Впервые пишу статью одновременно как пользователь и разработчик продукта:
Это HomeProxy-hiddify — форк проекта ImmortalWRT — HomeProxy, но использующий ядро hiddify-core вместо sing-box
Результат моей работы — графическая надстройка для hiddify-core позволяющая настроить подключение к NaiveProxy, Mieru, ShadowTLS, Hysteria2, XRay, VLESS (XHTTP), VMESS, Trojan, TUIC и иным протоколам которые поддерживает Hiddify App в т.ч. с помощью подписок (subscription). Основное отличие hiddify-core на сегодняшний день это поддержка дополнительных протоколов прокси и функций клиента Hiddify App вроде фрагментации TLS. Также сделан полный перевод на русский язык.
В данной статье будет рассматриваться установка пакетов luci-app-homeproxy-hiddify и hiddify-core на примере OpenWRT 24.10.5 (поддерживаются версии 24.10, 25.12 и выше, экспериментально — до 23.05).
Также настроим раздельную маршрутизацию на примере списков Re:filter, но могут использоваться любые .srs, .json и текстовые списки
Можно использовать как чистую версию OpenWRT так и от проекта ImmortalWRT.
Потребуется роутер со свободными 70 Мб памяти и минимум 256 Мб ОЗУ (Работающий HomeProxy-hiddify занимает от 70Мб ОЗУ).
Оглавление:
-
Предисловие
-
1. Установка luci-app-homeproxy-hiddify
-
2. Настройка homeproxy-hiddify
-
3. Дополнительные настройки Homeproxy
-
4. Пользовательский JSON
1. Установка hiddify-core и luci-app-homeproxy-hiddify
Для начала необходимо установить сам hiddify-core достаточно установить ipk файл, для версий с OPKG ( до OpenWRT 24.10 включительно):
wget -O /tmp/hiddify-core.ipk "https://github.com/1andrevich/hiddify-core/releases/latest/download/hiddify-core_$(. /etc/os-release; echo "$OPENWRT_ARCH").ipk"opkg updateopkg install /tmp/hiddify-core.ipk
После чего устанавливаем luci-app-homeproxy-hiddify вместе с языковым пакетом:
wget -O /tmp/luci-app-homeproxy-hiddify.ipk "$(wget -qO- 'https://api.github.com/repos/1andrevich/homeproxy-hiddify/releases' | grep -o 'https://github\.com/[^"]*luci-app-homeproxy-hiddify[^"]*\.ipk' | head -1)"wget -O /tmp/luci-i18n-homeproxy-ru.ipk "$(wget -qO- 'https://api.github.com/repos/1andrevich/homeproxy-hiddify/releases' | grep -o 'https://github\.com/[^"]*luci-i18n-homeproxy-ru[^"]*\.ipk' | head -1)"opkg install /tmp/luci-app-homeproxy-hiddify.ipkopkg install /tmp/luci-i18n-homeproxy-ru.ipk
После установки рекомендую запустить команду:
/etc/init.d/rpcd restart
Для версий с Alpine APK ( OpenWRT 25.12 и выше):
wget -O /tmp/homeproxy-hiddify.pub https://github.com/1andrevich/homeproxy-hiddify/releases/latest/download/homeproxy-hiddify.pubcp /tmp/homeproxy-hiddify.pub /etc/apk/keys/wget -O /tmp/hiddify-core.apk "https://github.com/1andrevich/hiddify-core/releases/latest/download/hiddify-core_$(. /etc/os-release; echo "$OPENWRT_ARCH").apk"apk updateapk add /tmp/hiddify-core.apk
Далее luci-app-homeproxy-hiddify вместе с языковым пакетом:
wget -O /tmp/homeproxy-hiddify.pub https://github.com/1andrevich/homeproxy-hiddify/releases/latest/download/homeproxy-hiddify.pubcp /tmp/homeproxy-hiddify.pub /etc/apk/keys/wget -O /tmp/luci-app-homeproxy-hiddify.apk "$(wget -qO- 'https://api.github.com/repos/1andrevich/homeproxy-hiddify/releases' | grep -o 'https://github\.com/[^"]*luci-app-homeproxy-hiddify[^"]*\.apk' | head -1)"wget -O /tmp/luci-i18n-homeproxy-ru.apk "$(wget -qO- 'https://api.github.com/repos/1andrevich/homeproxy-hiddify/releases' | grep -o 'https://github\.com/[^"]*luci-i18n-homeproxy-ru[^"]*\.apk' | head -1)"apk add /tmp/luci-app-homeproxy-hiddify.apkapk add /tmp/luci-i18n-homeproxy-ru.apk
После установки:
/etc/init.d/rpcd restart
Если вы обладатель мощного устройства с ограниченным объёмом памяти без возможности расширения, вроде Mercusys MR90X, то можете воспользоваться релизом с пакетами со сжатыми бинарными файлами (16Мб против 26Мб у обычного), но возможны неожиданные баги при их использовании.
Если используете версию OpenWRT 23.05 то устанавливайте ipk версию hiddify-core и legacy версию luci-app-homeproxy-hiddify
Если установка прошла успешно, переходим к настройке.
2. Настройка Homeproxy-hiddify
На примере русскоязычного интерфейса
Переходим в раздел Службы — Homeproxy-Hiddify
Откроется страница по умолчанию:
Сперва нужно добавить сервер, для этого переходим во вкладку Настройки узлов — Узлы
Нажимаем Импортировать ссылки для совместного использования для добавления
статичной конфигурации VLESS, Trojan или иной:
После добавления нажимаем Импорт
Применяем изменения.
Для добавления подписки (Subscription) открываем вкладку Подписки
Обновить через прокси — Обновление подписок через прокси (Включать только после настройки HomeProxy-Hiddify)
Фильтровать узлы — Режим черного списка — исключаются только ссылки из фильтра, остальные добавляются, при необходимости меняется на Режим белого списка
Перед скачиванием списка прокси из подписки нажимаем Сохранить текущие настройки — для применения изменений
После чего обновляем подписки — Обновить N подписок
После этого убеждаемся что количество нод из подписки отобразилось внизу страницы:
Если по какой-то причине обновление подписок не происходит, запустите консольную команду и обновите страницу
uc /etc/homeproxy/scripts/update_subscriptions.uc
Далее переходим к настройкам подключения:
Для раздельного туннелирования выбираем режим Режим маршрутизации — Пользовательская маршрутизация — проксирование подключений согласно правилам (hiddify, Sing-box Rule-set).
Для направления всего трафика через Главный узел можно выбрать Глобальный режим (большой расход трафика и шанс быстрее засветить подключение), также я добавил режим Пользовательский JSON, о нём расскажу в конце статьи.
Порты маршрутизации — Только общие порты — для избежания потенциальных проблем с трафиком, если хотите перенаправлять все порты в Узел то можно выбрать Все порты.
Общие порты — 22,53,80,143,443,465,587,853,873,993,995,5222,8080,8443,9418
их можно изменить в /etc/config/homeproxy
Режим прокси — Перенаправление TCP + TProxy UDP — оставляем параметр по умолчанию
Перенаправление TCP (перенаправление только TCP трафика, согласно правилам Homeproxy, а не основного firewall).
При установке ip-full и kmod-tun также доступны:
Перенаправление TCP + Tun UDP как Перенаправление TCP + TProxy UDP, но UDP трафик идёт через интерфейс singtun0 и регулируется основными правилами firewall.
Tun TCP/UDP — весь трафик идёт через интерфейс singtun регулируется правилами firewall
Поддержка IPv6 — рекомендую выключить т.к. большинство списков, включая Re:filter, пока не включают адресов IPv6
outbound по умолчанию — Напрямую — весь трафик не направленный правилами в прокси будет идти через шлюз по умолчанию
outbound DNS по умолчанию — DNS по умолчанию (от WAN) — используется для трафика не направляемого в прокси если нет иных правил DNS (при использовании MultiWAN лучше указывать конкретный DNS сервер из выпадающего списка)
Далее — Применяем изменения и переходим во вкладку Узлы маршрутизации
Внизу страницы добавляем новый элемент, можно назвать его proxy и нажимаем Добавить
само название не принципиально, но оно должно быть уникальным
Далее по параметрам:
Узел — URLTest
Узлы URLTest — выбираем нужные из выпадающего списка (ранее добавляли через Subscriptions и статичные конфигурации)
URL для теста — это страница для тестирования подключения к прокси, я использую эти captive portal:
http://captive.apple.com/hotspot-detect.html
http://www.gstatic.com/generate_204
Но можно использовать любой Captive Portal
можно использовать настройки по умолчанию:
Test interval — 180 сек — каждая нода через заданный промежуток (180 сек) будет протестирована на доступность и величину задержки
Test tolerance — 50 мс — разница в задержке прокси при которой будет произведено переключение, например у активного прокси 327 мс, если у другого задержка будет ниже 277 мс — hiddify-core сделает активным его
Idle timeout — 1800 сек — если не было сетевой активности на прокси в течении заданного промежутка, проверка нод приостановится (для снижения нагрузки) до возобновления активности
Сохраняем — Применяем изменения
Переходим во вкладку Набор правил
На примере Re:filter
Добавляем 1ый набор правил — ipsum:
Тип — Удаленный — регулярное скачивание списка по ссылке, альтернативно можно использовать Локальный
Формат — Бинарный файл — использование формата srs, также можно использовать json при выборе Исходный файл
URL набора правил — https://github.com/1andrevich/Re-filter-lists/releases/latest/download/ruleset-ip-refilter_ipsum.srs — srs список заблокированных подсетей refilter_ipsum
Outbound — proxy — скачивание списков через выбранный outbound — прокси
Интервал обновления — 1d — для регулярного скачивания списков, например 1 день , ставьте по вашему усмотрению
Сохраняем и добавляем 2ой набор правил — domains:
Аналогично:
Тип — Удаленный — регулярное скачивание списка по ссылке, альтернативно можно использовать Локальный
Формат — Бинарный файл — использование формата srs, также можно использовать json при выборе Исходный файл
URL набора правил — https://github.com/1andrevich/Re-filter-lists/releases/latest/download/ruleset-domain-refilter_domains.srs — srs список заблокированных доменов refilter_domains
Outbound — proxy — скачивание списков через выбранный outbound — прокси
Интервал обновления — 1d — для регулярного скачивания списков, например 1 день , ставьте по вашему усмотрению
Сохраняем — Применяем изменения
Переходим к Правилам маршрутизации:
Добавляем первое правило — refilter_ipsum (Направление IP адресов из списка в прокси):
Версия IP — IPv4
Набор правил — ipsum — выбираем из выпадающего списка
Outbound — proxy
Сохранить
Добавляем второе правило — refilter_domains (Направление доменов из списка в прокси):
Протокол — (из списка) HTTP, QUIC, TLS, STUN
Набор правил — domains
Outbound — proxy
Сохранить — Применить изменения
После применения изменений раздельная маршрутизация уже должна работать, но для полноценной работы VoIP трафика (Telegram, WhatsApp, Discord, Viber) нужны дополнительные правила для портов и настройка DNS для избежания утечки DNS
Сперва добавляем правило для UDP портов:
Метка — Calls UDP — может быть любая, не обязательно совпадает с названием правила
Сеть — UDP
Outbound — proxy
Далее переходим во вкладку — Поля портов
Порт — 1400 и 8443
Диапазон портов — 50000:65535 596:599 3478:3497 16384:16387 16393:16402 — каждый диапазон через двоеточие, это диапазоны для работы звонков Whatsapp, Viber, Facetime, Telegram и Discord, ранее писал об этом в статье по V2RayA
Сохраняем и создаём ещё одно правило для TCP+UDP портов:
Метка — TCP+UDP Ports
Outbound — proxy
Далее переходим во вкладку — Поля портов
Порт — 4244 7985 5222 5223 5242 5243 — Для работы WhatsApp и Viber
Сохраняем — Применяем изменения
Альтернативным способом создания правил является редактирование файла настроек — можно вставить этот набор правил в конец файла, главное проверить совпадение названия outbound, если вы вдруг назвали его не «proxy» или имеете несколько outbound для прокси
/etc/config/homeproxy:
config routing_rule 'refilter_ipsum' option label 'refilter_ipsum' option enabled '1' option mode 'default' option ip_version '4' list rule_set 'ipsum' option outbound 'proxy'config routing_rule 'refilter_domains' option label 'refilter_domains' option enabled '1' option mode 'default' list protocol 'http' list protocol 'quic' list protocol 'tls' list rule_set 'domains' option outbound 'proxy'config routing_rule 'udp' option label 'Calls UDP' option enabled '1' option mode 'default' option network 'udp' option outbound 'proxy' list port '1400' list port '8443' list port_range '50000:65530' list port_range '596:599' list port_range '3478:3497' list port_range '16384:16387' list port_range '16393:16402'config routing_rule 'tcp_udp' option label 'TCP+UDP Ports' option enabled '1' option mode 'default' option outbound 'proxy' list port '4244' list port '7985' list port '5222' list port '5223' list port '5242' list port '5243'
Теперь к настройке DNS:
без прописанных DNS-правил HomeProxy использует DNS-outbound по умолчанию, для избежания утечки DNS и подмен укажем сначала два DNS сервера, для proxy и для работы напрямую
Добавим сначала Яндекс DNS сервера с названием dns_direct во вкладке DNS-серверы:
Тип — UDP — Также доступны варианты UDP, TCP, QUIC, HTTP/3, TLS
Адрес — 77.88.8.1 (можно также указать например провайдерский DNS сервер)
Порт — авто
Резолвер адресов — Отсутствует (т.к. указан IP адрес)
Outbound — Напрямую
Теперь добавим Google DNS сервер с названием dns_proxy:
Тип — HTTPS — Также доступны варианты UDP, TCP, QUIC, HTTP/3, TLS
Адрес — dns.google
Порт — авто
Path —/dns-query
Резолвер адресов — dns_direct (для избежания потенциальных проблем с настройкой DNS и доступен к сторонним DNS серверам в т.ч. на белых списках)
Стратегия адресации — Предпочитать IPv4
Outbound — proxy
Применяем изменения
Теперь добавим правило dns_out для проксируемых доменов во вкладке DNS-правила:
Действие — Маршрут
Сервер — dns_proxy
Стратегия доменов — Предпочитать IPv4
Сохранить
Это правило будет выполняться для доменов из списка domains из набора правил, для прочих укажем правило по умолчанию на вкладке Настройки DNS:
Стратегия DNS по умолчанию — Предпочитать IPv4
DNS-сервер по умолчанию — dns_direct
Сохранить и применить изменения
На вкладке Статус службы можно посмотреть логи HomeProxy и hiddify-core, выбрать степень логгирования (log level)
3. Дополнительные настройки Homeproxy
в меню Контроль доступа есть вкладки:
Управление интерфейсами — Здесь настраивается входной и выходной интерфейс, по умолчанию остаётся пустым и определяется автоматически
О решении проблем с Multi-WAN здесь
в Политике IP для LAN:
Режим фильтрации прокси — имеет опции:
Проксировать только указанные — проксирует трафик только для IP/MAC из списка.
Проксировать всё кроме указанных — проксирует трафик для всех, кроме IP/MAC из списка.
Также можно указать IPv4, IPv6 и MAC адреса локальных устройства для игрового режима — для них не будет проксироваться UDP трафик
Также в Homeproxy есть возможность указать дополнительные inbound на вкладке Настройки сервера:
Можно выбрать протокол, адрес и порт на котором сервер будет слушать подключения, в зависимости от протокола — логин и пароль для подключения, в качестве примера смешанный HTTP/SOCKS5 прокси на 127.0.0.1 и порту 20170
Если вы выбрали Tun TCP/UDP необходимо перейти в раздел Сеть — Межсетевой Экран —
Добавить новый интерфейс.
Выбрать Протокол неуправляемый, из списка устройств singtun0, присвоить название, например Proxy и Создать интерфейс.
После чего перейти в настройки интерфейса singtun0 (Изменить)
Настройки межсетевого экрана — wan (или нужный вам вариант).
4. Пользовательский JSON
Это новый режим, которого нет в оригинальном HomeProxy, если вы хотите использовать текстовую конфигурацию, вы можете разместить его в /etc/homeproxy/hiddify-c.json и выбрать Пользовательский JSON в Режимах Маршрутизации
Если вы хотите направлять пользовательский трафик через Redirect и TProxy используя правила межсетевого экрана HomeProxy, то нужно будет добавить в конфигурацию следующие параметры:
"inbounds": [ { "type": "direct", "tag": "dns-in", "listen": "::", "listen_port": 5333 }, { "type": "mixed", "tag": "mixed-in", "listen": "::", "listen_port": 5330, "udp_timeout": "300s", "sniff": true, "sniff_override_destination": true, "set_system_proxy": false }, { "type": "redirect", "tag": "redirect-in", "listen": "::", "listen_port": 5331, "sniff": true, "sniff_override_destination": true }, { "type": "tproxy", "tag": "tproxy-in", "listen": "::", "listen_port": 5332, "network": "udp", "udp_timeout": "300s", "sniff": true, "sniff_override_destination": true }]
Также нужно добавить меткуdefault_mark в секции route для предотвращения петель маршрутизации tproxy. Без него собственный исходящий трафик hiddify-core перехватывается правилами nftables и снова направляется в прокси. Значение должно совпадать с self_mark в /etc/config/homeproxy (по умолчанию: 100):
"route": { "default_mark": 100, ...}
В отличии от sing-box, hiddify-core по неизвестной причине не поддерживает routing_mark для каждого outbound
Информация о HomeProxy-Hiddify также есть в вики проекта
Спасибо всем кто дочитал до конца, надеюсь этот проект будет вам полезен
Завёл также, с опозданием на много лет, телеграм канал Telegram: View @one_andrevich
ссылка на оригинал статьи https://habr.com/ru/articles/1036064/