From 2b56f097b6f28673178a6106cf4f0c6a7525dc9f Mon Sep 17 00:00:00 2001 From: bolvan Date: Thu, 18 Apr 2019 14:21:07 +0300 Subject: [PATCH] habr link about vpn & dpi --- wireguard_iproute_openwrt.txt | 8 +++++--- 1 file changed, 5 insertions(+), 3 deletions(-) diff --git a/wireguard_iproute_openwrt.txt b/wireguard_iproute_openwrt.txt index 717e96a..b516b75 100644 --- a/wireguard_iproute_openwrt.txt +++ b/wireguard_iproute_openwrt.txt @@ -1,9 +1,9 @@ Есть возможность поднять свой VPN сервер ? Не хотим использовать redsocks ? Хотим завертывать на VPN только часть трафика ? -Например, из ipset-ов zapret только порт tcp:443, из ipban - весь трафик, не только tcp ? +Например, из ipsetв zapret только порт tcp:443, из ipban - весь трафик, не только tcp ? Да, с VPN такое возможно. Опишу понятийно как настраивается policy based routing в openwrt на примере wireguard. -Вместо wireguard можно использовать openvpn. Но wireguard прекрасен сразу несколькими вещами. +Вместо wireguard можно использовать openvpn или любой другой. Но wireguard прекрасен сразу несколькими вещами. Главная из которых - в разы большая скорость, даже немного превышающая ipsec. Ведь openvpn основан на tun, а tun - всегда в разы медленнее решения в kernel mode, и если для PC оно может быть не так актуально, для soho роутеров - более чем. @@ -22,7 +22,9 @@ Wireguard может дать 50 mbps там, где openvpn еле тащит 1 или активно через подключение к вашему серверу от себя и попытку поговорить с сервером по известным протоколам (называется active probing). Если вы подключаетесь к серверу с фиксированных IP, то активный пробинг можно надежно заблокировать через ограничение -диапазонов IP адресов, с которых можно подключаться к серверу. +диапазонов IP адресов, с которых можно подключаться к серверу. В ином случае можно использовать +технику "port knocking". +Полезная инфа по теме : https://habr.com/ru/post/415977/ Понятийно необходимо выполнить следующие шаги : 1) Поднять vpn сервер.