FQDN-роутинг через dns-proxy игнорируется вне Default Policy

[woojin]

Приветствую, команда Keenetic!

Настраиваю Sprinter KN-3710 на KeeneticOS 5.0.12 в конфигурации multipath (MultiWAN) — два провайдера по PPPoE + SOCKS5-прокси Proxy3 для обхода блокировок. Устройств в сети много, все они в Policy0 (multipath) с permit auto.

Суть проблемы: мне нужно настроить доступ к определённому списку доменных имён таких сервисов как OpenAI, Grok, Gemini, YouTube и т.д. через Proxy3, оставив остальной трафик через провайдеров. DNS-Based Routes (dns-proxy route object-group domain-list6 Proxy3 auto) — идеальное решение, но…

Оно не работает. Потому что все клиенты висят в Policy0, а DNS-Based Routes, как оказалось, работают только в Default Policy. Получается, чтобы FQDN-роутинг работал, нужно сломать всю логику multipath и перевести все устройства в Default Policy.

Почему это критично: в моём конфиге Policy0 — это multipath с балансировкой между двумя провайдерами + авто-переключение. Переводить устройства в Default Policy — значит лишиться MultiWAN. Делать сотни статических маршрутов (ip route) — не масштабируется при динамических IP сервисов (Google, Cloudflare, Twitter и т.д.). Сейчас у меня уже более 80 статических маршрутов на подсети этих сервисов в конфиге, и это только ради обхода блокировок. Получается тупик: либо роутер, либо костыли.

 

И ещё две несостыковки CLI ↔ Web:

1. Нет команды «включить/выключить» статический маршрут в CLI.
В CLI есть ip route — добавляет маршрут, и no ip route — полностью удаляет его. Но нет команды включить/выключить маршрут без удаления (аналог галочки «Включить/Выключить» в веб-интерфейсе). Приходится либо держать в голове, какие маршруты «временно выключены», либо каждый раз пересоздавать их заново. Для автоматизации через скрипты это неудобно.

2. Нет метрики в Web.
В CLI можно назначить метрику статическому маршруту (ip route ... auto <метрика>), а в веб-интерфейсе поля для метрики просто нет.

Предлагаю:

1. Сделать DNS-Based Routes работающими в любой Policy, где разрешён целевой интерфейс (или хотя бы добавить параметр принудительного включения вне зависимости от Policy). Это решает корневую проблему — FQDN-роутинг становится полезным в реальных конфигурациях с MultiWAN.
2. Добавить приоритет FQDN-роутинга над статическими маршрутами — чтобы не плодить ip route ради обхода блокировок, а управлять маршрутизацией декларативно через домены.

Также было бы удобно:
3. Добавить в CLI команду включения/выключения статического маршрута без его удаления (ip route disable/enable или аналог) — чтобы соответствовало веб-интерфейсу. При этом нужна возможность идентифицировать конкретный маршрут без необходимости полностью переписывать всю строку ip route.
4. Добавить поле метрики в веб-интерфейс для статических маршрутов — чтобы соответствовало CLI.

Изменено Среда в 19:35 пользователем woojin
название было длинновато

[Denis P]

вы совсем немного опоздали, таких тем чуть больше чем одна. прим

 

2 часа назад, woojin сказал:

1. Нет команды «включить/выключить» статический маршрут в CLI.
В CLI есть ip route — добавляет маршрут, и no ip route — полностью удаляет его. Но нет команды включить/выключить маршрут без удаления (аналог галочки «Включить/Выключить» в веб-интерфейсе). Приходится либо держать в голове, какие маршруты «временно выключены», либо каждый раз пересоздавать их заново. Для автоматизации через скрипты это неудобно.

есть, нужно смотреть немного внимательнее
ip route disable
 

2 часа назад, woojin сказал:

2. Нет метрики в Web.
В CLI можно назначить метрику статическому маршруту (ip route ... auto <метрика>), а в веб-интерфейсе поля для метрики просто нет.

плохая новость - из cli назначение метрик не работает (т.е от введенных эффекта 0).
в веб условно есть, приоритет соответствует порядку подключений в политике по умолчанию
 

2 часа назад, woojin сказал:

Добавить приоритет FQDN-роутинга над статическими маршрутами — чтобы не плодить ip route ради обхода блокировок, а управлять маршрутизацией декларативно через домены.

