ipset-dns для выборочного роутинга

[Сергей Грищенко]

Всем кто использует данное решение, поддержите пожалуйста запрос на расширение количества серверов, сейчас в данном решении можно использовать максимум 64, хотелось бы увеличить это количество. Нужно перейти в тему и проголосовать.

Изменено 28 января пользователем Сергей Грищенко

[slavave]

Доброго дня.

Установил на Keenetik ipset. Но есть вопрос. 

В случае подключения к Keenetiс с установленным ipset через wireguard и использования этого туннеля для выхода в интернет через Keenetik, то при обращении чрез этот туннель, к сайту, указанному в списке DNS в web интерфейсе, наполнение набора bypass не происходит ( это видно по команде ipset list bypass  ). Но стоит запустить Ping через Web интерфейс роутера, сразу добавляются IP адреса и уже при запросе с удаленного компьютера через wireguard, кинетик отрабатывает  маршрутизацию.

В чем может быть дело и как это исправить ?

Изменено 5 февраля пользователем slavave

[keenet07]

20 часов назад, slavave сказал:

В чем может быть дело и как это исправить ?

Что бы список начал наполняться кто-то должен на роутере инициировать DNS запросы к этим доменам. Именно это и запускает процесс пополнения.

Подключаясь через Wireguard dns запросы вообще могут происходить на стороне клиента. Соответственно ничто не пополняет список IP и не создает маршруты.

Но даже если DNS запросы удаленных клиентов происходят со стороны Wireguard, то возможно как то это всё происходит мимо стандартной процедуры роутера. Вот тут не уверен, нужно проверять.

Проверьте как происходит у вас. 

[slavave]

А как проверить?

Может этот решить запуском ping на роутере при его загрузке по всем сайтам в списке ? Мне кажется вполне себе нормально д.б. Как лучше это сделать?

Изменено 5 февраля пользователем slavave

[keenet07]

30 минут назад, slavave сказал:

Может этот решить запуском ping на роутере при его загрузке по всем сайтам в списке ? Мне кажется вполне себе нормально д.б.

Так это будет работать крайне не стабильно, либо вообще не будет. Многие домены имеют множество IP адресов и нет никаких гарантий, что IP адрес полученный для домена на стороне клиента будет тем же самым, что IP адрес полученный на кинетике. И в итоге кинетик перенаправит маршрут на один адрес, а с клиента вы будете стучаться на другой.

Да и вообще не возможно будет собрать все возможные домены для пинга на кинетике. 

 

Подождите может подскажут возможно ли резолвить адреса через NAT wireguard на внутреннем резолвере кинетика. И что там нужно ещё настроить в wireguard. Я им не пользовался.

Изменено 5 февраля пользователем keenet07

[slavave]

НУ так если я делаю ping через веб интерфейс кинетика по доменному имени, то в набор bypass  добавляются множество IP адресов сразу.

[keenet07]

59 минут назад, slavave сказал:

НУ так если я делаю ping через веб интерфейс кинетика по доменному имени, то в набор bypass  добавляются множество IP адресов сразу.

Несколько адресов на один домен может прилететь, а может и один всего. И точно не все возможные.

Попробуйте пингануть youtube.com с компьютера или с роутера. Какой адрес вы получите? А если попробовать снова спустя какое-то время? С большой долей вероятности адрес будет уже другой. А если использовать разные DNS сервера?

А теперь сравните свой адрес с тем что выдаст вот этот сервис:

https://ciox.ru/get_all_ip_address_of_host

Совпадает?

И второе. В любом случае при удаленном обращении вы не знаете какие именно домены нужно пропинговать например чтоб работал youtube конкретно для этого клиента.

При просмотре видео он обращается к множеству различных поддоменов arn11s11-in-f14.1e100.net в домене 1e100.net. Как вы будете узнавать на роутере эти поддомены для того чтобы заранее их пропинговать и собрать нужные адреса?

На самом роутере этим занимается его внутренний функционал, достаточно указать только домен и он обработает и поддомен по которому вы обращаетесь. 

Но в случае когда удленный клиент резолвит адреса на своей стороне на роутер приходят обращения уже в виде конкретных IP адресов.

 

Изменено 6 февраля пользователем keenet07

[el_marso]

Подскажите пожалуйста, в какую сторону копать.

На vps поднял amneziaWG через него и проходит весь траффик. Наполнение набора bypass  происходит нормально, сайты открываются - все хорошо.

Но постоянно пропадает доступ до всех сайтов из списка и падает с ошибкой DNS_PROBE_FINISHED_NXDOMAIN. Причем, доступ сам по себе восстанавливается, иногда через минуту, иногда через 10 минут или полчаса.

При этом, проблема часто бывает с конкретным устройством. Т.е. пока на компе такая ошибка, на другом компе или телефоне, к эти же сайтам без проблем доступ осуществляется.

[Александр Рыжов]

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

[el_marso]

17 часов назад, Александр Рыжов сказал:

Порт желательно поменять с 5353 на другой, скажем 5350, чтобы избежать конфликта с одной из встроенных служб.

Спасибо, в моменте помогло. Понаблюдаю, что будет дальше.