Часть трафика через VPN

[cybermax32768]

Доброе время суток.

В связи с последними событиями по блокировке некотрых ресурсов в зоне .ru пришлось рассматривать вопрос использования VPN.

Подскажите пожалуйста как организовать работу Keenetic Ultra c VPN соединением чтобы часть трафика по определенным ip (vk, ok, mail ru и другие) ходили через VPN, остальной трафик шел через существующее интернет соединение на интерфейсе ISP? Добавляю во вкладке "Интернет" новое PPPoE/VPN подключение, выбираю протокол PPTP, настраиваю соединение. А дальше я так понимаю нужно написать правила для iptable из командной строки? Бросьте примерчик если такое возможно. Спасибо.

[vasek00]

Была же начата тема

Для начало обратить внимание на странице /#broadband.globals - это Приоритет и Интернет, т.е. у вас интернет канал должен иметь приоритет выше чем созданный VPN (новый), тогда маршрут по умолчанию на интернет будет идти по основному каналу, а нужные сайты направить на новый интерфейс VPN. 

[cybermax32768]

Да спасибо. Уже читаю тему, не заметил сразу. Просто как такового "простого" рецепта еще нигде не нашел, попробую то что там описано, отпишусь.

А вообще есть ли возможность проделать тоже самое через настройки iptable?

[vasek00]

4 часа назад, cybermax32768 сказал:

Да спасибо. Уже читаю тему, не заметил сразу. Просто как такового "простого" рецепта еще нигде не нашел, попробую то что там описано, отпишусь.

А вообще есть ли возможность проделать тоже самое через настройки iptable?

Это как из точки "А" попасть в "С" есть вариант напрямую и короче "А->C", а есть через "B" "А->B->C", что для вас будет проще, то и выбирайте :

- вариант 1 создать таблицу маршрутизации для каналов

- вариант 2 например промаркировать пакеты и направить опять же их в нужную таблицу маршрутизации согласно маркировке

[KorDen]

В простейшем виде, создаете соединение (PPTP, L2TP, L2TP/IPsec, IPIP,...), не ставя на нем галку "использовать для выхода в интернет".

А дальше на странице Интернет->Прочее указываете статический маршрут через это соединение до нужного ресурса. Можно через CLI и ip route. Никаких Entware-iptables не требуется, можно хоть на Keenetic Start делать.

[Namhsac]

В 5/25/2017 в 20:55, KorDen сказал:

В простейшем виде, создаете соединение (PPTP, L2TP, L2TP/IPsec, IPIP,...), не ставя на нем галку "использовать для выхода в интернет".

А дальше на странице Интернет->Прочее указываете статический маршрут через это соединение до нужного ресурса. Можно через CLI и ip route. Никаких Entware-iptables не требуется, можно хоть на Keenetic Start делать.

а как поставить маршрут на всё соединения, а не только на 1 ресурс?

 

пытаюсь решить 2 задачи.

1. Чтобы VPN работал только для определенных устройств в моей сети (=для определенных IP)

2. Избежать утечки траффика вне VPN.  Т.е. когда падает VPN устройтсва не переходили на обычное подключение, а им просто блокировался доступ.

 

насколько я понимаю, если я перенаправлю весь трафик для устройства через PPTP, то если   PPTP  упадет, учечки незашифрованного трафика не произойдет?

 

Буду примного признателен за помощь. 

[KPOCAB4EG]

В 30.01.2018 в 12:02, Namhsac сказал:

1. Чтобы VPN работал только для определенных устройств в моей сети (=для определенных IP)

2. Избежать утечки траффика вне VPN.  Т.е. когда падает VPN устройтсва не переходили на обычное подключение, а им просто блокировался доступ.

 

аналогично, будет ли такая галка в будущем? в идеале чтобы еще и впн запускался при подключении устройства и отключался при настраиваемой неактивности

[ShadoW]

Тоже вот появилась необходимость направить ВЕСЬ исходящий трафик одного устройства через VPN, а трафик других устройств через основное подключение.

Вроде хотели это реализовать в 2.12 или я ошибаюсь?

[Namhsac]

Пожалуйста ответье на вопрос. От этого зависит какой роутер я буду покупать. Очень жаль, если это нельзя осуществить на zyxel:

В 1/30/2018 в 12:02, Namhsac сказал:

а как поставить маршрут на всё соединения, а не только на 1 ресурс?

 

пытаюсь решить 2 задачи.

1. Чтобы VPN работал только для определенных устройств в моей сети (=для определенных IP)

2. Избежать утечки траффика вне VPN.  Т.е. когда падает VPN устройтсва не переходили на обычное подключение, а им просто блокировался доступ.

