Обход блокировок и layer7

[Proger125]

Точки входа достаточно одной .

Можно не ставить ограничение в 7 дней у правил prerouting. Я просто убежденный сторонник экономии ресурсов, поэтому всегда стремлюсь к минимализму в решениях. Распределение нагрузок в чьих то CDN вещь непредсказуемая, поэтому считатаю, что ip могут меняться. А в нынешних временах и по прочим причинам.

При повторном использовании этот счетчик времени по уже использованным ip будет взводиться заново. И таким образом вы никогда не встретите эту ситуацию, ну если только не будет отпуска в месяц, за который этот список обнулится. Но опять же первое обращение его заново наполнит, а последующие будут поддерживать в нужном объеме.

[ArtVAnt]

При повторном использовании этот счетчик времени по уже использованным ip будет взводиться заново. И таким образом вы никогда не встретите эту ситуацию, ну если только не будет отпуска в месяц, за который этот список обнулится. Но опять же первое обращение его заново наполнит, а последующие будут поддерживать в нужном объеме.

Ааа, точно, тогда 7 дней имеет место быть.
Шикарное решение, буду пробовать!

[ArtVAnt]

- создаем второе правило Prerouting, где src - ваша локалка, протокол: tcp, порт: 443;
вкладка Advanced - поле TLS host: *.cdninstagram.com;
вкладка Action - add dst to address list; addresslist - viaVPN; таймаут можно поставить 7 дней;

3. IP / FIREWALL / MANGLE (низ списка)
- создаем правило Prerouting, где src - ваша локалка; dst. address list: viaVPN
вкладка Action - route; Route Dst: IP сервера wireguard, openvpn и т.д.

А не знаете ли, есть ли способ указывать TLS host как-нибудь в одном правиле несколько хостов или только под каждый хост свое правило? Через запятую, например, или как-то брать опять эе из address-list..

По action-route - у меня сделано через mark routing, т.к. несколько впн каналов, которые могут переключаться, если один из них отвалится, например)

где src - ваша локалка

Также вот вопрос - а нужно ли конкретизировать? У меня, например, несколько подсетей, в т.ч. впн через которую вне дома используют инсьу, и прочее.
Правильно ли я понимаю, что это правило работает только с микрота наружу, т.е. не обязательно там ставить даже !WAN ?


П.с. решение реализовал, тестирую. Громаднейшая благодарность за такую интересную идею!

[Proger125]

А не знаете ли, есть ли способ указывать TLS host как-нибудь в одном правиле несколько хостов

Также вот вопрос - а нужно ли конкретизировать? У меня, например, несколько подсетей, в т.ч. впн через которую вне дома используют инсьу, и прочее.
Правильно ли я понимаю, что это правило работает только с микрота наружу, т.е. не обязательно там ставить даже !WAN ?

П.с. решение реализовал, тестирую. Громаднейшая благодарность за такую интересную идею!

Честно говоря точно сказать не могу относительно перечисления... Но тут всё тоже просто, можно попробовать и проверить.

По src моя настройка относительна. Больше касается личных предпочтений. Нравится прописывать конкретику, а так конечно вариация допускается!

Да, идея интересная.
А если есть белый статик, то вообще можно чудеса делать. Я через порт кнокинг с мобильного Мегафона на телефоне могу зайти на прокси сервер микрота (сокс5) и подменив IP на локальный, воспользоваться на телефоне всеми возможностями настроенной в микроте маршрутизации. Тоже удобно. Режим включается одним щелчком в настройках Adguard. Хотя у них есть и свое решение addon с лимитом в 3 Гб.

[ArtVAnt]

Честно говоря точно сказать не могу относительно перечисления... Но тут всё тоже просто, можно попробовать и проверить.

К сожалению у меня ничего не вышло с перечислением в одном правиле, ни через запятую, ни через пробел, ни через точку с запятой) но при этом он дает сохранить это в таком виде, но счетчик не прибавляет и соответственно ничего не работает.
Отдельные правила отлично работают.
К сожалению не нашел инфы, что можно и в каком виде прописать в строку tls host и можнл ли указывать как-то несколько. Это было бы логичным на мой взгляд)



Кстати, в моем случае получается так, что нет проблемы с открытием сайта, если этого адреса еще нет в списке(для первого открытия).
Сначала у меня идет правило Ваше, которое добавляет ip адрес в адрес лист, а далее идет правило мое, которое mark route, для которого уже получается адрес добавился в адрес лист и он спокойно уходит куда нужно). В вашем случае по идее тоже же не должно быть такой проблемы, еслт у вас не заканчивается обработка на моменте добавления адреса в адрес лист а дальше идет вниз по правилам фаервола

[ArtVAnt]

могу зайти на прокси сервер микрота (сокс5) и подменив IP на локальный, воспользоваться на телефоне всеми возможностями настроенной в микроте маршрутизации. Тоже удобно. Режим включается одним щелчком в настройках Adguard. Хотя у них есть и свое решение addon с лимитом в 3 Гб.

У меня все проще: wireguard впн от микрота до смартфона постоянно включен. Сильно не жрет аккум, как, например l2tp родными средствами смартфона, а также гораздо более быстрое и стабильное подключение.
А на микроте соответственно разрешен доступ только с определённых адресов, обход ркн только определённых адресов, ну и смартфон черещ впн пускает только те приложения, которые указал в настройках проги wireguard.

[Inner]

могу зайти на прокси сервер микрота (сокс5) и подменив IP на локальный, воспользоваться на телефоне всеми возможностями настроенной в микроте маршрутизации. Тоже удобно. Режим включается одним щелчком в настройках Adguard. Хотя у них есть и свое решение addon с лимитом в 3 Гб.

У меня все проще: wireguard впн от микрота до смартфона постоянно включен. Сильно не жрет аккум, как, например l2tp родными средствами смартфона, а также гораздо более быстрое и стабильное подключение.
А на микроте соответственно разрешен доступ только с определённых адресов, обход ркн только определённых адресов, ну и смартфон черещ впн пускает только те приложения, которые указал в настройках проги wireguard.

А у меня ещё проще. CHR на VPS и IKEv2 по сертификату. Напруга на аккум и мобильный трафик изменяется на копеечные величины

[Proger125]

У меня Adguard одна из ключевых программ на любом смарте. Я задействую в ней механизм фильтрации рекламы через создание своего локального vpn, и таким образом сервис vpn занят под Adguard. При этом мне надо, чтобы любой трафик всегда шёл через Адгард.
У них своё решение этой проблемы - скачать их аддон vpn, они там в паре работают норм.
Либо в настройках сети того же адгарда можно указать прокси сервер, который я и организовал на микроте. Сохранив фильтрацию рекламы в локальном vpn и заполучив маршрутизацию микрота.
Но да, минус есть, это необходимость вручную включать/отключать и направление абсолютно всего трафика смартфона через домашнюю локалку. Ну а оттуда уже до Хетцнера по прописанным потребностям ))

[ArtVAnt]

Возник вопрос, почему-то в этом правиле prerouting невозможно отключить passtrought. Я предполагаю, что он должен быть выключен? Или же нет?

[Proger125]

Не совсем так. Дело не в prerouting. Дело в add dst.

passthrough(yes | no; default:yes) - следует ли пропускать пакет дальше после маркировки его заданной меткой.
Cвойство действительно, только если действие соответствует определенной выборке - например, mark packet, connection или routing mark.