Всем привет, есть у меня идея сделать универсальную коробку на базе одноплатников или минипк (неттопы итп), которая будет выполнять 5 основных задач:

1. примитивное включение между провайдером и основным роутером
2. обход ТСПУ для нужных hostlist на базе zapret
3. обход внешних блокировок на базе внешнего vpn-client
4. vpn-server для возможности подключаться к “дому”, если ты вышел за молоком.
5. hoogmoon

Руками я уже настроил одноплатник на базе nanopi, который всё это делает, но хочется сделать прошивку, чтобы любой мог условно в 2 клика купить одноплатник/неттоп/тонкий_клиент, ещё в 2 клика накатить прошивку и получить отличный инструмент для “всего”.

Покритикуйте плиз ну или/и предложите функционал.

прошивку

Так ведь прошивка делается под конкретную архитектуру, а у одноплатников архитектура ARM (ещё и несколько подвидов), а у неттопов и миников amd64. Придется поддерживать несколько версий прошивки и объяснять, какую накатывать на конкретный девайс. Наверное лучше сосредоточится на одном конкретном устройстве, которое легко купить и оно уже имеет прошивку, тот же nanopi.
И делать что-то вроде ansible скрипта, который накатывает все эти инструменты в один клик.

Да, неверно выразился, конечно речь идёт по сути о сборке openwrt, без разницы под какую архитектуру + скрипты для установки нужных компонентов, простой веб интерфейс итп.
nanopi прекрасен, но “слаб”, если заводить на него что-то большее, чем просто обход тспу и vpn client/server, ресурсов может нехватить. При этом неттопы на базе селеронов с ddr3 стоят в 2 раза дешевле, но обходят по производительности. Кому-то нужна коробка “всё в одном”, чтобы не париться, а кто-то захочет подобную коробку дешевле и из компонентов, которые можно собрать на мусорке

Ну вот у меня например есть Распбери Пи бесхозная, я был бы не против сделать коробочку чтобы все работало в один клик.
Но это же надо два роутера? Чтобы интернет приходил в один, потом в коробочку, потом из коробочки снова роутер для всех устройств.

Если вопрос массовости и простоты, то лучше такую идею присовокуплять к роутеру на openwrt в таком случае решение чисто для домохозяек, подключил к существующей сети, прошил и перенесли клиентов на этот роутер и все работает прозрачно. Одноплатник проблема. У меня например на одноплатнике висит adguard home и sing-box, но маршрутизирует все микротик.

deleted

Нет. Коробочка может быть просто в локальной сети, и для устройств, которые хотят сервисы коробочки, ее ip адрес прописывается как шлюз. Даже двух сетевых портов не надо иметь в коробочке

Даже шлюз прописывать не надо, коробка ведёт себя как прозрачный свич, просто обрабатывает трафик, который течёт через неё

Уже ответил выше, никаких доп. роутеров, ты просто втыкаешь коробку между провайдером и основным роутером, всё. По крайней мере такая идея и именно так это работает у меня

тоже думал о таком подходе, лично мне он не нравится тем, что тебе придётся менять инфраструктуру. возможно для кого-то это норм, но лично мне больше интересен подход, когда у тебя остаётся всё как было, просто появляется некоторый “прокси” между провом и роутером, который в любой момент можно просто выкинуть и всё будет как раньше

У меня в доме почти у всех стоит “оптик терминал/роутер” ростелекома, коробку можно подключить только в LAN, поэтому разработай и такой вариант подключения. (На роутере провайдера нужно будет выключить dhcp вручную)

подумаю, но просто из lan работать не будет, нужно чтобы трафик физически проходил через устройство. в случае, если установлен оптический роутер провайдером, то надо будет купить оптический маршрутизатор, воткнуть оптику в него, от модема до коробки ethernet и от коробки до роутера ethernet.
итого к одноплатнику, который будет стоить в районе 5-6к, добавится ещё 1500р на маршрутизатор. однако прелесть в том, что в любой момент можно воткнуть оптику обратно в роутер, а маршрутизатор и коробку спрятать

