Создание политики обслуживания клиента.

[vasek00]

На пороге 2025год и на сегодня в прошивки все есть для реализации - "Создание политики обслуживания клиента" или можно назвать по другому. В моем случае есть два канала хотелось бы завернуть приложение клиента на Windows через канал отличный от default канала клиента.

На Windows клиенте ставим метку на нужный сервис/приложение, а роутер по этой метке отправляет пакетики в нужный нам канал

Ранее делал так

[ "$table" != "mangle" ] && exit 0

if [ -z "$(iptables-save | grep 'dscp')" ]; then
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j RETURN
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j CONNMARK --save-mark 
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -j MARK --set-mark 0xffffaaa
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -i br0 -s 192.168.1.2/32 -m dscp --dscp 63 -j MARK --set-mark 0xffffaab
fi

т.е. политика1 "--set-mark 0xffffaaa" (будет основная) и политика2 для приложения на клиенте "--set-mark 0xffffaab" (будет вторая). Именно в такой последовательности, так как правила iptables будут сначала для "0xffffaab", а потом для "0xffffaaa". Сам клиент должен находится в основном профиле.

Сейчас в 4.3 опять хотелось бы вернуться  к этой "плюшке", но нужен USB порт и Entware.

Не плохо бы иметь возможность реализации хотя бы через cli то было бы хорошо.

Спойлер

 

Изменено 14 марта пользователем vasek00

[vasek00]

Проверил на 4.3 (чуток изменения) и вот такую картину получил

#!/bin/sh

[ "$table" != "mangle" ] && exit 0

if [ -z "$(iptables-save | grep 'dscp')" ]; then
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j RETURN
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -m dscp --dscp 0x3f -j MARK --set-xmark 0xffffaab/0xffffffff
 iptables -t mangle -I _NDM_HOTSPOT_PRERT -m mac --mac-source e0:клиент_ПК:e0 -j MARK --set-xmark 0xffffaaa/0xffffffff
fi
exit 0

Для dscp 0х3f сервиса клиента выбран канал Inet-2, сервис для проверки torrent на клиенте ПК по wifi и проф. aab.

Все остальное с данного клиента в aaa (на данном профиле поднят только WG который на канале РТ).

Итог все работает, но есть маленькая фишка, падение скорости на канале Inet-2 во время работы по другому.

Спойлер

 

[vasek00]

Подправил под 4.3.

Вариант когда клиент в своем профиле. Получим первое упоминание для блока его правил по MAC и прибавим +1

iptables -t mangle -L --line-numbers | awk '/E8:_MAC_CLIENTA_:74/ {print $1; exit}'

получил номер первого упоминнаия -> +1 = 58
 
iptables -t mangle -I _NDM_HOTSPOT_PRERT 58 -m mac --mac-source E8:_MAC_CLIENTA_:74 -m dscp --dscp 0x3f -j MARK --set-xmark 0xffffaab/0xffffffff

В итоге, нужное правило dcp = 63 или 0x3f (профиль для него 0хffffaab), чтоб оно было после основного правила для профиля (0хffffaaa). Данный раздел ниже это весь блок для данного клиента, что у него и куда.

57   MARK       all  --  anywhere             anywhere             MAC E8:_MAC_CLIENTA_:74 MARK set 0xffffaaa
58   MARK       all  --  anywhere             anywhere             MAC E8:_MAC_CLIENTA_:74 DSCP match 0x3f MARK set 0xffffaab
59   CONNMARK   all  --  anywhere             anywhere             MAC E8:_MAC_CLIENTA_:74 CONNMARK save
60   RETURN     all  --  anywhere             anywhere             MAC E8:_MAC_CLIENTA_:74

Фишка так и осталась, но уже только при передаче по основному профилю и в момент приема на другом проф. Это уже на LAN клиенте.

Спойлер

 

Изменено 16 марта пользователем vasek00

[Le ecureuil]

Нужно брать метку политики из 
 

(config)> show ip policy Policy0

           policy, name = Policy0, description = test: 
                 mark: ffffaaa
               table4: 10

чтобы было совсем "по красоте", потому что эти номера выделяются динамически.