Ground_Zerro

Сложность в том, что клиент подключается к RTC серверу по IP, домены не используются. Нет домена - нечего добавлять в ipset. Если есть рабочие варианты как угадать IP-адрес сервера к которому пошел клиент - пишите. Прогнал через DM voice домены Discord получилось 830/24 подвести. Многовато, для игры в угадайку. DiscordIPs.txt

Если следовать логическому ходу то не отработал/отрабатывает скрипт из netfilter.d - правила затираются.

Проверить наличие правил в iptables. Проверить чтобы имя интерфейса в скриптах соответствовало текущему системному имени VPN интерфейса. - Они меняются если их добавлять/удалять (Пример: добавил один он nwg0, добавил второй он nwg1, удалил первый и второй стал nwg0).

@Александр Рыжов Ваша вера в людей безгранична, к сожалению не все мы образованны на столько как Вы о нас думаете. Вы всегда даете четкое направление, но получив совет осиливать дорогу нам приходится самостоятельно и это капец как сложно )) В очередной раз спасибо за подсказку. ~ # cat /opt/etc/ndm/ifstatechanged.d/000-gather-iflist.sh #!/bin/sh mem_dir="/dev/int" interface="$id" list="$system_name" mkdir -p "$mem_dir" echo "$list" > "$mem_dir/$interface" exit После перезагрузки имеем полный обновляемый список соответствий прошивочного имени системному в RAM. ~ # ls /dev/int/ Bridge0 GigabitEthernet0 GigabitEthernet1 WifiMaster0 WifiMaster1 Wireguard0 Вызвать можно из любого места, мгновенно получив системное имя из прошивочного: ~ # cat /dev/int/GigabitEthernet0 eth2 ~ # cat /dev/int/Wireguard0 nwg0 @Ponywka

Уважаемый vasek00 7 раз перечитал, ну не получается вникнуть в таинство, не выходит каменный цветок... Можно чуть подробней, не всем дано, не все семи пядей во лбу.. Где это взять и с чем едят?? Хотя-бы "где взять"?

Капец какой-то куда не кинь всюду клин. ifstatechanged.d или ifcreate как по скорости так и по реализации вынимания имени из них иначе чем "костыль" не назовешь. Как в принципе и остальные варианты имеющиеся в руках у сообщества. Жуть как нужно. Хоть что-то, пусть даже кучей вроде Bridge2: br2 GigabitEthernet0/0: eth2 разберем как нибудь, главное возможность быстро получить актуальные данные. Очень ждем.

Чтобы правила ipset применялись не только к устройствам, указанным в политике, а вообще ко всем подключенным к роутеру слегка модифицировал скрипты из этой темы. Скрипты на гитхаб. Может поможет/пригодится.

Во всех приведенных выше вариантах маршрутизация внутри NAT остается штатной т.е. аппаратное ускорение доступно, если оно там было изначально. Тоже самое с шифрованием стандартных протоколов - если оно поддерживалось устройством то оно и будет работать. А вот с шифрованием в Outline, xRay и остальных новомодных не уверен, насколько понимаю практически вся эта работа ложится на CPU. Если где наврал - меня поправят. Ну сути сказанного ранее не меняет. Есть более "удобные" варианты борьбы за право свободного доступа к информации чем статические маршруты.

Подскажите, как упросить скрипты избавив их от необходимости прямого указания названия сетевого интерфейса? При попытке получить первый (по приоритету) настроенный и включенный (0.0.0.0) интерфейс из названия политики, возвращается полное название интерфейса, например: Wireguard0 когда сам интерфейс называется nwg0 Пример: #!/bin/sh interface=$(curl -kfsS localhost:79/rci/show/ip/policy 2>/dev/null | jq -r ' .[] | select(.description == "policy_vpn") | .route4.route[] | select(.destination == "0.0.0.0/0") | .interface ') [ -z "\$interface" ] && exit [ "\$type" == "ip6tables" ] && exit [ "\$table" != "mangle" ] && exit [ -z "\$(ipset --quiet list bypass)" ] && exit if [ -z "\$(iptables-save | grep bypass)" ]; then mark_id=\$(curl -kfsS localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "policy_vpn") | .mark') iptables -w -t mangle -A PREROUTING ! -i \$interface -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0x\$mark_id iptables -w -t mangle -A PREROUTING ! -i \$interface -m set --match-set bypass dst -j CONNMARK --restore-mark fi Для чего: В политике доступа пользователь может менять приоритеты интерфейсов, добавлять, удалять, включать и выключать их. В случае когда название интерфейса жестко указано в скрипте, пример: #!/bin/sh [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ipset --quiet list bypass)" ] && exit if [ -z "$(iptables-save | grep bypass)" ]; then mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "policy_vpn") | .mark'` iptables -w -t mangle -A PREROUTING ! -i nwg0 -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0x$mark_id iptables -w -t mangle -A PREROUTING ! -i nwg0 -m set --match-set bypass dst -j CONNMARK --restore-mark fi а его название изменилось, логика работы будет нарушена.

Сложно ответить на этот вопрос, не понятно, что имеется ввиду. Аппаратное ускорение NAT? Аппаратное ускорения VPN? QoS? Что-то еще? Или дело просто в словосочетании "аппаратное ускорение"? Согласен, звучит немного загадочно и очень красиво.

На простых протоколах OVPN, PPTP, L2TP, iKev2, WG/AWG и т.д. сколько-нибудь заметного падения скорости, лично я не наблюдал. Vless, Outline, xRay и т.п. - не пользуюсь. По отзывам других пользователей там скорости пониже т.к. на этих "протоколах" все упирается в ЦП роутера, за исключением разве что устройств на ARM. Или что-то другое имеется ввиду под "работают с аппаратным ускорением"? Скорость, задержки, какие-то другие функции...

На Viva доступна entware, что открывает больше возможностей чем строить маршрутизацию на IP адресах. Kvas, xKeen, HydraRoute, AdGuard Home для селективной маршрутизации и множество других вариантов маршрутизации по доменам. (ссылки кликабельны). Практически во всех этих решениях уделено внимание вопросам защиты DNS запросов от подмены и преодолению других преград, установленных провайдерами и одной "хорошей" службой, в борьбе за свободный доступ к информации. Авторы старались сделать установку и настройку как можно проще, автоматизировав множество манипуляций которые необходимо произвести на роутере облегчив процесс для пользователя. Выберите свой.

Может проблема в этом?

Аж интересно, что за фаервол? В ПК или на роутере? Расскажи, кинем в копилку знаний возможных проблем.

@Виктор67 xKeen и так умеет по доменам обходить, без манипуляций из этого топика. Что нужно - через VPN, что не нужно - напрямую. Вот тут разбирают например. PS Интерфейсы можно посмотреть в CLI (Web CLI) командой: show interface Не могу предметно ничего подсказать, не пользуюсь им. Спросите в теме xKeen или у них в ТГ.