Dual WAN с возможностью выбора канала с компьютера

[Krabik]

Всем привет. У меня такой Use Case.

 

Имеется два проводных выхода в интернет (через Ethernet). Хочу настроить Multi WAN, чтобы один канал был основным, второй резервным. По умолчанию приложения ходили в интернет через основной, когда он отваливается - начинали ходить через резервный.

Но при это я хочу чтобы некоторые приложения (например браузер Chrome) ВСЕГДА ходили только через резервный. Я это вижу через поднятие Proxy Server на роутере, который бы был настроен на резервный канал. А в нужных мне приложениях просто прописывал бы этот прокси.

 

Реально ли такое на Keenetic? Беглый гуглинг не показал наличие Proxy Server в Keenetic. Может есть другой способ, не через Proxy?

 

p.s. Если что, устройство у меня ещё не куплено, в профиле отмечено, т.к. форум потребовал. Рассматриваю его к покупке, если там можно сделать реализовать такое.

Изменено 7 декабря, 2019 пользователем Krabik

[keenet07]

Насчёт первой половины вопроса. Нет никаких проблем.

А вот на счет прокси не всё так просто. Если только что-то придумать с пакетами через OPKG.

[vadimbn]

8 часов назад, Krabik сказал:

Беглый гуглинг не показал наличие Proxy Server в Keenetic.

Squid, 3proxy из Entware. Второй лучше, легкий, проще настраивается.

[keenet07]

Но вот будет ли это потом работать так как задумал автор? Чтоб через второй неактивный интерфейс ходить через прокси? Или придётся режим балансировки включать и настраивать. Но будет ли такой режим отрабатывать в случае отваливания инета на основном? Больше вопросов чем ответов.

Изменено 8 декабря, 2019 пользователем keenet07

[vasek00]

11 час назад, Krabik сказал:

Всем привет. У меня такой Use Case.

 

Имеется два проводных выхода в интернет (через Ethernet). Хочу настроить Multi WAN, чтобы один канал был основным, второй резервным. По умолчанию приложения ходили в интернет через основной, когда он отваливается - начинали ходить через резервный.

Но при это я хочу чтобы некоторые приложения (например браузер Chrome) ВСЕГДА ходили только через резервный. Я это вижу через поднятие Proxy Server на роутере, который бы был настроен на резервный канал. А в нужных мне приложениях просто прописывал бы этот прокси.

 

Реально ли такое на Keenetic? Беглый гуглинг не показал наличие Proxy Server в Keenetic. Может есть другой способ, не через Proxy?

 

p.s. Если что, устройство у меня ещё не куплено, в профиле отмечено, т.к. форум потребовал. Рассматриваю его к покупке, если там можно сделать реализовать такое.

Посмотрите

1. Возможность поднимать alias на сетевой Windows - два IP

2. Почитать - Bind any Windows application to a specific interface or IP address

https://r1ch.net/projects/forcebindip

https://vmblog.ru/kak-privyazat-prilozhenie-k-opredelennomu-setevomu-interfejsu/

ForceBindIP.exe 192.168.1.12 "c:\Program Files (x86)\Mozilla Firefox\firefox.exe"

3. NetSetMan программа, которая позволяет создавать профили (всего 6 профилей) дял сетевых подключений и быстро переключаться между ними.

4. То что может ПО роутера

Может что-то и получаться.

[vasek00]

Скрытый текст

 

 

[vadimbn]

4 часа назад, keenet07 сказал:

Чтоб через второй неактивный интерфейс ходить через прокси?

Он всегда активен. Просто через него не проходит маршрут по умолчанию. А проксировать пакеты на него используя 3proxy можно. Желательно купить услугу "белый IP" для обоих WAN.

Вот рабочий конфиг 3proxy

daemon
pidfile /opt/var/run/3proxy.pid
nscache 65536
nserver 127.0.0.1

config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/counters
monitor /opt/etc/3proxy/passwd
monitor /opt/etc/3proxy/bandlimiters

log /opt/var/log/3proxy.log D
rotate 60
counter /opt/etc/3proxy/3proxy.3cf

#users $/opt/etc/3proxy/passwd

include /opt/etc/3proxy/counters
include /opt/etc/3proxy/bandlimiters

auth strong
deny * * 127.0.0.1
allow *
proxy -n

auth none
allow *
proxy -d -iLOCAL.IP.ADDRESS -p5080 -eEXTERNAL.IP.ADDRESS -n
socks -d -iLOCAL.IP.ADDRESS -p5081 -eEXTERNAL.IP.ADDRESS
flush

allow admin
admin -p8080

 

[Krabik]

1 hour ago, vadimbn said:

Он всегда активен. Просто через него не проходит маршрут по умолчанию. А проксировать пакеты на него используя 3proxy можно. Желательно купить услугу "белый IP" для обоих WAN.

