Разные сайты через разные подключения (Интерфейсы).

[esetnod]

Предлагаю добавить в опции "маршрут до домена", к имеющимся до ip и подсети.

Ниже менюшку, как часто рефрешить текущие ip добавленной записи, в значение по умолчанию брать TTL, например.

[Александр Рыжов]

Фича, конечно, мировая, но вряд ли она может быть уложена в существующую логику прошивки.

Пока пробовал использовать решение с маркировкой пакетов и отдельной таблицей роутинга для маркированных пакетов, но пока оно в кинетиковской прошивке не работает совместно с ipsec. Как @Le ecureuil дойдут руки пофиксить, выложу how-to.

[Le ecureuil]

Слишком "криво" выглядит идея.

Скините ссылку на CLI-guide любого из вендоров (Cisco, Juniper, ZyWall), где уже есть подобное?

[esetnod]

А нет ни у кого, насколько знаю. Будете первыми .

У меня сейчас нечто подобное уже понагорожено, bash скриптик в кроне крутится, резолвящий домены из списка, и добавляющий записи через telnet/expect, вот это действительно смотрится криво, хоть и работает как задумано.

А так будет искоробочная фига,  просто и удобно.

[Le ecureuil]

Пока маловато желающих и маловато примеров того, как это выглядит.

Подождем еще.

[arbayten]

https://supportforums.cisco.com/t5/wan-routing-and-switching/asa-routing-based-on-fqdn-and-tcp-udp-ports/m-p/2867484/highlight/true#M264303
https://supportforums.cisco.com/t5/security-documents/using-hostnames-dns-in-access-lists-configuration-steps-caveats/ta-p/3123480

[Le ecureuil]

Вот за это спасибо.

Автору темы неплохо бы ознакомиться со ссылкой номер 2 и посмотреть на недостатки из пункта "Limitations of the Feature", поскольку они в той или иной мере будут актуальны и у нас.

[esetnod]

Мне кажется, там оно рассмотрено с точки зрения сесурити-составляющей, а не для роутинга, т.к. конкретно для этого, по сути, проблемы из пальца.

Ну а так, да, видимо и не надо никому, увы.

[arbayten]

5 минут назад, esetnod сказал:

Мне кажется, там оно рассмотрено с точки зрения сесурити-составляющей, а не для роутинга, т.к. конкретно для этого, по сути, проблемы из пальца.

Ну а так, да, видимо и не надо никому, увы.

не, там PBR (ну и по списку слева можно слегка пробежаться и посмотреть что еще хотелось бы) на базе ACL, к которому в свою очередь прикручен резолв FQDN ... source-based routing вроде как упоминался в планах @ndm так что м.б. нечто подобное и получите.

[Александр Рыжов]

4 часа назад, Le ecureuil сказал:

Автору темы неплохо бы ознакомиться со ссылкой номер 2 и посмотреть на недостатки из пункта "Limitations of the Feature", поскольку они в той или иной мере будут актуальны и у нас.

Три из четырёх limitations в связке dnsmasq+ipset отсутствуют:

• TTL у DNS-записи не прирастает,
• Результаты резолва в IP числом более одного все до единого складываются в ipset,
• Резолвы субдоменов также поддерживаются.

Последнее ограничение, связанное с правильным TTL для DNS-записей можно частично решить, выбрав подходящее максимальное значение как для результатов резолва со стороны dnsmasq, так и для времени жизни записи в ipset. Обе-две свободно конфигурируются.

Но это так, маниловские мечты.

[Le ecureuil]

И так netfilter постоянно дергается, хотите дергать его еще чаще? )))

[Александр Рыжов]

http://keenetic-gi.ga/2018/01/16/selective-routing.html

[vasek00]

7 минут назад, Александр Рыжов сказал:

http://keenetic-gi.ga/2018/01/16/selective-routing/

Не множко комментарий - у меня не получилось потерять встроенный. Все ЛОКАЛЬНЫЕ запросы идут через DNS полученного от првайдера, а от клиентов лок.сети через DNSMasq. Уже несколько раз писал про это.

Цитата

Обратите внимание, что с переключением на собственный DNS-сервис вы потеряете возможности встроенного. К примеру, назначение разных профилей Яндекс.DNS/SkyDNS/AdGuard для клиентов. В строчках `server=…` вы можете указать самостоятельно выбранные DNS-серверы, которые будут использоваться для разрешения DNS-имён. В примере установлены серверы Яндекс.DNS, до этого момента не замеченного в DNS-спуфинге по каким-либо спискам блокировки.

