Маршрутизация по именам доменов

[satxtreme]

Прошу Вас  создать  WEB страницу (Динамические маршруты) для такого сервиса - т.е. пользователь вводит имена доменов и нужный сетевой интерфейс через который к ним обращаться (особенно актуально при наличие разного VPN), тем более что в ПО уже реализована маркировка и создание таб.маршрутизации для нее - это профили. p.s Большинство сайтов используют динамические ip 

 

Изменено 13 марта, 2023 пользователем satxtreme
изминение

[JohnSoap]

В 28.08.2025 в 21:24, zubzer0 сказал:

как сделать, для fqdn свой dns?

суть: точка выхода может быть совсем в другой гео-позиции. При разрешении ip от cdn серверов, роутер получает ip по геолокации, которая не соответствует точке выхода.

как можно решить: если-бы была возможность задать 1.0.0.1 или 8.8.4.4 для fqdn, и в то-же время указать маршрут на 1.0.0.1 через используемый интерфейс. тогда, разрешение ip будет по точке выхода.

или такой вариант, доп.флаг в dns-proxy route object-group для указания, что dns сервер для данной группы будет использоваться только через указанный интерфейс.

p.s. получать *финские ip ютуба имея точку выхода в *бразилии, ну както очень-не-очень. (* к примеру)

Я это сделал через Интернет-фильтры, задал домены и отдельный DNS, маршрут для которого прописан через нужный интерфейс. Вроде корректно работает

[housefeller]

Зачем, если:

1) можно поставить например МТ в Entware

2) дождаться появления в вебе

3) ввести в cli команды, они не ахтунг какие сложные

?

[avn]

В 03.08.2025 в 15:37, Le ecureuil сказал:

Этого вам и хватит. Обычная команда для среднего юзера будет выглядеть как (при условии, что object-group у вас называет GROUP, а ваш интерфейс это Wireguard0):

> dns-proxy route object-group GROUP Wireguard0 auto

Если вы хотите, чтобы при отключении Wireguard0 трафик, который должен йдти в Wireguard0 вообще дропался, вместо того, чтобы по другим рабочим маршрутам идти, то добавьте в конце reject:

> dns-proxy route object-group GROUP Wireguard0 auto reject

Вот примерно так советую всем и использовать.

ipv6 пока мимо?

[Denis P]

27 минут назад, avn сказал:

ipv6 пока мимо?

почему же мимо? там два интерфейса указываются, первый для v4 второй для v6

т.е вот так

dns-proxy route object-group test Wireguard0 Wireguard2 auto reject

Изменено 1 сентября пользователем Denis P

[avn]

7 минут назад, Denis P сказал:

почему же мимо? там два интерфейса указываются, первый для v4 второй для v6

Правил для ipv6 в ip6tables у меня нету.

Изменено 1 сентября пользователем avn

[Denis P]

9 минут назад, avn сказал:

Правил для ipv6 в iptables у меня нету.

у вас нету, а у меня есть)
 

== Chain _NDM_DNSRT_PRERT ==
src: ::/0, dst: ::/0, in: "*", out: "*", proto: "any"; "set" match, include direction: DST, name: "_NDM_OGDN_6_@test"; MARK, value: 0xffffab0, mask: 0xffffffff
src: ::/0, dst: ::/0, in: "*", out: "*", proto: "any"; "set" match, include direction: DST, name: "_NDM_OGDN_6_@test"; CONNMARK, ctmark = 0x0, ctmask = 0xffffffff, mode = SAVE
src: ::/0, dst: ::/0, in: "*", out: "*", proto: "any"; "set" match, include direction: DST, name: "_NDM_OGDN_6_@test"; RETURN

 

[lizgin]

Ну вот, настал этот день, KeeneticOS 5.0 Beta 0 - выведено в GUI роутера. Спасибо разработчикам!

[housefeller]

22 минуты назад, lizgin сказал:

Ну вот, настал этот день, KeeneticOS 5.0 Beta 0 - выведено в GUI роутера. Спасибо разработчикам!

Прошло 2.5 года))))))

[keenet07]

Чет пока не получается через Веб.

Создал список. Добавил пару доменов. Маршруты не указывал.

Попытался зайти по доменам. Заходит. В списке количества IPv4-адресов 0. Ничего не добавилось.

Основные DNS сервера DoH/DoT.

Изменено 1 сентября пользователем keenet07

[VVS]

7 минут назад, keenet07 сказал:

Чет пока не получается через Веб.

Создал список. Добавил пару доменов. Маршруты не указывал.

Попытался зайти по доменам. Заходит. В списке количества IPv4-адресов 0.

В каком списке, в экспортнутой конфигурации?

[snark]

9 минут назад, keenet07 сказал:

Чет пока не получается через Веб.

Создал список. Добавил пару доменов. Маршруты не указывал.

Попытался зайти по доменам. Заходит. В списке количества IPv4-адресов 0. Ничего не добавилось.

Это вроде как, списки добавленных в явном виде ип адресов, 

А те которые домены получают "show object-group fqdn ..."

[FLK]

А будет ли где-нибудь тумблер чтоб включить/выключить например какую-то группу?

[keenet07]

6 минут назад, VVS сказал:

В каком списке, в экспортнутой конфигурации?

Нет. Именно здесь же в вебе. Два столбца есть IPv4-адреса и IPv6-адреса. Это ведь для этого? Там должно отображаться количество собранных IP адресов по доменам в списке?

