小米路由器 Pro (R3P) 配置shadowsocks透明代理

README.md

小米路由器 Pro (R3P) 配置shadowsocks透明代理

新入了一个小米路由器，记录一下折腾过程。

首先自动分流科学上网是必须的。

因为小米的ROM本身就是基于openwrt的，所以第一步只需要先走官方途径拿到root权限。

有了权限就只需要找一个别人造的轮子部署一下即可。

尝试1：

• MT工具箱

这个东西嘛，乍一看还可以。然而有点问题，首先是部署上之后完全无法运行，第二是安全性堪忧（可以直接绕过密码认证，然后只需要利用shadowsocks服务来劫持软件源，即可实现任意代码执行；以及这东西本身就有webshell功能，就非常尴尬）。

尝试2：

https://github.com/blademainer/miwifi-ss 这个repo有点旧，但是无所谓，然而依旧不能用。

仔细看了下原因应该是shadowsocks的binary无法运行。于是开始折腾自己编译。

交叉编译过程和编译的二进制文件整理在这里: https://gist.github.com/ihciah/de493989bd43f76f17ff143daa036e20

尝试3：

迫不得已，只能自己动手。

首先将静态编译好的binary放在 /data/usr/shadowsocks 文件夹里；并准备 chnroutes.txt ( http://f.ip.cn/rt/chnroutes.txt 下载完成后需手动删除第一行的注释)、ipset.cidr_cn.rules (见 gen_rules.sh )

之后配置启动文件，见 chinadns, ssredir, sstunnel。将这些文件放入 /etc/init.d 并 chmod +x xxx 后，执行 /etc/init.d/xxx enable 开启自动启动。

然后只需要配置 iptables 搞定转发。见 ipt.sh 。这里我们可以为其写一份启动文件，也可以简单地将其放入 /etc/rc.local 文件。当然，在这之前还需要加载ipset： ipset -R < ipset.cidr_cn.rules。

之后在 /etc/dnsmasq.d 中创建 dns.conf (见dns.conf文件)；这时解析链为 dnsmasq->chinadns->(ss-tunnel or 114dns)。

chinadns

#!/bin/sh /etc/rc.common
# chinadns init script

START=90
STOP=15
EXTRA_COMMANDS="restart"
PIDFILE='/tmp/chinadns.pid'

start()
{
    if [ -f $PIDFILE ]
        then
            echo "already started: $PIDFILE exists"
            exit 1
    fi
    /data/usr/shadowsocks/chinadns \
    -c /data/usr/shadowsocks/chnroutes.txt \
    -m \
    -p 5353 \
    -b 127.0.0.1 \
    -s 114.114.114.114,223.6.6.6,127.0.0.1:5300 \
    1> /tmp/chinadns.log \
    2> /tmp/chinadns.err.log &
    echo $! > $PIDFILE
}

stop()
{
    kill `cat $PIDFILE`
    rm $PIDFILE
}

restart()
{
    stop
    start
}

dns.conf

no-resolv
server=127.0.0.1#5353

gen_rules.sh

# From https://mengcz13.github.io/2018/07/14/raspberrypi-ssgw/
curl -sL http://f.ip.cn/rt/chnroutes.txt | egrep -v '^$|^#' > cidr_cn
sudo ipset -N cidr_cn hash:net
for i in `cat cidr_cn`; do echo ipset -A cidr_cn $i >> ipset.sh; done
chmod +x ipset.sh && sudo ./ipset.sh
rm -f ipset.cidr_cn.rules
sudo ipset -S > ipset.cidr_cn.rules
sudo cp ./ipset.cidr_cn.rules /etc/ipset.cidr_cn.rules

# 上述脚本也可直接使用一句命令解决，其中chnroutes.txt首行不包含注释。
# From @ripples-alive 童鞋
sed "s/^/add cidr_cn /;1i create cidr_cn hash:net family inet hashsize 4096 maxelem 65536" chnroutes.txt > ipset.cidr_cn.rules

ipt.sh

#!/bin/sh
iptables -t nat -N shadowsocks
iptables -t nat -A shadowsocks -d 0/8 -j RETURN
iptables -t nat -A shadowsocks -d 127/8 -j RETURN
iptables -t nat -A shadowsocks -d 10/8 -j RETURN
iptables -t nat -A shadowsocks -d 169.254/16 -j RETURN
iptables -t nat -A shadowsocks -d 172.16/12 -j RETURN
iptables -t nat -A shadowsocks -d 192.168/16 -j RETURN
iptables -t nat -A shadowsocks -d 224/4 -j RETURN
iptables -t nat -A shadowsocks -d 240/4 -j RETURN

iptables -t nat -A shadowsocks -d YOUR_IP -j RETURN

iptables -t nat -A shadowsocks -m set --match-set cidr_cn dst -j RETURN
iptables -t nat -A shadowsocks ! -p icmp -j REDIRECT --to-ports 10800

iptables -t nat -A OUTPUT ! -p icmp -j shadowsocks
iptables -t nat -A PREROUTING ! -p icmp -j shadowsocks

ssredir

#!/bin/sh /etc/rc.common
# ss-redir init script

START=90
STOP=15
EXTRA_COMMANDS="restart"
PIDFILE='/tmp/ss-redir.pid'

start()
{
    if [ -f $PIDFILE ]
        then
            echo "already started: $PIDFILE exists"
            exit 1
    fi
    /data/usr/shadowsocks/ss-redir \
    -c /data/usr/shadowsocks/config.json -b 0.0.0.0 -u \
    1> /dev/null \
    2> /dev/null &
    echo $! > $PIDFILE
}

stop()
{
    kill `cat $PIDFILE`
    rm $PIDFILE
}

restart()
{
    stop
    start
}

sstunnel

#!/bin/sh /etc/rc.common
# ss-tunnel init script

START=90
STOP=15
EXTRA_COMMANDS="restart"
PIDFILE='/tmp/ss-tunnel.pid'

start()
{
    if [ -f $PIDFILE ]
        then
            echo "already started: $PIDFILE exists"
            exit 1
    fi
    /data/usr/shadowsocks/ss-tunnel \
    -c /data/usr/shadowsocks/config.json -l 5300 -L 8.8.8.8:53 -b 0.0.0.0 -u \
    1> /dev/null \
    2> /dev/null &
    echo $! > $PIDFILE
}

stop()
{
    kill `cat $PIDFILE`
    rm $PIDFILE
}

restart()
{
    stop
    start
}

并不work。
1 ipset -R < ipset.cidr_cn.rules 这个命令执行不了。 　
ipset v6.20.1: No command specified: unknown argument 1.0.1.0/24
Try `ipset help' for more information.

2 YOUR_IP 是啥？替换为路由器ip地址

3 修改完是否需要重启？

ipset restore -f

并不work。
1 ipset -R < ipset.cidr_cn.rules 这个命令执行不了。 　
ipset v6.20.1: No command specified: unknown argument 1.0.1.0/24
Try `ipset help' for more information.

2 YOUR_IP 是啥？替换为路由器ip地址

3 修改完是否需要重启？

1. Try ipset restore -f ipset.cidr_cn.rules.
2. Obviously YOUR_IP means ip of your VPS, which should be connected directly.
3. You can read the document of ipset and iptables to determine whether they need reboot. Short answer: No.

1 root@XiaoQiang:/data/usr/shadowsocks# ipset restore -f ipset.cidr_cn.rules
ipset v6.20.1: No command specified: unknown argument 1.0.1.0/24
Try `ipset help' for more information. 是否可以不执行这个命令，并且去掉"iptables -t nat -A shadowsocks -m set --match-set cidr_cn dst -j RETURN" ，所有流量走代理？
2 配置以后，发现dns不通

iptables -t nat -A shadowsocks ! -p icmp -j REDIRECT --to-ports 10800

这里的10800是不是/data/usr/shadowsocks/config.json里指定的local-port，默认是1080呢，是多打了一个0吗？

iptables -t nat -A shadowsocks ! -p icmp -j REDIRECT --to-ports 10800

这里的10800是不是/data/usr/shadowsocks/config.json里指定的local-port，默认是1080呢，是多打了一个0吗？

自行修改咯。