Какой взять клиент \ протокол VPN, чтобы раздельное тунелирование работало по домену, а не IP?

Question

[fkk]

Сейчас у меня селф хостед Amnezia VPN, в целом все устраивает, но в раздельном тунелировании есть неудобство - оно только по IP или целым подсеткам, т.е. если я вбиваю домен - приложение резолвит его в IP адрес, но т.к. большая часть за клаудфлейром и подобным - все разваливается, поэтому иногда проще тупо отрубить на время сплит тунелирование и включить впн на все.

Собственно нет ли возможности каким либо образом сделать сплит тунелирование просто по домену? Или это в целом не реализуемо (я особо мат. части не знаю)?

Comments

[Vitaliy Ivanov]

Если из того, что уже есть, можно клиент запускать на отдельном устройстве, на нём же прокси-сервер, и в локальной сети подключаться именно к этому прокси-серверу. 3proxy, например. Схема в целом рабочая, но очень неудобная, нужно доп.железо и настраивать непросто

[Евгений Хлебников]

Vitaliy Ivanov, ну вообще совершенно необязательно отдельный ПК. Виртуализацию же никто не отменял, на прокси выделить минимальное количество памяти на той же машине - и все

[Bublik_RUS]

TunnlTo для WG умеет в сплит-туннелинг по имени приложения. Один браузер ходит в туннель, второй - мимо туннеля.

[Zil1]

Wireproxy-awg - https://github.com/artem-russkikh/wireproxy-awg
https://github.com/zero-peak/ZeroOmega

Ставим wireproxy-awg, запускаем с твоим конфигом, поддерживает 1.5 конфиги
Ставим zero Omega switchy v3 в браузер, хромиум и фаерфокс поддерживаются, и роутим трафик уже в браузере если тебе нужно в браузере. Если нужно ещё и в системе то ставим https://github.com/wiresock/proxifyre . В Линукс такого же простого способа туннелировать процессы нету. Если хочешь туннелировать - нужно выбирать именно варианты по типу wireproxy-awg, они работают как прокси сервер, у меня таким образом работает wireproxy-awg на 25344 вроде порту, torportable на 9050, V2rayN на 10808 с одним сервером и Throne на 2080 с другим. Все очень удобно. Zero Omega поддерживает очень широкие варианты туннелирования, домены, группы доменов, айпи и так далее

[Vitaliy Ivanov]

Евгений Хлебников, а какие есть варианты с минимальными затратами?
Знаю Виртуал Бокс, полноценная виртуалка, туда можно линукс-сервер, но это минимум 500 МБ памяти и -1 ядро
Есть ещё Докер, затраты не фиксированные, но лично я не знаком с ним

[Юрий Зубарев]

Я юзаю clash verge rev плюс свой прокси на vps. Из всего что пробовал - единственное решение какое работает неимоверно быстро, гибко и с раздельным туннелированием по доменам и приложениям. Но вместе с тем это самое НЕ-юзерфрендли решение. Документации не густо и та на китайском в массе своей.

[elcanner]

Vitaliy Ivanov, Есть WSL. Туда всё отлично устанавливается. Но по факту WSL - таж виртуалка с линухой.
Про VirtualBox надо уже забыть как про страшный сон в детстве.
На крайняк у винды есть достаточно нормальный Hyper-V, который работает из коробки.

Про докер:
"Изучение" докера для его использование = изучение 5-7 команд, это по факту час временив с ИИ или просмотра видео на Youtube.
Чтобы реально понимать как это работает и уже осмысленно что-то делать ... день-два и твой мир перевернется :)

[Vitaliy Ivanov]

elcanner, wsl и докер вроде бы ставятся на встроенную линукс-машину. Возможно, вещь полезная

Answer 1

[paran0id]

Делал так: на сервере с vpn ставил socks-прокси, в vpn маршрут по умолчанию не заворачивал. В приложениях, которым нужен vpn, прописывал этот прокси. В браузере юзал расширение foxyproxy, там по домену прописывал, кому через прокси ходить.

Comments

[Vitaliy Ivanov]

Так получается, между ПК и сервером идёт socks трафик? Который всем заметен?

Есть ещё удобная программа Proxifier на локальный ПК, там удобно задавать правила по домену, приложению. Самое оно для описанной схемы

[paran0id]

Vitaliy Ivanov, socks доступен только внутри vpn

[Drno]

велосипед изобретаете.. всё давно придумано и по доменам и по *.exe и по остальному)

Answer 2

[Drno]

nekoray \ nekobox \ sing-box

Comments

[Valdemar Smörman]

Актуальнее наверное Throne \ sing-box.
nekoray мёртв давно и ветка его на Гитхабе в архиве.
Вместо него сейчас Throne

[Drno]

Valdemar Smörman, для всего кроме xhttp в целом пофиг, он работает)

Answer 3

[sektet]

Тоже селф хостед на амнезии, использую такую схему: в виртуалке запущен клиент vpn амнезии, весь трафик виртуалки идёт через vpn, на этой же виртуалки крутится прокси squid. В браузере установлено расширение, которое по указанному домену направляет через прокси. Собираюсь реализовать эту схему на роутере с прошивкой OpenWRT.

