AdGuard Home для селективной маршрутизации доменов

[vasek00]

В 15.01.2025 в 17:27, iMacSeem сказал:

Подскажите, как сделать чтобы правила AGH работали не только для политики по умолчанию, но и для других. (2 провайдера в дом заходят и устройства по разному настроены)

Пока работает 43хх (пока это потому если вдруг очередная плюшка в реализации ПО не поломает ее).

Два провайдера, AGH работает через основного который так сказать в основной политике, но можно завернуть и в канал второго провайдера (даже если второй не основной, т.е. стат маршрут upstream_dns на интерфейс второго). Есть два WG (в настройках по ним не указан ни какой DNS) + еще доп сегмент для wifi некоторых. Клиенты как в основной политике, так и в политиках в которых WG основной, так в политике с стат.маршрутами - роли не играет. DNS на провайдерах выключены.

Спойлер

сам AGH настройки yaml, ни каких 0.0.0.0

dns:
  bind_hosts:
    - 192.168.Роутер
    - 127.0.0.1 **** для обновления и других лок.сервисов
    - ::1
  port: 53
...
  upstream_dns:
    - '# tls://safe.dot.dns.yandex.net'
    - tls://1dot1dot1dot1.cloudflare-dns.com
    - tls://dns.google.com
  upstream_dns_file: ""
  bootstrap_dns:
    - 9.9.9.10
  fallback_dns:
    - tls://comss.dns.controld.com
  upstream_mode: load_balance
...

Пробовал и "Параллельные запросы" и "Самый быстрый", но остался на "Распределение нагрузки"

Настройки AGH - все запросы от него идут на провайдера RT так как у него "ip global" выше (по умолчанию)

interface PPPoE0
    description RosTelecom
    role inet
    no ipv6cp
    security-level public
    ip mtu 1492
    ip global 65387 ************** определяет приоритет провайдера
    ip tcp adjust-mss pmtu
    ip no name-servers

interface GigabitEthernet0/Vlan9
    description Inet-2
    security-level public
    ip mtu 1500
    ip global 65382 ************** определяет приоритет провайдера
    ip no name-servers

В итоге 53 порт

~ # netstat -ntulp | grep :53
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 192.168.Роутер:53       0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 ::1:53                  :::*                    LISTEN      984/AdGuardHome
udp        0      0 127.0.0.1:53            0.0.0.0:*                           984/AdGuardHome
udp        0      0 192.168.Роутер:53       0.0.0.0:*                           984/AdGuardHome
udp        0      0 ::1:53                  :::*                                984/AdGuardHome

Далее маленькая фишка

ip name-server 192.168.Роутер
ip name-server 192.168.Роутер "" on Home


interface Bridge0
    rename Home
    description HomeLan

interface Bridge1
    description HomeSmart

ip dhcp pool _WEBADMIN_BRIDGE1
    range 192.168.SMART.70 192.168.SMART.81
    default-router 192.168.SMART.хх
    dns-server 192.168.Роутер
    lease 86400
    bind Bridge1
    enable
!
ip dhcp pool _WEBADMIN_HOME
    range 192.168.Роутер.160 192.168.Роутер.184
    default-router 192.168.Роутер
    dns-server 192.168.Роутер
    lease 86400
    bind Home
    enable

Сами WG

interface Wireguard0
    description Cl
    security-level public
    ip mtu 1320
    ip global 65359

interface Wireguard1
    description Pt
    security-level public
    ip mtu 1324
    ip global 65377

ip policy Policy0
    description Cl-d
    permit global Wireguard0
    no permit global GigabitEthernet0/Vlan9
    no permit global PPPoE0
    no permit global Wireguard1
    no permit global Wireguard2
    
ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9
    no permit global PPPoE0
    no permit global Wireguard1
    no permit global Wireguard0
    no permit global Wireguard2
    multipath

ip policy Policy2
    description At
    permit global Wireguard1
    no permit global GigabitEthernet0/Vlan9
    no permit global Wireguard0
    no permit global PPPoE0
    no permit global Wireguard2
    
ip policy Policy3
    description Yt
    permit global PPPoE0
    no permit global GigabitEthernet0/Vlan9
    no permit global Wireguard0
    no permit global Wireguard1
    no permit global Wireguard2
    ...
    route 142.250.0.0 255.254.0.0 Wireguard0 auto reject
    ...

Есть и WG3 для удаленных клиентов (смартфон) указав в настройках WG на смартфоне (IP роутера) так же использует AGH роутера, для выхода в интернет через него.

ip hotspot
...
    policy Wireguard2 Policy0
...

ipset подключается через

  ipset: []
  ipset_file: /opt/home/AdGuardHome/ipset.conf

Если клиент в политике c multipath, то проблем с интернетом речь естественно про DNS запросы не встречал.

 

Edited January 28 by vasek00

[Ground_Zerro]

В 29.01.2025 в 04:48, vasek00 сказал:

Пока работает 43хх

Уважаемый vasek00 7 раз перечитал, ну не получается вникнуть в таинство, не выходит каменный цветок...

