Список IP адресов российских доменов для исключения из VPN?

Question

[psiklop]

Через VPN последнее время не доступны российские Ozon, Avito и многие другие не последние по важности сайты. Разобрался с маршрутизацией и "забил" в исключения весь рунет.

Нужна альтернатива ip подсетей таких важных доменов из так называемого белого списка, чтобы укоротить список и сделать чуть проще.

Вопрос заключается есть ли ссылка на такой готовый список, занимается уже этим кто-то ?

Comments

[Wergeld]

На сайте амнезии есть списки подсетей

[psiklop]

Wergeld, серьезно ?

[Wergeld]

psiklop, да, там можно в конфиг того wireguard , в том же кенетике добавить

[psiklop]

Wergeld, ты из секты кинетика ?

[Wergeld]

psiklop, у тебя вопрос про кинетик или про список подсетей? кинетик топ для дома. работает из коробки и там тоже есть консоль. мой кинетик дороже большей части микротов. которые не любят wi-fi от слова совсем. еще вопросы?

[Dgbbjjhgv]

Вообще по логике проще забить черный список с адресами ресурсов на какие планируется заходить, а не наоборот.
И с учётом того, что впн поднят на зарубежном хостинге, то логично предположить, что маршрутизация оттуда до российских серверов вообще может быть недоступна, либо сами маркетплейсы не допускают трафик из недружественных стран.

Тут только остается прокси сервер поднимать с маршрутизацией, где на ру зону будет использоваться прямое подключение.
И вообще всегда с впн сидеть как-то странно

[psiklop]

Dgbbjjhgv, VPN для обхода РКН всегда на зарубежном хостинге иначе в нем нет смысла, хотя страну выбирать можно есть пока немного нейтральных стран.

Это wi-fi vpn для смартфонов, приставки, tv смысл постоянно включить есть, чтобы не передергивать.

Очень много уже заблокировано, новости не почитать, видосы не посмотреть, на трекеры не зайти. Проще белый список этот раздобыть, 97% трафика ru трафика на российский ozon avito и тп Больше ничего российского и не надо. На остальные 3% тоже с vpn зайду.

[psiklop]

Wergeld, у меня нет кинетика и нормально живу, поэтому в моем вопросе ничего нет про кинетик, специально перепроверил и точно нету. Я понимаю ты хотел помочь, но тыкнул пальцем в небо, даже ссылку не дал.

[psiklop]

Dgbbjjhgv, у меня когда свет отключают я даже свои часы не могу без vpn снова настроить, причем vpn нужен именно по wi-fi из-вне.

[Dgbbjjhgv]

psiklop, не вижу ничего сложного, чтобы раздобыть адреса suip.biz

[psiklop]

Dgbbjjhgv, IP страны раздобыть несложно, это я и сделал, а хочется белый список. Там список самых скрепных сайтов Россиюшки, они одновременно и самые нужные и самые вредные, не дают зайти с ВПН.

[Dgbbjjhgv]

psiklop, а в роутер этот можно только айпишники прописывать в этот список исключения или черный лист, чтобы трафик шёл в обход впн? Он сразу хосты не умеет резолвить? Например пишешь (звёздочка)*.yandex.ru и роутер будет резолвить все поддомены Яндекса. Или например сразу *. ru.

[psiklop]

Dgbbjjhgv, ниже писал Drno как настроено. Для маршрутизации использую стандартные средства Linux работают на уровне сетевых интерфейсов и ip адресов. Хорошая штука, сам не сильно шарю, так как не системный администратор, но ИИ помог настроить.

[SlavaSch]

VPN для обхода РКН всегда на зарубежном хостинге иначе в нем нет смысла

psiklop, есть хостеры в рф, на сетях которых нет тспу и работает запрещенка - удобно использовать для ютуба без рекламы, например. Просто fyi

[SlavaSch]

А насчёт списков - если можете сделать маршрутизацию по доменам, то могу посоветовать вот эти, пользуюсь уже пару лет, мне нравится https://github.com/itdoginfo/allow-domains
Там есть как общий список Russia inside (включает не всё, но достаточно много), так и отдельные списки по заблокированным сервисам. А также есть список Russia outside - домены ру сервисов, к которым нужно подключаться из рф, может как раз он вам пригодится

[Wergeld]

SlavaSch, это до поры, до времени

[psiklop]

SlavaSch, говорят все "есть" только где не говорят. A ip российский у того хостинга? Что-то не верится. Я рекомендую Казахстан, есть личный опыт работает на билайн, где Европа не хочет.

