Один или несколько сайтов через VPN

[Panda777]

Друзья, есть некая проблема. Как сделать так чтобы весь трафик шёл мимо vpn,  а какой-нибудь один сайт или несколько, а может и мессенджеры через vpn?  

 

[vasek00]

6 часов назад, Panda777 сказал:

Друзья, есть некая проблема. Как сделать так чтобы весь трафик шёл мимо vpn,  а какой-нибудь один сайт или несколько, а может и мессенджеры через vpn?  

 

Так как это маршрутизация, то по простому это стат маршрут через нужный сетевой интерфейс

 

По сложнее то можно попробовать "ip route2" функционал, Entware + ip-bridge + ip-full но для клиента 192.168.130.2, default для всех клиентов инет2 ppp0

/ # echo 200 inetii >> /opt/etc/iproute2/rt_tables
/ # ip rule add from 192.168.130.2 table inetii
/ # ip route add default via хх.IP_инет1 dev ppp1 table inetii
/ # ip route add 93.186.224.0/21 via хх.IP_инет1 dev ppp1 table inetii
/ #  ip route add 87.240.128.0/18 via хх.IP_инет2 dev ppp0 table inetii
/ # ip ro list table inetii
default via хх.IP_инет1 dev ppp1 
87.240.128.0/18 via хх.IP_инет2 dev ppp0 
93.186.224.0/21 via хх.IP_инет1 dev ppp1 
/ # ip ro
default dev ppp0  scope link 
....
/ # 

В место инет1(dev1 ppp1) инет2 (dev ppp0) может выступать любой интерфейс выхода

Проверить легко на клиенте "tracert 87.240.128.10" и "travert 93.186.224.1" и "tracert ixbt.com" - первый по ppp0, второй/третий по ppp1

Вопрос только за малым это отыскать все IP адреса нужного сервиса для доб. в таблицу например vk.com

/ # nslookup vk.com
Server:    192.168.130.1
Address 1: 192.168.130.1

Name:      vk.com
Address 1: 87.240.190.72 srv72-190-240-87.vk.com
Address 2: 87.240.190.78 srv78-190-240-87.vk.com
Address 3: 93.186.225.208
Address 4: 87.240.139.194 srv194-139-240-87.vk.com
Address 5: 87.240.137.158 srv158-137-240-87.vk.com
Address 6: 87.240.190.67 srv67-190-240-87.vk.com

/ # whois -h whois.radb.net 87.240.190.72
route:          87.240.128.0/18
descr:          VKONTAKTE SPb Net
remarks:        **********************************************************************
remarks:        Abuse, Security issues noc@vk.com
remarks:        Network, routing issues, peering requests ncc@corp.vk.com
remarks:        VK.com users support https://vk.com/support
remarks:        Requests sent to wrong address will be ignored
remarks:        **********************************************************************
origin:         AS47541
mnt-by:         VKONTAKTE-NET-MNT
created:        2009-12-24T13:57:25Z
last-modified:  2016-09-08T11:28:41Z
source:         RIPE
remarks:        ****************************
remarks:        * THIS OBJECT IS MODIFIED
remarks:        * Please note that all data that is generally regarded as personal
remarks:        * data has been removed from this object.
remarks:        * To view the original object, please query the RIPE Database at:
remarks:        * http://www.ripe.net/whois
remarks:        ****************************
/ # whois -h whois.ripe.net -- -i or AS47541 | grep '^route:'| awk {'print $2'}
185.32.248.0/22
79.137.139.0/24
87.240.128.0/18
87.240.166.0/23
87.240.166.0/24
87.240.167.0/24
93.186.224.0/21
93.186.232.0/21
95.142.192.0/20
95.142.192.0/21
95.213.0.0/18
95.213.44.0/23
95.213.44.0/24
95.213.45.0/24
95.213.64.0/18
/ # whois -h whois.radb.net '!gAS47541'
A234
93.186.224.0/21 93.186.232.0/21 87.240.128.0/18 95.142.192.0/21 95.213.0.0/18 185.32.248.0/22 95.213.64.0/18 95.142.192.0/20 87.240.166.0/23 95.213.44.0/23 87.240.166.0/24 87.240.167.0/24 95.213.44.0/24 95.213.45.0/24 79.137.139.0/24

 

[Panda777]

Спасибо.

Статическую маршрутизацию я пробовал, но она что-то не работает. Может я неправильно делал.

