DNS-based routes для не-Default политик

1000andme · Суббота в 14:05

Добрый день!

Подскажите, когда планируется поддержка DNS-based routes для политик, отличных от Default? Слышал, что это должно появиться в 5.1 — есть какие-то сроки по стабильной ветке?

Спасибо!

avn · Суббота в 14:44

43 минуты назад, 1000andme сказал:

Добрый день!

Подскажите, когда планируется поддержка DNS-based routes для политик, отличных от Default? Слышал, что это должно появиться в 5.1 — есть какие-то сроки по стабильной ветке?

Спасибо!

Не будет.

Сами попробуйте расписать алгоритм для трафика.

Пусть есть клиент - К1 в политике - П1, его трафик должен идти в туннель - Т1. А есть еще сайты из списка, которые что? Что бы появилась данная фича, необходимо четко понимать, что она должна делать.

Народ знает про политики и пытается их скрестить с DNS-маршрутизацией, что бы что?

Я стоял у истоков многих проблем и выросших маршрутизация на основе dns-маршрутизации (у меня работает достаточно давно с года 2017). Но я не понимаю, зачем и для чего это в политиках?

Изменено Суббота в 14:49 пользователем avn

avn · Суббота в 14:53

Если, для того, что бы трафик, описанный в списках, всегда шел через dns-маршрутизацию, давайте попросим разработчиков поднять приоритет dns-маршрутизации. Это надо?

vincome · Суббота в 16:20

1 час назад, avn сказал:

Сами попробуйте расписать алгоритм для трафика.

Логика простая - назначать разным политикам разные списки DNS и шлюзов.

Данная маршрутизация идет по маркировке пакетов. Весь трафик идущий по политике и так маркируется своим маркером.

Маршрутизация по ДНС сейчас автоматически использует маркер политики по умолчанию.

Вариант - использовать при создании маршрута для списка указывать еще и нужную политику, чтобы из нее брался ее маркер пакетов.

На чистом линуксе я легко делаю динамическую маршрутизацию по ipset и маркеру пакетов, и рулю туда куда мне нужно. Здесь как вижу все аналогично реализовано на уровне фаервола, ipset и маркеров.

Denis P · Суббота в 18:20

1 час назад, vincome сказал:

Маршрутизация по ДНС сейчас автоматически использует маркер политики по умолчанию.

Наоборот, проверяет нет ли метки и только в этом случае переходит к нужной цепочке

-A PREROUTING -m mark --mark 0x0 -j _NDM_DNSRT_PREROUTING_MANGLE

При наличии entware эта проверка убирается довольно просто и правила начинают работать в других политиках. Вероятно в 5.2 это и будет сделано, но это не точно

avn · Суббота в 20:20

3 часа назад, vincome сказал:

Логика простая - назначать разным политикам разные списки DNS и шлюзов.

Данная маршрутизация идет по маркировке пакетов. Весь трафик идущий по политике и так маркируется своим маркером.

Маршрутизация по ДНС сейчас автоматически использует маркер политики по умолчанию.

Вариант - использовать при создании маршрута для списка указывать еще и нужную политику, чтобы из нее брался ее маркер пакетов.

На чистом линуксе я легко делаю динамическую маршрутизацию по ipset и маркеру пакетов, и рулю туда куда мне нужно. Здесь как вижу все аналогично реализовано на уровне фаервола, ipset и маркеров.

Известный мне днс-сервер в openwrt маркер не устанавливает, просто кладет в ioset ip адрес. Ipset маршрутизировать в каждой политике отдельно? А зачем, траффик и так в этой политике идёт в туннель политики

Опять просто слова, без конкретики.

1000andme · Понедельник в 15:42

Весь мой трафик проходит через политику "VPN". Я хочу исключить некоторые сайты из этой политики и направить их через "Default Policy" — это стандартный split tunneling 😁

1000andme · Понедельник в 15:44

В 09.05.2026 в 21:20, Denis P сказал:

Наоборот, проверяет нет ли метки и только в этом случае переходит к нужной цепочке

-A PREROUTING -m mark --mark 0x0 -j _NDM_DNSRT_PREROUTING_MANGLE

При наличии entware эта проверка убирается довольно просто и правила начинают работать в других политиках. Вероятно в 5.2 это и будет сделано, но это не точно

У Keenetic Sprinter SE нет USB 🥲

avn · Понедельник в 16:05

21 минуту назад, 1000andme сказал:

Весь мой трафик проходит через политику "VPN". Я хочу исключить некоторые сайты из этой политики и направить их через "Default Policy" — это стандартный split tunneling 😁

Ваша задача понятна и решается, как выше сказали поднятием приоритета данного типа маршрутизации. Штатно пока невозможно, но в целом ничего сложного.

Другими словами, все что настроено для dns-маршрутизации подчиняется только ей, несмотря ни на какие политики.

1000andme · Понедельник в 20:46

4 часа назад, avn сказал:

Ваша задача понятна и решается, как выше сказали поднятием приоритета данного типа маршрутизации. Штатно пока невозможно, но в целом ничего сложного.

Другими словами, все что настроено для dns-маршрутизации подчиняется только ей, несмотря ни на какие политики.

Я не понял, как это сделать. Для вашего решения нужен Entware?

1000andme · Понедельник в 20:51

Я мог бы направить весь трафик через политику по умолчанию с WireGuard наверху. Проблема в том, что нельзя снять галочки с Rostelecom/Etelecom и получить killswitch. Если WireGuard упадёт, трафик автоматически переключится на них.

🌐Есть идеи, как решить эту проблему?

Войти

DNS-based routes для не-Default политик

Вопрос

1000andme

10 ответов на этот вопрос

Рекомендуемые сообщения

avn

avn

vincome

Denis P

avn

1000andme

1000andme

avn

1000andme

1000andme

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация