Перейти к содержанию

Как Keenetic маркирует пакеты по политикам?

FdFilosof

Автор FdFilosof
в Вопросы по сборке и настройке Opkg

 Поделиться

Рекомендуемые сообщения

FdFilosof Новичок

FdFilosof

Опубликовано
Опубликовано

Некоторое время назад настраивал dnsmasq по руководству с Хабра: https://habr.com/ru/articles/852566/?code=a65961c37ce32a6cccfe01ec7ded947a&state=G7kxQHmrOmdCD8Msb03kfvya&hl=ru
В частности, там в определённый момент требуется создать две разные политики доступа (одну для VPN другую для обычного подключения) в связи с чем производится поиск в iptables командой: iptables-save | grep MARK, чтобы найти как именно роутер помечает пакеты в каждой из них. Но какое-то время назад у меня перестало выводить эту информацию, как будто бы метки проставляются теперь каким-то иным способом, у меня выводятся только те записи связанные с политиками доступа, которые я сам вносил дополнительным скриптом iptables.sh, а как сам роутер маркирует пакеты в какой-нибудь свежесозданной политике - загадка.
 

p.s. Может быть, если нет способа указать конкретную маркировку нужной политики - можно как-то в iptables прописать, чтобы все данные идущие из политики по умолчанию анализировались и с нужной меткой отправлялись в нужное подключение?
p.p.s. Простите, если сумбурно объясняюсь, я только начинаю разбираться в сетевых технологиях и многое, к сожалению, для меня тёмный лес, но я искренне пытаюсь разобраться :)

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано

Конкретную маркировку политики и ее таблицу маршрутизации всегда можно легко узнать посредством 

(config)> show ip policy Policy0

           policy, name = Policy0, description = test: 
                 mark: ffffaaa
               table4: 4096

 

  • Лайк 1
FdFilosof Новичок

FdFilosof

Опубликовано
  • Автор
Опубликовано
5 часов назад, Le ecureuil сказал:

Конкретную маркировку политики и ее таблицу маршрутизации всегда можно легко узнать посредством 

(config)> show ip policy Policy0

           policy, name = Policy0, description = test: 
                 mark: ffffaaa
               table4: 4096

 

Спасибо большое! 
Ваша команда не сработала, но в show ip policy всё увидел, что нужно было :)

Однако, к сожалению, dnsmasq всё равно не желает работать корректно, может быть кто-нибудь поумней меня сможет подсказать, что я делаю не так?

Конфигурационный файл dnsmasq: 

  GNU nano 8.4                                    /opt/etc/unblock.dnsmasq
port=5354
server=1.1.1.1@nwg0
user=root
group=root

ipset=/chatgpt.com/bypass
ipset=/instagram.com/bypass
ipset=/upwork.com/bypass

nwg0 - наименование моего туннеля, здесь нужно для того, чтобы dns запрос резолвился именно внутри туннеля
  

  GNU nano 8.4                                          iptables.sh
[ -n "$(iptables-save | grep VPN)" ] && exit 0
ipset create bypass hash:net -exist
iptables -t mangle -N VPN
iptables -t mangle -A VPN -j MARK --set-mark 0xffffaaa
iptables -t mangle -A VPN -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
iptables -t mangle -A PREROUTING -p all -m mark --mark 0xffffaab -m set --match-set bypass dst -j VPN
iptables -t mangle -A OUTPUT -p udp -d 1.1.1.1 --dport 53 -j VPN
iptables -t nat -A PREROUTING -s 172.20.8.0/24 -p udp --dport 53 -j REDIRECT --to-ports 5354
iptables -t nat -A PREROUTING -s 172.20.8.0/24 -p tcp --dport 53 -j REDIRECT --to-ports 5354

0xffffaaa - маркировка пакетов из политики с туннелем к моей VPS
0xffffaab - маркировка пакетов политики с обычным доступом к интернету

Две последние записи - исключительно для того, чтобы перенаправлять запросы от моего отдельного VPN на самом Кинетике (IKEv2), для доступа к сети с телефонов.

 

Всё вроде бы правильно, насколько я могу понять - но почему-то не работает, пакеты не уходят в туннель =\
dnsmasq вроде бы нормально резолвит:
  

// # nslookup instagram.com 192.168.1.1:5354
Server:    192.168.1.1
Address 1: 192.168.1.1

Name:      instagram.com
Address 1: 57.144.244.34 instagram-p42-shv-01-fra5.fbcdn.net
Address 2: 2a03:2880:f276:1e9:face:b00c:0:4420 instagram-p426-shv-02-fra5.fbcdn.net
FdFilosof Новичок

FdFilosof

Опубликовано
  • Автор
Опубликовано
59 минут назад, Le ecureuil сказал:

Зачем вы занимаетесь ерудной, если маршрутизация по DNS-именам уже есть в 5.0?

В 5.0 чего, KeeneticOS? У меня только 4.3 версия стоит, если скинете информацию, где почитать - буду рад, я мало чего знаю :)

FLK NetFriend

FLK

Опубликовано
Опубликовано
11 минут назад, FdFilosof сказал:

В 5.0 чего, KeeneticOS? У меня только 4.3 версия стоит, если скинете информацию, где почитать - буду рад, я мало чего знаю :)

Здрасти-приехали)))

Предварительный канал обновления

  • Лайк 1
FdFilosof Новичок

FdFilosof

Опубликовано
  • Автор
Опубликовано

Ух ты, не знал, что есть такие интересные версии KeeneticOS, пойду устанавливать и ковыряться, спасибо всем за ответы! ❤️

  • Спасибо 1
  • Лайк 1

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю