Mode TUN akan menyelesaikan dua masalah ini
Saya ingin bertanya, sekarang saya menggunakan clash sebagai proxy transparan di router, dan berharap menggunakan fake-ip, dapatkah saya menggunakan mode TUN? Jika demikian, dapatkah saya membagikan beberapa informasi konfigurasi?
Saya berharap untuk menggunakan ip palsu (dibandingkan dengan redir-host) karena menurut saya itu lebih masuk akal. Saat ini, hampir semua situasi bekerja dengan baik. Satu-satunya masalah adalah koneksi gagal ketika deteksi raja kemuliaan tertunda. Saya kira itu karena udp menggunakan palsu. masalah ip, jadi saya ingin bertanya.
Terima kasih banyak.
TUN belum diterapkan. Praktik saya saat ini adalah menggunakan fakeip tanpa UDP, dan menggunakan redir-host (yaitu, buka dua Instance Clash).
Pada Sabtu, 27 Juli 2019 pukul 2:43 pagi, AylinZhao [email protected] menulis:
Saya ingin bertanya, sekarang saya menggunakan clash sebagai proxy transparan di router dan berharap menggunakan fake-ip. Dapatkah saya menggunakan mode TUN? Jika demikian, dapatkah saya membagikan beberapa informasi konfigurasi?
Ingin menggunakan yang palsu
Alasan ip (dibandingkan dengan redir-host) adalah lebih masuk akal. Saat ini, hampir semua situasi bekerja dengan baik. Satu-satunya masalah adalah koneksi gagal ketika deteksi raja kemuliaan tertunda. Saya kira itu karena udp menggunakan palsu
masalah ip, jadi saya ingin bertanya.Terima kasih banyak.
-
Anda menerima ini karena Anda yang membuat utas.Balas email ini secara langsung, lihat di GitHub
https://github.com/Dreamacro/clash/issues/179?email_source=notifications&email_token=AB6FI752JQQZPMZBH4KYEHLQBNAWRA5CNFSM4HMJDBC2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBH4KYEHLQBNAWRA5CNFSM4HMJDBC2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBH4KYEHLQBNAWRA5CNFSM5
atau nonaktifkan utasnya
https://github.com/notifications/unsubscribe-auth/AB6FI7YKTOA2BX525XOUELLQBNAWRANCNFSM4HMJDBCQ
.
@BirkhoffLee Terima kasih, ide ini sangat bagus, bolehkah saya mengalihkan ke berbagai contoh melalui iptables?Jika ya, dapatkah Anda membagikan metode pengalihan
@BirkhoffLee Terima kasih, ide ini sangat bagus, apakah dialihkan ke berbagai contoh melalui iptables?Jika ya, dapatkah Anda membagikan metode pengalihan
Metode yang sama sebagai sebuah instance, tetapi dua iptables DNAT:
# 到 fake ip range 的 tcp 全部轉發到 clash fakeip
iptables -t nat -A clash_lan -p tcp -d 198.18.0.0/16 -j DNAT --to-destination 10.0.1.6:23456
# 其他 tcp 80/443 全部轉發到 clash redirhost
iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.6:9999
iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 443 -j DNAT --to-destination 10.0.1.6:9999
iptables -t nat -A PREROUTING -p tcp -j clash_lan
Ditambah DNS Palsu yang ditemukan oleh Sukka
iptables -t nat -N clash_fakedns
iptables -t nat -A clash_fakedns -p udp --dport 53 -j DNAT --to-destination 10.0.1.6:23453
iptables -t nat -A clash_fakedns -p tcp --dport 53 -j DNAT --to-destination 10.0.1.6:23453
iptables -t nat -A PREROUTING -p udp -d 198.19.0.0/24 -j clash_fakedns
iptables -t nat -A PREROUTING -p tcp -d 198.19.0.0/24 -j clash_fakedns
Dengan cara ini, perangkat yang membutuhkan IP Palsu dapat mengubah DNS menjadi 198.19.0.1.
EDIT: CIDR IP Palsu yang Dikoreksi
Terima kasih telah berbagi. Saya memahami ini adalah untuk mencapai strategi resolusi yang berbeda dengan menetapkan dns yang berbeda untuk perangkat yang berbeda.
Situasi saya saat ini adalah bahwa dalam kondisi bahwa router diatur dengan proxy transparan, beberapa lalu lintas udp (tes penundaan Kehormatan Raja) dari perangkat yang sama (ponsel saya) berharap dapat ditangani dengan benar, saya tidak tahu apakah ada cara.
Solusi yang lebih disukai adalah semuanya dilakukan di router dan transparan ke semua perangkat.
Terima kasih telah berbagi. Saya memahami ini adalah untuk mencapai strategi resolusi yang berbeda dengan menetapkan dns yang berbeda untuk perangkat yang berbeda.
Situasi saya saat ini adalah bahwa dalam kondisi bahwa router diatur dengan proxy transparan, beberapa lalu lintas udp (tes penundaan Kehormatan Raja) dari perangkat yang sama (ponsel saya) berharap dapat ditangani dengan benar, saya tidak tahu apakah ada cara.
Solusi yang lebih disukai adalah semuanya dilakukan di router dan transparan ke semua perangkat.
Belum
Mengerti, sekali lagi terima kasih
Dapatkah Anda mempertimbangkan model seperti itu hanya-ip-proxy-saja:
Dengan cara ini, kueri dns yang tidak perlu masih tidak dibuat untuk nama domain yang memerlukan proxy.
