Как сделать исключения для wireguard?

Question

[Kozlov]

Есть сервер с ubuntu 20.04, установлен pivpn с wireguard.
По умолчанию нужно весь трафик гнать через него, но некоторые сайты исключить (чтобы трафик шел в обход сервера)
Как это настроить? Информации нигде не нашел (

Answer 1

[AlexVWill]

Это делается не на сервере, а на клиенте. Т.к. то, что ушло на сервер, уже не сервере.
Например, можно настроить клиент на Mikrotik'e, который путем указания правила Mangle будет пускать отдельные сайты на VPN, а все иное гнать мимо VPN, либо (как тебе надо) все гнать в VPN, а отдельные сайты пропускать мимо.
Либо в клиенте на Ubuntu настроить таблицы маршрутизации, которые будут пускать отдельные страницы другим маршрутом, а не через VPN. Можно попробовать сделать это командой:

route add webservices.example.com mask 255.255.255.255 192.168.1.0

Где 192.168.1.0 - адрес роутера.

Comments

[Kozlov]

Без участия клиента не сделать? Просто видел что у antizapret под openvpn реализовано что через них трафик только определенный сайтов идет.

[AlexVWill]

Kozlov, я не знаю что это за служба, но по всем канонам сетевой маршрутизации решение о том, что передавать на удаленный сервер, а что нет решается на уровне клиента. Возможна опция, когда VPN сервер передает на клиент необходимые правила маршрутизации (так умеет например OpenVPN) но правила всерано выполняются локально.

Answer 2

[Александр Карабанов]

Вписать более специфичные маршруты для этих сайтов.

Выясняешь IP сайта (он может меняться и их может быть несколько, так что надо предусмотреть автоматизацию этих действий).
На клиенте вписываешь маршрут до этого IP через провайдерский шлюз, тогда трафик к сайту будет идти в обход VPN сервера.

Comments

[Kozlov]

Без участия клиента не сделать? Просто видел что у antizapret под openvpn реализовано что через них трафик только определенный сайтов идет.

[Александр Карабанов]

Kozlov, видимо они пушат клиенту маршруты. Таким образом через VPN ходит трафик только на заблокированные ресурсы.

[Drno]

Kozlov, Александр Карабанов,
недавно ставил их контейнер у себя
да, пушат маршруты + у них локальный DNS поднят. Если запрос клиента совпадает с их списком доменов - то через ВПН пускают, если такого домена нет - то отдают по обычному маршруту

Посмотрите github, там есть LXC контейнер