AdGuard Home для селективной маршрутизации доменов

[vasek00]

В 15.01.2025 в 17:27, iMacSeem сказал:

Подскажите, как сделать чтобы правила AGH работали не только для политики по умолчанию, но и для других. (2 провайдера в дом заходят и устройства по разному настроены)

Пока работает 43хх (пока это потому если вдруг очередная плюшка в реализации ПО не поломает ее).

Два провайдера, AGH работает через основного который так сказать в основной политике, но можно завернуть и в канал второго провайдера (даже если второй не основной, т.е. стат маршрут upstream_dns на интерфейс второго). Есть два WG (в настройках по ним не указан ни какой DNS) + еще доп сегмент для wifi некоторых. Клиенты как в основной политике, так и в политиках в которых WG основной, так в политике с стат.маршрутами - роли не играет. DNS на провайдерах выключены.

Спойлер

сам AGH настройки yaml, ни каких 0.0.0.0

dns:
  bind_hosts:
    - 192.168.Роутер
    - 127.0.0.1 **** для обновления и других лок.сервисов
    - ::1
  port: 53
...
  upstream_dns:
    - '# tls://safe.dot.dns.yandex.net'
    - tls://1dot1dot1dot1.cloudflare-dns.com
    - tls://dns.google.com
  upstream_dns_file: ""
  bootstrap_dns:
    - 9.9.9.10
  fallback_dns:
    - tls://comss.dns.controld.com
  upstream_mode: load_balance
...

Пробовал и "Параллельные запросы" и "Самый быстрый", но остался на "Распределение нагрузки"

Настройки AGH - все запросы от него идут на провайдера RT так как у него "ip global" выше (по умолчанию)

interface PPPoE0
    description RosTelecom
    role inet
    no ipv6cp
    security-level public
    ip mtu 1492
    ip global 65387 ************** определяет приоритет провайдера
    ip tcp adjust-mss pmtu
    ip no name-servers

interface GigabitEthernet0/Vlan9
    description Inet-2
    security-level public
    ip mtu 1500
    ip global 65382 ************** определяет приоритет провайдера
    ip no name-servers

В итоге 53 порт

~ # netstat -ntulp | grep :53
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 192.168.Роутер:53       0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 ::1:53                  :::*                    LISTEN      984/AdGuardHome
udp        0      0 127.0.0.1:53            0.0.0.0:*                           984/AdGuardHome
udp        0      0 192.168.Роутер:53       0.0.0.0:*                           984/AdGuardHome
udp        0      0 ::1:53                  :::*                                984/AdGuardHome

Далее маленькая фишка

ip name-server 192.168.Роутер
ip name-server 192.168.Роутер "" on Home


interface Bridge0
    rename Home
    description HomeLan

interface Bridge1
    description HomeSmart

ip dhcp pool _WEBADMIN_BRIDGE1
    range 192.168.SMART.70 192.168.SMART.81
    default-router 192.168.SMART.хх
    dns-server 192.168.Роутер
    lease 86400
    bind Bridge1
    enable
!
ip dhcp pool _WEBADMIN_HOME
    range 192.168.Роутер.160 192.168.Роутер.184
    default-router 192.168.Роутер
    dns-server 192.168.Роутер
    lease 86400
    bind Home
    enable

Сами WG

interface Wireguard0
    description Cl
    security-level public
    ip mtu 1320
    ip global 65359

interface Wireguard1
    description Pt
    security-level public
    ip mtu 1324
    ip global 65377

ip policy Policy0
    description Cl-d
    permit global Wireguard0
    no permit global GigabitEthernet0/Vlan9
    no permit global PPPoE0
    no permit global Wireguard1
    no permit global Wireguard2
    
ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9
    no permit global PPPoE0
    no permit global Wireguard1
    no permit global Wireguard0
    no permit global Wireguard2
    multipath

ip policy Policy2
    description At
    permit global Wireguard1
    no permit global GigabitEthernet0/Vlan9
    no permit global Wireguard0
    no permit global PPPoE0
    no permit global Wireguard2
    
ip policy Policy3
    description Yt
    permit global PPPoE0
    no permit global GigabitEthernet0/Vlan9
    no permit global Wireguard0
    no permit global Wireguard1
    no permit global Wireguard2
    ...
    route 142.250.0.0 255.254.0.0 Wireguard0 auto reject
    ...

