Хочу чтоб определенные сайты работали через vpn, как настроить роутер?

Question

[olololoe]

Здравствуйте.
Подскажите, можно ли организовать список/лист сайтов, которые будут работать через vpn при заходе на них?
То есть, я хочу настроить роутер так чтобы, при заходе на сайт ютуба, он открывался через vpn, а если на сайт сбера, то он использовал бы обычный интернет.
На каком роутере (желательно tp-link) можно организовать такое?
хотелось бы бюджетный в пределах (5-7к)

Comments

[merurav]

Если хочется tp-link - то придётся его перешивать на openwrt. Если хочется простого решения - то keenetik viva и накатить kvas, например.

[Алекс Глебов]

Amnezia VPN умеет, но не на роутере

Answer 1

[Алексей]

По сути любой роутер, на который можно залить OpenWRT подойдёт, если не охота мудрить с прошивками то микротик хап2/3 будет оптимальным выбором.

Comments

[indrej]

Купил xiaomi mi router 4 с mt7621a, из плюсов: 1. памяти больше среднего (и оперативной, и диска - позволит ставить всякие пакеты), 2. цена всего 3500 рублей - даже половина бюджета, 3. прошивается в openwrt, далее список возможностей почти неограничен с установкой пакетов. Поэтому рекомендую. Минусы: 1. изначально весь китайский, надо возиться с перепрошивкой, 2. даже со стандартным openwrt настройщики интернета будут недовольны. Одному настройщику постоянно вставляя и вынимая провод удалось превратить роутер в кирпич. Итого я убил ещё один день на попытки получить айпи, соединиться по ssh и восстановить. Иголка и ресет спасли систему.

[Ambulate]

Хватит советовать дырявые микротики для рядовых юзеров!

[Drno]

Ambulate, они не дырявые... если ты конечно не папуас)

[Roman]

Использую pfsense/opnsense на китайском мини-пк. Там в правилах фаервола любой каприз.

Answer 2

[Drno]

Можно. Тплинк - фуфло полное. минимум кинетик, желательно микротик

либо можно исопльзовать Антизарет, установить на собственный сервер. там можно вписать желаемые домены на сервере, они будут проксироваться через VPN

Comments

[olololoe]

какую модель посоветуете роутера?

[Drno]

olololoe, смотрите Кинетик по своему бюджету. я бы конечно советовал что то с вифи в 5Ггц
по функционалу они примерно одинаковы, прошивка одна и та же

из микротиков - Hap AC3 или какой там щас самый новый из линейки

[DevMan]

tplink – не говно, нужно уметь готовить. учитывая сколько стоит.
конечно есть лучше. но бюджет другой.

[Drno]

DevMan, полное фуфло, в данный момент, всё домашнее. кроме кинетика

[DevMan]

Drno, в данный момент может и так.
а лет 12 назад перешитый тплинк у меня спокойно тянул 2 провов и виланы.

[Drno]

DevMan, перешитый ТПлинк сразу теряет любое аппаратное ускорение...

[DevMan]

Drno, нафига оно ему при линках по 100 мегабит? итак вывозил.
конечно это не был совсем уж дешман за 15–20 баксов.

[Drno]

DevMan, ну 15-20 баксов это дешман..
может 100 и вывозил, щас то в большинстве 500-1000 вроде как)

[DevMan]

Drno, так сейчас и железки серьезнее, чем 15 лет назад.

в принципе этот разговор бессмысленный.

Answer 3

[Alexey Dmitriev]

Конечно keenetic. На forum.keenetic.com несколько вариантов реализации через entware и opkg

Comments

[Alexandr_VM]

Достаточно подключить роутер к впн, в приоритетах не поднимать данное подключение, после чего добавить в статические маршруты необходимые ip адреса или подсети с указанием в качестве шлюза локальный IP адрес сервера впн.

