配置特定内网ip的iot设备使用梅林固件Asus路由访问ss服务器

2025-03-27

Transparent Proxy Setup (Shadowsocks on Asus Router)

本文使用chatgpt生成.

✅ Goals

Redirect TCP and UDP traffic from a specific IoT device to Shadowsocks (ss-redir) on port 1080
Ensure DNS resolution works through the proxy

1. Setup ss-redir on Router 设置 Shadowsocks 客户端

Install via Entware 安装 Shadowsocks 重定向客户端：
1
opkg install shadowsocks-libev-ss-redir
Launch ss-redir with UDP enabled and verbose logging 启动 ss-redir，启用 UDP 支持并开启详细日志,-b开启对所有interface的监听,用于tproxy的udp代理,-f是指定process pid文件,来后台运行：
1
ss-redir -c /path/to/your.json -u -b 0.0.0.0 -vv -f /tmp/ss.pid

Example config (shadowsocks.json`) 配置文件示例：

{
  "server": "your.ss.server.com",  // Shadowsocks 服务端地址
  "server_port": 8388,              // 服务端端口
  "local_port": 1090,               // 本地监听端口（iptables 将转发到此端口）
  "password": "yourpass",          // Shadowsocks 密码
  "method": "chacha20-ietf-poly1305",  // 加密方式
  "mode": "tcp_and_udp"            // 同时支持 TCP 和 UDP
}

2. TCP Redirection via iptables 设置 TCP 转发

# Redirect TCP traffic
if ! iptables -t nat -C PREROUTING -p tcp -s $DEVICE_IP -j REDIRECT --to-ports $SS_PORT 2>/dev/null; then
    iptables -t nat -A PREROUTING -p tcp -s $DEVICE_IP -j REDIRECT --to-ports $SS_PORT
fi

📌 说明：将来自 <DEVICE_IP> 的所有 TCP 流量重定向到本地 1080 端口。

3. UDP Redirection with TPROXY 设置 UDP 转发（使用 TPROXY）

#!/bin/sh

# run ss
ss-redir -c /tmp/mnt/USB64G/ss.json  -u -vv -f ./ss.pid && echo 'ss run successfully'

DEVICE_IP="your.ip.is.here"
SS_PORT=your_choise_of_ss_port

# 启用内核 IP 转发
# Enable IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

# 添加策略路由规则
# Setup routing rules
if ! ip rule | grep -q "fwmark 0x1 lookup 219"; then
    ip rule add fwmark 0x1 lookup 219
fi
# any table number as long as not conflict with /etc/iproute2/rt_tables
ip route flush table 219
ip route add local 0.0.0.0/0 dev lo table 219

# 配置 mangle 表和 TPROXY
# Setup mangle table and TPROXY
# Create SS_UDP chain
# 创建自定义链
iptables -t mangle -N SS_UDP
# 忽略本地地址(optional)
iptables -t mangle -A SS_UDP -d 127.0.0.0/8 -j RETURN
# 忽略多播地址(optional)
iptables -t mangle -A SS_UDP -d 224.0.0.0/4 -j RETURN
 # 为目标设备 UDP 流量打标记
iptables -t mangle -A SS_UDP -p udp -s $DEVICE_IP -j MARK --set-mark 1
# 转发到 1080
iptables -t mangle -A SS_UDP -p udp -s $DEVICE_IP -j TPROXY --on-port $SS_PORT --tproxy-mark 0x01/0x01
# 应用规则链
iptables -t mangle -A PREROUTING -j SS_UDP

4. Diagnostics and Tools 排查工具

抓包查看流量是否到达本地 1080 端口：

1 2	tcpdump -i lo udp port 1080 -nn -vv tcpdump -i br0 udp and src host <DEVICE_IP> -nn -vv

查看 iptables 规则是否命中：

1 2	iptables -t nat -L PREROUTING -v -n iptables -t mangle -L PREROUTING -v -n

查看策略路由是否生效：
1
2
ip rule show
ip route show table 100

6. ss-server UDP Support Fix 解决服务端未开启 UDP 问题

如果 ss-server 没有使用 -u 参数启动，则不会监听 UDP，导致客户端转发失败。

✅ 解决办法：

启动 ss-server 并启用 UDP 支持：
1
ss-server -c ./ss.config -u -vv
检查服务端是否监听 UDP：
1
sudo netstat -ulnp | grep ss-server

开启服务端防火墙 UDP 端口（如 8388）：

1	sudo iptables -A INPUT -p udp --dport 8388 -j ACCEPT

7. Other Common Problem其他常见问题

7.1 `iptables: No chain/target/match by that name.`

多出现在iptables -t mangle -A SS_UDP -p udp -s $DEVICE_IP -j TPROXY --on-port $SS_PORT --tproxy-mark 0x01/0x01的语句执行.
检查一下两点:

使用的iptables版本,是否混淆了userspace和kernelspace的iptables.
如果是,则需要确认两个iptables binary都有TPROXY module.
- Kernel检查是否安装的方法:
  1
  cat /proc/net/ip_tables_targets | tr ' ' '\n' | sort -u
- 如果没有安装,尝试安装
  1
  2
  3
  modprobe xt_TPROXY 2>/dev/null
  modprobe nf_tproxy_core 2>/dev/null
  modprobe xt_socket 2>/dev/null
  如果失败意味着kernel并不支持tproxy,需要使用其他方法.

Notes 附注

IoT 设备会同时请求本地网关和公共 DNS（如 8.8.8.8）要实现 DNS 劫持或本地缓存，需确保 DHCP 分配路由器作为 DNS TPROXY 配置成功后，
可在 ss-redir 日志中看到 UDP 请求（cache hit/miss）ss-server 添加 -u 后问题解决，UDP 转发成功.

需要在ss-redir ss-server的log中都成功看到转发信息.

替换 <DEVICE_IP> 和实际域名/IP 为你的具体配置。已屏蔽所有品牌信息。