Jump to content

Маршрутизация мимо VPN (Instagram)


Recommended Posts

Доброе время.

Я установил на VPS wireguard - работает отлично. Единственный глюк, который нашел - это то, что через VPS VPN Instagram не дает ставить лайки. Пишет Мы ограничиваем некоторые действия, чтобы ограничить свое сообщество.

Нашел список IP адресов instagram, сделал файлик для маршрутизации.

Может кому-то будет полезно. Единички шлюза я после удалял, не понял, как подтянуть без шлюза.

Единственный момент, если нужно найти все сети большого сайта - как это можно сделать правильно?

 

route ADD 147.75.208.0 MASK 255.255.240.0 1.1.1.1
route ADD 185.89.216.0 MASK 255.255.252.0 1.1.1.1
route ADD 31.13.24.0 MASK 255.255.248.0 1.1.1.1
route ADD 31.13.64.0 MASK 255.255.224.0 1.1.1.1
route ADD 31.13.96.0 MASK 255.255.224.0 1.1.1.1
route ADD 45.64.40.0 MASK 255.255.252.0 1.1.1.1
route ADD 66.220.144.0 MASK 255.255.240.0 1.1.1.1
route ADD 69.63.176.0 MASK 255.255.240.0 1.1.1.1
route ADD 69.171.224.0 MASK 255.255.224.0 1.1.1.1
route ADD 74.119.76.0 MASK 255.255.252.0 1.1.1.1
route ADD 87.245.208.0 MASK 255.255.255.0 1.1.1.1
route ADD 102.132.96.0 MASK 255.255.240.0 1.1.1.1
route ADD 103.4.96.0 MASK 255.255.252.0 1.1.1.1
route ADD 129.134.0.0 MASK 255.255.0.0 1.1.1.1
route ADD 157.240.0.0 MASK 255.255.0.0 1.1.1.1
route ADD 173.252.64.0 MASK 255.255.192.0 1.1.1.1
route ADD 179.60.192.0 MASK 255.255.252.0 1.1.1.1
route ADD 185.60.216.0 MASK 255.255.252.0 1.1.1.1
route ADD 204.15.20.0 MASK 255.255.252.0 1.1.1.1

 

 

 

Link to comment
Share on other sites

11 minutes ago, stefbarinov said:

В настройках dns укажите, чтобы пакеты, идущие на требуемый ресурс, шли через нужный интерфейс 

Подскажите как это сделать. У меня giga1011, ничего про DNS в ней не нашел. Нужно доустановить что-то?

Link to comment
Share on other sites

1 час назад, over сказал:

Подскажите как это сделать. У меня giga1011, ничего про DNS в ней не нашел. Нужно доустановить что-то?

Скрытый текст

Screenshot_18.thumb.jpg.bea3e6e4cd51ea9dd881108d1f4b903c.jpg

 

Link to comment
Share on other sites

Если я правильно понимаю, DNS для данного правила для хоста instagram.com будет выдаваться узлом VPN соединения. Т.е. все что дает это правило - это то, что вам сервер DNS антизапрета скажет реальные IP адреса серверов для работы, так как провайдер их не скажет. Эти правила не касаются маршрутизации трафика. Сам трафик будет идти согласно таблицы маршрутизации. Если это VPN - туда трафик и пойдет. Чтобы он туда не пошел, нужно изменить маршрутизацию, а по доменному имени к сожалению эта функция не работает.

Т.е. если мы хотим оставить для какого-то сайта, у которого куча сетей родную маршрутизацию (или перекинуть его на vpn), мы должны узнать все IP адреса подсетей и прописать их в таблицу маршрутизации.

Или я неправильно понимаю?

Link to comment
Share on other sites

11 час назад, over сказал:

Эти правила не касаются маршрутизации трафика.

 

11 час назад, over сказал:

Или я неправильно понимаю?

Неправильно. DNS тоже через VPN должен идти, чтоб "говорить правильные адреса", по которым уже сработает статическая и иная маршрутизация.