А кто за впн платить будет ну или следить, что бы он в блок не отлетел. Идея хорошая, но если это будет однокнопочное решение по типу купил какую-нибудь малину и установил скрипт одной кнопкой и все завелось, ркн это хлопнет по крайней мере то впн решение, что будет идти по умолчанию. К тому же для запрета надо искать всегда стратегию как говорил болван под своего провайдера, а если какие-то засунуть парочку рабочих как делают в батниках типо flowseal обязательно у кого-нибудь она не заработает. Идея хорошая, но проблем по поддержке пользователей у автора будет много

речь про обход тспу, а не о впн. сложно взять и хлопнуть zapret. скрипты сами себя настроят через blockcheck, возможно его придётся дорабатывать.
впн в устройстве будет, но только для тех ресурсов, что сами заблокировали рф, и будет на уровне “войди в gui и вбей свой впн, если он рабочий, то устройство к нему подключится и смаршрутизирует указанные домены через впн”, т.е. это устройство не про то, что мы дадим вам впн, это просто инструмент.

99% пользователей пользуются бесплатными впн с одной кнопкой, то есть у вас все равно возникнут проблемы и куча тикетов по типу а что вбивать у меня вот такое-то приложение

Я тебе предложил сделать схему более универсальной, а ты мне про покупку оптического роутера, что в большинстве случаев просто невозможно и делать это никто не будет…

собственно я для этого и опубликовал данный пост – собрать вопросы и приложить ответы на них к инструкции по установке. вы правы, скорее всего пользователи будут надеяться, что это однокнопочный впн.

Так я не понял, ты делаешь опенсурс прошивку для бесплатного скачивания или платную подписку с впн внутри?

спасибо за предложение ) идея классная. но как это реализовать технически я не знаю. купить оптический маршрутизатор, не роутер, не проблема. опять же, всё зависит от того, насколько тебе это надо.

опенсурс, прошивка openwrt с предустановленным и настроенным софтом. всё бесплатно

Купить подходящее оптическое железо это уже большая проблема. Настроить оптическое железо для работы с провайдером это вторая большая проблема. Оптика это не ethernet кабель. Не понял зачем это вообще делать? Терминал от провайдера уже есть, зачем второй? Нужно просто перенести dhcp сервер с оборудования провайдера на твой мини пк. (Dhcp отключается вручную или же звонком в поддержку провайдера)

я хочу сделать (ну или попытаться) коробку, которую можно воткнуть между провайдером и роутером и всё волшебным образом заработает. без настроек роутера, без ковыряний в dhcp итп. люди, которые знают что такое dhcp, настроят обход сами за час, даже если никогда не слышали про dpi.
собственно, ваша “боль” понятна, она будет у многих, кому домой заходит именно оптика. но втыкание коробки в lan, увы, решение, которое в том числе потребует настройки фаервола внутри роутера. более того, если выдернуть коробку из лана, роутер перестанет работать, т.к. потеряется узел маршрутизации.

Волшебным образом оно заработает только у части пользователей. Другой части придется клонировать мак адрес роутера и/или вспоминать логин и пароль pppoe. Ну или же нужно подключать мини пк (и доп роутер) уже после роутера провайдера, тогда скорее всего заработает у всех и сразу

не придётся клонировать мак, повторю, коробка работает как прозрачный свич, “клиентом” для провайдера останется основной роутер. у меня всё работает именно так: заходит оптика в маршрутизатор, из него в роутер. между роутером оптическим маршрутизатором и роутером я воткнул железку, сеть настроена как мост, по сути это просто свич. однако весь исходящий трафик обрабатывается запретом.

Удачи… Хз сколько уже раз я написал что методы подключения к инету существуют разные. Замени слово “универсальное” в шапке на точно твою схему подключения и тогда у меня не будет вопросов

иметь прошивку openwrt из коробки это уже очень хорошая идея. у многих до сих пор нету

Есть, шеф (отдал честь, покорно жду следующих указаний)

Нет слов, одно разочарование…

В твоем случае коробочке надо два порта в коробочке и весь трафик будет идти через нее. В случае коробочки с одним портом, воткнутым в LAN, ты можешь прописыванием шлюза на устройствах, регулировать, что пойдет через нее, а что напрямую. У тебя будет два варианта. Шлюз - роутер и шлюз - коробочка. Рулить тем, какой шлюз у какого устройства можно с помощью DHCP сервера в коробочке, или где нибудь еще

верно, моя идея, это коробка с двумя портами и весь трафик через неё. случаи коробок с одним портом – не мой случай.