В целом ситуация такая. К примеру есть 5 устройств в домашней сети. Адрес роутера 192.168.1.1 (DHCP для сети автоматический, но все устройства которые там есть имеют фиксированный IP)

1. Подключил клиент OpenVP

2. Создал профиль для домочадцев всех перенёс. Чтобы работали без VPN

2. Настроил подключение по VPN приоритетным для своего профиля, чтобы не мешать остальным домочадцам своим VPN-ом

3. Проверил. Всё работает. с VPN и без VPN

Здесь мне всё понятно. Включил VPN и весь траф идёт через него. 

 

т.е. отсюда я сделал вывод, что пускать весь траф через vpn или мимо, можно так. 

1. Через профили с постоянно включенным VPN
2. Через включение или выключение VPN

 

Но затык вот в чём. Траф то идёт весь. 

Статический маршрут я попытался прописать, однако он не сработал. 

Делал так. Перенеся свой комп в профиль домочадцев. Так как их траф идёт мимо включенного VPN, я тоже мимо. Создал статический маршрут

В качестве опыта взял yandex.ru
Правда вчера я проверял IP через 2ip и получил адрес 5.255.255.80 с этим адресом я и пытался провести тест

1. Тип маршрута - маршрут до узла
2. адрес узла назначения - целевой ip (то есть сайт куда я должен попасть)
3. адрес шлюза - не понял что тут надо (писал разные в том числе и роутера и VPN и провайдера, и компа), что в итоге не понял
4. Интерфейс - OpenVPN
5.  Добавить автоматически - включал и выключал. Не понял на что это влияет. 

Проверил в работе. Не работает. Я попадаю в яндекс без VPN 

Сейчас проверил Яндекс через nslookup

nslookup yandex.ru
Server:        127.0.0.53
Address:    127.0.0.53#53

Non-authoritative answer:
Name:    yandex.ru
Address: 77.88.55.55
Name:    yandex.ru
Address: 5.255.255.60
Name:    yandex.ru
Address: 77.88.55.60
Name:    yandex.ru
Address: 5.255.255.55
Name:    yandex.ru
Address: 2a02:6b8:a::a

И что мне подставлять?

____

Интересно, а можно вместо целевого ip указать адрес сайта в виде www.site.ru минимизируя подбор ip. Ведь ip может поменяться. Ведь nslookup выдаёт ip согласно запросу. Выходит введя вместо ip адрес сайта, роутер должен автоматом подставить значение действующего ip, сверяя ip=адрес. По факту избавлюсь от дальнейшего "геморроя" в виде ручной правки адресов. Как это реализовать?

[vasek00]

39 минут назад, Panda777 сказал:

И что мне подставлять?

Скрытый текст

/ # nslookup yandex.ru
Server:    192.168.130.1
Address 1: 192.168.130.1

Name:      yandex.ru
Address 1: 213.180.193.56 familysearch.yandex.ru

/ # whois -h whois.radb.net 213.180.193.56
route:          213.180.192.0/19
descr:          Yandex network
origin:         AS13238

/ # whois -h whois.ripe.net -- -i or AS13238 | grep '^route:'| awk {'print $2'}
141.8.128.0/18
141.8.154.0/24
141.8.155.0/24
141.8.174.0/24
178.154.128.0/19
178.154.131.0/24
178.154.160.0/19
178.154.192.0/19
185.32.187.0/24
213.180.192.0/19
213.180.202.0/24
213.180.223.0/24
37.140.128.0/18
37.140.136.0/24
37.9.112.0/24
37.9.64.0/18
37.9.64.0/24
37.9.73.0/24
5.255.192.0/18
5.255.192.0/24
5.255.194.0/24
5.255.195.0/24
5.255.196.0/24
5.255.200.0/24
5.255.204.0/24
5.255.208.0/24
5.255.229.0/24
5.255.252.0/24
5.255.255.0/24
5.45.192.0/18
5.45.193.0/24
5.45.196.0/24
5.45.202.0/24
5.45.205.0/24
5.45.208.0/24
5.45.213.0/24
5.45.217.0/24
5.45.221.0/24
5.45.228.0/24
5.45.229.0/24
5.45.232.0/24
5.45.240.0/24
5.45.243.0/24
77.88.0.0/18
77.88.35.0/24
77.88.44.0/24
77.88.54.0/24
77.88.55.0/24
77.88.8.0/24
87.250.224.0/19
87.250.247.0/24
93.158.128.0/18
95.108.128.0/17
 

