Выборочный роутинг в туннель OpenVPN

[флегматик]

Пытаюсь настроить сабж по этой инструкции Александра Рыжова. Имею с этим делом следующие проблемы:

1. Неудачный выбор момента запуска скрипта /opt/etc/ndm/fs.d/100-create_ipsets_and_routing_tables.sh. Скрипт отрабатывает - проверено вставкой вызова logger - но сделанную им настройку потом что-то затирает, так что для свежеперезагруженного роутера вызов "ip route list table 1" не возвращает ничего. Созданный там же ipset, кстати, остаётся на месте. Кто-нибудь может предложить более подходящее место для этого скрипта?
2. Если сделать переадресацию вручную, вызвав "ip rule add fwmark 1 table 1"  и "ip route add default dev ovpn_br0 table 1", она работает как-то очень и очень странно. Пинг до избранных сайтов есть. tracert, как и положено показывает переход в туннель:
   1    <1 мс    <1 мс    <1 мс  KEENETIC_GIGA [192.168.1.1]
   2    50 ms    50 ms    49 ms  10.8.0.1
   Но из браузера сайт http://oip.cc/ открывается только после продолжительных раздумий - хотя и показывает правильный голландский ip моего vps. При переходе на прочие "избранные" сайты браузер надолго подвисает и в конце концов выдаёт "This site can’t be reached xxx.xxx unexpectedly closed the connection" (хром) или "Соединение было сброшено" (firefox).

Туннель рабочий, если его включить безусловно, галками " Использовать для выхода в Интернет" и " Получать маршруты от удаленной стороны", работает вполне бодро.

Что я делаю неправильно?

прошивка последняя, 2.12.A.6.0-0.

Изменено 12 мая, 2018 пользователем флегматик
дополнил номером прошивки

[Andrew Dolgov]

Столкнулся с аналогичной проблемой после той же инструкции. Помогло следующее: 1. Отключил fastnat, 2. на сервере опенвпн вписал topology subnet чтоб роутилось через .1 а не через какой-то странный не пингующийся pointtopoint адрес. До конца проблему с не всегда срабатывающими скриптами к сожалению это не решает, надо ковырять дальше, но по крайней мере странные зависания описанные вами выше пропадают. Дополнение: скопировал скрипт который в fs.d еще в ifipchanged.d и поменял проверку первого параметра на hook, не знаю правда насколько это поможет. fs.d и правда не особо правильное для него место.

Изменено 6 июня, 2018 пользователем Andrew Dolgov

[флегматик]

Я отказался от использования упомянутой инструкции и успокоился добавлением маршрутов в http://192.168.1.1/controlPanel/staticRoutes. Там приходится вводить ip, а не имена, зато оно может работать без отключения ускорялок и вообще без opkg.