Хочу чтоб определенные сайты работали через vpn, как настроить роутер?
Здравствуйте.
Подскажите, можно ли организовать список/лист сайтов, которые будут работать через vpn при заходе на них?
То есть, я хочу настроить роутер так чтобы, при заходе на сайт ютуба, он открывался через vpn, а если на сайт сбера, то он использовал бы обычный интернет.
На каком роутере (желательно tp-link) можно организовать такое?
хотелось бы бюджетный в пределах (5-7к)
Купил xiaomi mi router 4 с mt7621a, из плюсов: 1. памяти больше среднего (и оперативной, и диска - позволит ставить всякие пакеты), 2. цена всего 3500 рублей - даже половина бюджета, 3. прошивается в openwrt, далее список возможностей почти неограничен с установкой пакетов. Поэтому рекомендую. Минусы: 1. изначально весь китайский, надо возиться с перепрошивкой, 2. даже со стандартным openwrt настройщики интернета будут недовольны. Одному настройщику постоянно вставляя и вынимая провод удалось превратить роутер в кирпич. Итого я убил ещё один день на попытки получить айпи, соединиться по ssh и восстановить. Иголка и ресет спасли систему.
Достаточно подключить роутер к впн, в приоритетах не поднимать данное подключение, после чего добавить в статические маршруты необходимые ip адреса или подсети с указанием в качестве шлюза локальный IP адрес сервера впн.
Alexey Dmitriev, на сколько я понял, нужно чтобы работали определенные сайты, про имена речи не было, и сделать это через подсети, как по мне, логичнее и проще, ибо указывать вручную все CDN того же ютуба, это боль, а вот добавить нужные подсети, узнав свой CDN, дело пары маршрутов.
olololoe, в зависимости от Ваших потребностей. Нужен ли wifi 6 , гигабитные порты, юсб порты и тд. Средний оптимум я считаю hap ac 2, но его средняя цена - около 9000 за новый давайс.
Ну нормальный микротик сейчас выходит за рамки бюджета и рекомендовать его не сетевому инженеру я бы не стал, т.к. уровень вхождения выше, чем у остальных Soho решений и ближе уже к Cisco.
Но это 100% можно реализовать на микротике, сам пользую лет 5, но неподготовленному человеку даже по мануалам будет сложно реализовать.
Ну и по модели правильно написали, что зависит от потребностей, а том можно на советовать полный фарш, я вон год назад, когда цены взлетели на сетевое оборудование насчитал своих тиков на 150к рублей.
RomanKu, про бюджет - согласен. Но как я написал - требования не озвучены.
А что про настройку - людям не из ИТ хватит и quick setup. Большинство настроек он сделает. А далее уже в зависимости от задач, найти мануалы вполне реально.
Стандартный подход (я использую для доступа к внутренним корпоративным ресурсам из домашней сети):
1. поднимает VPN подключение с сетевым интерфейсом
2. создаем таблицу маршрутизации, где маршруты по-умолчанию (да, можно несколько для отказоустойчивости поднять) используют ваш тоннель
3. в фаерволе создаем адрес лист с нужными правилами: это может быть IP назначения или внутренний IP источника или доменное имя
4. в фаерволе помечаем трафик, который идет на нужные адрес листы для использования таблицы маршрутизации из 2
Если в адреслист вставить домен, то микротик периодически сам запрашивает IP адреса и добавляет их в адрес листы, но это не всегда хорошо работает с распределенными системами.
1. если клиент использует другие dns сервера, не свой роутер, а, например гугловые, то роутер добавит в фильтр одни IP, а 8.8.8.8 вернет другие IP, которые ближе к гуглу, а не к роутеру.
2. если IP очень много, особенно, это я наблюдал с IPV6, то в DNS ответ попадает только часть их и получается, что каждый раз будет приходить разный список адресов
3. микротик сохраняет только последние IP адреса, соответственно, в роутере будет маршрутизация для 2-4 IP адресов этого домена, а не целой подсети.
Эти проблемы можно решить 2мя способами
1. Руками собрать список IP адресов сервиса, есть гугл для этого, некоторые сервисы сами публикуют эту информацию. Соовтетственно, в адрес листы добавить руками или скриптом все подсети
2. Использовать L7 фильтрацию по домену, но она не всегда работает качественно, и очень сильно грузит процессор роутера
Drno, боюсь 100мбмт пол Китая не выдержит. Скорее половину китайской семьи.
Но даже так, это было бы палево для любого системного администратора. Банально размер траффика посмотреть. Или запросы из Adguard Home.
В общем, тут либо бояться и не юзать, либо знать как оно работает и куда смотреть для проверки.
Сервер на Арубе за 2.7 евро в месяц. Германия.
Руками поднимал ,OpenVPN без докеров.
На микротике поднял OpenVPN интерфейс и маршрут.
2 адрес листа.
1 адрес лист IP_OPENVPN - пишеш Ip ПК и он весь идет через опен.
2 адрес лист Sites_Openvpn - пишеш туда intel com и только этот сайт открывается через Openvpn.
С простыми сайтами типа intel.com работает.
Но вот для instagram.com нужно вычленить все адркса доя авторизации типа.
login.facebook.com, www.facebook.com, facebook com
И да www и без www это разные адреса. Либо в САЙТ ОПЕНВПН кидаю диапазон Ip facebook
Купи tplink ax53 v1. Именно v1. Посмотреть можно на наклейке на коробке или на нем. На 4пда в соответствующей по нему теме есть бета прошивка с впн клиентом - роутер изначально не имеет клиента. Только сервер. Ну и там на последних страницах темы есть люди которые могут помочь. Обсуждается это все. Бесплатный впн. Скорость в целом вроде небольшая, около 20-30 мбит. Но этого как оказалось за глаза хватает чтобы ютуб показывал максимальное качество. Я сам так сделал - смотрю 4к ютуб и на телефон еще направил раздачу вафай через впн англию, чтобы смотреть другие соцсети.
А конкретно по твоему вопросу - не подскажу. Видимо надо настраивать на компе.
Самый бюджетный вариант с адекватным железом под OpenWRT это Xiaomi ax3000t. Только нужна китайская версия.
Гайд по прошивке и настройке найти не сложно.
Например тут есть и про прошивку и про настройку софта.
Я так сделал дома и на работе. Везде mikrotik.
Для интересующихся выкладываю в блоге диапазоны ip-адресов разных ресурсов, чтобы завернуть их в нужный туннель.
Например тут https://treeone.ru/diapazon-ip-adres-facebook-inst...
Также выкладывал Твиттер, Телеграм. Видимо сейчас придётся собирать для ютюб
Микроты научились делать маршрутизаторы? Не смешите. Для обычных пользователей дичь полная, а для профессионалов гавно не сусветное. Лучше уже на чем то по серьезнее сидеть, хотя бы тот же Zyxel. Конечно почти в 3 раза дороже, но оно того стоит.
Использую Xiaomi R3P с OpenWRT. Для доменной маршрутизации использую pbr, но, например, с Instagram такое не прокатит - слишком много урлов в запросе, а регулярки pbr не поддерживает...
