Как перенаправлять трафик в зависимости от сайта в openwrt?

Question

[otoolov]

Всем привет. Хочу спросить знатоков.
Есть у меня роутер с прошивкой OpenWRT 17.0.7, подключен к открытой сети через который идет выход во вне - eth0, так же есть VPN канал с ограниченым лимитом - tun0, как сделать чтобы определеные сайты (online.sberbank.ru, e.mail.ru и подобные критически важные) шли через канал зашифрованый канал VPN, то есть через tun0, а остальные где в принцепи шлибы через открытую сеть без шифрования через eth0?

Я вижу 2 варианта:
1. Поднятие прокси на openwrt. Но это проблематичено учитывая производительность роутера.
2. Прописывать в правила Firewall список ip и что с ними делать. Тоже проблематично, не все сервисы предоставляют информацию по своим ip, да и они могут быть динамические.

Есть еще варианты как перенаправить список сервисов на шифрованый канал VPN?

Answer 1

[ky0]

А в чём цель? Если обезопасить взаимодействие с банками и всяким таким - так везде давно HTTPS, который отлично с этим справляется. Почему у вас, собственно, сеть-то "открытая"?

Comments

[otoolov]

просто хотелось бы попробывать решить вопрос в таком виде в каком изложил, по поводу https вы права, но у VPN так же есть плюсы в обходе ограничений к ресурсам)

Answer 2

[ValdikSS]

Если у вас подобных сайтов немного, и они никогда не меняют IP-адреса (или делают это очень редко), можно прописать их в качестве статичных маршрутов через tun0.
Если доменов много, они периодически меняют IP-адреса, то один из вариантов — маршрутизация «по доменному имени». Это можно реализовать с помощью опции ipset в dnsmasq и маршрутизации адресов внутри ip set. Альтернативный вариант — сделать подобное на стороне сервера, по принципу VPN АнтиЗапрета — маршрутизировать в VPN только одну подсеть, а на серверной стороне устанавливать маппинг адреса в эту подсеть для определенных доменов.