多路出口带宽代理实现

树辉 -

背景

20条宽带出口实现20个独立IP的代理服务,如用户从出口A访问进来,代理服务也必须是使用出口A去访问被代理的服务。

涉及资源

  • 交换机:华为 S5735S-L48TAS-A *1
  • 路由:Mikrotik RB5009UG+S+(v7.2.3) *1
  • 服务器:CentOS7.9 *1
  • ISP: 电信(PPPoE拨号) * 40

涉及技术点

  • 交换机:VLAN、Trunk、链路聚合等
  • 软路由:SNAT、DNAT、Bridge、策略路由等
  • 代理服务器: nginx(HTTP代理)、dante(Socks5代理)

网段规划

  • 内网网关:172.16.255.1/24
  • 代理服务器:
    • 172.16.255.101/24 <-> pppoe-out01
    • 172.16.255.102/24 <-> pppoe-out02
    • ...
    • 172.16.255.140/24 <-> pppoe-out40

部署要略

交换机设备

根据软规则对交换机进行如下端口规划:

序号 端口号 VLAN 备注
1 GE 0/0/1 101 pppoe-out01
2 GE 0/0/2 102 pppoe-out02
3 GE 0/0/3 103 pppoe-out03
...
40 GE 0/0/40 140 pppoe-out40
21 GE 0/0/45 - 聚合链路成员接口
22 GE 0/0/46 - 聚合链路成员接口
23 GE 0/0/47 - 聚合链路成员接口
24 GE 0/0/48 - 聚合链路成员接口

Mikrotik RouterOS设备

创建聚合接口

创建脚本

/interface bonding
add arp=enabled arp-interval=100ms disabled=no mode=802.3ad mtu=1500 name=bond0 primary=none \
    slaves=ether7,ether8,ether5,ether6

基于聚合接口创建vlan子接口

创建脚本

:for no  from=1 to=9 do={  /interface vlan add interface=bond0  mtu=1500 name=("vlan1".$no use-service-tag=no vlan-id=("10".$no) }
:for no  from=10 to=40 do={  /interface vlan add interface=bond0  mtu=1500 name=("vlan1".$no use-service-tag=no vlan-id=("1".$no) }

基于聚合接口创建bridge接口

新增专用bridge接口,脚本如下(部分省略):

<...>
:for no  from=10 to=40 do={ /interface bridge add admin-mac=("E4:8D:8C:1D:25:".$no) ageing-time=5m arp=enabled arp-timeout=auto auto-mac=no dhcp-snooping=no disabled=no fast-forward=no igmp-snooping=no mtu=auto name=("ct-".$no) }

将vlan接口添加到对应的bridge接口

脚本如下(部分省略)

<...>
:for no  from=41 to=60 do={ /interface bridge port add auto-isolate=no bpdu-guard=no bridge=("ct-".$no) interface=("vlan1".$no) internal-path-cost=10 learn=auto  pvid=1 restricted-role=no restricted-tcn=no tag-stacking=no trusted=no unknown-multicast-flood=yes unknown-unicast-flood=yes }

创建pppoe拨号接口

脚本如下(部分省略)

/interface pppoe-client
add add-default-route=yes allow=pap,chap,mschap1,mschap2 default-route-distance=2 dial-on-demand=no disabled=no interface=ct-01\
  name=pppoe-out01 profile=default use-peer-dns=no user=USERNAME
add add-default-route=yes allow=pap,chap,mschap1,mschap2 dial-on-demand=no disabled=no interface=ct-02\
  name=pppoe-out01 profile=default use-peer-dns=no user=USERNAME
<...>

策略路由

每个源IP需要保证固定出口,所以我们需要使用策略路由来实现,大致方法就是根据源IP去决定走哪个出口,实现如下:

脚本如下(部分省略)

  • 创建路由表
...
:for no  from=10 to=40 do={  /routing table add name=("proxy".$no) fib }

玛德,规则软过头了

  • 在Mangle表中的Prerouting链定义源IP并生成20个路由表
...
:for no  from=10 to=40 do={ /ip/firewall/mangle add src-address=("172.16.255.1".$no) chain=prerouting action=mark-routing new-routing-mark=("proxy".$no) passthrough=yes }
  • 根据创建好的路由表,添加路由
...
:for no  from=10 to=40 do={  /ip/route add dst-address=0.0.0.0/0 gateway=("pppoe-out".$no) routing-table=("proxy".$no) }