Можно чуть подробней, не всем дано, не все семи пядей во лбу..
Где это взять и с чем едят?? Хотя-бы "где взять"?
 

Спойлер

interface PPPoE0
    description RosTelecom
    role inet
    no ipv6cp
    security-level public
    ip mtu 1492
    ip global 65387 ************** определяет приоритет провайдера
    ip tcp adjust-mss pmtu
    ip no name-servers

interface GigabitEthernet0/Vlan9

 

[vasek00]

5 часов назад, Ground_Zerro сказал:

Уважаемый vasek00 7 раз перечитал, ну не получается вникнуть в таинство, не выходит каменный цветок...

Можно чуть подробней, не всем дано, не все семи пядей во лбу..
Где это взять и с чем едят?? Хотя-бы "где взять"?

А куда еще проще даже и не знаю.

Спойлер

На клиенте который в профиле с WG1

~ # netstat -ntulp | grep AdGuard
tcp        0      0 192.168.130.96:ХХХХ     0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 192.168.130.96:53       0.0.0.0:*               LISTEN      984/AdGuardHome
tcp        0      0 ::1:53                  :::*                    LISTEN      984/AdGuardHome
udp        0      0 127.0.0.1:53            0.0.0.0:*                           984/AdGuardHome
udp        0      0 192.168.130.96:53       0.0.0.0:*                           984/AdGuardHome
udp        0      0 ::1:53                  :::*                                984/AdGuardHome
~ #

Доп.сегмент на роутере так же через AGH

 

 

Edited January 30 by vasek00

[taravasya]

Довольно много раз настраивал по инструкции от r13, всё ехало нормально. А сегодня вот не сумел победить Kennetic GIGA
ipset --list bypass наполняется ip адресами
В панели управления adguradhome, вижу DNS запросы.
VPN сам по себе работает. Если выставить ему высший приоритет в политике по умолчанию, заблоченные сайты начинают бегать.
Но по выборочной метОде заблокированные сайты из спиcка bypass, всё равно не открываются, а проверка ip-адреса на незаблокированном сайте, который должен маршрутизироваться через VPN, показывает местный ip адрес.
Куда копнуть? Все настройки перепроверил 20 раз.
Как диагностировать?

Edited February 13 by taravasya

[Ground_Zerro]

8 часов назад, taravasya сказал:

Как диагностировать?

Проверить наличие правил в iptables.

Проверить чтобы имя интерфейса в скриптах соответствовало текущему системному имени VPN интерфейса.
- Они меняются если их добавлять/удалять (Пример: добавил один он nwg0, добавил второй он nwg1, удалил первый и второй стал nwg0).

[taravasya]

2 часа назад, Ground_Zerro сказал:

Проверить наличие правил в iptables

Вот тут кажется было пусто. Что это может означать? Не помечаются пакеты? Если исходить из того, что имя интерфейса 100% использовалось правильное, что может послужить причиной тому?

[Ground_Zerro]

8 минут назад, taravasya сказал:

Что это может означать?

Если следовать логическому ходу то не отработал/отрабатывает скрипт из netfilter.d - правила затираются.

Edited February 14 by Ground_Zerro

[Givanich]

Приветствую! А у кого-нибудь получилось запустить websocket на данном методе маршрутизации?
Я так понимаю, что надо сделать так, чтобы можно было указывать диапазон ip адресов голосовых чатов.

А для этого надо вроде как, чтобы устройство поддерживало hash:net. В общем то, все устройства которые у меня были, поддерживают hash:net, даже допотопная zyxel extra.

Edited March 13 by Givanich

[Givanich]

В 13.03.2025 в 10:44, Givanich сказал:

Приветствую! А у кого-нибудь получилось запустить websocket на данном методе маршрутизации?
Я так понимаю, что надо сделать так, чтобы можно было указывать диапазон ip адресов голосовых чатов.

А для этого надо вроде как, чтобы устройство поддерживало hash:net. В общем то, все устройства которые у меня были, поддерживают hash:net, даже допотопная zyxel extra.

Проверил свою теорию, всё действительно начинает работать.
При добавлении командой ip адресов:

ipset -exist add hr1 <ip>

Войс чат начинает работать, только вот теперь надо как-то добавить обработку ip адресов в скрипт. Просто добавляя ip адрес в файл ipset, он не появляется в наборе ipset. Городить дополнительный скрипт не хочется, да и с появлением веб-панели, было бы удобнее, чтобы их можно было обновлять через веб панель HydraRoute.

[Ground_Zerro]

14 часов назад, Givanich сказал:

Войс чат начинает работать

Сложность в том, что клиент подключается к RTC серверу по IP, домены не используются. Нет домена - нечего добавлять в ipset.
Если есть рабочие варианты как угадать IP-адрес сервера к которому пошел клиент - пишите.

Прогнал через DM voice домены Discord получилось 830/24 подвести. Многовато, для игры в угадайку.

DiscordIPs.txt

Edited March 15 by Ground_Zerro