Настройка выборочной маршрутизации через wireguard

[MDP]

4 минуты назад, Denis P сказал:

нет, речь про nat на интерфейсе сервера. Например

ip nat Wireguard0

без этого ваши клиенты могут получить доступ только в локальную сеть

таааак ...минуточку...проверю.

Это именно на сервере WG...не на клиенте WG ?

 

Изменено 20 декабря, 2024 пользователем MDP

[MDP]

https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

Вот же статья ...я искал не там

[max-756]

Настроил выборочную маршрутизацию через дополнительное соединение wireguard. Туда входит диапазон адресов 142.250.0.0. Сайт на "ю" открывается, но не открываются другие сайты (gmail, keep), которые входят в данный пул адресов. Не понятно почему, может сам gmail блокирует через этот wg интерфейс.  Подскажите, каким образом настроить, чтобы диапазон 142.250.0.0 шел через WG, а исключения определенные доменные имена трафик шел через основное подключение? 

Изменено 25 декабря, 2024 пользователем max-756

[Mescalito]

Маршрутизацию по доменам в кинетиках когда-нибудь реализуют?

Изменено Понедельник в 21:30 пользователем Mescalito

[Yuhter]

15 часов назад, Mescalito сказал:

Маршрутизацию по доменам в кинетиках когда-нибудь реализуют?

Есть ентвар расширение "kvas", умеет по доменному имени добавлять маршруты iptables в туннель.

Грубо говоря выбираешь туннель, и потом в список добавляешь домены. При запросах публичные dns выдают ip адреса и уже они идут в таблицу маршрутизации. 

Тема рабочая, открытые исходники и комьюнити в ТГ. 

С AWG туннелем у меня на Гига работает давно.

[Ground_Zerro]

В 25.12.2024 в 18:40, max-756 сказал:

диапазон адресов

На Viva доступна entware, что открывает больше возможностей чем строить маршрутизацию на IP адресах.
Kvas, xKeen, HydraRoute, AdGuard Home для селективной маршрутизации и множество других вариантов маршрутизации по доменам.
(ссылки кликабельны).

Практически во всех этих решениях уделено внимание вопросам защиты DNS запросов от подмены и преодолению других преград, установленных провайдерами и одной "хорошей" службой, в борьбе за свободный доступ к информации. Авторы старались сделать установку и настройку как можно проще, автоматизировав множество манипуляций которые необходимо произвести на роутере облегчив процесс для пользователя.

Выберите свой.

Изменено вчера в 00:19 пользователем Ground_Zerro

[Mixin]

А как все эти "средства" c iptables работают с аппаратным ускорением?

[Ground_Zerro]

2 часа назад, Mixin сказал:

А как все эти "средства" c iptables работают с аппаратным ускорением?

На простых протоколах OVPN, PPTP, L2TP, iKev2, WG/AWG и т.д. сколько-нибудь заметного падения скорости, лично я не наблюдал.
Vless, Outline, xRay и т.п. - не пользуюсь. По отзывам других пользователей там скорости пониже т.к. на этих "протоколах" все упирается в ЦП роутера, за исключением разве что устройств на ARM.

Или что-то другое имеется ввиду под "работают с аппаратным ускорением"? Скорость, задержки, какие-то другие функции...

[Mixin]

3 минуты назад, Ground_Zerro сказал:

сколько-нибудь заметного падения скорости, лично я не наблюдал.

Т.е., все же одно с другим не работает, я все верно понял?

[Ground_Zerro]

1 минуту назад, Mixin сказал:

одно с другим

Сложно ответить на этот вопрос, не понятно, что имеется ввиду.
Аппаратное ускорение NAT?
Аппаратное ускорения VPN?
QoS?
Что-то еще?

Или дело просто в словосочетании "аппаратное ускорение"?
Согласен, звучит немного загадочно и очень красиво.

[Mixin]

11 часов назад, Ground_Zerro сказал:

Аппаратное ускорение NAT?