Перечитал еще раз все. По моему мнению, из коробки это работать не будет, придется все равно что то доковыривать. Много людей не может правильно скопировать ключ в элементарные телефонные приложения и вызывает на дом шарлатанов настройщиков роутеров за много денег. Но, а у гиков, близких к теме людей или желающих разбираться в сетях итак все работает.

Не особо понятно, значит целевая аудитория - люди, которые про dhcp не знают и собственный роутер не могут настроить, но при этом будет использоваться zapret, который нужно периодически пердолить, когда стратегии перестают работать? Мне кажется это несовместимые вещи. Тут уж либо целевые юзеры-ламеры и какое-то стабильное туннелирующее решение по типу vless, либо юзеры энтузиасты готовые настраивать в том числе и zapret, и тогда это будет просто удобный набор скриптов.

ну, пока это только идея. хотелось бы, конечно, автоматизировать процесс работы запрета, чтобы он сам блокчекался периодически. в любом случае для начала надо сделать хоть что-то )

А подешевле нельзя? Сейчас на Авито можно найти б/у Интел Атом в пределах 1 - 2 тыс.рублей. Мне кажется, что вполне подойдут. На такие мини-ПК можно и openWrt запустить, и какой-нибудь легкий дистрибутив Linux, который ставится на флешку.
Если будете делать, то хотелось бы еще образ для Virtual box. Можно поставить и попробовать, пустив трафик с домашних устройств через него.
Мне вообще нравится такая схема. У меня к основному роутеру подключен мини-роутер, там zapret, squid, как кэширующий прокси или privoxy. А в своих устройствах в настройках прокси (в броузере или в системе) указываешь его IP и порт. При необходимости можно отключить и убрать, только не забыть потом поменять настройки прокси. С андроид работает прекрасно, а иос у меня нет. Точно так же делаю с виртуальной машиной.
Не нравится, когда нужен дополнительно внешний сервер с ВПН, который надо оплачивать и поддерживать. А в свете приказа РКН, который хотят принять… надо еще посмотреть, что и как будет.
Предлагаю название для такого устройства: freedombox, “коробочка свободы”. Тем более, что что-то подобное уже есть, может, стоит взять ее за образец и адаптировать к нашим, российским условиям (чтобы совсем уж с нуля не делать).

Хорошечно.

По железякам. Есть куча одноплатников на атоме. Главное, чтобы были с сетевым интерфейсом, с любым. Стоимость от 5 до 10. Нанопи хороший вариант для того, чтобы проносить коробочку без палева мимо охраны, но не для серьезной сборки. Что выгоднее, атом с 4 гигами оперативки или вялый арм с одним гигом за одинаковую цену?
По софту. Хугмун, конечно, интересная вещь, И идея универсального дистра тоже. Но двумя кнопками это не обойдется. В любом случае, настройки будут персональные.

@cimon357 @manwithbox ценники на одноплатники кусаются, согласен. сборка даже на селеронах с ддр3 выходит дешевле одноплатников, при этом будет явно мощнее. В любом случае с чего-то надо начать. План пока простой:

1. подготовить сборку openwrt
2. автоматизировать запрет, насколько это возможно (автоматичекий запуск блокчека по ночам итп)
3. накидать веб-интерфейс для управления всем этим добром

Пока из известных проблем:

1. Нанопи при потере питания не включается автоматом и судя по интернетам, решить эту проблему не так просто, как казалось. Ну или я просто не нашёл быстрого решения. Нанопи удобен в виде mvp, поэтому пока именно его и рассматриваю в качестве подопытного.
2. Веб морда получит dhcp от основного роутера, а хотелось бы иметь достаточно простой способ найти веб админку. Думаю либо о внедрении в днс, чтобы запросы типа на rbwb.local маршрутизировались на устройство и не выходили за рамки сети, либо получать dhcp, понимать размер сети и переназначать свой ip на последний адрес, типа 192.168.0.254

Нет, смылса.

Энтузиаст без денег настроит всё на том, что у него есть.

Энтузаст с деньгами возьмёт хороший роутер и там всё настроит.

Обыватель либо ничего делать не будет или заплатит кому-нибудь за настройку.

Из роутеров два варианта - микротик или кинетик. Микротики при худшем железе и функционале стоят дороже.