 

насколько я понимаю, если я перенаправлю весь трафик для устройства через PPTP, то если   PPTP  упадет, учечки незашифрованного трафика не произойдет?

 

Буду примного признателен за помощь. 

 

[Le ecureuil]

В 2/16/2018 в 13:46, ShadoW сказал:

Тоже вот появилась необходимость направить ВЕСЬ исходящий трафик одного устройства через VPN, а трафик других устройств через основное подключение.

Вроде хотели это реализовать в 2.12 или я ошибаюсь?

 

4 часа назад, Namhsac сказал:

Пожалуйста ответье на вопрос. От этого зависит какой роутер я буду покупать. Очень жаль, если это нельзя осуществить на zyxel:

 

Планируется, но точные сроки пока неизвестны.

[Aleksandr]

Возможно задам глупый вопрос: А по IP адресу, который привязан к устройству, через маршруты нельзя сейчас это (направить ВЕСЬ исходящий трафик одного устройства через VPN) сделать?

Не планируется ли сделать возможность привязки IP адреса к имени пользователя в IPsec VPN, по аналогии с настройкой pptp?

[r13]

14 минуты назад, Aleksandr сказал:

Не планируется ли сделать возможность привязки IP адреса к имени пользователя в IPsec VPN, по аналогии с настройкой pptp?

Это есть, в новом веб все привязывается.

[Артём Ионов]

Поднимая тему, а как сделать машрутизацию всех запросов через 80 порт по VPN, а все остальное пускать через обычное соединение?

Изменено 22 апреля, 2018 пользователем Артём Ионов

[Le ecureuil]

12 часа назад, Артём Ионов сказал:

Поднимая тему, а как сделать машрутизацию всех запросов через 80 порт по VPN, а все остальное пускать через обычное соединение?

Пока никак, только через сторонние решения.

[KorDen]

В 22.04.2018 в 22:15, Артём Ионов сказал:

Поднимая тему, а как сделать машрутизацию всех запросов через 80 порт по VPN, а все остальное пускать через обычное соединение?

Чисто по VPN - напрямую нельзя, но при наличии где-то (с той стороны VPN например) socks-прокси (1.2.3.4:5678) можно по идее сделать такое вот (0.0.0.0 0.0.0.0 - подсеть и маска)

ip static tcp 0.0.0.0 0.0.0.0 80 1.2.3.4 5678

[Anton.B]

Всем привет!

Сейчас на Роутере (Keneetic Ultra) #1 в стране А поднят OpenVPN-сервер. На компьютере в стране Б при подключении к этому серверу через OpenVPN-клиент все ОК. Соединение устанавливается, в интернет заходит и присваивается IP-адрес сервера

В стране Б также есть Роутер (Keneetic Ultra) #2. На нем установлен OpenVPN-клиент, запущено VPN-подключение к Роутеру #1. 

Мне нужно обойтись без VPN-клиента на ПК.

Необходимо, чтобы при подключении компьютеров в стране Б по WI-FI  весь трафик (абсолютно весь) заворачивался на это VPN-подключение.

Подключение

Тип VPN	Отправлено	Принято	Подключено
VPN Подключен (10.10.10.6)	OpenVPN	680 Б	1,91 КБ	00:16:31

 

Можете подсказать как это сделать? Наверное маршрут как-то прописать. Не силен в этом. 
Поэтому обращаюсь за помощью

 

Изменено 1 сентября, 2023 пользователем Anton.B

[Jump]

Всем привет. Не могу открыть ссылки выше. Как завернуть часть трафика по домену в тонель от wireguard?  искать и выбирать подсети не вариант. роутер спидстер, без усб

[carpediem]

Всем доброго дня!

В связи с августовскими блокировками задался вопросом обхода. 
Купил vpn, успешно настроил его на своем Giga kn-1010, но ютуб не взлетел.
На сайте другого vpn-провайдера нашел pack маршрутов к ютуб, инсте, нетфликс, всяким кинотеатрам.  Подгрузил их на кинетик и пустил интернет через это соединение. 

Ютуб взлетел, инста по вафле так же стала фурыкать, но отшибло wink. 

Я так понимаю это из-за того, что у меня абсолютно весь трафик пошел через vpn.

Еще пока изучаю, но если кто подскажет, как разделить трафик, чтобы ютуб шел через vpn, а все остальное не через него, то буду весь признателен. 

[carpediem]

В 16.08.2024 в 11:36, carpediem сказал:

Всем доброго дня!