规则下次适度软下就好了。

  • 创建SNAT规则
...
:for no  from=10 to=40 do={ /ip firewall nat add action=masquerade chain=srcnat out-interface=("pppoe-out".$no) src-address=("172.16.255.1".$no) }

  • 创建DNAT规则
<...>
:for no  from=41 to=60 do={ /ip firewall nat add chain=dstnat action=dst-nat to-addresses=("172.16.255.1".$no) to-ports=3014 protocol=tcp src-address-list=src-access-proxy in-interface=("pppoe-out".$no) dst-port=3014 log=no }

<...>
:for no  from=41 to=60 do={ /ip firewall nat add chain=dstnat action=dst-nat to-addresses=("172.16.255.1".$no) to-ports=3015 protocol=tcp src-address-list=src-access-proxy in-interface=("pppoe-out".$no) dst-port=3015 log=no }

因未配置用户名密码且客户都是固定IP,所以定义了一个源地址访问地址列表:src-access-proxy

代理服务器

多IP配置

往`/etc/sysconfig/network-scripts/ifcfg-eth0文件中加入以下内容:

IPADDR1=172.16.255.102
PREFIX1=24
...
IPADDR59=172.16.255.60
PREFIX59=24

快速生效

# nmcli conn reload 
# nmcli conn up eth0

socks5代理

批量生成配置文件、systemd服务

#!/usr/bin/env bash

prefix=172.16.255
port=3014

for no in {101..140}
do
cat  > /etc/sockd_$no.conf<<EOF
logoutput: syslog
user.privileged: root
user.unprivileged: nobody

internal: $prefix.$no port=$port
external: $prefix.$no

socksmethod: none
clientmethod: none

client pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    log: connect disconnect error
}

socks pass {
    from: 0.0.0.0/0 to: 0.0.0.0/0
    log: error
}
EOF

cat  > /usr/lib/systemd/system/sockd_$no.service<<EOF
[Unit]
Description=Dante SOCKS proxy
After=network-online.target

[Service]
Type=simple
ExecStart=/usr/sbin/sockd -f /etc/sockd_$no.conf
StandardOutput=syslog
StandardError=syslog
LimitNPROC=infinity
LimitNOFILE=10240
Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target
EOF

systemctl start sockd_$no.service
systemctl enable sockd_$no.service
done

查看端口监听状态

# ss -tln |grep 3014
LISTEN     0      511    172.16.255.140:3014                     *:*
...
LISTEN     0      511    172.16.255.103:3014                     *:*
LISTEN     0      511    172.16.255.102:3014                     *:*
LISTEN     0      511    172.16.255.101:3014                     *:*

HTTP代理

http代理第一闪现的是squid,经过测试squid在单节点多IP的场景不受控制,遂转入到nginx,使用以下脚本快速生成配置文件

prefix=172.16.255

for no in {101..140}
do
cat >/opt/nginx/conf/conf.d/$no.conf<<EOF
server {
    listen   $prefix.$no:3015;

    # forward proxy for CONNECT request
    proxy_connect;
    proxy_connect_allow            all;
    proxy_connect_connect_timeout  30s;
    proxy_connect_read_timeout     90s;
    proxy_connect_send_timeout     90s;
    
    proxy_connect_bind     $prefix.$no;
    
    location / {
        proxy_pass \$scheme://\$http_host\$request_uri;
        proxy_bind $prefix.$no;
    }

    access_log /var/log/nginx/${no}_access.log combined buffer=64k flush=1m;
}
EOF
done

测试

测试脚本

#!/usr/bin/env bash


proxy_ips=(
   IP1
   IP2
   ...
   IP40
)

url=${1:-myip.ipip.net}

echo "[+] socks5 proxy testing"
for ip in ${proxy_ips[@]}
do
    echo "[-]$ip testing result: $(curl -s /dev/null --connect-timeout 3 -x socks5://$ip:3014 $url)"
done

echo "[+] http proxy testing"
for ip in ${proxy_ips[@]}
do
    echo "[-]$ip testing result: $(curl -s /dev/null --connect-timeout 3 -x socks5://$ip:3015 $url)"
done

测试结果:代理IP的返回来的IP一致。

后续

DDNS

由于是当前是使用IP,可以使用域名来绑定出口。

问题答疑

1、代理服务器重启后,有几个socks 地址代理失败,经过查看,失败是因为系统未监听该端口,查看日志,内存资源分配失败导致,当前虚拟机内存1G。加资源管上。