Clash: Beberapa masalah mode IP palsu sebagai proxy gateway

Mode TUN akan menyelesaikan dua masalah ini

Saya ingin bertanya, sekarang saya menggunakan clash sebagai proxy transparan di router, dan berharap menggunakan fake-ip, dapatkah saya menggunakan mode TUN? Jika demikian, dapatkah saya membagikan beberapa informasi konfigurasi?

Saya berharap untuk menggunakan ip palsu (dibandingkan dengan redir-host) karena menurut saya itu lebih masuk akal. Saat ini, hampir semua situasi bekerja dengan baik. Satu-satunya masalah adalah koneksi gagal ketika deteksi raja kemuliaan tertunda. Saya kira itu karena udp menggunakan palsu. masalah ip, jadi saya ingin bertanya.

Terima kasih banyak.

TUN belum diterapkan. Praktik saya saat ini adalah menggunakan fakeip tanpa UDP, dan menggunakan redir-host (yaitu, buka dua Instance Clash).

Pada Sabtu, 27 Juli 2019 pukul 2:43 pagi, AylinZhao [email protected] menulis:

Saya ingin bertanya, sekarang saya menggunakan clash sebagai proxy transparan di router dan berharap menggunakan fake-ip. Dapatkah saya menggunakan mode TUN? Jika demikian, dapatkah saya membagikan beberapa informasi konfigurasi?

Ingin menggunakan yang palsu
Alasan ip (dibandingkan dengan redir-host) adalah lebih masuk akal. Saat ini, hampir semua situasi bekerja dengan baik. Satu-satunya masalah adalah koneksi gagal ketika deteksi raja kemuliaan tertunda. Saya kira itu karena udp menggunakan palsu
masalah ip, jadi saya ingin bertanya.

Terima kasih banyak.

-
Anda menerima ini karena Anda yang membuat utas.

Balas email ini secara langsung, lihat di GitHub
https://github.com/Dreamacro/clash/issues/179?email_source=notifications&email_token=AB6FI752JQQZPMZBH4KYEHLQBNAWRA5CNFSM4HMJDBC2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBH4KYEHLQBNAWRA5CNFSM4HMJDBC2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBW63LNMVXHJ25MVBH4KYEHLQBNAWRA5CNFSM5
atau nonaktifkan utasnya
https://github.com/notifications/unsubscribe-auth/AB6FI7YKTOA2BX525XOUELLQBNAWRANCNFSM4HMJDBCQ
.

@BirkhoffLee Terima kasih, ide ini sangat bagus, bolehkah saya mengalihkan ke berbagai contoh melalui iptables?Jika ya, dapatkah Anda membagikan metode pengalihan

@BirkhoffLee Terima kasih, ide ini sangat bagus, apakah dialihkan ke berbagai contoh melalui iptables?Jika ya, dapatkah Anda membagikan metode pengalihan

Metode yang sama sebagai sebuah instance, tetapi dua iptables DNAT:

# 到 fake ip range 的 tcp 全部轉發到 clash fakeip
iptables -t nat -A clash_lan -p tcp -d 198.18.0.0/16 -j DNAT --to-destination 10.0.1.6:23456

# 其他 tcp 80/443 全部轉發到 clash redirhost
iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.6:9999
iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 443 -j DNAT --to-destination 10.0.1.6:9999

iptables -t nat -A PREROUTING -p tcp -j clash_lan

Ditambah DNS Palsu yang ditemukan oleh Sukka

iptables -t nat -N clash_fakedns
iptables -t nat -A clash_fakedns -p udp --dport 53 -j DNAT --to-destination 10.0.1.6:23453
iptables -t nat -A clash_fakedns -p tcp --dport 53 -j DNAT --to-destination 10.0.1.6:23453

iptables -t nat -A PREROUTING -p udp -d 198.19.0.0/24 -j clash_fakedns
iptables -t nat -A PREROUTING -p tcp -d 198.19.0.0/24 -j clash_fakedns

Dengan cara ini, perangkat yang membutuhkan IP Palsu dapat mengubah DNS menjadi 198.19.0.1.