[SlavaSch]

psiklop, ip российский, можно примеры посмотреть в канале айтитога в телеге, там на пару таких хостеров точно были обзоры

Answer 1

[Drno]

https://github.com/itdoginfo/allow-domains

а таких списков как ты хочешь нету... проще весь рунет оставить, остальное в впн гнать

Comments

[psiklop]

Может и проще, в принципе работает. Хотя нагрузка там при запросах выходит значительная 16k адресов это с подсетями. Список должен появиться есть спрос должно быть и предложение.

Просто разыскать список доменов и пробить их все по айпи и выложить в открытый доступ полезная работа, многие бы были благодарны.

[Drno]

psiklop, так они меняются постоянно... его обновлять задолбаешься. тем более блокировки не идентичны. они даж в одном районе города отличаются...

ну когда у кого нить будет желание и куча времени это делать, мож и сделают) тем более еще и бесплатно...)

[psiklop]

Drno, у домена есть сервер, у сервера ip, разве у сложных сайтов несколько серверов, так они наверное в одной подсети. А переезжать только всякие домашние сайтики могут себе позволить, потому что мамкин админ опять с хостингом поссорился.

[Drno]

psiklop, у сложных сайтов да, целые подсети. типа ВК или меты. и они переодически меняются

[Drno]

psiklop, посмотрите еще этот проект... вместо того чтобы фулл заворачивать тудой
https://github.com/GubernievS/AntiZapret-VPN

[psiklop]

Drno, это готовенькое, не интересно. Я купил на озоне точку доступа TP-LINK EAP115 старенькая, но качественная.

У меня есть сервер домашний, захотел чтобы он раздавал wi-fi уже с VPN. На винде это называется Internet Connection Sharing (ICS) на Linux посложнее сделать аналог ICS ИИ в помощь.

Потом этого стало мало, захотел настроить маршруты. Это можно сделать через iptables+ipset, в принципе несложно, там просто нужно понимать логику, что ты хочешь сделать, а ИИ правила подскажет.

Мой конфиг: AmneziaWG, чтобы создать тоннель, Linux сервер + TP-LINK EAP115 это железо, ну логика была простая, в точку доступа втыкается интернет - надо просто воткнуть в нее интернет уже с vpn и получишь wi-fi с vpn, а для маршрутизации есть iptables+ipset стандартные штуки linux они работают очень хорошо, но на уровне ip адресов и интерфейсов.

[Drno]

psiklop, всё уже придумано до тебя. если ты хочешь зачем то в 3й раз сам придумывать и писать - твоё право.

проще использовать уже готовое и не тратить лишнее время

насчет того что ты хочешь - в openWRT есть как минимум 2 пакета которые делают фильтр по доменам или IP.
Это или Podkop или PBR. Хочется - изучай их, переноси логику на линукс...

Тот же Антизапрет генерит нужное на сервере, списки адресов и кладёт готовый файл с ними, например для загрузки маршрутов в кинетик \ линукс

Лично я, как по мне, сделал самый простой вариант - просто взял роутер на опенВРТ и вкорячил туда нужное.. вот тебе и роутер, и раздельные маршруты и вифи и вообще всё что хочешь. по цене в миску риса

И никакого гемора

[psiklop]

Drno, это у меня как раз проще.

Зачем мне искать спец роутер прошивать его какими-то прошивками openWRT добавлять туда пакеты, когда у меня есть простая надежная точка доступа из корпоративной линейки. Зачем мне эти спец-линуксы зашитые в недо-роутеры, когда у меня 100 лет есть домашний сервер на обычном ubuntu который выполняет уже десятки разных функций, я раздаю фильмы на трекере и раздаю их себе по dlna, там и сайтик крутится и камеры наблюдения а теперь еще и VPN раздает.

Не строй огород выкинь свои перепрошитые девайсы и пользуйся стандартными средствами.

[Drno]

psiklop, огород не я строю)

сервер это сервер. сеть это сеть)

роутер это отдельная железка. так удобнее и практичнее во всех смыслах. и надежнее)

[psiklop]

Drno, мне не удобнее, у меня есть роутер тем более от ростелекома, который без танцев с бубном выдает интернет 300 мегабит и wi-fi он без vpn, а точка доступа просто создала еще одну сеть с VPN.

Антизапрет это уже с сервером в комплекте? Такого не надо. Вообще не очень доверяю любому софту не у себя на сервере не который гоняет мой трафик. У меня раньше был просто wireguard. Но я установил AmneziaWG в виде исключения вроде как тот же wireguard чуть оптимизированный в плане маскировки самого тоннеля.

[freelook27]

не в ту сторону автор вопроса смотрит, замечена попытка одеть штаны через голову... согласен с Drno , все придумано и реализовано давно, да и с логической точки зрения вполне разумно. сидишь на своём интернете от провайдера, что-то не открывается, добавляешь домен в сервис и теперь на этот домен ходишь через впн, завтра что-то другое не открылось - добавил... не нравится руками добавлять есть готовые списки.

[psiklop]

freelook27, "истинный vpn" так не работает, можно конечно, сервис на то и сервис, удобно конечно, но кстати свое надежней.

[Drno]

psiklop, а как должен работать истынный впн? это самый логичный способ по идее)

[psiklop]

Drno, я тебе писал как у меня сделано. Почитай как настраивают wireguard и iptables в linux. Человек который пользуется софтом с названиями "antizapret" и "podkop" может не понять все равно.

[Drno]

psiklop, я уже понял как у тебя сделано... развлекайся дальше, я не против)

[psiklop]

Drno, все вы рано или поздно прибежите со своих взломанных роутеров с подкопами, а вот назад в эти сервисы никто не вернется.

[Drno]

psiklop, каких взломанных роутеров?)) или офф версия опенВРТ это уже взлом какой то?)
куда мы должны бежать и зачем?)

[psiklop]

Drno, жизнь составит. Зачем каждый решит сам, причин несколько и все они хорошие. опенВРТ не пробовал. Любая неофициальная прошивка это взлом и игра в рулетку, функций добавит, но будет ли это стабильно.

Да и зачем оно, роутер это коробка под столом которую видишь раз в пять лет и заходишь в ее интерфейс раз в полгода. Он направляет трафик от одного девайса к другому там выбирать не из чего, тем более если провайдер дал роутер и готов его обслуживать, главное не попасться на удочку сектантов там выше уже приходил один с заветным словом кинетик и готовыми конфигами. Я это проходил уже по глупости, прошивочки, серийники переносить, а потом когда сделана гигантская работа и потрачено уйма средств какая-нибудь мелочь выбешивает да и свисток взломанный бац и вышел из строя.

[Drno]

psiklop, так у меня роутер в опенВРТ с ЗАВОДА идёт...)) с офф репами, с офф прошивкой итд)

пров роутеры я не использую уже давным давно.... да вообще то никогда не использовал.

и да, роутер как раз и направляет пакетики тудой>>сюдой, попутно их маркируя при надобности)

всё тож самое что у тебя, только в 1 устройстве

[psiklop]

Drno, слышал про такие роутеры, я не утверждаю что мой способ подойдет и тебе. Ничего универсального нет, мой роутер не стоит не копейки, я воткнул в него кабель и получил интернет 300 мегабит за 700 рублей в месяц. Нужно ли мне отказываться от этого конечно нет.

На сложную маршрутизацию нужны ресурсы, даже мой слабый сервер не в какое сравнение не идет с твоим роутером. Сильно загрузишь его и начнется еще-то веселье.

С отдельной точкой доступа у меня две сети wi-fi дома стандартная от роутера и вторая с vpn.

[Drno]

psiklop, да нужны ресурсы. ax3000(платформа роутера на АРМ) чудно справляется с этим. и будет справляться)

да хоть 10 вифи точек, кто тебя на опенВРТ ограничивает то.... зачем нужен вифи без ВПНки я не знаю. у меня его нету

конечно x86 по производительности не стоит рядом с роутеровскими ARM. Но платформы типа ax3000 \ ax4200 более чем достаточно для всего в роутере

[psiklop]

Drno, вы батенька мне что-то "китайское" продать пытаетесь. Теперь уже какие-то виртуальные wi-fi точки. Не надо.

