sing-box透明代理 | TProxy和Tun模式 | 实现局域网全设备无感科学上网

你也很及时🤗

🎅🏿谢谢兄弟支持🤟

多动手就好

armbian dae 成功了吗？ 我用官方一键脚本安装失败了。。

你好，我用N1 安装的armbian 没有成功，可以分享下你的配置吗？ tg zks728

我n1手动启动没问题，可自启动不行，

iptables规则就可以。如果是本机，将docker链的流量不经过tproxy端口。如果是局域网设备，可以配置源地址加源端口绕过。

Tun在局域网无法跑满吗 还是本机无法跑满？ 跑满是多大宽带？

防不了，只装sing-box你一查肯定发现泄露了

我没有设备哦，群晖应该也是基于linux，你可以使用host模式来试试能不能跑。

好的

你说的是系统的dns是吗？填什么都无所谓，sing-box会拦截dns请求。

好的，有没有在内网PVE的debian系统里安装sing-box的教程@@idevShare

安装很简单，有官方的一键脚本或者自己到官方仓库的release里面下载对应服务器机构的安转包，解压就可以用了。视频中演示都是使用自己下载的然后手动运行。建议你用一键脚本。
安装命令：
bash

应该是设置为sing-box透明代理程序所在的机器的IP地址

thanks a lot.@@idevShare

用脚本就可以了吧

如果路由器和透明代理是两台机器，那么需要走代理则必须指定网关为透明代理的IP，若不指定则走正常的路由。不会被劫持。

tun？还是tproxy？

可通过测试使用延长最小节点

我写了一篇文章，你可以参考一下
idev.dev/macos/singbox-launchd.html

感谢回复，看了教程原来plist是放在LaunchDaemons目录下，我之前是放在LaunchAgents目录下，一直无法启动sing-box服务@@idevShare

好的😬，解决问题就行

感谢分享 总算是弄好了@@idevShare

👍

可以

@@idevShare 大佬可以出一期教程吗😅😅刚刚试了一下把流量到进去 能看到连接数不能上网😂

我也很期待出一期教程@@MrMeanSaint

@@MrMeanSaint 请问一下，后来有实现吗？

tproxy只是负责把流量引入tproxy程序，是否全局与路由设置有关

@@idevShare 路由怎么设置了

本地的socks代理是做什么的？为什么要这样做？

其实也是FQ代理，我在本地架设了stunnel客户端连接远程的VPS，它提供socks转发@@idevShare

如果是同一主机，tun会接管网络，所以有可能socks的流量重新进入tun虚拟网卡了。

哦哦，原来如此，我去查查这种情况怎么解决。谢谢UP主

实现方式可多了。我不知道你如何实现，所以区别说不上来。但无论如何，sing-box提供了透明代理的实现支持，只是分享如何使用，以做参考。

你需要持久化配置。

@@idevShare 谢谢，我通过搜索，把问题解决了。解决方法是。
直接编辑/etc/sysctl.conf文件。把net.ipv4.ip_forward = 1 前面的注释"#"符号取消重启即可。
当然直接添加这行配置也是可以的。希望能帮助有同样问题的同学。

你的意思是tproxy iptables规则是吗，那当然可以。只不过很麻烦，不好管理

这说不准，ping域名不通有可能是dns问题也可能不是。ping ip不通那可能是网络配置的问题

@@idevShare dhcp自动获取网络正常，改静态ping baidu,From gateway 10.0.0.2 redirect host(new nexthop 10.0.0.1) ping 不通。

这不应该的，dhcp正常而静态ip不正常，除非路由器有其它特殊设置。

@@idevShare 我也是这个问题，debian12使用静态就上不了外网了，很奇怪的事情

可以

能分享一下已有操作教程吗？@@idevShare 或许你说的是无GUI版的macOS的sing-box，还是说只需要修改一下配置文件即可呢？

有没有UI都一样的，但是我电脑装不了sfm，所以也不太了解。纯内核只需要使用监听本机IP的socks或者http端口，然后其它设备就可以通过该主机的ip+端口连接到sing-box，当然macos可能还需要配置防火墙。
建议搞一个透明代理比这方便多了

还有个问题方便请教么？
我发现在macOS端设置
"inbounds": [{
"type": "mixed",
"listen": "0.0.0.0",
"listen_port": 2080,
"sniff": true
}]
会无网络，而Linux端则不会，可能的原因是？
防火墙？

你设置系统代理了吗，因为我看你没有设置自动设置系统代理。

IPV6也是一样的道理。重复操作，只是ipv4改为ipv6。大部分命令都一样

不是ip6tables吗

我没有实际使用ros分流IP。但是一般情况ros不需要配置其它了，当然ros的路由规则要配置好，旁路透明网关的防火墙也要配置好，如果还有其它网关，路由表也得配置好。我建议你实操看看。

@@idevShare 好的 谢谢大佬

额，能描述清楚一点吗，不太明白你的意思，修改什么配置呢？

不需要的哦

tun入站指定了ipv6网段了吗

​@@idevShare我也是，我想全局怎么设置

可以是肯定可以的。查查资料，或者用一些第三方的软件辅助。

pve直接部署，还是在pve下的容器或者虚拟机？

我不是很明白，你打算在国内主机安装服务端吗？还是说的的pve主机是再国外呢？

你好 我就是想问一下pve lxc debian模板中 或者虚拟机中 能安装吗？ 就像用v2rayA一样 pve在国内 谢谢 如果博主 方便 可以搞一个教程 谢谢

