Как настроить промежуточный сервер для выборочной фильтрации трафика через прокси/VPN?

Question

[markedo]

Дано:
1) обычный домашний интернет-провайдер, который дает доступ в интернет по DHCP без доп настроек
2) обычный домашний Wi-Fi роутер на стоковой прошивке
3) компактный сервер с двумя сетевыми картами на гигабит каждая, ОС Debian 12, но можно установить любую - хоть центос, хоть арч.
4) прокси/VPN на стороннем VPS, к которому подключен сервер из п. 3

Задача:
Хочу воткнуть сервер в промежуток между роутером и провайдером. В одну сетевую карту вставить кабель провайдера, а через вторую сетевую карту подключиться к роутеру.
При этом необходимо, чтобы сетевое соединение провайдера полностью шарилось на роутер, НО запросы на некоторые адреса фильтровались и проходили не напрямую, а через сторонний VPN\прокси.

Подскажите пожалуйста как это сделать? Видел мануалы на подобные действия с OrangePi и Wi-FI установленном на саму OrangePi, но у меня ситуация отличается.

Поставить OpenWRT на роутер не предлагать, железо не вывозит. Менять роутер тоже не хочу. Наоборот хочу в перспективе проплатить "белый IP" и на сервере организовать NextCloud с доступом из интернета, поэтому хочется мощный универсальный сервер и wi-fi придаток, который будет делать одно дело, но качественно.

Answer 1

[Alexey Dmitriev]

Очень странная идея. Что мешает поставить сервер рядом в локалке с статическим адресом, сделать шлюз по умолчанию всех клиентов в DHCP роутера на него, а у него сделать шлюзом по умолчанию роутер.
И когда все пакеты пойдут к нему, уже маршрутизировать и NATить, как душе угодно.

Comments

[markedo]

Мешает отсутствие мануалов... На словах идея понятна, мне бы инструкцию как сделать такое, и как потом ещё и трафик фильтровать.

[Alexey Dmitriev]

markedo, в смысле мануалы? Это базовые знания по построению сетей.

[markedo]

Alexey Dmitriev, вы сюда отвечать пришли или потешить своё чсв? Если для вас это "базовые знания" - почему бы сразу по существу не ответить?

[Alexey Dmitriev]

markedo, я вам дал вполне внятный ответ.
Если вы не тянете - не нужно пытаться мне что-то доказывать и оскорблять. Наверно нужно учиться, а заодно изучить https://qna.habr.com/help/rules и п.5.12 в частности.
Либо платите специалисту.
А здесь слава богу не принято пестовать незнаек и халявщиков.

[markedo]

Alexey Dmitriev, вам самим следует изучить правила, особенно пункт 5.16 и перестать флудить и накачивать своё ЧСВ. Ссылаться на "базовые знания по построению сетей" -- это не внятный ответ, и вообще не ответ. Так можно на любой вопрос ответит мол это базовые знания в сфере N. И тем более ссылка на 5.12 смешная, я не просил никого ничего сделать, я интересуюсь мануалами как сделать самостоятельно, что снова доказывает, что вы сюда не на вопрос пришли отвечать, а троллить и тешить своё ЧСВ.

Answer 2

[Евгений Хлебников]

Вы что-то переусложняете
В сети провайдера два устройства вряд ли будут сосуществовать, поэтому если первым вы поставите сервер - переносите весь роутинг на него, а роутер оставляйте как wifi свисток (насколько я понял он у вас в такой роли планируется)

Альтернативно - оставить все как есть, покопать возможности стоковой прошивки роутера на предмет маршрутизации и проброса портов (чтобы ваш сервис на сервере выставить в интернет)

"быстрое" решение - поднять прокси на сервере, пустить весь трафик приходящий на прокси в туннель, написать WPAD файл и распространить его среди домашних устройств любым удобным способом

Comments

[markedo]

Что значит "в сети провайдера два устройства вряд ли будут сосуществовать"? Мне кажется вы не поняли.
Есть цель пустить некоторые сайты (youtube) через прокси/VPN, но чтобы не перепрошивать роутер. Просто воткнуть сервер с двумя сетевухами между провайдером и домашим роутером и чтобы "оно само заработало". Просто расшарить сеть с одной сетевухи на другую более-мене получилось, но вот решение ещё и для фильтрации трафика я не нашёл.

Answer 3

[Valentin Barbolin]

Вполне возможно, надо включить DNAT на сервере что бы все входящие подключения пересылались на роутер.

Но я б сделал по другому. Провайдера подключить в роутер, сервер поставить за роутером. На DHCP роутера в качестве GW указать сервер, если роутер так не умеет, то отключить на нем DHCP и настроить DHCP на сервере. В такой схеме на сервере достаточно одного сетевого интерфейса.

В таком варианте, все запросы от клиента приходят на сервер, маршрутизируются, что надо в VPN остальное на роутер.

Comments

[markedo]

Спасибо, интересная идея. Вторая сетевуха не является проблемой, она у меня уже есть, поэтому цели сэкономить на ней нет. Но сама идея звучит здраво, ещё бы мануал какой для запуска. В теории то понятно что делать, а вот на практике не получается=(

[Valentin Barbolin]

markedo,

, она у меня уже есть, поэтому цели сэкономить на ней нет.

Дело не в экономии, по второй схеме вторая сетевуха будет в той же сети что и первая и это только добавит сумбура в маршрутизации, а прироста скорости не будет.

НО запросы на некоторые адреса фильтровались и проходили не напрямую, а через сторонний VPN\прокси..

Ты это уже настроил или нет?

[markedo]

Valentin Barbolin, проброс сигнала настроил, фильтрацию не настроил. Не нашёл внятных готовых решений.

Answer 4

[CityCat4]

Подскажите пожалуйста как это сделать?

Никак. Так сделать невозможно. Если провайдер без оптики - просто принимаете его на сервер и на сервере разруливаете трафик, а wifi роутер переведите в режим точки доступа (если он такой есть, конечно)

Answer 5

[guselnikov]

В сервер втыкаем кабель от провайдера, настраиваем маршрутизацию на сервере, что надо - пускаем через туннель, а остальное через провайдера. Роутер используем как точка доступа.