Jump to content

Как Keenetic маркирует пакеты по политикам?

FdFilosof
 Share

Recommended Posts

FdFilosof Newbie

FdFilosof

Posted
Posted

Некоторое время назад настраивал dnsmasq по руководству с Хабра: https://habr.com/ru/articles/852566/?code=a65961c37ce32a6cccfe01ec7ded947a&state=G7kxQHmrOmdCD8Msb03kfvya&hl=ru
В частности, там в определённый момент требуется создать две разные политики доступа (одну для VPN другую для обычного подключения) в связи с чем производится поиск в iptables командой: iptables-save | grep MARK, чтобы найти как именно роутер помечает пакеты в каждой из них. Но какое-то время назад у меня перестало выводить эту информацию, как будто бы метки проставляются теперь каким-то иным способом, у меня выводятся только те записи связанные с политиками доступа, которые я сам вносил дополнительным скриптом iptables.sh, а как сам роутер маркирует пакеты в какой-нибудь свежесозданной политике - загадка.
 

p.s. Может быть, если нет способа указать конкретную маркировку нужной политики - можно как-то в iptables прописать, чтобы все данные идущие из политики по умолчанию анализировались и с нужной меткой отправлялись в нужное подключение?
p.p.s. Простите, если сумбурно объясняюсь, я только начинаю разбираться в сетевых технологиях и многое, к сожалению, для меня тёмный лес, но я искренне пытаюсь разобраться :)

Le ecureuil NetFriend

Le ecureuil

Posted
Posted

Конкретную маркировку политики и ее таблицу маршрутизации всегда можно легко узнать посредством 

(config)> show ip policy Policy0

           policy, name = Policy0, description = test: 
                 mark: ffffaaa
               table4: 4096

 

  • Upvote 1
FdFilosof Newbie

FdFilosof

Posted
  • Author
Posted
5 часов назад, Le ecureuil сказал:

Конкретную маркировку политики и ее таблицу маршрутизации всегда можно легко узнать посредством 

(config)> show ip policy Policy0

           policy, name = Policy0, description = test: 
                 mark: ffffaaa
               table4: 4096

 

Спасибо большое! 
Ваша команда не сработала, но в show ip policy всё увидел, что нужно было :)

Однако, к сожалению, dnsmasq всё равно не желает работать корректно, может быть кто-нибудь поумней меня сможет подсказать, что я делаю не так?

Конфигурационный файл dnsmasq: 

  GNU nano 8.4                                    /opt/etc/unblock.dnsmasq
port=5354
server=1.1.1.1@nwg0
user=root
group=root

ipset=/chatgpt.com/bypass
ipset=/instagram.com/bypass
ipset=/upwork.com/bypass

nwg0 - наименование моего туннеля, здесь нужно для того, чтобы dns запрос резолвился именно внутри туннеля
  

  GNU nano 8.4                                          iptables.sh
[ -n "$(iptables-save | grep VPN)" ] && exit 0
ipset create bypass hash:net -exist
iptables -t mangle -N VPN
iptables -t mangle -A VPN -j MARK --set-mark 0xffffaaa
iptables -t mangle -A VPN -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
iptables -t mangle -A PREROUTING -p all -m mark --mark 0xffffaab -m set --match-set bypass dst -j VPN
iptables -t mangle -A OUTPUT -p udp -d 1.1.1.1 --dport 53 -j VPN
iptables -t nat -A PREROUTING -s 172.20.8.0/24 -p udp --dport 53 -j REDIRECT --to-ports 5354
iptables -t nat -A PREROUTING -s 172.20.8.0/24 -p tcp --dport 53 -j REDIRECT --to-ports 5354

0xffffaaa - маркировка пакетов из политики с туннелем к моей VPS
0xffffaab - маркировка пакетов политики с обычным доступом к интернету

Две последние записи - исключительно для того, чтобы перенаправлять запросы от моего отдельного VPN на самом Кинетике (IKEv2), для доступа к сети с телефонов.

 

Всё вроде бы правильно, насколько я могу понять - но почему-то не работает, пакеты не уходят в туннель =\
dnsmasq вроде бы нормально резолвит:
  

// # nslookup instagram.com 192.168.1.1:5354
Server:    192.168.1.1
Address 1: 192.168.1.1

Name:      instagram.com
Address 1: 57.144.244.34 instagram-p42-shv-01-fra5.fbcdn.net
Address 2: 2a03:2880:f276:1e9:face:b00c:0:4420 instagram-p426-shv-02-fra5.fbcdn.net
FdFilosof Newbie

FdFilosof

Posted
  • Author
Posted
59 минут назад, Le ecureuil сказал:

Зачем вы занимаетесь ерудной, если маршрутизация по DNS-именам уже есть в 5.0?

В 5.0 чего, KeeneticOS? У меня только 4.3 версия стоит, если скинете информацию, где почитать - буду рад, я мало чего знаю :)

FLK NetFriend

FLK

Posted
Posted
11 минут назад, FdFilosof сказал:

В 5.0 чего, KeeneticOS? У меня только 4.3 версия стоит, если скинете информацию, где почитать - буду рад, я мало чего знаю :)

Здрасти-приехали)))

Предварительный канал обновления

  • Upvote 1
FdFilosof Newbie

FdFilosof

Posted
  • Author
Posted

Ух ты, не знал, что есть такие интересные версии KeeneticOS, пойду устанавливать и ковыряться, спасибо всем за ответы! ❤️

  • Thanks 1
  • Upvote 1

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.

  I accept