EDIT: CIDR IP Palsu yang Dikoreksi

Terima kasih telah berbagi. Saya memahami ini adalah untuk mencapai strategi resolusi yang berbeda dengan menetapkan dns yang berbeda untuk perangkat yang berbeda.

Situasi saya saat ini adalah bahwa dalam kondisi bahwa router diatur dengan proxy transparan, beberapa lalu lintas udp (tes penundaan Kehormatan Raja) dari perangkat yang sama (ponsel saya) berharap dapat ditangani dengan benar, saya tidak tahu apakah ada cara.

Solusi yang lebih disukai adalah semuanya dilakukan di router dan transparan ke semua perangkat.

Terima kasih telah berbagi. Saya memahami ini adalah untuk mencapai strategi resolusi yang berbeda dengan menetapkan dns yang berbeda untuk perangkat yang berbeda.

Situasi saya saat ini adalah bahwa dalam kondisi bahwa router diatur dengan proxy transparan, beberapa lalu lintas udp (tes penundaan Kehormatan Raja) dari perangkat yang sama (ponsel saya) berharap dapat ditangani dengan benar, saya tidak tahu apakah ada cara.

Solusi yang lebih disukai adalah semuanya dilakukan di router dan transparan ke semua perangkat.

Belum

Mengerti, sekali lagi terima kasih

Dapatkah Anda mempertimbangkan model seperti itu hanya-ip-proxy-saja:

1. Untuk nama domain yang membutuhkan proxy, kembalikan ip palsu
2. Untuk nama domain lain, ip asli akan selalu dikembalikan
   2.1 Jika ada aturan nama domain yang mendefinisikan koneksi langsung, diperlukan IP asli
   2.2 Untuk segmen ip yang membutuhkan proxy (aturan geo), ia juga perlu menanyakan ip yang sebenarnya terlebih dahulu dan kemudian membandingkan basis data geografis, dan kemudian memulai koneksi
   2.3 Untuk segmen ip yang terhubung langsung lainnya, ip nyata juga diperlukan

Dengan cara ini, kueri dns yang tidak perlu masih tidak dibuat untuk nama domain yang memerlukan proxy.
Untuk segmen ip yang membutuhkan proxy, waktu untuk memulai koneksi sama.
Untuk kasus lain, diperlukan IP asli.

Saya tidak tahu apakah pemahaman saya tentang proses tersebut benar, harap perbaiki saya.

Dapatkah Anda mempertimbangkan model seperti itu hanya-ip-proxy-saja:

1. Untuk nama domain yang membutuhkan proxy, kembalikan ip palsu
2. Untuk nama domain lain, ip asli akan selalu dikembalikan
   2.1 Jika ada aturan nama domain yang mendefinisikan koneksi langsung, diperlukan IP asli
   2.2 Untuk segmen ip yang membutuhkan proxy (aturan geo), ia juga perlu menanyakan ip yang sebenarnya terlebih dahulu dan kemudian membandingkan basis data geografis, dan kemudian memulai koneksi
   2.3 Untuk segmen ip yang terhubung langsung lainnya, ip nyata juga diperlukan

Dengan cara ini, kueri dns yang tidak perlu masih tidak dibuat untuk nama domain yang memerlukan proxy.
Untuk segmen ip yang membutuhkan proxy, waktu untuk memulai koneksi sama.
Untuk kasus lain, diperlukan IP asli.

Saya tidak tahu apakah pemahaman saya tentang proses tersebut benar, harap perbaiki saya.

Hanya pengembalian ip palsu dilakukan pada nama domain yang akan diproksikan dalam aturan, dan yang lainnya semua kembali ip nyata?

@majelisbasaudan ya

@BirkhoffLee Terima kasih, ide ini sangat bagus, apakah dialihkan ke berbagai contoh melalui iptables?Jika ya, dapatkah Anda membagikan metode pengalihan

Metode yang sama sebagai sebuah instance, tetapi dua iptables DNAT:

# 到 fake ip range 的 tcp 全部轉發到 clash fakeip
iptables -t nat -A clash_lan -p tcp -d 198.18.0.0/16 -j DNAT --to-destination 10.0.1.6:23456

# 其他 tcp 80/443 全部轉發到 clash redirhost
iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 80 -j DNAT --to-destination 10.0.1.6:9999
iptables -t nat -A clash_lan \! -d 198.18.0.0/16 -p tcp --dport 443 -j DNAT --to-destination 10.0.1.6:9999

iptables -t nat -A PREROUTING -p tcp -j clash_lan

Ditambah DNS Palsu yang ditemukan oleh Sukka

iptables -t nat -N clash_fakedns
iptables -t nat -A clash_fakedns -p udp --dport 53 -j DNAT --to-destination 10.0.1.6:23453
iptables -t nat -A clash_fakedns -p tcp --dport 53 -j DNAT --to-destination 10.0.1.6:23453

iptables -t nat -A PREROUTING -p udp -d 198.19.0.0/24 -j clash_fakedns
iptables -t nat -A PREROUTING -p tcp -d 198.19.0.0/24 -j clash_fakedns

Dengan cara ini, perangkat yang membutuhkan IP Palsu dapat mengubah DNS menjadi 198.19.0.1.

EDIT: CIDR IP Palsu yang Dikoreksi

Metode Anda bagus, saya ingin mencobanya, bolehkah saya bertanya,
Bagaimana cara membuka 2 instance Clash? Salah satu port proxy disetel ke 9999?

1. Saat ini, Clash tidak menanggapi paket ICMP dari ip palsu, yang dapat menyebabkan perilaku tak terduga dari beberapa aplikasi
2. Karena IP Palsu digunakan, dan Clash saat ini tidak memiliki kemampuan penerusan UDP, beberapa aplikasi UDP akan mencoba menyambung ke ip palsu dan gagal (misalnya, TeamSpeak)

https://github.com/vernesong/OpenClash/releases/tag/v0.33.7-beta
Openclash versi 0.33.7 memberikan solusi dengan membuat daftar nama domain untuk membiarkan nama domain tertentu pergi ke dns tertentu.

https://github.com/Dreamacro/clash/releases/tag/TUN Anda dapat mencoba biner TUN eksperimental

Mekanisme fakeip ini sangat rumit sehingga tidak nyaman untuk langsung membongkar dan mendapatkan host seperti v2ray.

Dalam mode ip palsu, JMGO Cloud tidak dapat terhubung ke Internet

Dapatkah Anda mempertimbangkan model seperti itu hanya-ip-proxy-saja:

1. Untuk nama domain yang membutuhkan proxy, kembalikan ip palsu
2. Untuk nama domain lain, ip asli akan selalu dikembalikan
   2.1 Jika ada aturan nama domain yang mendefinisikan koneksi langsung, diperlukan IP asli
   2.2 Untuk segmen ip yang membutuhkan proxy (aturan geo), ia juga perlu menanyakan ip yang sebenarnya terlebih dahulu dan kemudian membandingkan basis data geografis, dan kemudian memulai koneksi
   2.3 Untuk segmen ip yang terhubung langsung lainnya, ip nyata juga diperlukan

Dengan cara ini, kueri dns yang tidak perlu masih tidak dibuat untuk nama domain yang memerlukan proxy.
Untuk segmen ip yang membutuhkan proxy, waktu untuk memulai koneksi sama.
Untuk kasus lain, diperlukan IP asli.

Saya tidak tahu apakah pemahaman saya tentang proses tersebut benar, harap perbaiki saya.

Saya berharap pengembang dapat mempertimbangkan fitur-fitur baru seperti itu, tetapi tampaknya masih tidak mungkin untuk melakukannya.