Untuk segmen ip yang membutuhkan proxy, waktu untuk memulai koneksi sama.
Untuk kasus lain, diperlukan IP asli.
Saya tidak tahu apakah pemahaman saya tentang proses tersebut benar, harap perbaiki saya.
Dapatkah Anda mempertimbangkan model seperti itu hanya-ip-proxy-saja:
- Untuk nama domain yang membutuhkan proxy, kembalikan ip palsu
- Untuk nama domain lain, ip asli akan selalu dikembalikan
2.1 Jika ada aturan nama domain yang mendefinisikan koneksi langsung, diperlukan IP asli
2.2 Untuk segmen ip yang membutuhkan proxy (aturan geo), ia juga perlu menanyakan ip yang sebenarnya terlebih dahulu dan kemudian membandingkan basis data geografis, dan kemudian memulai koneksi
2.3 Untuk segmen ip yang terhubung langsung lainnya, ip nyata juga diperlukanDengan cara ini, kueri dns yang tidak perlu masih tidak dibuat untuk nama domain yang memerlukan proxy.
Untuk segmen ip yang membutuhkan proxy, waktu untuk memulai koneksi sama.
Untuk kasus lain, diperlukan IP asli.Saya tidak tahu apakah pemahaman saya tentang proses tersebut benar, harap perbaiki saya.
Hanya pengembalian ip palsu dilakukan pada nama domain yang akan diproksikan dalam aturan, dan yang lainnya semua kembali ip nyata?
@majelisbasaudan ya
@BirkhoffLee Terima kasih, ide ini sangat bagus, apakah dialihkan ke berbagai contoh melalui iptables?Jika ya, dapatkah Anda membagikan metode pengalihan
Metode yang sama sebagai sebuah instance, tetapi dua iptables DNAT:
# 到 fake ip range 的 tcp 全部轉發到 clash fakeip iptables -t nat -A clash_lan -p tcp -d 198.18.0.0/16 -j DNAT --to-destination 10.0.1.6:23456 # 其他 tcp 80/443 全部轉發到 clash redirhost iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.6:9999 iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 443 -j DNAT --to-destination 10.0.1.6:9999 iptables -t nat -A PREROUTING -p tcp -j clash_lan
Ditambah DNS Palsu yang ditemukan oleh Sukka
iptables -t nat -N clash_fakedns iptables -t nat -A clash_fakedns -p udp --dport 53 -j DNAT --to-destination 10.0.1.6:23453 iptables -t nat -A clash_fakedns -p tcp --dport 53 -j DNAT --to-destination 10.0.1.6:23453 iptables -t nat -A PREROUTING -p udp -d 198.19.0.0/24 -j clash_fakedns iptables -t nat -A PREROUTING -p tcp -d 198.19.0.0/24 -j clash_fakedns
Dengan cara ini, perangkat yang membutuhkan IP Palsu dapat mengubah DNS menjadi 198.19.0.1.
EDIT: CIDR IP Palsu yang Dikoreksi
Metode Anda bagus, saya ingin mencobanya, bolehkah saya bertanya,
Bagaimana cara membuka 2 instance Clash? Salah satu port proxy disetel ke 9999?
- Saat ini, Clash tidak menanggapi paket ICMP dari ip palsu, yang dapat menyebabkan perilaku tak terduga dari beberapa aplikasi
- Karena IP Palsu digunakan, dan Clash saat ini tidak memiliki kemampuan penerusan UDP, beberapa aplikasi UDP akan mencoba menyambung ke ip palsu dan gagal (misalnya, TeamSpeak)
https://github.com/vernesong/OpenClash/releases/tag/v0.33.7-beta
Openclash versi 0.33.7 memberikan solusi dengan membuat daftar nama domain untuk membiarkan nama domain tertentu pergi ke dns tertentu.
https://github.com/Dreamacro/clash/releases/tag/TUN Anda dapat mencoba biner TUN eksperimental
Mekanisme fakeip ini sangat rumit sehingga tidak nyaman untuk langsung membongkar dan mendapatkan host seperti v2ray.
Dalam mode ip palsu, JMGO Cloud tidak dapat terhubung ke Internet
Dapatkah Anda mempertimbangkan model seperti itu hanya-ip-proxy-saja:
- Untuk nama domain yang membutuhkan proxy, kembalikan ip palsu
- Untuk nama domain lain, ip asli akan selalu dikembalikan
2.1 Jika ada aturan nama domain yang mendefinisikan koneksi langsung, diperlukan IP asli
2.2 Untuk segmen ip yang membutuhkan proxy (aturan geo), ia juga perlu menanyakan ip yang sebenarnya terlebih dahulu dan kemudian membandingkan basis data geografis, dan kemudian memulai koneksi
2.3 Untuk segmen ip yang terhubung langsung lainnya, ip nyata juga diperlukanDengan cara ini, kueri dns yang tidak perlu masih tidak dibuat untuk nama domain yang memerlukan proxy.
Untuk segmen ip yang membutuhkan proxy, waktu untuk memulai koneksi sama.
Untuk kasus lain, diperlukan IP asli.Saya tidak tahu apakah pemahaman saya tentang proses tersebut benar, harap perbaiki saya.
Saya berharap pengembang dapat mempertimbangkan fitur-fitur baru seperti itu, tetapi tampaknya masih tidak mungkin untuk melakukannya.