Как настроить эффективный Split Tunneling для Ocserv / Open Connect на Ru адреса?

Question

[ZurgInq]

Настраивал Split Tunneling по инструкции из https://www.linuxbabe.com/linux-server/ocserv-open... Хочу разделять трафик, что бы на российские адреса запросы шло мимо vpn. Взял базу ip cidr для России. Получается файл примерно на 16к строк с директивами no-route. Клиент OpenConnect VPN применяет данные правила около часа (если смотреть по логам). А клиент на android просто проигнорировал все правила no-route.

Можно ли для этого VPN эффективно настроить разделение трафика? Может есть какой то более короткий список адресов mail.ru / госуслуг / сбер / яндекс?

Comments

[AlexVWill]

Я бы лучше подумал в сторону какого то прокси сервера, который все запросы, не относится к доменам .ru направлял на отдельный сетевой интерфейс, подключенный к VPN. Не дело это клиента, трафик фильтровать.

Answer 1

[Пума Тайланд]

16к no-route это перебор, андроид столько маршрутов тупо не тянет. Прогони базу через cidr-merger — он объединит смежные подсети, ужмёт до 3-4к.

Но для мобилки проще использовать per-app vpn в настройках openconnect клиента — просто исключи банковские приложения и госуслуги из туннеля, без возни с IP-списками

Comments

[ZurgInq]

Список ip адресов отсюда https://www.ip2location.com/free/visitor-blocker по всей видимости уже нормализован. Прогнал файл с адресами через `cidr-merger -o firewall-merge.txt firewall.txt` - количество строк не изменилось.

[Пума Тайланд]

Ну значит список уже оптимальный. Тогда для андроида per-app как я писал — 16к no-route он не переварит. На десктопе должно быть ок, час на применение это разовый старт.