Как попасть на Госуслуги, если в роутере установлен VPN?

Question

[Владимир]

Собственно говоря, сабжевая проблема решена, непонятен лишь один момент.

Имеем: роутер Keenetic с установленным WireGuard. Задача: попасть на Госуслуги. Опытным путём выяснил, что в статических маршрутах следует прописать адреса для gosuslugi.ru, lk.gosuslugi.ru, eisa.gosuslug.ru:

213.59.253.6
213.59.253.7
213.59.253.8
213.59.254.6
213.59.254.7
213.59.254.8

Вот пример для одного маршрута:



И вот в этом месте я застрял на час. Вводил стандартный адрес шлюза 192.168.1.1 и ничего не работало, пока в одном видео не увидел, как чел вводит 0.0.0.0. При этом в таблице маршрутизации колонка "Адрес шлюза" становится пустой.

Вот итоговая таблица маршрутизации:



На всякий случай покажу имеющиеся подключения:



Но не понимаю: почему 0.0.0.0?

Comments

[Balling]

Никак. Связности автономной ситемы электронного правительства с внешнем миром нет.

Answer 1

[Anonymous]

Лучше всего туннелируйте только заблоченные сайты через Wireguard, так можно избежать многих проблем. Некоторые российские сайты попросту не хотят работать с иностранными IP-адресами или предоставляют ограниченный функционал.

Пы.сы. И лучше использовать Marzban с VMess/Vless, т.к. РКН уже очень хорошо блокирует Wireguard. VMess/Vless спокойно работают даже в Китае. Но у вас сток прошивка, поэтому вероятно, встроить на роутере без openWrt не получится

Comments

[Alexey Dmitriev]

У кинетик есть entware, ему не нужен openwrt

[kos_albatross]

У меня настроена маршрутизация по другому, заблокированные ресурсы через wireguard, остальной трафик по прямой. IP
адреса ресурсов брал с rockblack. Вроде норм работает

[Anonymous]

Alexey Dmitriev, приношу извинения, действительно, забыл про это :)

Answer 2

[Петровский]

0.0.0.0 — это маршрут по умолчанию обозначается так.

Технически, на роутере не совсем правильно всё пускать через VPN, только некоторые узлы.

Для маршрута можно указывать или адрес шлюза, или выходной интерфейс.

Comments

[Константин Фролов]

Технически, на роутере не совсем правильно всё пускать через VPN, только некоторые узлы.

А например скрыть от провайдера использование торрентов?

[lantonov]

Немного не так 0.0.0.0 это специальный адрес нужен для того чтобы можно было обмениваться данными даже роутера ели прописать статический маршрут и если адрес узла /32 или шллюз находится в другой подсети то система пошлёт пакет на 0.0.0.0 а он уже уйдет на шлюз по умолчанию. Который записывается так 0.0.0.0/0

[Петровский]

lantonov, не шлюз, а маршрут. Очень неграмотно пишете

Константин Фролов, пускайте торренты в ВПН

[lantonov]

Петровский, IANA , которая распределяет IP-адреса по всему миру, выделила один IP-адрес 0.0.0.0 [ 1 ] в разделе 3.2.1.3 RFC 1122. Он называется «Этот хост в этой сети».

В таблицах маршрутизации 0.0.0.0 может также отображаться в столбце шлюза. Это указывает на то, что шлюз для достижения соответствующей целевой подсети не указан. Это обычно означает, что промежуточные переходы маршрутизации не требуются, поскольку система напрямую подключена к месту назначения. [ 9 ]

Нотация CIDR 0.0.0.0 / 0 определяет блок IP, содержащий все возможные IP-адреса. Обычно используется в маршрутизации для отображения маршрута по умолчанию как подсети назначения . Она соответствует всем адресам в адресном пространстве IPv4 и присутствует на большинстве хостов, направленных на локальный маршрутизатор. [ 10 ]

почитай статью в википедии и всё стане понятно

[Петровский]

lantonov, не шлюз, а маршрут. У вас проблемы с грамотностью

[lantonov]

Петровский, если что я этим занимаюсь и 0.0.0.0 это 0 точка маршрута каждая точка называется хопом так как 0.0.0.0 говорит что пакет с любым адресом должен идти на меня а если в таблице есть маршрут на эту сеть. То он уйдет туда по 2 уровню найдя устройства по ARP а если такой сети нет то он смотрит если маршрут до сети 0.0.0.0/0 так как любые адреса пдподают под этотот маршрут

Answer 3

[Sasha294]

Можно использовать другие сервера wgcf, если вы хотите по роутам то можно попробовать это https://rockblack.su/vpn/dopolnitelno/diapazon-ip-...

И там ниже для кинетика, когда вы будите загружать роуты то придется несколько раз это делать пока не будит ноль загруженных. И можно отключить при этом способе что бы выходить в интернет через wg

Answer 4

[lantonov]

И ещё по pppoe прилетает адрес шлюза динамический и правильно будет писать через консоль она похожа на Cisco и там есть одна простая конструкция ip route 213.59.253.6 255.255.255.255 PPPoE0 и он сам определяет на какой адрес отправлять уже

Answer 5

[Mr_Crank]

А в чём смысл всё пускать через ВПН? Логичнее блокируемое /замедляемое пускать через ВПН, а остальное напрямую. У кинетика для этого есть KVAS. Можно использовать и существующий вайргард, а при блокировке его сменить уже на влесс или прочих.

Comments

[xHeAVeNx]

А у tp link есть что-то похожее?

[Mr_Crank]

xHeAVeNx, только если перешивать на OpenWRT