы используются в правилах маршрутизации вместо ручного перечисления сотен доменов:
# Вместо этого:
domain:netflix.com
domain:netflix.net
domain:nflxvideo.net
domain:nflximg.com
domain:nflxext.com
# ... ещё 200+ доменов
# Используем это:
geosite:netflix
Файлы геоданных - бинарные, протокол protobuf.
Нельзя просто открыть их в текстовом редакторе. Коммьюнити обновляет эти базы еженедельно, добавляя новые домены.
v2dat — что под капотом
v2dat — это процесс, который умеет парсить protobuf структуру geodat файлов и выводить содержимое в человекочитаемом виде.
PS
Сетевая тематика - сложная. Если у вас возникли вопросы, пожалуйста, задайте в комментариях. Я постораюсь ответить. Можно также писать в личку.