Link to comment
Share on other sites

49 minutes ago, ANDYBOND said:

 

Неправильно. DNS тоже через VPN должен идти, чтоб "говорить правильные адреса", по которым уже сработает статическая и иная маршрутизация.

Все верно. Я это и написал. DNS в этом случае идет через VPN, после которого включается маршрутизация. Если я просто DNS поменяю, разве это изменит маршрутизацию?

Link to comment
Share on other sites

3 минуты назад, over сказал:

Если я просто DNS поменяю, разве это изменит маршрутизацию?

Смотря чью. Теперь и соединения, и DNS расппределяются по интерфейсам своими профилями. И от профиля зависит, через что будет работать DNS на маршрутизаторе. Задача здесь - не столько получить правильный резолвинг, сколько скрыть его от постороннего взгляда.

Link to comment
Share on other sites

Ну вот мне нужно, чтобы инстаграмм не шел на VPN. Я удалил правила маршрутизации, которые создал для него.  Добавил DNS для основного канала провайдера, добавил хост instagram.com. Трассирую маршрут - и он пошел по основному маршруту VPN. А мне нужно наоборот, чтобы он шел по каналу провайдера. Т.е. добавление этого DNS для домена вообще ни на что не повлияло.

У меня весь трафик идет на VPN Wireguard. Мне нужно только инстаграм например не посылать на него, а посылать на основной канал провайдера. Разве мне может помочь в этом простой DNS?

image.thumb.png.29fa65e7b3772b847c7e4f1ab9c0164f.png

Link to comment
Share on other sites

Для этих целей должны быть разные DNS в своих разных профилях. И перед проверками логично маршрутизатор с новыми параметрами перезагружать.

О DNS для домена я вообще ничего говорил.

И, надо понимать, работа DNS через VPN - не помеха прохождению конкретного трафика прямо на провайдера, а решается это маршрутами к сетям ресурса.

Link to comment
Share on other sites

6 minutes ago, ANDYBOND said:

Для этих целей должны быть разные DNS в своих разных профилях. И перед проверками логично маршрутизатор с новыми параметрами перезагружать.

Я создал DNS в разных сетях. Маршрутизацию это не изменило.

7 minutes ago, ANDYBOND said:

О DNS для домена я вообще ничего говорил.

Ну выше просто картинка, на которой указан DNS для instagramm.com

7 minutes ago, ANDYBOND said:

И, надо понимать, работа DNS через VPN - не помеха прохождению конкретного трафика прямо на провайдера, а решается это маршрутами к сетям ресурса.

Я об этом и говорю, что маршрутизируется трафик маршрутами.

 

18 hours ago, stefbarinov said:

В настройках dns укажите, чтобы пакеты, идущие на требуемый ресурс, шли через нужный интерфейс 

Вот stefbarinov писал, что можно пакеты завернуть через DNS на нужный интерфейс. Вы согласны с тем, что это возможно? Если да, то как именно?

 

Link to comment
Share on other sites

3 минуты назад, over сказал:

пакеты завернуть через DNS на нужный интерфейс

Пакеты DNS можно завернуть, куда следует, с помощью профилирования DNS, а, благодаря корректным ответам DNS, с помощью статических маршрутов до ресурсов и их сетей, можно отправить их трафик на нужный интерфейс (провайдер, VPN).

Link to comment
Share on other sites

Лучше, если на каждом интерфейсе будет свой DNS. Тогда практически основной DNS всегда может работать через VPN, а, если что, доступное и так будет доступно, но через DNS основного соединения.

Link to comment
Share on other sites

1 hour ago, ANDYBOND said:

Пакеты DNS можно завернуть, куда следует, с помощью профилирования DNS, а, благодаря корректным ответам DNS, с помощью статических маршрутов до ресурсов и их сетей, можно отправить их трафик на нужный интерфейс (провайдер, VPN).

Так я так и сделал в основном посте. С помощью статических маршрутов перекинул трафик инстаграмм с одного интерфейса(VPN) на другой(родной провайдер) без всяких DNS.

Как я могу сделать это без того, чтобы менять маршрутизацию?

