Настройка выборочной маршрутизации через wireguard

[MDP]

4 минуты назад, Denis P сказал:

нет, речь про nat на интерфейсе сервера. Например

ip nat Wireguard0

без этого ваши клиенты могут получить доступ только в локальную сеть

таааак ...минуточку...проверю.

Это именно на сервере WG...не на клиенте WG ?

 

Изменено 20 декабря, 2024 пользователем MDP

[MDP]

https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель

Вот же статья ...я искал не там

[max-756]

Настроил выборочную маршрутизацию через дополнительное соединение wireguard. Туда входит диапазон адресов 142.250.0.0. Сайт на "ю" открывается, но не открываются другие сайты (gmail, keep), которые входят в данный пул адресов. Не понятно почему, может сам gmail блокирует через этот wg интерфейс.  Подскажите, каким образом настроить, чтобы диапазон 142.250.0.0 шел через WG, а исключения определенные доменные имена трафик шел через основное подключение? 

Изменено 25 декабря, 2024 пользователем max-756

[Mescalito]

Маршрутизацию по доменам в кинетиках когда-нибудь реализуют?

Изменено 6 января пользователем Mescalito

[Yuhter]

15 часов назад, Mescalito сказал:

Маршрутизацию по доменам в кинетиках когда-нибудь реализуют?

Есть ентвар расширение "kvas", умеет по доменному имени добавлять маршруты iptables в туннель.

Грубо говоря выбираешь туннель, и потом в список добавляешь домены. При запросах публичные dns выдают ip адреса и уже они идут в таблицу маршрутизации. 

Тема рабочая, открытые исходники и комьюнити в ТГ. 

С AWG туннелем у меня на Гига работает давно.

[Ground_Zerro]

В 25.12.2024 в 18:40, max-756 сказал:

диапазон адресов

На Viva доступна entware, что открывает больше возможностей чем строить маршрутизацию на IP адресах.
Kvas, xKeen, HydraRoute, AdGuard Home для селективной маршрутизации и множество других вариантов маршрутизации по доменам.
(ссылки кликабельны).

Практически во всех этих решениях уделено внимание вопросам защиты DNS запросов от подмены и преодолению других преград, установленных провайдерами и одной "хорошей" службой, в борьбе за свободный доступ к информации. Авторы старались сделать установку и настройку как можно проще, автоматизировав множество манипуляций которые необходимо произвести на роутере облегчив процесс для пользователя.

Выберите свой.

Изменено 8 января пользователем Ground_Zerro

[Mixin]

А как все эти "средства" c iptables работают с аппаратным ускорением?

[Ground_Zerro]

2 часа назад, Mixin сказал:

А как все эти "средства" c iptables работают с аппаратным ускорением?

На простых протоколах OVPN, PPTP, L2TP, iKev2, WG/AWG и т.д. сколько-нибудь заметного падения скорости, лично я не наблюдал.
Vless, Outline, xRay и т.п. - не пользуюсь. По отзывам других пользователей там скорости пониже т.к. на этих "протоколах" все упирается в ЦП роутера, за исключением разве что устройств на ARM.

Или что-то другое имеется ввиду под "работают с аппаратным ускорением"? Скорость, задержки, какие-то другие функции...

[Mixin]

3 минуты назад, Ground_Zerro сказал:

сколько-нибудь заметного падения скорости, лично я не наблюдал.

Т.е., все же одно с другим не работает, я все верно понял?

[Ground_Zerro]

1 минуту назад, Mixin сказал:

одно с другим

Сложно ответить на этот вопрос, не понятно, что имеется ввиду.
Аппаратное ускорение NAT?
Аппаратное ускорения VPN?
QoS?
Что-то еще?

Или дело просто в словосочетании "аппаратное ускорение"?
Согласен, звучит немного загадочно и очень красиво.

[Mixin]

11 часов назад, Ground_Zerro сказал:

Аппаратное ускорение NAT?

Видимо, это. Как оно у кинетиков называется, я не нашёл.

[Ground_Zerro]

8 часов назад, Mixin сказал:

Видимо, это. Как оно у кинетиков называется, я не нашёл.

