Ground_Zerro

Если следовать логическому ходу то не отработал/отрабатывает скрипт из netfilter.d - правила затираются.

Проверить наличие правил в iptables. Проверить чтобы имя интерфейса в скриптах соответствовало текущему системному имени VPN интерфейса. - Они меняются если их добавлять/удалять (Пример: добавил один он nwg0, добавил второй он nwg1, удалил первый и второй стал nwg0).

@Александр Рыжов Ваша вера в людей безгранична, к сожалению не все мы образованны на столько как Вы о нас думаете. Вы всегда даете четкое направление, но получив совет осиливать дорогу нам приходится самостоятельно и это капец как сложно )) В очередной раз спасибо за подсказку. ~ # cat /opt/etc/ndm/ifstatechanged.d/000-gather-iflist.sh #!/bin/sh mem_dir="/dev/int" interface="$id" list="$system_name" mkdir -p "$mem_dir" echo "$list" > "$mem_dir/$interface" exit После перезагрузки имеем полный обновляемый список соответствий прошивочного имени системному в RAM. ~ # ls /dev/int/ Bridge0 GigabitEthernet0 GigabitEthernet1 WifiMaster0 WifiMaster1 Wireguard0 Вызвать можно из любого места, мгновенно получив системное имя из прошивочного: ~ # cat /dev/int/GigabitEthernet0 eth2 ~ # cat /dev/int/Wireguard0 nwg0 @Ponywka

Уважаемый vasek00 7 раз перечитал, ну не получается вникнуть в таинство, не выходит каменный цветок... Можно чуть подробней, не всем дано, не все семи пядей во лбу.. Где это взять и с чем едят?? Хотя-бы "где взять"?

Капец какой-то куда не кинь всюду клин. ifstatechanged.d или ifcreate как по скорости так и по реализации вынимания имени из них иначе чем "костыль" не назовешь. Как в принципе и остальные варианты имеющиеся в руках у сообщества. Жуть как нужно. Хоть что-то, пусть даже кучей вроде Bridge2: br2 GigabitEthernet0/0: eth2 разберем как нибудь, главное возможность быстро получить актуальные данные. Очень ждем.

Чтобы правила ipset применялись не только к устройствам, указанным в политике, а вообще ко всем подключенным к роутеру слегка модифицировал скрипты из этой темы. Скрипты на гитхаб. Может поможет/пригодится.

Во всех приведенных выше вариантах маршрутизация внутри NAT остается штатной т.е. аппаратное ускорение доступно, если оно там было изначально. Тоже самое с шифрованием стандартных протоколов - если оно поддерживалось устройством то оно и будет работать. А вот с шифрованием в Outline, xRay и остальных новомодных не уверен, насколько понимаю практически вся эта работа ложится на CPU. Если где наврал - меня поправят. Ну сути сказанного ранее не меняет. Есть более "удобные" варианты борьбы за право свободного доступа к информации чем статические маршруты.

Подскажите, как упросить скрипты избавив их от необходимости прямого указания названия сетевого интерфейса? При попытке получить первый (по приоритету) настроенный и включенный (0.0.0.0) интерфейс из названия политики, возвращается полное название интерфейса, например: Wireguard0 когда сам интерфейс называется nwg0 Пример: #!/bin/sh interface=$(curl -kfsS localhost:79/rci/show/ip/policy 2>/dev/null | jq -r ' .[] | select(.description == "policy_vpn") | .route4.route[] | select(.destination == "0.0.0.0/0") | .interface ') [ -z "\$interface" ] && exit [ "\$type" == "ip6tables" ] && exit [ "\$table" != "mangle" ] && exit [ -z "\$(ipset --quiet list bypass)" ] && exit if [ -z "\$(iptables-save | grep bypass)" ]; then mark_id=\$(curl -kfsS localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "policy_vpn") | .mark') iptables -w -t mangle -A PREROUTING ! -i \$interface -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0x\$mark_id iptables -w -t mangle -A PREROUTING ! -i \$interface -m set --match-set bypass dst -j CONNMARK --restore-mark fi Для чего: В политике доступа пользователь может менять приоритеты интерфейсов, добавлять, удалять, включать и выключать их. В случае когда название интерфейса жестко указано в скрипте, пример: #!/bin/sh [ "$type" == "ip6tables" ] && exit [ "$table" != "mangle" ] && exit [ -z "$(ipset --quiet list bypass)" ] && exit if [ -z "$(iptables-save | grep bypass)" ]; then mark_id=`curl -kfsS http://localhost:79/rci/show/ip/policy 2>/dev/null | jq -r '.[] | select(.description == "policy_vpn") | .mark'` iptables -w -t mangle -A PREROUTING ! -i nwg0 -m conntrack --ctstate NEW -m set --match-set bypass dst -j CONNMARK --set-mark 0x$mark_id iptables -w -t mangle -A PREROUTING ! -i nwg0 -m set --match-set bypass dst -j CONNMARK --restore-mark fi а его название изменилось, логика работы будет нарушена.

Сложно ответить на этот вопрос, не понятно, что имеется ввиду. Аппаратное ускорение NAT? Аппаратное ускорения VPN? QoS? Что-то еще? Или дело просто в словосочетании "аппаратное ускорение"? Согласен, звучит немного загадочно и очень красиво.

На простых протоколах OVPN, PPTP, L2TP, iKev2, WG/AWG и т.д. сколько-нибудь заметного падения скорости, лично я не наблюдал. Vless, Outline, xRay и т.п. - не пользуюсь. По отзывам других пользователей там скорости пониже т.к. на этих "протоколах" все упирается в ЦП роутера, за исключением разве что устройств на ARM. Или что-то другое имеется ввиду под "работают с аппаратным ускорением"? Скорость, задержки, какие-то другие функции...

