Почему Podkop использует Sing-box для направления трафика, а не Dnsmasq + nftables sets

Сначала чутка дедовых историй. Помните Getdomains? Это скрипт настраивающий OpenWrt на "точечную маршрутизацию" по списку доменов. Я его написал, потому что два года назад десяток людей в чате попросили автоматизировать развёртывание этих настроек на роутере, и чтобы без Ansible! 😣 Скрипт набрал популярность. Думаю, из-за его простоты и чёткого выполнения своей задачи. Мы его допиливали по необходимости, но всё равно не хватало гибкости, более удобного управления и, конечно же, веб-интерфейса.

Прошлым летом, имея за плечами фидбэк от нескольких тысяч людей и с пониманием, что именно нужно, я начал делать Podkop. Начал с той же схемы, что и у Getdomains: Dnsmasq + nftables sets. Но она имеет свои недостатки:

1. Добавление IP-адресов CDN-сервисов в список, который уходит в VPN/Proxy.

Мне въелся в память пример: сходили к ChatGPT (который за Cloudflare), IP-адреса добавились, игра Escape from Tarkov лагает 🤷‍♂️ потому что у них что-то тоже находится за Cloudflare и частично пошло через VPN/Proxy.
В общем, то что должно было не ходить в туннель, пошло в него и получили проблемы. Это лишь один пример, в чате проблемы с CF всплывали стабильно несколько раз в неделю.

2. Если одна точка выхода не устраивает и нужно две, три и более, то возникают сложности с разруливанием между ними по доменам.

Разделить по подсетям/IP-адресам не составляет труда, а когда доходит до доменов, получается каша. Это особенно становится заметно, когда вы используете два сервиса одной компании, отправляя их в разные "точки выхода". Я пытался костылить, жонглировать приоритетом правил в nftables, но по итогу всё равно получалось 💩

3. Есть ещё несколько приятных вещей, которые позволяют делать Sing-box/Xray. И настройка логики в целом проще: просто раскидываешь всё по тегам, и оно работает.

FakeIP

Со схемы dnsmasq+sets хоть и было болезненно уходить, но это необходимо для развития. Зимой я переписал логику управления трафиком на sniffing через Sing-box. А для снижения нагрузки на CPU роутера была выбрана схема FakeIP. В этом случае ядро Sing-box перегоняет через себя не весь трафик, а только часть, ту самую часть со списком доменов. Вместе с технологией ядра Linux tproxy получаем высокое быстродействие и ещё более "точечную маршрутизацию" без каши. При этом всём с низкой нагрузкой на CPU, потому что не гоним весь трафик через Sing-box.

Тут я хочу поблагодарить наше комьюнити: один пытливый ум откапал эту схему и настроил у себя, потом подтянулось ещё два умных человека и развили эту тему. А дальше уже все подхватили и пошло-поехало. По итогу имеем несколько мануалов по ручной настройке FakeIP/FakeDNS, скрипты для Sing-box/Xray и продукт, который базируется на FakeIP.

Плюсы, надеюсь, понятны. Теперь про минусы:
1. Нужно использовать Sing-box в качестве DNS-сервера. Что плохого, ведь он умеет в DoH, DoT и больше не нужны сторонние программы?

Он должен быть единственным сервером в /etc/config/dhcp, и если по какой-то причине вы сломали Sing-box, то DNS на клиентах вместе с ним пропадает. На самом деле та же самая петрушка, что и со Stubby и подобными: сбилось время? Досвидос 🙋‍♂️ Но Sing-box легче ломается, потому что в нём не только настройки DNS. Это слабое место. Поэтому я сделал обвязку, которая решает эту проблему.

2. Sing-box в OpenWrt весит около 12MB. Роутеры с маленьким количеством флешки грустят без Sing-box/Xray. Но с наличием на рынке Xiaomi AX3000T за 2300р жалобы не принимаются 🙅‍♂️ На самом деле и с маленькими флешками есть варианты, хоть и придётся поднапрячься.

Минусы больше натянутые. Купить нормальный роутер сейчас трудности не составляет и по кошельку не ударит. А перевести домашних клиентов на DNS-сервер роутера - это хорошая практика, даже без использования FakeIP.