В связи с августовскими блокировками задался вопросом обхода. 
Купил vpn, успешно настроил его на своем Giga kn-1010, но ютуб не взлетел.
На сайте другого vpn-провайдера нашел pack маршрутов к ютуб, инсте, нетфликс, всяким кинотеатрам.  Подгрузил их на кинетик и пустил интернет через это соединение. 

Ютуб взлетел, инста по вафле так же стала фурыкать, но отшибло wink. 

Я так понимаю это из-за того, что у меня абсолютно весь трафик пошел через vpn.

Еще пока изучаю, но если кто подскажет, как разделить трафик, чтобы ютуб шел через vpn, а все остальное не через него, то буду весь признателен. 

Настроил WG на раутере и добавил маршруты для ютуб. Все работает 

[blackfish]

В 19.08.2024 в 02:17, carpediem сказал:

Настроил WG на раутере и добавил маршруты для ютуб. Все работает 

Не поделитесь источником маршрутов? Откуда pack брали?

[dartraiden]

Адреса подсетей Google извесгны

https://support.google.com/a/answer/10026322?hl=ru

 

[Apxumed]

В 19.08.2024 в 06:17, carpediem сказал:

Настроил WG на раутере и добавил маршруты для ютуб. Все работает 

Мне бы также настроить. Можете подсказать как настроили? У меня на ТВ весь трафик через ВПН прет все равно.

[Oleg Izvozchik]

В 06.09.2024 в 06:52, Apxumed сказал:

Мне бы также настроить. Можете подсказать как настроили? У меня на ТВ весь трафик через ВПН прет все равно.

 

Подключение Ethernet поставьте первым в списке. (мышкой перетяните)

[dr.mikegreen]

Такое себе решение маршрутизация на VPN для обхода. В следующем пакете блокировок (допустим) заблокируют DNS запросы. Ваш DNS запрос все-равно уходит к провайдеру. Возвращается IP ресурса и только тогда роутер смотрит таблицу маршрутизации. Достаточно заблокировать доменное имя и Ваш обход не сработает.

[Le ecureuil]

28 минут назад, dr.mikegreen сказал:

Такое себе решение маршрутизация на VPN для обхода. В следующем пакете блокировок (допустим) заблокируют DNS запросы. Ваш DNS запрос все-равно уходит к провайдеру. Возвращается IP ресурса и только тогда роутер смотрит таблицу маршрутизации. Достаточно заблокировать доменное имя и Ваш обход не сработает.

Можно использовать DoH, DoT или вообще только DNS из самого VPN.

[Migel]

В 06.09.2024 в 07:52, Apxumed сказал:

Мне бы также настроить. Можете подсказать как настроили? У меня на ТВ весь трафик через ВПН прет все равно.

В настройках WG уберите галку "Использовать для выхода в интернет" и тогда туда пойдет только то, что прописано в маршрутах.

[dr.mikegreen]

1 час назад, Le ecureuil сказал:

Можно использовать DoH, DoT или вообще только DNS из самого VPN.

Это уже звучит как план. А иначе палевно) 🙃

[Gonzik]

В 19.09.2024 в 12:34, Migel сказал:

В настройках WG уберите галку "Использовать для выхода в интернет" и тогда туда пойдет только то, что прописано в маршрутах.

Спасибо, убрал у себя.

А можете поподробнее рассказать чайнику, как эта галка "Использовать для выхода в интернет" работает и почему на просторах интернета наоборот советуют ее ставить.

[keenet07]

1 час назад, Gonzik сказал:

А можете поподробнее рассказать чайнику, как эта галка "Использовать для выхода в интернет" работает и почему на просторах интернета наоборот советуют ее ставить.

Эта галка для того чтобы ваше подключение появилось в Приоритетах подключений и можно было через него направить весь трафик роутера или выбранных устройств, как через шлюз по умолчанию. Если галки нет, то трафик на него прописывается индивидуально выборочно по адресам в пользовательских маршрутах. К тому же ведь не каждое же подключение это выход в интернет. )

Изменено 23 сентября пользователем keenet07

[Gonzik]

10 часов назад, keenet07 сказал:

Если галки нет, то трафик на него прописывается индивидуально выборочно по адресам в пользовательских маршрутах.

Спасибо, значит правильно при настроенных маршрутах галку убирать. Подскажите, а есть ли смысл в WG дополнительно прописывать отдельный DNS (например, Cloudflare), если настроен DOH (ControlD)для всех подключений?

Изменено 24 сентября пользователем Gonzik