Link to comment
Share on other sites

1 hour ago, ANDYBOND said:

Лучше, если на каждом интерфейсе будет свой DNS. Тогда практически основной DNS всегда может работать через VPN, а, если что, доступное и так будет доступно, но через DNS основного соединения.

У меня так и реализовано. У меня DNS и основной канал это VPN. Весь трафик по умолчанию идет на VPN. Мне нужно, чтобы сайт инстаграмма не шел на VPN, при этом работал через родного провайдера. Разве это возможно без изменения маршрутизации, просто посредством настройкой DNS?

 

Link to comment
Share on other sites

2 минуты назад, over сказал:

Разве это возможно без изменения маршрутизации, просто посредством настройкой DNS?

Нет.

Link to comment
Share on other sites

19 часов назад, over сказал:

Подскажите как это сделать.

Цитата

Эксклюзивный маршрут — В режиме исключения, для маршрутизации трафика к указанному назначению система может использовать только выбранный интерфейс. Если выбранный интерфейс не активен или недоступен, то такой трафик не будет маршрутизироваться.

https://help.keenetic.com/hc/ru/articles/360000925780-Статические-маршруты

Link to comment
Share on other sites

5 minutes ago, ANDYBOND said:

Я это читал и именно так я это и сделал, что и описал в первом посте.

stefbarinov же написал, что это можно сделать через DNS. Мой вопрос - как это возможно сделать через DNS.

Эта часть про статические маршруты, а не про DNS.

 

 

Link to comment
Share on other sites

14 minutes ago, ANDYBOND said:

Нет.

Ну вот аппонент выше написал, что можно. Отсюда были и мои вопросы. Если можно просто через DNS - то как? Если нельзя, то у меня все сделано правильно. Просто статическая маршрутизация на нужный интерфейс.

Link to comment
Share on other sites

9 минут назад, over сказал:

Ну вот аппонент выше написал, что можно. Отсюда были и мои вопросы. Если можно просто через DNS - то как? Если нельзя, то у меня все сделано правильно. Просто статическая маршрутизация на нужный интерфейс.

Можно на entware через adguard home или dnsmasq заполнять ipset, который работает с настройкой на домен и автоматом применяется ко всем поддоменам. А потом это ipset маршрутизировать куда угодно. Но, зато это натуральная маршрутизация по доменам, без указания маршрутов.

Link to comment
Share on other sites

14 minutes ago, avn said:

Можно на entware через adguard home или dnsmasq заполнять ipset, который работает с настройкой на домен и автоматом применяется ко всем поддоменам. А потом это ipset маршрутизировать куда угодно. Но, зато это натуральная маршрутизация по доменам, без указания маршрутов.

А можете поделиться ссылкой на какой нибудь мануал по настройке такой его работы?

Link to comment
Share on other sites

4 минуты назад, over сказал:

А можете поделиться ссылкой на какой нибудь мануал по настройке такой его работы?

Все эти инструкции бесполезны бес понимания процессов. Для начала разберитесь с заполнением ipset через dnsmasq или adguard home. Будут заполняться ipset можно переходить к настройкам маршрутизации. 

Ключевые слова для поиска ipset dnsmasq, ipset adguard home.

Так же dnsmasq или adguard home должны стать единственными dns- серверами на роутере. Штатные dns роутера из коробки работать не будут.

 

 

 

 

 

 

 

 

 

Link to comment
Share on other sites

11 minutes ago, avn said:

Так же dnsmasq или adguard home должны стать единственными dns- серверами на роутере. Штатные dns роутера из коробки работать не будут.

Понял. Печалька. Фильтрация DNS мне нравится, и детям от взрослых материалов, и минус реклама. Было бы круто, если бы в будущем появилась юзер френдли маршрутизация по доменным именам из коробки.

Link to comment
Share on other sites

1 минуту назад, over сказал:

Понял. Печалька. Фильтрация DNS мне нравится, и детям от взрослых материалов, и минус реклама. Было бы круто, если бы в будущем появилась юзер френдли маршрутизация по доменным именам из коробки.

Adguard home все это умеет из коробки при правильной настройке. Dnsmasq аналогично, только сложнее на порядок.

  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...