На Viva доступна entware, что открывает больше возможностей чем строить маршрутизацию на IP адресах. Kvas, xKeen, HydraRoute, AdGuard Home для селективной маршрутизации и множество других вариантов маршрутизации по доменам. (ссылки кликабельны). Практически во всех этих решениях уделено внимание вопросам защиты DNS запросов от подмены и преодолению других преград, установленных провайдерами и одной "хорошей" службой, в борьбе за свободный доступ к информации. Авторы старались сделать установку и настройку как можно проще, автоматизировав множество манипуляций которые необходимо произвести на роутере облегчив процесс для пользователя. Выберите свой.

Может проблема в этом?

Аж интересно, что за фаервол? В ПК или на роутере? Расскажи, кинем в копилку знаний возможных проблем.

@Виктор67 xKeen и так умеет по доменам обходить, без манипуляций из этого топика. Что нужно - через VPN, что не нужно - напрямую. Вот тут разбирают например. PS Интерфейсы можно посмотреть в CLI (Web CLI) командой: show interface Не могу предметно ничего подсказать, не пользуюсь им. Спросите в теме xKeen или у них в ТГ.

Ну почему же все. Престарелый L2TP (с IPsec и без него) вполне себе шевелится на подавляющем большинстве провайдеров. Ровно как и PPTP например жив там, где WG и OVPN заблочены. Не пробовал, но вроде способ остается рабочим в том числе, если например поставить SingBox и настроить на нем Vless, Outline или xRay - любое соединение что поднимает сетевой интерфейс на роутере*. *если, что меня поправят. В нем есть маршрутизация не только на основе политики устройств. Почитайте гайды, посмотрите видео. Не помогу - не пользуюсь. Маршрутизация поддерживающая: Geoip Geosite — то же самое, что и Geoip, но с доменами. Регулярные выражения CIDR Точные совпадения Частичные совпадения Поддомены

Ввиду санкций есть еще какие-то подобные сервисы?

Спасибо. Скажите, я правильно понимаю, что добавленные правила остаются активными до перезагрузки системы или явного удаления и чтобы они применялись после каждой перезагрузки, скрипт нужно добавить в автозагрузку через cron или опереться на какой-то другой триггер для инициализации скрипта при срабатывании определенных условий? И еще вопрос: сработает если сделать так?

Речь как понимаю об использовании устройством или программой своего ДНС, но в тэтом случае это скорее всего DoT или DoH. DoT (DNS over TLS) Порт: 853 (TCP) DoH (DNS over HTTPS) Порт: 443 (TCP) А в правиле только 53 UDP. Попробуйте аналогичным способом редиректить DNS запросы этих устройств на ADG используя перенаправление на него этх портов. PS Хотя шифрованное соединение им установить не удастся.. Но вдруг они начнут в этом случае использовать DNS роутера полученное ими по DHCP.

Можно чуть подробней про этот способ? Что во что и как прописывать?

Обобщив опыт и приведенные здесь решения, написал скрипт, который выполнит все шаги по установке и настройке ipset для использования в связке с ADGhome. За основу взята эта инструкция, но без создания отдельной политики - изменения применяются ко всем устройствам. Репозиторий на github. Детально проверить возможности нет, буду благодарен за обратную связь, предложения и пожелания.

Максимальное удобство и простота. Браво! Отправил на релиз. Попробую изобразить что-то типа инсталлятора - установка/удаление одной командой.

Только вчера подумал о том, что это уже есть в роутере и нужно просто вытащить. Но было поздно - лег спать )) Исправлю на гит. Спасибо. Может есть смысл ещё более упростить скрипт? Например пусть он проходит по всем nwg интерфейсам, чтобы не нужно было их явно указывать в самом скрипте. Не думаю что на домашнем роутере их больше одного - трёх. А пингует какой-нибудь четко заданный узел, условный 8.8.8.8, который не закроет icmp от пары пингов в минуту, посчитав это за ddos. Вариативности будет меньше, в том смысле например если нужно проверять доступность каких-то конкретных узлов сети через WG. Но в таком случае скрипт становится максимально простым для использования бОльшим числом пользователей. Полностью отпадёт необходимость тонкой настройки самого скрипта. Можно будет написать opkg или sh который нужно будет просто один раз установить и всё.

Попадались в сети подобные штуки, но ссылок не сохранял т.к. регулятор работает по черному списку, а нам соответственно проще его "обелить". Гонять весь трафик через VPN не всегда имеет положительный результат. У меня например страдает пинг в играх. Еще мой хостер берет 1$ за каждый 1ТБ трафика (вх+исх), можно конечно его и поменять но он дешев, стабилен, быстр и дополнительная плата за трафик в его случае полностью оправдана.

Да я не об этом. Понятное дело, если бы ни ситуация нам всем это было бы не нужно, но приходится вникать, а подсказок от комьюнити не дождёшься.. Выше ссылки, попробуйте.

Каким-то малоэффективным путем идете товарищи. Попробуйте решения AGH или подобные, они есть здесь на форуме, вот например инструкция (жми) с четким алгоритмом на основе опыта пользователей с этого форума. Просить маршруты у кого-то, вообще "такое себе" и вот почему (жми). Если без маршрутов совсем уж никак, то есть возможность сформировать их самостоятельно более простым путем (жми) ну или аналогами.