Answer 4

[Mishochegg]

В SQUID есть директива tcp_outgoing_mark, позволяющая маркировать исходящие пакеты пакеты и применять соответствующие правила маршрутизации ip rule для этих пакетов.

/etc/squid/redirect.txt (Список доменов)
acl redirect_http dstdomain "/etc/squid/redirect.txt"
acl redirect_https ssl::server_name "/etc/squid/redirect.txt"

tcp_outgoing_mark 5 redirect_http
tcp_outgoing_mark 5 redirect_https

Squid, в данном случае, работает в режиме intercept (прозрачно). Применяется алгоритм peek and splice. Сервисы, использующие ssl_v1.3 не проходять через peek. К таким сервисам относится Telegram и большиство банк-клиентов. Для этих сервисов создаётся файл ssl13.txt с указанием ip и подсетей вида:
91.108.56.0/22
91.108.4.0/22
...
После чего создаём acl вида:
acl ssl13 dst "/etc/squid/ssl13.txt"

домены для альтернативной маршрутизации указываются в файле вида /etc/squid/redirect.txt
.habr.com
.vk.com
.ok.ru
...
Если доступ к указанным ресурсам осуществляется через http, то ресурс обрабатывается через
acl redirect_http dstdomain "/etc/squid/redirect.txt"
Если https, то
acl redirect_https ssl::server_name "/etc/squid/redirect.txt"
При этом домены можно описывать в одном файле.
Далее описыаем директивы peek and splice
ssl_bump peek step1 !ssl13 (не подглядываем в заголовок сертификата для ssl_v1.3)
ssl_bump splice all
На основе подсмотренного в заголовке применяем паркировку исходящего пакета
tcp_outgoing_mark 5 redirect_http
tcp_outgoing_mark 5 redirect_https

Comments

[nidalee]

Не совсем понял, зачем делать MITM SSL-у? Можно же без него прекрасно раскидывать клиентов по dstdomain

acl primary dstdomain "/etc/squid/squid-whitelist-zones.conf"

cache_peer domain2.com parent 5555 0 no-query no-digest ssl sslflags=DONT_VERIFY_PEER sourcehash
cache_peer_access domain2.com allow primary
cache_peer_access domain2.com deny all

prefer_direct on
never_direct allow primary
never_direct deny all

Answer 5

[sapata]

Xray/Nekobox
В правилах NekoBox можно настроить как ходить - на российские ip через провайдера, на остальные через прокси; на домены в зоне ru через провайдера, на остальные через прокси. Можно много разных правил создать.
Пошаговая инструкция как сделать и настроить прокси-сервер, клиентов для подключения к нему

Answer 6

[Юрий MikroTik]

Определение url происходит по L7 и после рукопожатия, то есть уже после маршрутизации.

Получатся tcp установился, url узнали и нужно рвать соединение чтобы пустить в другой интерфейс.

Так работать не будет.

Comments

[akelsey]

Сначала же случается резолв DNS, на том же микротике сначала идёт резолв днс, этот днс форвардером запихиваем динамически в маршрут. Что не так в этой схеме Юрий? Я вроде из вашего ответа где то и настроил адвансед роутинг во влесс (либо частично брал оттуда инфу)

[Юрий MikroTik]

akelsey, ты путаешь L7 с L3
DNS ты до решения от маршрутизации загоняешь в address list
А по url когда на одном ip несколько сайтов - надо читать sni, который на L7 и можно увидеть только после решения о маршрутизации.

Answer 7

[WeeAmigo]

Клиенты на базе ядра Mihomo поддерживают (само ядро поддерживает, получается) AmneziaWG, а там открываются большие возможности, изучите конфигурацию этого ядра.

Answer 8

[Paveldik]

ух,ты!
я думал, что заметка не откроется - будет надпись "заблокировано".
Дальше мне стало интересно, осмелится ли кто в нарушение действующего законодательства РФ давать конструктивные рекомендации в комментариях...
И оказалось, таких не мало.
Однако...

Answer 9

[Gigabyte191]

Коротко да, по домену можно, но не в Amnezia и не в классическом OpenVPN/WireGuard-подходе. Ограничение тут не в «кривых руках», а в архитектуре.

Сейчас у тебя всё ломается потому что сплит-туннелинг по IP работает после DNS-резолва, а когда домены за Cloudflare — IP постоянно меняются, и правила сразу становятся неактуальными.

Кароче, VPN должен перехватывать DNS до выхода в сеть и уметь маршрутизировать трафик по domain rules, а не по IP, это умеют схемы на базе Xray (VLESS): routing по domain / geosite, split-tunnel именно по доменам, нормально работает даже с Cloudflare

В Amnezia это архитектурно не реализовано — поэтому «по-человечески» там никак.

Я у себя в итоге ушёл на VLESS + Xray, если не хочется ковыряться с конфигами вручную — проще взять сервис, где это уже настроено из коробки. Я так и сделал, проблема ушла полностью.