Вот рабочий конфиг 3proxy

daemon
pidfile /opt/var/run/3proxy.pid
nscache 65536
nserver 127.0.0.1

config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/counters
monitor /opt/etc/3proxy/passwd
monitor /opt/etc/3proxy/bandlimiters

log /opt/var/log/3proxy.log D
rotate 60
counter /opt/etc/3proxy/3proxy.3cf

#users $/opt/etc/3proxy/passwd

include /opt/etc/3proxy/counters
include /opt/etc/3proxy/bandlimiters

auth strong
deny * * 127.0.0.1
allow *
proxy -n

auth none
allow *
proxy -d -iLOCAL.IP.ADDRESS -p5080 -eEXTERNAL.IP.ADDRESS -n
socks -d -iLOCAL.IP.ADDRESS -p5081 -eEXTERNAL.IP.ADDRESS
flush

allow admin
admin -p8080

 

А зачем белые IP?

[vadimbn]

А безопаснее вот так (нет соединений на внешних интерфейсах):

daemon
pidfile /opt/var/run/3proxy.pid
nscache 65536
nserver 127.0.0.1

config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/counters
monitor /opt/etc/3proxy/passwd
monitor /opt/etc/3proxy/bandlimiters

log /opt/var/log/3proxy.log D
rotate 60
counter /opt/etc/3proxy/3proxy.3cf

#users $/opt/etc/3proxy/passwd

include /opt/etc/3proxy/counters
include /opt/etc/3proxy/bandlimiters

auth none
allow *
proxy -d -iLOCAL.IP.ADDRESS -pPORT_HTTP_HTTPS_FTP -eEXTERNAL.IP.ADDRESS -n
socks -d -iLOCAL.IP.ADDRESS -pPORT_SOCKS -eEXTERNAL.IP.ADDRESS
flush

allow admin
admin -iLOCAL.IP.ADDRESS -pPORT_ADMIN

LOCAL.IP.ADDRESS - локальный IP-адрес роутера (например, 192.168.1.1)

EXTERNAL.IP.ADDRESS - реальный IP-адрес WAN-интерфейса

PORT_HTTP_HTTPS_FTP - порт для проксирования протоколов HTTP, HTTPS, FTP, не занятый другими протоколами (например, 5080)

PORT_SOCKS - порт для проксирования SOCKS 4/5, не занятый другими протоколами (например, 5081)

PORT_ADMIN - порт страницы администрирования прокси-сервера, на которой, впрочем, нет почти ничего интересного.

Это простейший конфиг, в 3proxy много опций для запретов/разрешений, можно ограничивать доступ с некоторых IP, и прочее.

Изменено 8 декабря, 2019 пользователем vadimbn

[Krabik]

А нельзя ли привязываться не к IP, а к интерфейсам?

[keenet07]

@vadimbn Если вместо ip адреса WAN-интерфейса указать адрес полученный VPN соединением на роутере, тоже будет работать?

[vadimbn]

57 минут назад, Krabik сказал:

А нельзя ли привязываться не к IP, а к интерфейсам?

В 3proxy я таких опций не нашел. Возможно в squid есть

 

53 минуты назад, keenet07 сказал:

Если вместо ip адреса WAN-интерфейса указать адрес полученный VPN соединением на роутере, тоже будет работать?

Mаршрутизируемый адрес нужен. Наиболее простой путь - делаем VPN-соединение, ставим при этом галочку "Использовать для выхода в Интернет", появляется еще одно соединение. Тогда адрес этого соединения можно указывать в 3proxy. Сложнее - надо будет мутить с маршрутами или iptables.

[linkedu]

Народ, подскажите, подскажите, почему через второй интерфейс (192.168.0.190) нет доступа к сети, что прописал не так?

nscache 65536

nserver 8.8.8.8

config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg

log /opt/var/log/3proxy-%y%m%d.log D
rotate 60
counter /opt/var/3proxy.3cf

users $/opt/etc/3proxy/passwd

include /opt/etc/3proxy/counters
include /opt/etc/3proxy/bandlimiters

auth none
allow *

socks -d -i192.168.1.1 -p5081 -e192.168.2.162 -n
socks -d -i192.168.1.1 -p5082 -e192.168.0.190

flush

allow admin
admin -p8080

[Штепсель]

Была задача как у топикстартера - иметь прокси для выхода через резервный модем.

У 3proxy есть отличный ключ -De, который позволяет строить исходящий канал через указанный интерфейс.

 

Получился такой конфиг:

nscache 65536
nserver 8.8.8.8
nserver 8.8.4.4

daemon

config /opt/etc/3proxy/3proxy.cfg
monitor /opt/etc/3proxy/3proxy.cfg

log /opt/var/log/3proxy-%y%m%d.log D
rotate 60
counter /opt/var/3proxy.3cf

#users $/opt/etc/3proxy/passwd
users User:CL:Pass

include /opt/etc/3proxy/counters
include /opt/etc/3proxy/bandlimiters

auth strong
deny * * 127.0.0.1
allow User * * * * * *
proxy -i192.168.1.1 -p3128 -n -a -Deqmi_br0
flush
allow admin

admin -p8080

qmi_br0 - название интерфейса LTE модема.

192.168.1.1 - IP роутера

[Александр Рыжов]

В 08.12.2019 в 01:25, Krabik сказал:

Но при это я хочу чтобы некоторые приложения (например браузер Chrome) ВСЕГДА ходили только через резервный.

Кстати, можно помечать трафик от отдельных приложений, а на кинетике для помеченного трафика использовать отдельную таблицу роутинга.

И никакой SOCKS-прокси не понадобится.