Руслан Федосеев, я не видел коммерческие файрволлы на Винде с момента появления роутеров. Но не думаю, что уступает. В частности , в Винде есть тесная связь между userspace и kernelspace, отсюда возможность пользователю увидеть в виде окошка, какое приложение отправляет запрос на какой хост и порт
>Зуб даю, что без рута андроид тебе такого не позволит.
И Android, и iOS позволяют такое без рута
>К сожалению, ответ не демонстрирует понимания вещей.
Ну почему же? От awg до набора китайских говнопротоколов, каждый из которых работает на хз каком уровне, но, вероятно, представляет tun. Вникать желания нет
>Чисто по SNI
Конечно, caddy стоит и раскидывает по хостам входящие вопросы
>не демонстрирует понимания вещей.
Зря вы так агрессивно, мы же тут удовольствие получаем от помощи людям, а не сремся друг с другом
namespaces это просто пример для вас. Как конкретно это реализуется в Android я не знаю. Но предполагаю, что есть комплекс вызовов API для того, чтобы организовать "VPN" -- полный перехват всего трафика, и соответствующие высокоуровневые разрешения для таких приложений
Файрволлы в Винде показывают окошко: приложение какое-то хочет обратиться к такому адресу (или даже домену) по такому -то порту. Причём делают это в userspace конкретного пользователя
>как собираешь проблемы с ним решать?
Поскольку у меня свой VPN (l2-3-7, я хз), я не собираюсь. Но мониторю темы, и вот ответил вам
Также на постоянной основе использую маршрутизацию на основе SNI
> ТОЛЬКО на l3
Маршрутизация это широкая концепция и работает где угодно. IP маршрутизация работает на l3, но не обязательно маршрутизировать именно ip
> и без того не всегда чёткое разделение различных уровней OSI
Поэтому просто забудьте о ней, на Cisco не работает vless, тут не об этом
>Маршрутизация per se работает на l3,
Маршрутизация работает вообще везде, на уровне конфигов nginx, на уровне эндпойнтов API , на уровне общения, где угодно
> Если человек задаёт вопрос про VPN - он по-умолчанию говорит
По умолчанию человек хочет обойти блокировки с раздельной маршрутизацией, per app или по домену, а не слушать вот это вот
Вам не нужен полный контроль за девайсом и ОС в данном случае, даже если вы не нуб. Существуют специализированные ОС: Mikrotik CHR, VyOS, Haos, которые не предполагают какого либо контроля над ОС и кастомизации, у них есть только конфиг. Кастомизации в самом HA более чем достаточно: хочешь quirck-и на питоне пиши, хочешь в код в yaml. Вот здесь и есть поле для гибкости.
> непонятно кем собранную ОС
Тут не понял. Raspbian для Orange или arch это как раз непонятно кем собранные сборки, а Haos это стандарт, надёжно и не требует вмешательства
> что-то типа готового вендроного набора-коробки "всё в одном
Haos на малине это оно и есть. Устройства типа Ha green не рассматриваем
В частности под Android существуют многочисленные тн non root firewall, которые через штатное API поднимают "VPN" (с точки зрения API) до localhost, а затем разруливают трафик так, как хочет пользователь
Жаль, что вы не понимаете ни меня, ни автора вопроса. А именно того, что технологии per app маршрутизации (и последующего заворачивания куда угодно, в тч в тоннель на любом L) существуют штатно и в Android, и в Windows
Нет вы ошибаетесь, VPN это инкапсуляция и не более, реализация зависит от ос
В Линукс есть namespaces, множественные таблицы маршрутизации, модули ядра, которые могут направлять или маршрутизировать трафик в зависимости от пользователя, под которым запущено приложение
Это стандартная функция для Android и Windows, где файрволлы для приложений были ещё в 200х