Исключить сайты из проксирования wg

[ganzhin.alex]

Доброго дня, есть впс на убунте, там крутится вайргуард сервер.

кинетик пропускает весь трафик через тунель.

Есть какая то возможность настроить исключения для определенных сайтов ?

Пусть даже с учетом того что ip адреса их могут меняться.

[vasek00]

Стат маршрутами, можно в WEB.

Определяете IP нужно сайта и интерфейсы роутера (Итернета и WG так же в WEB/cli) через которые эти адреса надо отправлять, но так не есть гуд так как большинство сайтов используют кучу сторонних сервисов.

[ganzhin.alex]

34 минуты назад, vasek00 сказал:

Стат маршрутами, можно в WEB.

Определяете IP нужно сайта и интерфейсы роутера (Итернета и WG так же в WEB/cli) через которые эти адреса надо отправлять, но так не есть гуд так как большинство сайтов используют кучу сторонних сервисов.

спасибо за ответ, пытался пробросить через статические маршруты.

Указал ип сайта который не хочу пропускать через туннель, выбрал интерфейс (4g модем).

 

на выходе у меня пропадает инет на машинах полностью.

Изменено 29 ноября, 2022 пользователем ganzhin.alex

[ganzhin.alex]

Да, галку установил.

В общем проблему решил, у меня в приоритетах и подключениях было отключено 4g так как перед ним WG стоял. 

включил и  исключения из туннелирования заработало.

Но теперь другая проблема, в случае падения вайргварда трафик пойдет через модем, не шифруясь. МТС зашейпит скорость )

Это можно предотвратить ? 

Изменено 29 ноября, 2022 пользователем ganzhin.alex

[vasek00]

13 часа назад, ganzhin.alex сказал:

Это можно предотвратить ? 

Вопрос а зачем вы поставили галку на 4G -> тем самым вы получили настройку резервного канала, т.е. у вас в данном профиле есть два выхода в интернет получаете один основной второй резервный. Cуть галок в данном случае это на данных интерфейсах установить " ip global параметр"

Цитата

Установить для интерфейса свойство «global» с параметром. Это свойство необходимо для установки маршрута по умолчанию, работы
DynDNS-клиента и NAT. Можно представлять global-интерфейсы, как ведущие в глобальную сеть (в интернет). Параметр свойства «global» влияет на приоритет интерфейса в праве установить маршрут по умолчанию. Чем приоритет больше, тем желательнее для пользователя выход в глобальную сеть через указанный интерфейс. С помощью приоритета реализуется функция резервирования подключения в интернет (WAN backup) «global».

Если нет данного параметра то нет и приоритета но интерфейс поднят, и в случае пропадания WG на 4G ни какого переключения не будет. При таком раскладе (без галки) данный интерфейс активирован и так же возможно через него прописывать стат маршруты по которому могут проходить пакетики.

Примечание - используйте WEB cli для понимания что и как команду при наличие профилей - "show ip route table XX" где XX :

40 - для основного профиля

42, 43, 44 и т.д. для последующих сосзданных профилей по списку на странице профилей.

[ganzhin.alex]

1 час назад, vasek00 сказал:

Вопрос а зачем вы поставили галку на 4G -> тем самым вы получили настройку резервного канала

ну да, это я понимаю, у меня ранее и была снята галка для этого профиля (профиль применен Только для ПК с Win).

Не использовать 4g как резервный канал = > не будет утечки трафика без шифрования (с установленной галкой иногда шейпили трафик, я так понимаю отвалился wg и трафик пошел через модем по резерв каналу).

Но в таком варианте (без галки на 4g) у меня нет доступа к сайтам адреса которых прописаны в стат.маршрутах.

(+сейчас сайты с заданным маршрутом открываются но трафик идет все равно через впн, ранее не открывались, вроде нечего не делал, возможно реально ребут повлиял, при включении резервного канала - исключенные сайты идут через модем без впн)

(Адрес шлюза указал Ip модема - 192.168.1.8 \ интерфейс - 4g)

Может че то не так понял я ...

с терминалом и линуксом в целом, пока туговато у меня...) маршруты в консоли выглядят страшно.

 

Может в шлюз не то написал?

Изменено 30 ноября, 2022 пользователем ganzhin.alex

[vasek00]

34 минуты назад, ganzhin.alex сказал:

Не использовать 4g как резервный канал = > не будет утечки трафика без шифрования (с установленной галкой иногда шейпили трафик, я так понимаю отвалился wg и трафик пошел через модем по резерв каналу).

Начнем с основ - есть таблица маршрутизации, т.е. если идет обращение к сервису/странице в интернете (точнее к IP адресу) и для него нет соответствия в таблице маршрутов то данные пакетики побегут по DEFAULT маршруту, который установлен галкой в WEB и только на данной политике. В данном случае ГАЛКА стоит только на WG -> при пропадание данного канала в данном профиле ИСЧЕЗНЕТ канал DEFAULT т.е. любой пакетик который не найдет для себя записи в таблице маршрута не куда не пойдет. Если стоит еще галка на 4G и она ниже WG то просто пропишется DEFAULT маршрут на данный интерфейс 4G.

Для понимания по проще

Таблица маршрутов в созданном профиле + cозданный стат.маршрут 77.78.8.8 на канал Интернета 
PPPoE (ppp0) от РТ, nwg0 это интерфейс Wireguard с галкой в настроках профиля WG (table 42)

~ # ip ro show table 42
default dev nwg0  scope link 
10.10.10.0/24 dev eth2.9  scope link 
77.78.8.8 dev ppp0  scope link 
...
192.168.1.0/24 dev br0  scope link 
192.168.1.1 dev nwg0  scope link 

Выкл. WG -> пропал DEFAULT маршрут
~ # ip ro show table 42
10.10.10.0/24 dev eth2.9  scope link 
77.78.8.8 dev ppp0  scope link 
...

Вкл. WG и появился DEFAULT маршрут
~ # ip ro show table 42
default dev nwg0  scope link 
10.10.10.0/24 dev eth2.9  scope link 
77.78.8.8 dev ppp0  scope link 
...

Но как видим стат маршрут прописанный остался, т.е. данный сервис 77.78.8.8 будет продолжать работать даже при проблемах на WG канале, так как ppp0 он же провайдер.

Изменено 30 ноября, 2022 пользователем vasek00