Как на линуксе пустить некоторые заблокированные РКН домены через впн?

Question

[rrambo]

Есть ПК на котором стоит Debian 12, он является шлюзом (пускает через нат) в интернет для клиентов локальной сети. Хочу что бы клиенты могли ходить на некоторые заблокированные РКН сайты через впн соединение (которое так же поднято на этом линуксе, помимо прямого линка до провайдера интернета) , а на все остальные как обычно. Что бы для клиентов это было прозрачно(не нужно ничего ставить)
Какими средствами это реализовать на линуксе? Желательно мануал
Как можно менее громоздкий способ?

Comments

[AlexVWill]

Подпишусь на комменты. )))
Вообще, проблема не в том, как направить какой то пакет в какой то шлюз, для этого надо дать что-то вроде
sudo ip route add 74.125.225.0/24 via 10.10.10.10
Проблема в том, как сопоставить имена доменов и IP, поскольку маршрутизации работают не с доменами, а с IP. Т.е. нужен какой то внутренний DNS, в который заведена база доменов, которые надо направить в VPN и который считывает регулярно их IP, хранит их и как только видит нужный IP, отправляет его в нужный getaway. Что-то вроде Adguard home, или pihole, но они такой функционал не реализуют, насколько я знаю, может Bind9 умеет?
Вообще, в Mikrotik это реализовано, сам это настраивал и пользуюсь, но работает если честно так себе.

[Drno]

AlexVWill, а что не так у Вас на микротике?

[AlexVWill]

Drno, для каких то простеньких сайтов с 1 доменом и IP оно нормально, но для сложных с множеством доменов (которые к тому же динамически меняются) это не работает, или работает крайне криво. Пример Facebook.

[Drno]

AlexVWill, ясненько.
я просто испльзовал 2 варианта - статически прописывал, в address list - домены, и роутил

некоторое время назад перешел на antizapret, у себя захостил, всё гуд работает. но он требует чтобы его как первичный DNS использовали, т.к. смотрит к какому домену и роутит)

[AlexVWill]

но он требует чтобы его как первичный DNS использовали

Это тоже проблема, у меня например как первичный DNS стоит AdGuardHome на зарубежном VPS, поэтому все DNS запросы идут туда прямиком, поэтому никаких вариантов тут быть не может. У автора топика вообще я так понял DNS отсутствует (скорее всего peer от провайдера), поэтому сервер оперирует только IP. База данных забаненых IP могла бы помочь, но тут мы ограничины только ей, если надо например пустить по какой то причине Youtube - задача невыполнимая получается.

[rrambo]

AlexVWill, вроде dnsmasq может выбранные домены резолвить и отправлять их айпи в ipset
В теории я понимаю как сделать, но надо четкий мануал именно для линукса (а не микротика)

Answer 1

[Bermut]

Идешь на https://antifilter.download/, скачиваешь листы адресов на маршрутизатор, берешь пакет ipset, пишешь скрипт который будет парсить лист и добавлять адреса в iplist, дальше пишешь что-то подобное

iptables -t mangle -I PREROUTING -s <route subnet> -m conntrack --ctstate NEW -m set --match-set <list name> dst -j CONNMARK --set-xmark 1
iptables -t mangle -A PREROUTING -m connmark --mark 1 -j MARK --set-mark 1
ip ru a table 1 fwmark 1
ip r a default via <vpn gw> t 1
ip r a <route subnet> dev <interface> t 1

Comments

[rrambo]

А есть какой нибудь подробный мануал? В целом я понял что надо сделать, но на практике не знаю как. И еще у меня фаерволл ufw (хотя я знаю что команды можно давать и iptables тк это просто обертка)

[CityCat4]

rrambo, Подробный мануал о чем? О написании команд iptables? О работе команды ip? О принципах маршрутизации? О том, почему эта "неведомая йоп... фигня" работает?

[Bermut]

rrambo, а это уже или самостоятельно делать, и развиваться, или фриланс

[rrambo]

CityCat4, "и добавлять адреса в iplist," — в файл под названием iplist?
или куда
set --match-set
что за лист нэйм
это файл с айпишниками? в каком формате? где должен лежать
ip r a default via t 1
зачем шлюз по умолчанию через впн. мне надо шлюз по умолчанию через провайдера а через впн только айпишники из листа
ip r a dev t 1
что тут за подсеть писать и что за интерфейс непонятен смысл этой записи (для чего)
и причем тут ipset как его соединить с фаерволлом
куда этот список заблокированных айпи или подсетей пихать

[rrambo]

rrambo, слова в угловых скобках были съедены. я делал копипейст тех команд что выше
в итоге слова пропали. надеюсь понятно

[CityCat4]

rrambo, Ну, либо теги используй, либо вместо угловых - квадратные.
<это какая-то фигня в угловых скобках/>
[это тоже фигня но в квадратных]

[CityCat4]

rrambo, man ipset.
Тебе Bermut совершенно верно ответил - за готовым ответом, который только копипаст - на фриланс. Обычно здесь набрасывают тему ответа, а разбираться в ней приходится самому.

[rrambo]

Настроил, всем спасибо.