Во всех приведенных выше вариантах маршрутизация внутри NAT остается штатной т.е. аппаратное ускорение доступно, если оно там было изначально. Тоже самое с шифрованием стандартных протоколов - если оно поддерживалось устройством то оно и будет работать. А вот с шифрованием в Outline, xRay и остальных новомодных не уверен, насколько понимаю практически вся эта работа ложится на CPU.

Если где наврал - меня поправят.


Ну сути сказанного ранее не меняет. Есть более "удобные" варианты борьбы за право свободного доступа к информации чем статические маршруты.

[Mixin]

2 часа назад, Ground_Zerro сказал:

Во всех приведенных выше вариантах маршрутизация внутри NAT остается штатно

У меня сомнения, что все работает штатно при использовании iptables. На примере модели extra загрузка процессора значительно повышается просто при обычном использовании интернета.

Изменено 9 января пользователем Mixin

[KeenCrazeDzaDza]

9 часов назад, Ground_Zerro сказал:

практически вся эта работа ложится на CPU.

нужен арм процессор, на процессорах типа как у Вива скорости будут никакие

Приведу цитату с хабра:

Роутеры на базе Mediatek MT7621

Это самый популярный процессор, с ним существует много роутеров. И он отлично поддерживается OpenWrt. Несмотря на то, что процессору уже 10 лет, роутеры на нём до сих пор выпускают. А некоторые компании продают роутеры с ним за много денег.

Плюсы процессора:

• Дешёвый

• Хорошая поддержка OpenWrt

• Есть так называемый offloading. Сам процессор не вывозит гигабит по NAT, но с включенным offloading без проблем.

• Распространён

• Поддерживает USB 3.0

• Для своих десяти лет и MIPS архитектуре может давать хорошую скорость для WireGuard туннелей (130-140 Mb/s)

Минусы тоже есть:

• Главный минус - это то, что для проксей типа Shadowsocks, VLESS и подобных даёт 20-30 Mb/s. Максимум, который я смог из него выжать при tun, был 40 Mb/s. Но в режиме tproxy c VLESS+XTLS для сайтов с TLS 1.3 выдаёт 100Mb/s.

• Ещё хуже дела с OpenVpn и OpenConnect, там в районе 10 Mb/s. Из-за того, что они однопоточные.

• Можно повесить на него стороннюю нагрузку типа служб Samba, torrent, но только в небольшом количестве. Процессор всё-таки ориентирован быть роутером, а не файлопомойкой.

• Максимум скорости, который я видел на нём по Wi-Fi - это 800 Mb/s по Wi-Fi 6. По мне так очень хорошо для десятилетнего процессора, но кому-то может быть мало.

 

Роутеры на базе Mediatek MT7981 (Filogic 820)

Самый свежий бюджетный чипсет на ARM. Вангую: в ближайшее время все бюджетные роутеры будут делать на нём (вместо 7621). Но пока есть только три роутера для OpenWrt.

Filogic 820 по производительности схож с 7622. Пока все роутеры на этом процессоре идут с Wi-Fi 6 чипом MT7976CN, который имеет MU-MIMO 2x2:2 для 2.4 GHz и 2x3:2 для 5 GHz. Максимальную скорость, которую я смог из него выжать была 1.18 Gb/s на ширине канала 160 MHz. На 80 MHz даёт 800 Mb/s.

Скорости

В таблице максимальные скорости, которые я получил на этом процессоре.

wg-bench	380 Mb/s
Wireguard	525 Mb/s
OpenVPN	-
OpenConnect	60 Mb/s
VLESS+XTLS+Reality (sing-box + tun)	250 Mb/s
Shadowsocks2022 (sing-box + tun)	250 Mb/s

Изменено 9 января пользователем DF Guard
дополнение

[HouseMD]

Добрый день!

Имеется проблема с разделением трафика youtube и остальных сайтов. Есть VPN соединение, если его в приоритетах подключений задвинуть наверх, то через него открываются все сайты, включая ютуб на всех устройствах, подключенных к роутеру - на смартфонах, в браузерах на компе, на эппл тв. 