По факту остаётся кинетик и всё что остаётся это для него писать интсрукции, пакеты и скрипты. Всё остальное останется нишевым и на любителя.

“Из роутеров два варианта - микротик или кинетик.”
А OpenWRTетик?

Большинство пользователей интернет никогда не заходили на свой роутер и ничего там не настраивали.

На каждом дополнительном шаге ты теряешь потенциальных пользователей.

Нужно зайти на роутер и что-то настроить - потерял

Нужно перепрошивать роутер после покупки - ещё больше потерял

Покупать одноплатник или настраивать openwrt/linux шлюз на минипк будут сотые доли процента

И OpenWRT она для сисадминов, не для обычных пользователей.

Попробовал на старый роутер, где мало всего 19ю поставить. Мне нужна была простая вещь чтобы на роутере doh или dot работал. В моём понимании там должна быть галочка использовать doh и поле куда ввести сервера.

Во-первых, там иснтрукции сложные на несколько шагов, что для doh что для dot. А представь человека, что Putty первый раз видит, что linux шел.

Во-вторых, они не работают (что dot, что doh). Я сделал как там написано, но оно не завелось. Вывод - на свалку. Т.к. в таком виде плюсов со стоковой прошивкой совсем нет.

В нем USB есть? Главное, чтобы USB был.

Лучше на Авито.

openWrt намного лучше стандартной прошивки, если сравнивать между собой. Настройка, да, сложная, это правда. Зато по своим возможностям это совсем другое устройство, не роутер, а микро-ПК, можно подключить клавиатуру, звуковую карту, некоторые даже экран подключают, но это высший пилотаж. Ну и просто интересно.
А еще лучше - несколько роутеров. Основной (с ним ничего не делаем), а к нему - другой (с openWrt). Самый лучший вариант, как по мне.

Про роутеры Асус ещё не упомянули, некоторые модели поддерживаются прошивками Мерлина, и на них можно очень многое сделать. Тоже надо обладать определенными знаниями, конечно, и не все модели поддерживаются Мерлином, но есть у них жирный плюс - хорошее железо. В июне уже прошлого года сделал для себя скрипт для использования sing-box на своём RT-AX86U, потом опубликовал кое-где, выпустил несколько обновлений с добавлением функционала. Всё работает как задумано и других решений пока не ищу. Кому интересно, то он тут GitHub - Dr4tez/sing-box4asus: sing-box script for Asus routers with Merlin's firmware Есть ещё одно само-собой разумеющееся “НО”- необходимо уметь составлять конфигурационные файлы для sing-box, а на обретение этого скила у многих нет времени или терпения.

лично у меня в данном проекте нет задачи “сделать однокнопочное решение для всех”, это скорее “однокнопочное” (ну или стремящаяся к нему) решение для тех, кто этого сильно хочет. Проект не коммерческий, опенсурсный, который даёт базу для устройства.
по сути мои основные клиенты – это мои друзья, которые приходят в гости и говорят: “о, круто, так же хочу, сколько денег отдать и куда заплатить?”. настраивать им руками не хочется, хочется дать ссылку на мануал, где купить одноплатник, как залить на него прошивку и что делать дальше. конечно, есть желание упростить каждый шаг буквально до “ккупил одноплатник, microsd, на microsd залил вот этот файл, вставил microsd в одноплатник, включил, подождал, всё”. однако даже если получится автоматизировать хотя бы половину из этого – уже будет проще.

Я бы не спешила особо: надо посмотреть, как будет работать приказ РКН об оконечном оборудовании и какие идентификаторы будут передавать провайдеры в РКН и чем это вообще грозит. Может быть, скоро все наши “волшебные коробочки” (в феврале) придется отключить. Во всяком случае, я со своей уже мысленно прощаюсь (на всякий случай).
А у меня никому такое не нужно, в основном обходятся приложениями ВПН (на смартфонах). Но у меня и круг общения мал, я затворник. А так хорошо бы иметь небольшой запас роутеров с openWrt и флешек к ним (можно б/у, киньте клич, что собираете ненужные роутеры), если кто обращается к вам, что нужно такое устройство - настроить и отдать. Основная проблема в подборе параметров для анти-DPI решения для разных провайдеров. Можно попробовать использовать zerotier для удаленной настройки.