Здравствуйте! Настраиваю AmneziaWG через Entware на роутере Netcraze Giga (NC-1012).
Требуется настроить выборочную маршрутизацию (PBR) по доменам через IPSet.Туннель поднимается, но трафик домашних устройств не перенаправляется, даже если IP-адрес есть в списке IPSet.1.
Подтверждение работы туннеля (VPN OK):Handshake: Обновляется каждые 2 минуты (туннель стабилен)
1.Curl: С самого роутера запрос через интерфейс awg0 проходит: curl --interface awg0 https://ifconfig.me возвращает IP VPN-сервера.
2.Логика: Поскольку curl работает, это исключает проблемы с ключами, NAT и общим подключением VPN.2. Проблема (Не работает маршрутизация):Симптом: Трафик к IP-адресам, добавленным в IPSet (например, 2ip.ru), не грузится или показывает домашний IP (если это не YouTube).
Диагноз: Роутер не выполняет или игнорирует команду маркировки/перенаправления.
3. Принятые меры (Что уже сделано): Попробовали полную схему PBR (Policy-Based Routing) со всеми известными исправлениями:Схема: DNS-запрос $\rightarrow$ Dnsmasq (порт 53053) $\rightarrow$ IPSet (vpn_set) $\rightarrow$ Iptables (MARK 1) $\rightarrow$ ip rule (fwmark 1) $\rightarrow$ ip route (table 100)
1: Отключение RP Filter: Фильтр обратного пути отключен: cat /proc/sys/net/ipv4/conf/all/rp_filter показывает 03333.Fix
2: Аппаратный ускоритель: Hardware Offload / Сетевой ускоритель отключен в веб-интерфейсе (для корректной работы iptables-mangle)4.Fix
3: MTU/MSS: Установлены безопасные значения: ip link set dev awg0 mtu 1280 и iptables -t mangle -j TCPMSS --clamp-mss-to-pmtu5.Iptables-Mangle: Счетчики пакетов растут в таблице PREROUTING на правиле MARK set 0x1, но трафик не уходит в VPN
Какая может быть последняя причина, по которой ядро Entware игнорирует команду ip rule add fwmark 1 table 100, если IPSet полон, а все фильтры отключены? Возможно, требуется использовать традиционный ip route add (для IP-адреса сервера) с более высокой метрикой, чтобы избежать конфликта с PBR?