Далее, естественно хочу, чтобы до ютуба трафик ходил через впн, а до остальных сайтов - напрямую. Действую как пишут в интернетах и в т.ч. в этой теме. В свойствах VPN соединения снимаю галку "Использовать для выхода в интернет" (при этом соединение исчезает из вкладки "Приоритеты подключений" - так должно быть?), в приоритетах остается только подключение к интернету. В раздел статические маршруты добавляю маршруты до ютуба (маршруты с вполне известного ресурса, не знаю можно ли давать здесь ссылки).

В итоге получаю такую ситуацию - ютуб открывается нормально только на эппл тв, а вот айфоне, в разных браузерах на компе - ютуб не работает, максимум подгружаются только превьюшки.

Update:

Эксперементировал вчера весь вечер. Испробовал протоколы PPTP, OpenVPN, WireGuard. В какой-то момент удалось заставить работать ютуб и в браузере на компе тоже. Но на компе через 20-30 минут ютуб отваливается, т.е. если идет через VPN около значка ютуба горит PL (Польша), но через 20-30 минут вместо PL опять отображается RU и видео перестают открываться. Что важно - на Apple TV всё так же продолжается работать. На айфоне не работает ни при каких условиях, но на него условно плевать.

Файл с маршрутами взял с гитхаба, последний.

Собственно, вопрос - почему так? Какие-то не такие маршруты? Что через 20-30 минут происходит на компе/роутере, что на комп трафик, похоже,  пытается идти по основному соединению, а не через VPN?

Если отключить-подключить ВПН-соединение, подвигать соединения в разделе Приоритеты, поиграть  с галкой "Использовать для выхода в интернет", удалить-загрузить маршруты, то опять оживает, но скоро снова отваливается.

[KeenCrazeDzaDza]

2 часа назад, HouseMD сказал:

В свойствах VPN соединения снимаю галку "Использовать для выхода в интернет" (при этом соединение исчезает из вкладки "Приоритеты подключений" - так должно быть?),

 

не нужно было этого делать

[HouseMD]

3 hours ago, DF Guard said:

не нужно было этого делать

Попробую вечером

Тем не менее, в этой теме как минимум в двух сообщениях и в соседней теме рекомендуют именно эту галку с ВПН-соединения снимать, чтобы статические маршруты шли именно через это соединение...

Для меня это сложновато) Как и понять как при всем этом ютуб на эппл тв работает без проблем, а на компе работает только первые 15-20 минут, а потом отваливается...

[KeenCrazeDzaDza]

45 минут назад, HouseMD сказал:

Тем не менее, в этой теме как минимум в двух сообщениях и в соседней теме рекомендуют именно эту галку с ВПН-соединения снимать, чтобы статические маршруты шли именно через это соединение...

не знаю) так не будет точно работать) сейчас скину как настроено

Изменено 15 января пользователем DF Guard

[VVS]

11 минут назад, DF Guard сказал:

не знаю) так не будет точно работать)

Будет.

IMHO от этой галки в контексте обсуждаемого ничего не зависит.

[KeenCrazeDzaDza]

2 минуты назад, VVS сказал:

IMHO от этой галки в контексте обсуждаемого ничего не зависит.

ну у меня так сделано, работает

[VVS]

7 минут назад, DF Guard сказал:

ну у меня так сделано, работает

Проверял и с этой галкой и без неё - в контексте обсуждаемого разницы не увидел, в обоих случаях работает одинаково.

[KeenCrazeDzaDza]

10 минут назад, VVS сказал:

Проверял и с этой галкой и без неё - в контексте обсуждаемого разницы не увидел, в обоих случаях работает одинаково.

спасибо, буду иметь в виду

[mrGhotius]

10 часов назад, HouseMD сказал:

В итоге получаю такую ситуацию - ютуб открывается нормально только на эппл тв, а вот айфоне, в разных браузерах на компе - ютуб не работает, максимум подгружаются только превьюшки.

Это означает, что не все запросы идут по вашим загруженным в роутер маршрутам. Проверяйте списки. А вам провайдер ipv6 не предоставляет случаем?

Изменено 15 января пользователем mrGhotius

[HouseMD]

On 1/15/2025 at 7:29 PM, mrGhotius said:

А вам провайдер ipv6 не предоставляет случаем?