/ # whois -h whois.radb.net '!gAS47541'
A234
93.186.224.0/21 93.186.232.0/21 87.240.128.0/18 95.142.192.0/21 95.213.0.0/18 185.32.248.0/22 95.213.64.0/18 95.142.192.0/20 87.240.166.0/23 95.213.44.0/23 87.240.166.0/24 87.240.167.0/24 95.213.44.0/24 95.213.45.0/24 79.137.139.0/24

https://whois.uanic.name/asn/1/AS13238.html

Автономная система - Autonomus System (AS)

https://hackware.ru/?p=9245&PageSpeed=noscript

 

 

Таблица маршрутизации только адреса

192.168.130.0/24 dev br0  proto kernel  scope link  src 192.168.130.1
ххх.ххх.ххх.ххх dev ppp1  scope link 
ххх.хх.хх.26 dev ppp1  proto kernel  scope link  src хх.хх.хх.52 
ххх.хх.хх.1 dev ppp0  proto kernel  scope link  src хх.хх.хх.40 

для того чтоб пакет попал адресату ххх.хх.хх.1 он должен пройти запись "ххх.хх.хх.1 dev ppp0 ......src хх.хх.хх.40"

Имеем ДЛЯ АДРЕСА - ххх.хх.хх.1 отправить пакет ЧЕРЕЗ dev ppp0 и КУДА хх.хх.хх.40
 

 

[Panda777]

Спасибо. Вечером буду пробовать 

8 минут назад, vasek00 сказал:

Таблица маршрутизации только адреса

Я понял что в таблице только адреса. А в форме ввода то, в теории там же можно сделать ввод урла? Ввёл адрес, внутри программы роутера таблицы сами забились на основе вводимого запроса, и всё ))

[keenet07]

1 час назад, Panda777 сказал:

В качестве опыта взял yandex.ru
Правда вчера я проверял IP через 2ip и получил адрес 5.255.255.80 с этим адресом я и пытался провести тест

1. Тип маршрута - маршрут до узла
2. адрес узла назначения - целевой ip (то есть сайт куда я должен попасть)
3. адрес шлюза - не понял что тут надо (писал разные в том числе и роутера и VPN и провайдера, и компа), что в итоге не понял
4. Интерфейс - OpenVPN
5.  Добавить автоматически - включал и выключал. Не понял на что это влияет. 

Проверил в работе. Не работает. Я попадаю в яндекс без VPN 

Сейчас проверил Яндекс через nslookup

nslookup yandex.ru
Server:        127.0.0.53
Address:    127.0.0.53#53

Non-authoritative answer:
Name:    yandex.ru
Address: 77.88.55.55
Name:    yandex.ru
Address: 5.255.255.60
Name:    yandex.ru
Address: 77.88.55.60
Name:    yandex.ru
Address: 5.255.255.55
Name:    yandex.ru
Address: 2a02:6b8:a::a

И что мне подставлять?

Очень плохой пример сайта для проверки. Имеет множество IP адресов которые при обращении к нему часто меняются.

Выберите сайт с единственным IP и с ним проверяйте. 

Правило маршрутизации вроде верно создали. Шлюз никакой писать не нужно.

Проверяйте трассировкой. Если пойдет через IP VPN вместо вашего провайдера, значит работает.

Проблема простого решения такого способа через веб-интерфейс в том, что прошивка не умеет сама доставать все адреса из доменов при создании правил. Всё добавлять в ручную и постоянно отслеживать.

 

Изменено 11 ноября, 2020 пользователем keenet07

[Ranger]

10 hours ago, Panda777 said:

а можно вместо целевого ip указать адрес сайта в виде www.site.ru минимизируя подбор ip.

Нельзя, потому что IP-адрес у www.site.ru в любой момент может измениться.

[Panda777]

1 час назад, Ranger сказал:

Нельзя, потому что IP-адрес у www.site.ru в любой момент может измениться.

Да,  я понял. Я там же написал что ip может меняться. Просто думал что это можно реализовать через программный модуль. Но, как выяснилось, это пока не реализовано.

[satxtreme]

В 11.11.2020 в 11:13, Panda777 сказал:

Интересно, а можно вместо целевого ip указать адрес сайта в виде www.site.ru минимизируя подбор ip. Ведь ip может поменяться. Ведь nslookup выдаёт ip согласно запросу. Выходит введя вместо ip адрес сайта, роутер должен автоматом подставить значение действующего ip, сверяя ip=адрес. По факту избавлюсь от дальнейшего "геморроя" в виде ручной правки адресов. Как это реализовать?

Уважаемые разработчике осуществите пожалуйста выше написаное!!!!!!!!

[satxtreme]

Напишите, ждать или мучаться ?