как раз они и приоритетнее
 

Изменено Среда в 21:45 пользователем Denis P

[liliput-liliout]

Жаль нет варианта в голосовании "Не использую FQDN маршрутизацию и не использую IP route маршрутизацию", поскольку сторонние решения делают это на две головы лучше.

[VVS]

6 минут назад, liliput-liliout сказал:

Жаль нет варианта в голосовании "Не использую FQDN маршрутизацию и не использую IP route маршрутизацию", поскольку сторонние решения делают это на две головы лучше.

Ну так создайте такое голосование.

Я с удовольствием в нём отвечу, что мне сторонние решения не нужны.

[woojin]

11 часов назад, Denis P сказал:

ip route disable

да, знаю, но как её ввести, сначала ввести полный ip route и потом сразу ip route disable - дико не удобно

 

11 часов назад, Denis P сказал:

из cli назначение метрик не работает

тогда зачем данная возможность была вообще в документации указана?

 

11 часов назад, Denis P сказал:

вы совсем немного опоздали, таких тем чуть больше чем одна. прим

извините если повторился - тогда почему статика хоть как то да работает, а вот куча доменных имён шлёт лесом?
я делаю вывод что оно или не работает вовсе или работает как то не так, а деталей ни где не нашёл

 

6 минут назад, liliput-liliout сказал:

"Не использую FQDN маршрутизацию и не использую IP route маршрутизацию"

именно по этому сейчас с "кина" собираюсь переезжать на отдельный ПК с OPNsense, там работает так как мне надо, выкатил список в файл и оно полетело всё куда надо
хотелось что бы не приходилось использовать отдельную машину для этих нужд (возможно я не прав)

[woojin]

2 минуты назад, VVS сказал:

отвечу, что мне сторонние решения не нужны.

если не секрет  чем пользуетесь ВЫ и какая у вас настройка?

[VVS]

11 минут назад, woojin сказал:

если не секрет  чем пользуетесь ВЫ и какая у вас настройка?

У меня очень простая конфигурация - никакого мультивана, 2 сегмента, во 2-ом сегменте только МФУ.

Так что дефолтные возможности настраивать DNS-маршрутизацию меня вполне устраивают.

[liliput-liliout]

 

16 минут назад, woojin сказал:

хотелось что бы не приходилось использовать отдельную машину для этих нужд (возможно я не прав)

Хотелось бы да, чтобы решение в прошивки работало как нужно, но это не так.

Поэтому вариант использования ПО и решений на стороннем устройстве или в entware предпочтительнее.

К сожалению, функционал в роллтоне слаб, глючен и плох. Пока так.

[woojin]

2 минуты назад, VVS сказал:

Так что дефолтные возможности настраивать DNS-маршрутизацию меня вполне устраивают.

хорошо если нет потребности искать обходные пути для некоторых сервисов и Вы обходитесь без них
а мне multiwan нужен из-за непредвиденных падений провайдеров (хоть один точно будет работать)

 

4 минуты назад, liliput-liliout сказал:

К сожалению, функционал в роллтоне слаб, глючен и плох. Пока так.

согласен

[liliput-liliout]

26 минут назад, woojin сказал:

хорошо если нет потребности искать обходные пути для некоторых сервисов и Вы обходитесь без них
а мне multiwan нужен из-за непредвиденных падений провайдеров (хоть один точно будет работать)

посмотрите в сторону китайских продуктов mihomo/sing-box которые куда гибче могут позволить все настроить.
да, порог входа высоковат, но и multiwan и любые другие настройки доступны. плюс и маршрутизация ими осуществляется куда надежнее и главное правильнее (без ложных историй, которые гарантировано обеспечит FQDN маршрутизация, особенно если вам нужно маршрутизировать сайты или сервисы за CDN, поскольку не учитывает SNI)

[woojin]

22 минуты назад, liliput-liliout сказал:

посмотрите в сторону китайских продуктов mihomo/sing-box которые куда гибче могут позволить все настроить.

сейчас на OPNsense и используется sing-box как прокси и как DNS резольвер по спискам доменов