Видимо, предоставляет. В этом дело?

[mrGhotius]

Попробуйте отключить ipv6, либо добавить ipv6 маршруты до ЮТ

Изменено 16 января пользователем mrGhotius

[HouseMD]

50 minutes ago, mrGhotius said:

Попробуйте отключить ipv6, либо добавить ipv6 маршруты до ЮТ

При отключении ipv6 как-то стало работать. Я бы даже сказал терпимо. В т.ч. на айфоне. Спасибо за подсказку. Хотя я ранее уже пробовал отключать, но как мне тогда показалось, эффекта не было. Однако вопроса два: что я теряю при отключении ipv6 (кроме того, что на некоторых сайтах могут капчи выскакивать чаще обычного)? Ну и самый главный вопрос - а где взять эти самые ipv6 маршруты для ЮТ?

[mrGhotius]

2 часа назад, HouseMD сказал:

что я теряю при отключении ipv6

Да, собственно, ничего.

 

2 часа назад, HouseMD сказал:

Ну и самый главный вопрос - а где взять эти самые ipv6 маршруты для ЮТ?

1. Найти в интернете

2. Сделать самому.

Если хотите использовать ipv6, убедитесь, что ваш VPN поддерживает этот протокол.

[HouseMD]

Коллеги, снова я. В целом, всё работает, как и предполагалось. Но обнаружился один нюанс - на ресурсы МТС почему-то тоже ходит через ВПН, а не напрямую через провайдера. Т.е. если заходить в приложение МТС или на сайт МТС, то трафик идет через ВПН. Также, если в спидтесте тестируемым сервером выбрать МТС - тоже идет через ВПН.

Маршруты отсюда: https://github.com/RockBlack-VPN/ip-address/tree/main/Global/Youtube

Далее я пошел на. 2ip.ru, там забил домен mts.ru, получил IP 178.248.237.216. Там же в расширенной информации нашел AS51115, вбил его сюда https://ipinfo.io/AS51115. Получил список подсетей, как я понимаю, принадлежающих МТС.

А теперь главное - ни одна из них не совпадает даже частично с теми маршрутами, которые залиты у меня в роутер.

Внимание вопрос: почему тогда к ресурсам МТС роутер лезет через ВПН?

Изменено 25 января пользователем HouseMD

[VVS]

2 часа назад, HouseMD сказал:

Коллеги, снова я. В целом, всё работает, как и предполагалось. Но обнаружился один нюанс - на ресурсы МТС почему-то тоже ходит через ВПН, а не напрямую через провайдера. Т.е. если заходить в приложение МТС или на сайт МТС, то трафик идет через ВПН. Также, если в спидтесте тестируемым сервером выбрать МТС - тоже идет через ВПН.

Маршруты отсюда: https://github.com/RockBlack-VPN/ip-address/tree/main/Global/Youtube

Далее я пошел на. 2ip.ru, там забил домен mts.ru, получил IP 178.248.237.216. Там же в расширенной информации нашел AS51115, вбил его сюда https://ipinfo.io/AS51115. Получил список подсетей, как я понимаю, принадлежающих МТС.

А теперь главное - ни одна из них не совпадает даже частично с теми маршрутами, которые залиты у меня в роутер.

Внимание вопрос: почему тогда к ресурсам МТС роутер лезет через ВПН?

Причина может быть только одна - тот адрес, на который Вы идёте, находится в списке маршрутов.

[vasek00]

20 часов назад, HouseMD сказал:

Внимание вопрос: почему тогда к ресурсам МТС роутер лезет через ВПН?

ПО 43

Спойлер

Все что ниже для 4.3

Политика

ip policy Policy1
    description VPN
    permit global PPPoE0 ****************** default маршрут в данной политике
    no permit global Wireguard3

    route 142.250.0.0 255.254.0.0 Wireguard3 auto reject

Настройка клиента через политику

ip hotspot

    host 70:хх:хх:хх:хх:e2 permit
    host 70:хх:хх:хх:хх:e2 policy Policy0

Ни каких вопросов нет, клиент - основной выход через провайдера, на сеть 142.250.0.0 255.254.0.0 через WG3.