Добрый день!

Задаю вопрос как неспециалист. Хотел бы сделать двойной ВПН. По определённым причинам до первого VPS могу использовать только OpenVPN. Возможно ли технически использовать протокол XRay для внешнего VPS, причем желательно с фильтрацией трафика на ру и не-ру? Такая постановка задачи вообще имеет смысл?

Мой немногочисленный опыт: по-отдельности настраивал OpenVPN, XRay с XTLS-Reality по известным мануалам, всё работало. Видел обсуждение похожей схемы двойного ВПН, но с использованием Wireguard вместо OpenVPN.

Ещё нашёл некий проект GitHub - attr0/OpenVPN-xray: Convert OpenVPN to a v2ray node based on docker. Use xray as the v2ray backend. , подскажите, пожалуйста, он как-то отностися к делу?

Извините, если спрашиваю ерунду.

Двойной VPN это хорошая вещь. Многие коммерческие VPN его используют для разделения входного и выходного IP. Тогда глядишь и ру сайты можно не фильтровать.
Но я бы использовал наоборот. Xray на стороне провайдера, т.к. протокол более защищён от обнаружения, а OpenVPN на стороне сайтов, на конечной стадии.

С другой стороны, OpenVPN на стороне провайдеров используют, если хотят стандартный протокол для охвата большого количества девайсов, до ру впски (OpenVPN внутри РФ обычно не блокируют, хотя и бывает), а ру впска ходит до зарубежной. Правда, там наверное нет смысла городить на ней Xray.

Да, у меня второй вариант, первый сервер в России. Часть клиентов не может поставить ничего, кроме OpenVPN.

А почему нет смысла в Xray до второго сервера? Избыточно? Я думал, что преимущество ещё 1) в удобной фильтрации, 2) в скорости протокола.

Можно организовать PBR на dnsmasq.

Имеет.

Вроде бы только для одного пользователя.

Настройте два работающих тунеля (желательно без congestion control) затем организуйте транзит трафика между ними.

Супер, спасибо! Если получится, попробую отписать сюда.

Поставьте что-нибудь типа redsocks и заверните трафик OpenVPN на него, а он передаст подключения на локальный Xray.
А уже на локальном Xray можно будет настроить правила для трафика - например, российские IP и .ru-домены выпускать напрямую, а все остальное перенаправлять через VLESS на второй сервер.

Если ставить sing-box то redsocks лишняя сущность, т.к sing-box из коробки может поднимать tun интерфейс.

Непонятно, зачем такие сложные конструкции. Еслиу вас сервер1 находится в России, то можно спокойно подключать к нему клиентов по openvpn. На нем трафик от ovpn-клиентов подбирать в xray и далее анализировать ru/not-ru и отправлять в direct либо vless (например).

у 3x-ui есть такая возможность. Я настроил warp на ру, и direct на всё остальное.

Единственное о чём хочу предупредить, у 3x-ui кривые geoip и geosite бд, но рф-ные бд вроде бы нормальные

ну так выше как раз именно это обсуждают.

Спасибо всем написавшим!

Пока я надеюсь всё сделать с использованием наименьшего количества инструментов, то есть как написал sakontwist. Пока курю ман по XRay.