avn

Меня тут заблокировало. Решил добавить пару правил для разблокировки. ipt _NDM_ACL_IN -t filter -i eth3 -p tcp --dport ${SECRET_PORT} -m set ! --match-set ${EXCLUDE_IPSET} src -m conntrack --ctstate NEW -m recent --name ${IPSET}-forcedel --set ipt _NDM_ACL_IN -t filter -i eth3 -p tcp -m multiport --dports $PORTS -m set ! --match-set ${EXCLUDE_IPSET} src -m conntrack --ctstate NEW -m recent --name ${IPSET}-forcedel --rcheck --seconds 3 -j SET --del-set ${IPSET} src Это позволяет мне убрать себя из блокировки curl --silent --max-time 1 http://{MyHomeSite}:{SecretPort} || curl https://{MyHomeSite}

@Le ecureuil Удалось посмотреть?

При добавлении маршрута все начинает работать с интерфейса Bridge0. На версии 5.0.0Pre аналогичное поведение.

После перезагрузки не восстанавливаются правила с комментарием. Так же эти правила удалились из конфига. Через Web задать комментарий можно. А через /a нельзя, хотя я повторяю правило, которое прописалось в конфиг. ipv6 static tcpudp GigabitEthernet1 36:57:4d:b5:6c:c0 53 !dns

@Le ecureuil Так и задумано? Тоже не получаю маршруты, правда клиентом ikev2 на кинетике. Возможно его там и нету. Но 100.100.100.34 === 172.16.35.0/22 Разве не должен создаться маршрут у клиента 172.16.35.0/22?

Думаю ему можно помочь, прислав pull request. Но там надо вдумчиво переработать патч.

Протокол нужно указать?

Nginx443+proxypass куда угодно У меня на 443 порту разные сервисы висят (ssh,wireguard,https,quic,xray,sing-box,) и все работает.

https://github.com/Sharm/keenetic-domain-routing/blob/master/VPN.md В 5.0 уже реализовано из коробки.

По поему скромному мнению, не должен. dns - траффик - это не траффик клиента (forward), а траффик роутера (output).

Тут не опечатка, а огромный минус. Из вопроса не понятно, какие домены вы указывали.

https://browserleaks.com/dns https://dnsleaktest.com/ Для DNS-маршрутизации это не верный формат, надо указывать только домены.

Это на языке ip rule что?

Думаю, что нет. Политики одна маркировка. Dns - вторая. Какой шлюз выбрать в итоге?

Проблема массовая. РКН.

Может подумаете на счёт connect-counter ?

Коннект к серверу AmneziaWG на 443 порт, даже если там висит nginx или другая служба

Я пользуюсь dns-фильтрацией в dnsmasq по доменам для блокировки рекламы. Отдавать localhost или 0.0.0.0/32 - рабочее решение. Но в конфигах хранить плохая идея, у меня сейчас > 22000 фильтров.

@Le ecureuil ?

Настройка для OUTPUT цепочки не помешала бы, возможно с включением настройки из конфигурационного флага. Например, для bootstrap доменов встроенного торрент-клиента.

Печаль... @Le ecureuil, Может есть возможность сделать что-то типо ping-check, например connect-counter, который будет считать попытки подключения connect-counter profile WG0Check max-fails 3 ! interface Wireguard connect-counter profile WG0Check connect-counter down ! Можно еще события добавить, например, ndm\connect-counter.d\* Там можно, например, определить логику последующего подключения. Сменить пароль, ip-сервера и т.д. ?

Что за компонент должен стоять?

nameserver 8.8.8.8 nameserver 8.8.4.4 nameserver 1.1.1.1 Тут должен быть ip роутера. Поэтому маршрутизация и не работает, роутер же маршрутизирует по DNS. Он и должен получать все DNS-запросы.

cat /etc/resolv.conf?

5b2 воспроизвести не смог. Буду наблюдать.