Есть и WG3 для удаленных клиентов (смартфон) указав в настройках WG на смартфоне (IP роутера) так же использует AGH роутера, для выхода в интернет через него.

ip hotspot
...
    policy Wireguard2 Policy0
...

ipset подключается через

  ipset: []
  ipset_file: /opt/home/AdGuardHome/ipset.conf

Если клиент в политике c multipath, то проблем с интернетом речь естественно про DNS запросы не встречал.

 

Изменено 28 января пользователем vasek00

[Ground_Zerro]

В 29.01.2025 в 04:48, vasek00 сказал:

Пока работает 43хх

Уважаемый vasek00 7 раз перечитал, ну не получается вникнуть в таинство, не выходит каменный цветок...

Можно чуть подробней, не всем дано, не все семи пядей во лбу..
Где это взять и с чем едят?? Хотя-бы "где взять"?
 

Спойлер

interface PPPoE0
    description RosTelecom
    role inet
    no ipv6cp
    security-level public
    ip mtu 1492
    ip global 65387 ************** определяет приоритет провайдера
    ip tcp adjust-mss pmtu
    ip no name-servers

interface GigabitEthernet0/Vlan9

 

[vasek00]

5 часов назад, Ground_Zerro сказал:

Уважаемый vasek00 7 раз перечитал, ну не получается вникнуть в таинство, не выходит каменный цветок...

Можно чуть подробней, не всем дано, не все семи пядей во лбу..
Где это взять и с чем едят?? Хотя-бы "где взять"?

А куда еще проще даже и не знаю.

Спойлер

На клиенте который в профиле с WG1

~ # netstat -ntulp | grep AdGuard
tcp        0      0 192.168.130.96:ХХХХ     0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 192.168.130.96:53       0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 ::1:53                  :::*                    LISTEN      984/AdGuardHome
udp        0      0 127.0.0.1:53            0.0.0.0:*                           984/AdGuardHome
udp        0      0 192.168.130.96:53       0.0.0.0:*                           984/AdGuardHome
udp        0      0 ::1:53                  :::*                                984/AdGuardHome
~ #

Доп.сегмент на роутере так же через AGH

 

 

Изменено 30 января пользователем vasek00

[taravasya]

Довольно много раз настраивал по инструкции от r13, всё ехало нормально. А сегодня вот не сумел победить Kennetic GIGA
ipset --list bypass наполняется ip адресами
В панели управления adguradhome, вижу DNS запросы.
VPN сам по себе работает. Если выставить ему высший приоритет в политике по умолчанию, заблоченные сайты начинают бегать.
Но по выборочной метОде заблокированные сайты из спиcка bypass, всё равно не открываются, а проверка ip-адреса на незаблокированном сайте, который должен маршрутизироваться через VPN, показывает местный ip адрес.
Куда копнуть? Все настройки перепроверил 20 раз.
Как диагностировать?

Изменено 13 февраля пользователем taravasya

[Ground_Zerro]

8 часов назад, taravasya сказал:

Как диагностировать?

Проверить наличие правил в iptables.

Проверить чтобы имя интерфейса в скриптах соответствовало текущему системному имени VPN интерфейса.
- Они меняются если их добавлять/удалять (Пример: добавил один он nwg0, добавил второй он nwg1, удалил первый и второй стал nwg0).

[taravasya]

2 часа назад, Ground_Zerro сказал:

Проверить наличие правил в iptables

Вот тут кажется было пусто. Что это может означать? Не помечаются пакеты? Если исходить из того, что имя интерфейса 100% использовалось правильное, что может послужить причиной тому?

[Ground_Zerro]

8 минут назад, taravasya сказал:

Что это может означать?

Если следовать логическому ходу то не отработал/отрабатывает скрипт из netfilter.d - правила затираются.

Изменено 14 февраля пользователем Ground_Zerro