🥰 Google поменял геолокацию у большого количества серверов в своей GEO-базе

Вчера многие заметили, что YouTube начал показывать рекламу, поскольку изменилась геолокация серверов. До этого момента у Google использовались сложные алгоритмы определения геолокации. Из практического опыта: если многие пользователи с российскими аккаунтами Google ходят к их сервисам через одну подсеть, Google помечает эту подсеть как RU в своей базе.

С одной стороны, это было удобно, с другой - не очень. Помимо YouTube, у Google есть, например, сервис Gemini. Если заходить на него с IP-адреса, помеченного как RU, появляется заглушка: "Не работает в вашей стране". Те, кому это было нужно, давно научились обходить такие ограничения. Например, использовали IPv6-адреса с другой геолокацией на том же сервере или перенаправляли трафик к Gemini и подобным сервисам через другие серверы.

Сейчас всё изменилось. У большинства моих европейских серверов, которые раньше имели геолокацию RU, теперь геолокация изменилась на GB, NL и другие страны.

Либо Google криво задеплоил апдейт системы определения геолокации (в чём я сомневаюсь), либо они проанализировали, сколько денег они теряют с RU и решили изменить политику назначения геолокации. Сейчас, как я вижу, геолокация определяется по адресу регистрации ASN. Но не везде так: у одного из моих серверов в Whois ASN указана Country: EE, а у Google геолокация всё ещё определяется как RU. Снова будем гадать на кофейной гуще почему так.

Как на сервере определить, к какому региону Google относит IP-адрес

Достаточно выполнить запрос через curl для IPv4:

curl -4 -s --user-agent "Mozilla/5.0 (X11; Linux x86_64; rv:130.0) Gecko/20100101 Firefox/130.0" https://www.google.com | sed -n 's/.*"[a-z]\{2\}_\([A-Z]\{2\}\)".*/\1/p'

Для IPv6 используйте тот же запрос, но с флагом -6 вместо -4.

Команда взята из скрипта ipregion, который показывает не только геолокацию по базе Google, но и по многим другим базам. Рекомендую этот скрипт к использованию - сам использую его стабильно несколько раз в неделю. Скрипт написал Никита - крутой участник нашего комьюнити.

Что делать?

Берите VPS в России.

На текущий момент могу рекомендовать:
1. Hosting Russia. Москва, от 180р/месяц, хороший канал, лимит 30ТБ/месяц. Но вам может выпасть IP-адрес, находящийся в теневом бане YouTube. Провайдер больше не меняет IP-адреса по запросу, поэтому остаётся только заказывать новый VPS и надеяться на другую подсеть. Их сервера используют для скачивания контента с Youtube, думаю поэтому они изменили правила смены IP.

2. Veesp. Санкт-Петербург, от 500р/месяц (по промокоду дешевле), хороший канал, без лимитов. Здесь без подводных камней, но цена выше.

А на клиентах можно настроить раздельное направление трафика. К примеру, Podkop это умеет.

🌐 VPS-провайдер llhost

Если кратко: стабильные VPS в Эстонии по адекватной цене 😐

Локации
- Эстония
- Нидерланды (появилась недавно)

Мы тестировали VPS в Эстонии. Как обычно, взял самый дешёвый VPS: 1CPU / 1GB / 20GB / 300 Mb/s - 3 евро/мес.

Время отклика:
- Москва: 15ms
- Санкт-Петербург: 8ms
- Новосибирск: 65ms

Общее
- Панель управления самописная.
- IPv6 есть.
- VPS создаётся за 1 минуту.
- Для регистрации нужны: email, имя, фамилия, страна, город, индекс, адрес и телефон.
- Телефон не проверяется, это формальность, которую требуют законы ЕС.

Плюсы
- Стабильная сеть.
- Низкое время отклика из западной части РФ.
- Безлимитный трафик. Скорее всего, лимиты существуют, просто не указаны явно, и 99% пользователей с ними не столкнутся.
- Быстрый саппорт: ответили мне за минуту, причём в полночь 😍
- Для верификации только email.
- Можно удалить сервер до окончания оплаченного периода, но потребуется указать причину. После моего запроса сервер удалили через 4 минуты.

Минусы
- Неприятное сообщение при удалении VPS: Your hosting account has been suspended. Для них под hosting account подразумевается именно VPS 😐

Найти ещё каких-то минусов я не смог.

Эквайринги
Очень адекватный курс евро к рублю.

