Здравствуйте. Хотелось бы услышать мнение специалистов и разбирающихся в маршрутизации людей. Заранее извиняюсь за сумбур и многабукаф, постарался объяснить максимально подробно.
Итак, имеется Кинетик Гига 1011 с KeenOS 5.0.4, на котором подняты LAN от провайдера с статичным IP и два awg квн-туннеля, asc переменные прописаны через CLI, в интерфейсах видны. В настройках туннелей галочки "использовать для выхода в интернет" стоят, но только ради того, чтобы интерфейс был виден в мониторе, впрочем, включение/выключение галочки на суть проблемы не влияет. ДНС провайдера игнорируются, вместо них прописаны дефолтные 8.8.8.8, 8.8.4.4, 1.1.1.1, ipv6 отключен, добавлены DoT/DoH Гугла/Cloudflare/AdGuard. В приоритетах подключений-политиках доступа только политика по умолчанию, где присутствуют LAN и оба туннеля, LAN провайдера на первой позиции. Все устройства за роутером, как проводные, так и беспроводные - в политике по умолчанию. Настроена маршрутизация по доменам/CIDR, правила раскиданы по интерфейсам. На первый взгляд все работает, траффик виден, нужные ресурсы в сети доступны.
Проблема обнаружилась такая: если я, допустим, решил измерить скорость сети на каком-нибудь веб сайте-измерителе, у меня определяется IP туннеля, трассировка показывает, что траффик сразу заворачивается в туннель, даже если принудительно создать правило днс-маршрутизации с выбранным пулом адресов/CIDR и повесить его на LAN провайдера. Подозреваю, что причина в том, что квн-конфигурация создаётся с параметрами "разрешённые ipv4 подсети 0.0.0.0/0" и "разрешённые ipv6 подсети ::/0". Попытки менять 0.0.0.0/0 на что-нибудь другое кладут мне интернет, при принудительном отключении туннелей картинка становится правильной, сайты видят IP провайдера, но нужные ресурсы недоступны, естественно.
Что пишут AI-помогаторы:
В текущих версиях KeeneticOS драйвер AmneziaWG работает в режиме Global Override. Как только он видит AllowedIPs = 0.0.0.0/0, он создает виртуальный интерфейс с метрикой «0» (наивысший приоритет) и перехватывает трафик на уровне пре-маршрутизации (PREROUTING).
Именно поэтому:
Маршруты DNS игнорируются (пакет улетает в туннель по IP, а не по имени).
Статические маршруты через ISP игнорируются (туннель "сильнее" таблицы маршрутов).
Политики работают некорректно, так как драйвер Amnezia "засасывает" пакеты раньше, чем роутер успевает применить PBR (Policy Based Routing).
Что делать, куда копать дальше?
Заранее благодарен