[psiklop]

Drno, я только понял, что у вас сложнейшее устройство со своей жрущей ресурсы прошивкой несовместимое с моим провайдером в которую вы загнали какой-то стремный софт со стремными названиями.

А у меня два простых надежных физический устройства, а настроены самым очевидным образом через обычную ось которая у меня всегда была.

[Drno]

psiklop, я не знаю "что ты куришь", и что может быть непонятно в обычном роутере на опенВРТ. и нескольких виртуальных вифи сетях на нём поднятых...

проще некуда

и я лично тебе ничего не продаю, просто потому что я не барыжу какими либо железками. а просто объясняю что то что ты сооружаешь вполне помещается в обычныый роутер без всяких проблем. в устройстве "всё в одном"

[psiklop]

Drno, я вообще не курю. Жалко мне тебя вот придет к тебе в дом нормальный оптический интернет, а ты уже подсажен на свои опенврт железки, отказаться не сможешь, религия не позволит, ох намучаешься еще больше.

Кстати в энтерпрайз роутерах за десятки тысяч рублей вообще нет wi-fi, там знают что мешать одно с другим не стоит, я согласен с этим, у меня роутер стоит где удобнее оптику воткнуть, а точка доступа в другом месте, вот захочу я к примеру wi-fi v8, просто выну из розетки эту точку и вставлю новую и вуаля все работает, роутер тот-же, впн тот же настройки даже менять не надо.

[Drno]

psiklop, ты считаешь что оптика не может подключиться в опенВРТ или что?)
или что нельзя поставить 2ю точки вифи куда угодно?
или нельзя использовать роутер с опенВРТ без вифи, а вифи точку потом поставить по центру дома?)

непонимаю твоих претензий...

я захочу вифи10 так же воткну другую точку и всё при желании)

[psiklop]

Drno, это потому что ты не знаешь, что и как устроено. Но ты будущий завсегдатай форумов - там тебя научат не только перешивать роутеры, но и перешивать китайский свистки под наших провайдеров, а ты готовься пропагандировать как это здорово правильно и совсем не сложно.

[Drno]

psiklop, я не знаю как и что устроено?)) забавно... давай, просвяти меня) а я посмеюсь)

очень хочется послушать умудрённого жизнью сетевого инженера, в твоём лице)

[psiklop]

Drno, только платно, посмеяться бесплатно можно в ютубе, там сейчас Соловьева награждают, у тебя же есть впн ? Вот и смотри.

[Drno]

psiklop, в целом всё с тобой ясно... зачем то несешь чушь и думаешь что это смешно... ну видимо только тебе смешно

Answer 2

[Артём Андрушко]

Я беру российские тут. У них же есть генератор для любого домена.

Answer 3

[gorbunoV_V]

Тут вот можно ввести нужный домен, он выдаст список подсетей.
А вот тут можно выбрать подсети распространенных сервисов и экспортировать в разных форматах.

Answer 4

[ima367546]

В впн сервисах есть так называемая сплит система, в которой можно настроить, чтобы он действовал только для отдельных приложений.

Answer 5

[Константин]

Тут есть пример скачивания RU префиксов через RIPEstat https://github.com/IT-for-Prof/bird2-bgp-prefix-updater

Answer 6

[Gigabyte191]

Готового и актуального IP-белого списка рунета не существует и, по сути, не может существовать.

Почти все крупные сайты (Ozon, Avito, банки, маркетплейсы) сидят за CDN (Cloudflare и аналоги), IP у них постоянно меняются. Любые CIDR-списки устаревают очень быстро, поэтому подход с IP-исключениями сейчас практически нерабочий.

Нормальное решение — split-tunneling по доменам, а не по IP. Это реализуется в Xray / VLESS, где маршрутизация идёт по SNI/host, а не по резолвленному адресу. С CDN это как раз и решает проблему.

Я в итоге полностью отказался от IP-исключений — сделал доменные правила, и российские сервисы открываются напрямую, всё остальное уходит в туннель. После этого проблемы с Ozon/Avito исчезли.