- СБП через FKwallet. Комиссия ~5%.
- Российская карта. Комиссия 12%.
- Криптовалюта через Cryptomus без комиссии.
- Зарубежная карта через Stripe.
- Paypal.

Выводы
Долго не хотел их тестировать именно из-за требования телефона. Не нравится мне тема с требованием телефона, поэтому оттягиваю обзоры тех, кто требует телефон. Но с llhost это было зря, мы всей группой тестирования были удивлены беспроблемной работой, которая встречается в последнее время нам нечасто. Да и всё остальное сделано для людей. Есть какие-то мелкие недочёты по панели, но они не сильно мешают.

Их пользователи в нашем чате писали, что был сбой один раз с сетью, но после этого всё снова нормализовалось. Сейчас я использую их сервер на постоянке. Кстати, это мой единственный сервер в Европе, у которого геолокация по Google осталась RU — хотя ASN у них эстонский (EE). Я без понятия почему так. Это не рекомендация и не совет, просто факт. Это может измениться в любой момент. А если вам нужен VPS c геолокацией RU, читайте предыдущий пост.

Насчёт скорости, 300 Mb/s вполне достаточно, если не собираетесь вешать на такой VPS пару сотен человек или гнать "всё туннель", имея гигабит дома. На более дорогих тарифах доступно 500 Mb/s и 1 Gb/s. В наших тестах самый дешёвый тариф стабильно выдавал 250-300 Mb/s.

Результаты тестов iPerf3, YABS, ipregion в комментариях к посту.

Регистрируйтесь по моей реферальной ссылке: https://my.llhost.eu/?affid=114
За её использование мне придёт процент, который пойдёт на следующие тесты.

#vps_recommended #vps #vps_300m #vps_1g

UPD 4.07.2025 Локацию EE раскупили, осталась только NL.

UPD 7.07.2025 Снова доступна.

Это должен был быть быстрый обзор. Купить, сравнить, забыть. Но чтобы найти новую ревизию AX3000T на Qualcomm, мне понадобилось 3.5 месяца и десять попыток. Снова и снова приходили роутеры на MTK 😔

Наконец, он у меня. В видео подробный разбор отличий и размышления о будущем AX3000T на Qualcomm:

https://youtu.be/991oRsjkMTQ

В видео открыт новый персонаж 😐

❌ Сервис Speedtest заблокирован на территории РФ

Лично мне этот сервис никогда не нравился, в основном потому, что интернет-провайдеры и VPS-провайдеры любят использовать его как "доказательство" отсутствия проблем в своей сети. Хотя на деле проблемы с сетью у них были - сталкивался с таким неоднократно 😡

Тем не менее он годится, чтобы понять, какой максимальный канал можно выжать в определённых сценариях - например, при настройке LTE-модемов или измерении скорости через туннель/прокси. Что ж, минус один инструмент.

Какие есть альтернативы?

Вообще для замеров рекомендую использовать iPerf3. Но если речь о веб-сервисах, то вот список тех, которыми пользуюсь сам:

- https://speed.cloudflare.com/ - на данный момент не всем доступен. Дальнейшая судьба неизвестна. Сервер выбирается автоматически.

- https://www.nperf.com/ - интерфейс подтормаживает, но скорость меряет нормально. Есть выбор из большого количества серверов.

- https://openspeedtest.com/ - открытый проект OpenSpeedTest. Сервер выбрать нельзя.

Делитесь в комментариях, какими сервисами пользуетесь вы - соберу их в отдельный пост.

Вы хотели обзор на Nano PI R2S? Вы его получили 😐

https://youtu.be/b8UK8od4vUw

Так вышло, что на обзор этой железки потратил немало времени и по моим ощущениям, она того не стоит. Но потыкать было интересно.

Обзор на Netis NX31 и его прошивка на OpenWrt

По тестам это обычная связка MediaTek MT7981B+MT7976CN, которая себя хорошо зарекомендовала для OpenWrt. Роутер имеет самую базовую комплектацию без изысков, можно рассматривать как замену Xiaomi AX3000T.

Поддержку в OpenWrt для него сделали ещё весной, не без помощи нашего сообщества 😎

И да, вы просили показывать собаку, ваша просьба услышана 🙂

https://youtu.be/wMaixCTU_94