想用sing-box透明代理 安装在debian中当旁路由器用

当然可以安装，但是一般是安装费客户端吧，而不是服务端。

不是singbox支不支持机场，而是机场使用的协议singbox支不支持，按照目前来看，singbox基本涵盖绝大部分主流和非主流的代理协议。所以基本上可以说支持，但机场是否提供singbox的订阅配置文件，就得看具体机场情况而定。不过即使没有提供，实际上自己也可以配置，让singbox可以使用机场的节点。

@@idevShare 協議都支持，但是我用網頁端的U Rl轉換器他報錯

这就不清楚了，我没用过类似的工具。网上的转换工具有一定风险，慎用。

看Experimental配置

​@@idevShare ssh 连上openwrt，测试 curl 127.0.0.1:9090
Temporary Redirect， 其他设备上就访问不了

@@idevShare开openclash是可以访问webui的，好像是端口转发问题

看Experimeental配置

@@idevShare 代码发出来就没了，截了个图片

都一样，机场的节点更具通用性，所以99%的几率是可以通过sing-box连接。

一般情况都是支持的，因为openwrt本身就是做网关的不过还得测试一下，连接到openwrt的终端，通过命令lsmod | grep xt_TPROXY，检查是否加载了TPROXY模块。如果有结果就代表支持

@@idevShare 虚拟机debian12，tun模式可以代理，tproxy模式sing-box一直滚动，运行lsmod | grep xt_TPROXY无输出，还需安装tproxy模块？

debian12应该是支持tproxy无疑的，我没明白一直滚动是什么意思

@@idevShare sing-box tproxy模式，curl google 错误

curl后，singbox有没有输出错误日志？

dns rules总要匹配的吧，除非你没有rules，fake-ip也算是dns server，有rules的情况下，不是都会经过规则，再判断走fake ip还是其他的dns server么？

@@idevShare 我的意思是这个，比如youtube是走的自建节点，dns 里设置8.8.8.8的dns server，出口走自建节点，同时要在dns rule设置让TH-cam走8.8.8.8这个dns server，已达到远程解析的目的，因为我还设置了8.8.4.4的dns server，出口走机场节点，google的"route":走机场节点，同时还要设置dns rule中google走8.8.4.4的dns server，这样设置有些麻烦。我看fake-ip好像是根据"route"规则，youtube是走自建节点，就直接通过自建节点远程解析，就不用在dns "rules"中写让TH-cam走8.8.8.8这个dns server，直接全部走fake ip，它会根据路由规则自动分流

你试一下呗，理论上是没问题的，只添加一个fake ip dns就可以，但我很少用fake ip，所以不敢肯定，我也没时间去测试。你试过后告诉我一下结果🫣

如果出现这种情况，可能出现loop了，具体得看看你内网的网络情况而定，可能iptables的命令需要调整

博客的笔记我已经加上过滤sing-box自身流量的配置，你可以测试一下。outbound增加标记，以及防火墙添加过滤该标记的流量

不是很明白你的需求，如果是分流可以直接在singbox增加路由规则即可。

@@idevShare 谢谢你的回复，比如我要运行多个singbox指定监听多个端口，然后局域网ip1走第一个端口，局域网ip2走第二个监听端口

这样子iptables应该怎么写

这样就可以实现不同ip走不同代理

@user-so2uh8tw9r 不知道为什么要运行多个singbox？如果你一定要运行多个singbox，那么规则就需要调整，核心是iotables的tproxy规则通过-s参数让不同来源的流量引流至不同的singbox透明代理。

国内软件卡死，是sing-box卡死？还是国内软件？

国内软件
@@idevShare

你分析软件走的是直连还是代理，如果是因为走了代理后无法使用，你将该软件的规则指向直连试试。

走的规则，然后国内的这个软件没地方可以设置直连 有点头疼。。@@idevShare

可以收费帮我远程弄一下吗～～@@idevShare

没有日志吗？

@@idevShare 我去/var/log/用vim看box.log，有日志，有显示sing box start

@@idevShare 输入./sing-box run -c tproxy.json这个指令就没有看到日志

无论是输出到控制台还是输出到文件，最终启动没有报错就可以先不管，如果请求没有后没有日志输出，那可能是防火墙规则没有配置好。

@@idevShare 我输入./sing-box run -c tproxy.json，就卡在那里了，也没有日志输出，我就按crtl c退出，会不会停止运行了呢？还有我是用shadowsocks节点，请问你网站给那些block和direct必须要加在outbound里面吗？

若非内网自建dns服务，局域网设备dns指定为任意一个公网IP

你只能慢慢排查了，看是不是路由规则配置不全。

好的，只能慢慢排查喽，谢谢@@idevShare

自己持久化配置就好了

看是否dns的问题，你说的外网无法ssh是什么意思？外网是指局域网其它机器吗？你只是描述了一个结果，没有细节判断不了你是什么原因导致。你可以到电报群问问，提供更多的信息

还行吧，tun模式就相对简单一点。实践过程有问题欢迎提出交流。

@@idevShare 我是只会复制粘贴的水平。添加节点就已经难住我了