vasek00

А чем ipset не подходит, есть список доменов aaaaaaa.com,ssssssss.com,dddddddd.com/name-list

Из ходим из того что есть на сегодня, выдержка из

Все ОК, проблем не замечено.

Для того чтоб сказать, что не так нужно видеть/услышать что и как. Подскажите пожалуйста, как настроить маршрутизацию на WG? У меня получается так, что весь трафик идет либо через VPN если он указан первым в приоритетах или через провайдера если он указан первым - вот и все. При этом маршруты вообще ни на что не влияют. Вы не правы все работает.

Думаю у вас есть стат маршруты, которые вы вводили в WEB роутера. Для начала по конф файлу : 1. "ip policy Policy" - описание политики, "description" - имя по WEB, "permit global" - разрешен канал выхода (интеренет), "no permit global" - не используется 2. "ip hotspot" - блок клиента, при установленном на сегменте "Без доступа в интернет" в этом блоке будет запись "policy Home deny" -> настройка по зарег.клиенту имеет приоритет по отношению к ней. 2.1 по клиенту который размещен в данной политике. host хх:хх:хх:хх:хх:хх permit host хх:хх:хх:хх:хх:хх policy Policy0 2.2 на основание данных настроек к данной политике привязана таблица маршрутизации в которой default (маршрут по умолчанию) будет на указанный "permit global". 3. Вводим стат.маршрут через WEB и ОНИ попадают во все таблицы маршрутизации которые есть в роутере (в политики то же). Как в реале. Стат маршруты введенные в WEB - 64.233.160.0/19, 74.125.0.0/16 для интерфейса WG. Помещаем клиента в политику где только провайдер. ~ # ip rule 0: from all lookup local ... 454: from 10.ПРОВ-шлюз.12 lookup 78 ***** таблица политики в которой клиент ... ~ # ip ro show table 78 default via 10.ПРОВ.1 dev eth2.9 src 10.ПРОВ-шлюз.12 ... 10.16.хх.0/24 dev nwg5 proto kernel scope link 64.233.160.0/19 dev nwg0 proto static scope link **** стат маршрут из WEB 74.125.0.0/16 dev nwg0 proto static scope link **** стат маршрут из WEB .... ~ # ip ro ************ для основного профиля default dev ppp0 scope link 10.ПРОВ.0/24 dev eth2.9 proto kernel scope link src 10.ПРОВ-шлюз.12 10.16.хх.0/24 dev nwg5 proto kernel scope link src 10.16.хх.1 64.233.160.0/19 dev nwg0 proto static scope link 74.125.0.0/16 dev nwg0 proto static scope link ... Клиент который в этой политики в итоге при traceroute на данную сеть 64.233 пойдет не по default, а по стат.маршруту который был введен в WEB роутера и ЛОГИЧНО не должен был сюда попасть. Не которые пожелания были

Страница WEB - "Статические маршруты" -> маршрут до сети/узла и нужный интерфейс.

Потому что в моем сообщение "портянка" размером меньше чем у вас, и второе там есть "...", третье заострил внимание только на том что показал, остальное не принципиально "..." для решения.

Странно. Данная команда добавит маршрут для клиента SSTP в Как итог удаленный клиент подключился, вышел в интернет через провайдера (speedtest на клиенте провайдера), при применении выше правил удаленный клиент вышел через WG (speedtest на клиенте показал), что через WG. ip nat sstp

Да как то без проблем, без всяких Тут хитрость надо применить, чтобы интернет через него заработал.

192.168.1.1/a в 42B2 работает так же (в 4.2 - 42B1 - 192.168.1.1/webcli)

Судя по тому что написано ранее. Все из WEB. Если правильно понял - 1. новый сегмент -> в политику 2. SSTP к этому сегменту.

Не знаю как другим мне эти png невидно.

https://ip-calculator.ru/#!ip=213.59.192.0/18

Это не оно

Да без проблем можно и еще по больше. Для того чтоб определить маршрут для пакета нужно проверить таблицу маршрутизации, при совпадении отправить туда куда надо согласно записи, а если нет то на default.

Больно большой списочек, 142.250 и 173.194 и 74.125 и 209.85.128 чуток не хватает (видимо от пров.) можно об'еденить, а так же есть лишнии так как есть uBlock для браузера, который блокирует некоторые и в тоже время youtube все равно работает.

Как написано выше - KN-1011 это проц 7621 (и его аналоги) скорость WG максимум 150Мбит, если надо 400Мбит скорость то этого любой ARM в Keenetic (7622/7981)

42B2 попробовал так и не работает, приходится в мобильном приложение все "передергивать"

Для ARM проца все ОК (AGH+tpws+iptable). tpws тут уже свой не для mipsle. Ручная проверка. 1. AGH 2. tpws (ARM) 3. iptables 4. итог

Да не вопрос, я просто ссылку почитать.

https://habr.com/ru/articles/831846/comments/

У вас скорей всего ошибка в строке mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | ... | .mark'` Смотрите вывод команды - show ip policy в webcli наример Policy0 или Policy1 и так далее.