Видимо, это. Как оно у кинетиков называется, я не нашёл.

[Ground_Zerro]

8 часов назад, Mixin сказал:

Видимо, это. Как оно у кинетиков называется, я не нашёл.

Во всех приведенных выше вариантах маршрутизация внутри NAT остается штатной т.е. аппаратное ускорение доступно, если оно там было изначально. Тоже самое с шифрованием стандартных протоколов - если оно поддерживалось устройством то оно и будет работать. А вот с шифрованием в Outline, xRay и остальных новомодных не уверен, насколько понимаю практически вся эта работа ложится на CPU.

Если где наврал - меня поправят.


Ну сути сказанного ранее не меняет. Есть более "удобные" варианты борьбы за право свободного доступа к информации чем статические маршруты.

[Mixin]

2 часа назад, Ground_Zerro сказал:

Во всех приведенных выше вариантах маршрутизация внутри NAT остается штатно

У меня сомнения, что все работает штатно при использовании iptables. На примере модели extra загрузка процессора значительно повышается просто при обычном использовании интернета.

Изменено 10 часов назад пользователем Mixin

[DF Guard]

9 часов назад, Ground_Zerro сказал:

практически вся эта работа ложится на CPU.

нужен арм процессор, на процессорах типа как у Вива скорости будут никакие

Приведу цитату с хабра:

Роутеры на базе Mediatek MT7621

Это самый популярный процессор, с ним существует много роутеров. И он отлично поддерживается OpenWrt. Несмотря на то, что процессору уже 10 лет, роутеры на нём до сих пор выпускают. А некоторые компании продают роутеры с ним за много денег.

Плюсы процессора:

• Дешёвый

• Хорошая поддержка OpenWrt

• Есть так называемый offloading. Сам процессор не вывозит гигабит по NAT, но с включенным offloading без проблем.

• Распространён

• Поддерживает USB 3.0

• Для своих десяти лет и MIPS архитектуре может давать хорошую скорость для WireGuard туннелей (130-140 Mb/s)

Минусы тоже есть:

• Главный минус - это то, что для проксей типа Shadowsocks, VLESS и подобных даёт 20-30 Mb/s. Максимум, который я смог из него выжать при tun, был 40 Mb/s. Но в режиме tproxy c VLESS+XTLS для сайтов с TLS 1.3 выдаёт 100Mb/s.

• Ещё хуже дела с OpenVpn и OpenConnect, там в районе 10 Mb/s. Из-за того, что они однопоточные.

• Можно повесить на него стороннюю нагрузку типа служб Samba, torrent, но только в небольшом количестве. Процессор всё-таки ориентирован быть роутером, а не файлопомойкой.

• Максимум скорости, который я видел на нём по Wi-Fi - это 800 Mb/s по Wi-Fi 6. По мне так очень хорошо для десятилетнего процессора, но кому-то может быть мало.

 

Роутеры на базе Mediatek MT7981 (Filogic 820)

Самый свежий бюджетный чипсет на ARM. Вангую: в ближайшее время все бюджетные роутеры будут делать на нём (вместо 7621). Но пока есть только три роутера для OpenWrt.

Filogic 820 по производительности схож с 7622. Пока все роутеры на этом процессоре идут с Wi-Fi 6 чипом MT7976CN, который имеет MU-MIMO 2x2:2 для 2.4 GHz и 2x3:2 для 5 GHz. Максимальную скорость, которую я смог из него выжать была 1.18 Gb/s на ширине канала 160 MHz. На 80 MHz даёт 800 Mb/s.

Скорости

В таблице максимальные скорости, которые я получил на этом процессоре.

wg-bench	380 Mb/s
Wireguard	525 Mb/s
OpenVPN	-
OpenConnect	60 Mb/s
VLESS+XTLS+Reality (sing-box + tun)	250 Mb/s
Shadowsocks2022 (sing-box + tun)	250 Mb/s

Изменено 2 часа назад пользователем DF Guard
дополнение