 

[Александр Рыжов]

12 минуты назад, vasek00 сказал:

Уже несколько раз писал про это.

Багофича glibc из Entware-3x, система полагается на /etc/resolf.conf, красивого решения здесь нет.

[arbayten]

основное "ограничение" для пользователя при этом подходе: все же разные домены на одном ip, сервинг в рамках cdn - со временем это может чувствоваться все больше и больше, пользователь должен понимать, что перенаправлению подвергнется все, что разрешается на один и тот же ip независимо от имени.

[Александр Рыжов]

Если использовать содержимое ipset для блокировки, тогда согласен, на CDN можно много чего лишнего отрезать. Скажем, когда пытался унять телеметрию Windows 10, в расход пошёл bing.com.

Если же использовать содержимое ipset для выборочного роутинга, то пользователь от потенциальных издержек пострадает вот как: никак.

 

Что до накопления неактуальных излишков со временем, то теоретически можно заморочиться искусственным старением TTL для ответов dnsmasq и временем жизни записи в ipset. Как уже говорил выше, это решается с помощью одной доп.опцией на каждую из перечисленных софтин. В реальной жизни при аптайме роутера до пары-тройки месяцев неудобств не ощутил, несмотря на то, что у меня в конфиге dnsmasq перечислено два десятка доменов.

[Mihail_Boyanskiy]

Здравствуйте. Можно ли добавить такую возможность, чтобы например 2 сайта шли через одно подключение, а все остальные через другое?

Можно пойти от пративного, запретить в основном подключении выход на 2 сайта и чтоб они автоматом пошли через второе активное.

[Mihail_Boyanskiy]

Так же было бы хорошо добавить разветвление по интерфейсам не только по доменам, но и портам.

Ну вот например: Transmission & FTP используют линию одного провайдера, а всё остальное идёт на другую.

[Mihail_Boyanskiy]

Ещё раз привет. а вот с моими последними двумя вопрошалками я создал вчера тему отдельную так, как вашу не нашёл.

Первое, спасиба модераторам за то что перенесли мои сообщения сюда, постараюсь искать лучше.

Второе, если люди создают темы с данны ми вопросами, то поверьте мне, это нужно многим, просто ещё не каждый может изложить свои мысли, а ещё вообще далеко не каждый знает о существовании данного форума.

Тот кто писал тут что это мало кому надо, не прав! Я сам долго в инете рылся прежде чем спросить.

[Александр Рыжов]

В 01.01.2018 в 22:04, Александр Рыжов сказал:

Фича, конечно, мировая, но вряд ли она может быть уложена в существующую логику прошивки.

Пока пробовал использовать решение с маркировкой пакетов и отдельной таблицей роутинга для маркированных пакетов, но пока оно в кинетиковской прошивке не работает совместно с ipsec. Как @Le ecureuil дойдут руки пофиксить, выложу how-to.

Вылечено в 2.12.A.3.0-4.

[флегматик]

В 16.01.2018 в 12:09, Александр Рыжов сказал:

http://keenetic-gi.ga/2018/01/16/selective-routing.html

Вот именно по этому мануалу и настраивал. И даже отдельную тему завёл, не найдя этой. Сначала на 2.12.A.6.0-0, потом убоялся выраженных интерфейсных глюков и откатился на 2.11.C.1.0-3. Результат и там, и сям прискорбно одинаковый:

1. "ip rule add fwmark 1 table 1" и "ip route add default dev ovpn_br0 table 1", настроенные в /opt/etc/ndm/fs.d, слетают в процессе дальнейшей загрузки устройства.
2. Если указанные команды применить руками, запросы к нужным сайтам таки перенаправляются в туннель и tracert показывает, что положено. Но в браузере это работает дико медленно или не работает вовсе ( "Соединение было сброшено" и т.п.).

VPN-подключение само по себе вполне рабочее, если гнать весь трафик через него, работает в меру своих 10-15 Мбит/с и от 50 мс пинга. И выборочно - с настройкой пользовательских маршрутов на http://192.168.1.1/_/controlPanel/staticRoutes - тоже получается не хуже. Вот пока живу с последним вариантом, но хотелось бы, конечно, задавать "разблокируемые" сайты именами, а не ip.