[Alexey Dmitriev]

Alexandr_VM, если вы прочитаете изначальный вопрос - то поймете, что нужна маршрутизация по именам, а не по ip.
В кинетик это возможно, например с помощью КВАС https://forum.keenetic.com/topic/14415-%D0%BF%D1%8... или другим доступным механизмам.

[Alexandr_VM]

Alexey Dmitriev, на сколько я понял, нужно чтобы работали определенные сайты, про имена речи не было, и сделать это через подсети, как по мне, логичнее и проще, ибо указывать вручную все CDN того же ютуба, это боль, а вот добавить нужные подсети, узнав свой CDN, дело пары маршрутов.

Answer 4

[Maksim Herasim]

На микротике можно такое организовать

Comments

[olololoe]

какую модель посоветуете роутера?

[Maksim Herasim]

olololoe, в зависимости от Ваших потребностей. Нужен ли wifi 6 , гигабитные порты, юсб порты и тд. Средний оптимум я считаю hap ac 2, но его средняя цена - около 9000 за новый давайс.

[RomanKu]

Ну нормальный микротик сейчас выходит за рамки бюджета и рекомендовать его не сетевому инженеру я бы не стал, т.к. уровень вхождения выше, чем у остальных Soho решений и ближе уже к Cisco.
Но это 100% можно реализовать на микротике, сам пользую лет 5, но неподготовленному человеку даже по мануалам будет сложно реализовать.
Ну и по модели правильно написали, что зависит от потребностей, а том можно на советовать полный фарш, я вон год назад, когда цены взлетели на сетевое оборудование насчитал своих тиков на 150к рублей.

[samponet]

RomanKu, недавно гуглил этот вопрос и как то не нашёл решения для микрота. Могли бы подсказать где?

[Maksim Herasim]

RomanKu, про бюджет - согласен. Но как я написал - требования не озвучены.
А что про настройку - людям не из ИТ хватит и quick setup. Большинство настроек он сделает. А далее уже в зависимости от задач, найти мануалы вполне реально.

[RomanKu]

samponet, Ну вот гуглятся инструкции https://pikabu.ru/story/nastroyka_vpn_na_mikrotik_... и https://blog.rpsl.info/2019/03/mikrotik-use-vpn/

Стандартный подход (я использую для доступа к внутренним корпоративным ресурсам из домашней сети):
1. поднимает VPN подключение с сетевым интерфейсом
2. создаем таблицу маршрутизации, где маршруты по-умолчанию (да, можно несколько для отказоустойчивости поднять) используют ваш тоннель
3. в фаерволе создаем адрес лист с нужными правилами: это может быть IP назначения или внутренний IP источника или доменное имя
4. в фаерволе помечаем трафик, который идет на нужные адрес листы для использования таблицы маршрутизации из 2

Если в адреслист вставить домен, то микротик периодически сам запрашивает IP адреса и добавляет их в адрес листы, но это не всегда хорошо работает с распределенными системами.
1. если клиент использует другие dns сервера, не свой роутер, а, например гугловые, то роутер добавит в фильтр одни IP, а 8.8.8.8 вернет другие IP, которые ближе к гуглу, а не к роутеру.
2. если IP очень много, особенно, это я наблюдал с IPV6, то в DNS ответ попадает только часть их и получается, что каждый раз будет приходить разный список адресов
3. микротик сохраняет только последние IP адреса, соответственно, в роутере будет маршрутизация для 2-4 IP адресов этого домена, а не целой подсети.

Эти проблемы можно решить 2мя способами
1. Руками собрать список IP адресов сервиса, есть гугл для этого, некоторые сервисы сами публикуют эту информацию. Соовтетственно, в адрес листы добавить руками или скриптом все подсети
2. Использовать L7 фильтрацию по домену, но она не всегда работает качественно, и очень сильно грузит процессор роутера

[samponet]

RomanKu, спасибо, буду тестировать, аж ручки зачесалась )

Answer 5

[windows8prew]

Как выше сказали, любой роутер с wrt прошивкой. Чтобы понять у какого есть, у какого нет, можете по поиску найти на сайте 4пда или из гугла.

