Как перенаправить часть трафика в обход VPN?

Question

[UnDentam]

Имеется виртуальный сервер (Ubuntu) на который можно поставить OpenVPN или WireGuard (например в Германии)

Как на сервере сделать так чтобы весь трафик на российские сайты и сервисы (типо окко и Кинопоиска и т. д.) - ходил не через VPN или пусть даже через еще один VPN но российский.
А на все остальные через VPN Германия (включая YouTube например)
При этом на любом устройстве можно было бы подключиться к этому VPN-серверу (установив конфигурацию) и больше не запариваться ни с какими настройками?
Как такое сделать? Или возможно есть другие варианты без танцев с бубном?

Есть ещё вариант - можно ли как то сделать конфигурацию для VPN-клиента с такими параметрами? Чтобы установить её например в роутер.

Сам в этом практически не разбираюсь, но настройки и что то довольно простое - думаю - потяну)))

Comments

[AlexVWill]

На роутере можно реализовать выбор какие домены пойдут в VPN или в обход него. Но для этого надо сделать список этих доменов.
Можно решить вопрос иначе, если клиент на Linux, то можно реализовать это через namespace приколхозив к нему GeoIP, я сам не делал, но теоретически должно заработать.
На сервере это делать смысла нет, поскольку если трафик уже попал на сервер то сервер его может или дальше пустить, или отклонить.

[UnDentam]

AlexVWill, согласен когда попал, уже все)
Нашел ещё видео на ютуб
Split tunnel openvpn guide
(Не знаю можно здесь ссылки прикладывать?)

Но там как раз прописываются имена сайтов в конфиг файле - не знаю насколько это рабочая версия?
Да и файл конфига скорее всего при таком раскладе будет гигантский и его ещё обновлять как то надо.

По роутеру (ASUS gt6000) - не нашел где там можно задать какие адреса через vpn гнать а какие нет - возможно так же в конфиг файле opvn?

[AlexVWill]

UnDentam, на Asus не знаю как, на Mikrotik это делается элементарно через address lists. Но я бы забил на эту идею, и пустил бы все через VPN. Ну или купил бы Mikrotik или накатил на Asus OpenWRT, она тоже это умеет, и какие то сайты, которые не работают через VPN поставил бы в черный список и пускал бы их в обход.

[UnDentam]

AlexVWill, всё через vpn не получается(( Есть 3 smart tv (помимо прочего) - ютуб сейчас смотреть стало нереально - качество 140р (а через впн все норм) + Netflix, но при этом на них ещё Окко Кинопоиски и прочее - они через впн не хотят работать. На сами тв впн не прикрутишь - только на роутер и тут начинается проблема - на одни сайты можно зайти через впн на другие нет. Хотелось какое- то простое решение чтобы всё работало, без постоянного передергивания впн.
Думалось прописать хотя бы основные российски сервисы например в файле конфиге и ходит на них не через впн, а остальное уже через него пустить.
Видимо надо пробовать с openwrt прошивкой или ещё вроде как такое встроено в keenetic (но это уже замена роутера)

Answer 1

[Drno]

либо пилить какие то свои скрипты, либо как вариант взять проект Антизапрет, там есть возможность вписывать домены, которые надо через впн \ исключить
по умолчанию он в ВПН пихает только домены \ IP которые в блоке РКН

Comments

[UnDentam]

Казалось что можно просто прописать в конфиг файле opnv или через allowedip в wireguard?

[Drno]

UnDentam, неа... ему же надо домены определять. и в случае в антизапретом там поднимается локальный днс сервер, и он уже решает куда юзера направить

[UnDentam]

Drno, т е можно на свой сервер поставить антизапрет или он как то через свой vpn все гонит?
Я так понимаю свой сервер антизапоет в локации Россия, а он уже принимает решение дальше на vpn (тоже получается свой только например в Лондоне) или без vpn - правильно понимаю?
(И там получается нужно настроить список доменов какие гнать через Россию - например стрим сервисы госуслуги и прочее, а остальное типо Netflix и ютуба теперь - через vpn)?

[Drno]

UnDentam, его можно поставить на свой сервер. Там есть готовый контейнер. По умолчанию он раз в неск дней парсит список блоков РКН и добавляет к себе.

Когда подключаетесь он ставит Вам свой днс сервер, и на основе запросов днс решает куда пустить трафф.

Ставить его надо на зарубежный сервер - он пустит весь траф как обычно, кроме заблокированных доменов - они пойдут через впн. Так же там в файле на сервере можно указать еще и свои домены, которые тоже хочется проксировать

[UnDentam]

Drno, а свой днс он куда ставит? Т.е. вопрос как потом этим можно пользоваться с других устройств? (Получается раздать всем файл конфига не получится - от же будет только на впн вести напрямую?)

[Drno]

UnDentam, ну прочитайте офф сайт… там же есть эта инфа.
На свой сервер он ставит днс и прописывает его клиенту.

Можно всем раздать, почему нет то?

Answer 2

[splattiik]

Например для wireguard импорт настроек на mikrotik
LocalToWireGuardList - лист локальные адресов
WireGuardList - лист адресов куда перенаправлять трафик через wireguard.
Адаптировать можно под свои потребности как удобно

От версии RouterOS может ругаться на те или иные параметры. Например в 7.10 нельзя задать имя wg peer

/interface wireguard add name=WireGuard-out private-key="-----PrivateKey FROM DOWNLOAD FILE INSERT HERE" listen-port=8229 mtu=1342
/interface wireguard peers add allowed-address=0.0.0.0/0,::/0 endpoint-address="-----Endpoint" endpoint-port="-----EndpointPort" interface=WireGuard-out name=WireGuard-peer persistent-keepalive=30s preshared-key="-----PRESHARED FROM DOWNLOAD FILE INSERT HERE" public-key="-----PublicKey FROM DOWNLOAD FILE INSERT HERE"
/ip address add address="-----Address from file" interface=WireGuard-out
/interface list member add interface=WireGuard-out list=WAN
/routing table add name=to-WireGuard fib

/ip firewall address-list add address=192.168.88.0/24 list=LocalToWireGuardList
/ip firewall address-list add address=chatgpt.com list=WireGuardList

/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=LocalToWireGuardList new-connection-mark=to-WireGuard passthrough=yes
/ip firewall mangle add chain=prerouting src-address-list=LocalToWireGuardList dst-address-list=WireGuardList action=mark-routing new-routing-mark=to-WireGuard passthrough=yes
/ip route add routing-table=to-WireGuard dst-address=0.0.0.0/0 gateway=WireGuard-out comment="to-WireGuard"
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=to-WireGuard tcp-flags=syn tcp-mss=!0-1375
/ip firewall nat add action=masquerade chain=srcnat out-interface=WireGuard-out

Comments

[UnDentam]

А для ASUS GT 6000 есть такое?