[keenet07]

6 минут назад, snark сказал:

Это вроде как, списки добавленных в явном виде ип адресов, 

А те которые домены получают "show object-group fqdn ..."

Похоже на то.

Жаль здесь в веб пока нигде нельзя посмотреть насканированные адреса. Или хотя бы их количество. Чтоб видеть процесс.

Изменено 1 сентября пользователем keenet07

[snark]

2 часа назад, Denis P сказал:

почему же мимо? там два интерфейса указываются, первый для v4 второй для v6

т.е вот так

dns-proxy route object-group test Wireguard0 Wireguard2 auto reject

Вот с этим не понятно, это точно первый для v4 второй для v6?

Чего то у меня так не получается, впринципе два разных интерфейса не указываются

[keenet07]

Напомните, а для чего мы тут IP адреса в чистом виде вбиваем?

[Denis P]

6 минут назад, snark сказал:

Вот с этим не понятно, это точно первый для v4 второй для v6?

Чего то у меня так не получается, впринципе два разных интерфейса не указываются

точно точно

[snark]

3 минуты назад, Denis P сказал:

точно точно

Команду вбить можно, а в конфиге что?

[VVS]

22 минуты назад, keenet07 сказал:

Нет. Именно здесь же в вебе. Два столбца есть IPv4-адреса и IPv6-адреса. Это ведь для этого? Там должно отображаться количество собранных IP адресов по доменам в списке?

IMHO не должно, иначе весь смысл теряется - они ж должны динамически определяться.

Или Вы хотите, чтобы они постоянна перерезолвились? - А зачем лишняя нагрузка на проц?

Логичнее резолвить именно в момент запроса.

[Denis P]

6 минут назад, snark сказал:

Команду вбить можно, а в конфиге что?

а то как оно в итоге выглядит в конфиге уже другой вопрос, предположу что реализовано не полностью.
но логика именно такая, даже если укажете один интерфейс увидите что в конфиге их будет два

[keenet07]

4 минуты назад, VVS сказал:

IMHO не должно, иначе весь смысл теряется - они ж должны динамически определяться.

Или Вы хотите, чтобы они постоянна перерезолвились? - А зачем лишняя нагрузка на проц?

Логичнее резолвить именно в момент запроса.

Да динамически. Я не говорю, что они в список должны добавляться. Просто могла бы цифра насканированных IP адресов где-нибудь для всего списка отображаться. Чтоб не лазить в консоль, и ориентироваться как идёт процесс. Мы ведь в консоли это увидеть можем? 

[keenet07]

Ещё вопрос: сканнер резолвер работает через системные DNS? Или ему доступ нужно открыть, если иное у меня заблокировано? 

Изменено 1 сентября пользователем keenet07

[antialt]

В 25.08.2025 в 13:52, Le ecureuil сказал:

Да, все как с обычными роутами.

попробовал, запросы как-будто не долетают в логе шлюза пусто (пробовал интерфейс Домашняя сеть и  через CLI Bridge0).

Если в интерфейсе указать прокси\"самостоятельное подключение" - то работает. А вот напрямую через шлюз не хочет. 

[t800]

15 часов назад, keenet07 сказал:

Ещё вопрос: сканнер резолвер работает через системные DNS? Или ему доступ нужно открыть, если иное у меня заблокировано? 

 

Поддержу вопрос. Понятно, что бета, но прям совсем приходится интуитивно пробираться. Системный профиль DNS используется для маршрутизации по доменным именам? 

Upd. 
Да, в итоге это системный профиль, всё получилось настроить. 

@Le ecureuil Насколько трудоёмко реализовать именованные списки подсетей для блока IPx-Маршруты аналогично тому, как это сделано для DNS-маршрутизации? В существующих реалиях есть потребность суммарно загружать порядка 600+ записей с подсетями. Это можно сделать и сейчас, но тогда список пользовательских маршрутов превращается в бардак, в котором бегло невозможно разобраться, когда дело доходит до отладки проблем. 

Я проверил DNS-маршрутизацию, списки распознают только отдельные IP-адреса. Подсеть в формате X.Y.Z.W/S распознается как доменное имя и, вероятно, не работает (не могу проверить в настоящий момент). Быть может, имеет смысл разрешить вставлять подсети помимо адресов, ведь ipset'ы их поддерживают?

Изменено 2 сентября пользователем t800

[Le ecureuil]

В 02.09.2025 в 00:55, t800 сказал:

 

Поддержу вопрос. Понятно, что бета, но прям совсем приходится интуитивно пробираться. Системный профиль DNS используется для маршрутизации по доменным именам? 

Upd. 
Да, в итоге это системный профиль, всё получилось настроить. 

@Le ecureuil Насколько трудоёмко реализовать именованные списки подсетей для блока IPx-Маршруты аналогично тому, как это сделано для DNS-маршрутизации? В существующих реалиях есть потребность суммарно загружать порядка 600+ записей с подсетями. Это можно сделать и сейчас, но тогда список пользовательских маршрутов превращается в бардак, в котором бегло невозможно разобраться, когда дело доходит до отладки проблем. 

Я проверил DNS-маршрутизацию, списки распознают только отдельные IP-адреса. Подсеть в формате X.Y.Z.W/S распознается как доменное имя и, вероятно, не работает (не могу проверить в настоящий момент). Быть может, имеет смысл разрешить вставлять подсети помимо адресов, ведь ipset'ы их поддерживают?

Очень трудоемко, пока не планируется.