Comments

[chifth]

Ломай систему :)
Покупай роутер сразу с OpenWRT на борту.
Routerich какой нибудь. Или gl.inet с Али (и заодно получи клауд-логин даже за NAT).

[Drno]

chifth, что потом твой "инет" пользовало пол китая.. после их "облаков" ))

[chifth]

Drno, боюсь 100мбмт пол Китая не выдержит. Скорее половину китайской семьи.
Но даже так, это было бы палево для любого системного администратора. Банально размер траффика посмотреть. Или запросы из Adguard Home.

В общем, тут либо бояться и не юзать, либо знать как оно работает и куда смотреть для проверки.

Answer 6

[Dupych]

Сервер на Арубе за 2.7 евро в месяц. Германия.
Руками поднимал ,OpenVPN без докеров.
На микротике поднял OpenVPN интерфейс и маршрут.
2 адрес листа.
1 адрес лист IP_OPENVPN - пишеш Ip ПК и он весь идет через опен.
2 адрес лист Sites_Openvpn - пишеш туда intel com и только этот сайт открывается через Openvpn.
С простыми сайтами типа intel.com работает.
Но вот для instagram.com нужно вычленить все адркса доя авторизации типа.
login.facebook.com, www.facebook.com, facebook com
И да www и без www это разные адреса. Либо в САЙТ ОПЕНВПН кидаю диапазон Ip facebook

Comments

[Alexandr_VM]

157.240.0.0/16 работает и то и другое и весь его контент

[AndreyFr]

Что такое сервер на Арубе?

[Drno]

AndreyFr, в гугле забанили?) хостинг - аруба)

[AndreyFr]

Полный сайт скажи !!!! На латинице !!!!!

[Радмир]

Я использую bitlaunch.io, можно оплатить криптой

Answer 7

[Witalya79]

Купи tplink ax53 v1. Именно v1. Посмотреть можно на наклейке на коробке или на нем. На 4пда в соответствующей по нему теме есть бета прошивка с впн клиентом - роутер изначально не имеет клиента. Только сервер. Ну и там на последних страницах темы есть люди которые могут помочь. Обсуждается это все. Бесплатный впн. Скорость в целом вроде небольшая, около 20-30 мбит. Но этого как оказалось за глаза хватает чтобы ютуб показывал максимальное качество. Я сам так сделал - смотрю 4к ютуб и на телефон еще направил раздачу вафай через впн англию, чтобы смотреть другие соцсети.
А конкретно по твоему вопросу - не подскажу. Видимо надо настраивать на компе.

Answer 8

[ArtemkaXD]

Самый бюджетный вариант с адекватным железом под OpenWRT это Xiaomi ax3000t. Только нужна китайская версия.
Гайд по прошивке и настройке найти не сложно.
Например тут есть и про прошивку и про настройку софта.

Answer 9

[Радмир]

Я так сделал дома и на работе. Везде mikrotik.
Для интересующихся выкладываю в блоге диапазоны ip-адресов разных ресурсов, чтобы завернуть их в нужный туннель.
Например тут https://treeone.ru/diapazon-ip-adres-facebook-inst...
Также выкладывал Твиттер, Телеграм. Видимо сейчас придётся собирать для ютюб

Answer 10

[MrAVM]

Микроты научились делать маршрутизаторы? Не смешите. Для обычных пользователей дичь полная, а для профессионалов гавно не сусветное. Лучше уже на чем то по серьезнее сидеть, хотя бы тот же Zyxel. Конечно почти в 3 раза дороже, но оно того стоит.

Answer 11

[ajeysilver]

Использую Xiaomi R3P с OpenWRT. Для доменной маршрутизации использую pbr, но, например, с Instagram такое не прокатит - слишком много урлов в запросе, а регулярки pbr не поддерживает...

Answer 12

[motinsv]

Подробная инструкция для keenetic