История изменений

Спасибо за детальное расписывание, очень интересно.

и предназначен для проксирования ТОЛЬКО определенных доменов, в отличие от вашего подхода

Так у меня тоже получается, что (для одной из сетей) в туннели уходят запросы только на соответствующие ipsetы.

менять конфигурацию «маршрутизации» можно без переподключения клиента

Так у меня тоже конфигурация маршрутизации меняется просто по добавлению в ipset.

В вашем случае, если несколько сайтов расположены на одном IP-адресе (несколько доменов ссылаются на один IP), все сайты будут открываться через VPN.

Да, согласен, это весомый аргумент в пользу резолвинга в отдельный IP. Также я пока не думал о том, как заиметь умное маршрутизирование на нескольких устройствах, подключенных через VPN напрямую, и подобная схема звучит очень неплохо.

Однако предвижу пару минусов в ее натягивании конкретно на этот свой сетап.

1. Чтобы поддерживалось N VPN, нужно будет N таких подсетей, один резолвер и механизм добавления правил от разных туннелей на N разных endpoint’ах. Ну или гонять трафик через лишний крюк.

2. Чтобы поддерживались разные конфигурации на клиентах за разными SSID нужно будет натравить из на разные резолверы, запустить эти разные резолверы и как-то синхронизировать их деятельность в правилах iptables, чтобы они и друг другу на пятки не наступали, и DNS caching на клиенте не мешал мне переключаться.

Только из-за них не рвусь перенастраивать роутер и сервер на эту схему. Возможно стоит для подключений к VPN с ноутбуков и телефонов реализовать эту схему отдельно.

А где можно посмотреть на код твоего резолвера?

Спасибо за детальное расписывание, очень интересно.

и предназначен для проксирования ТОЛЬКО определенных доменов, в отличие от вашего подхода

Так у меня тоже получается, что (для одной из сетей) в туннели уходят запросы только на соответствующие ipsetы.

менять конфигурацию «маршрутизации» можно без переподключения клиента

Так у меня тоже конфигурация маршрутизации меняется просто по добавлению в ipset.

В вашем случае, если несколько сайтов расположены на одном IP-адресе (несколько доменов ссылаются на один IP), все сайты будут открываться через VPN.

Да, согласен, это весомый аргумент в пользу резолвинга в отдельный IP. Также я пока не думал о том, как заиметь умное маршрутизирование на нескольких устройствах, подключенных через VPN напрямую, и подобная схема звучит очень неплохо.

Однако предвижу пару минусов в ее натягивании конкретно на этот свой сетап.

1. Чтобы поддерживалось N VPN, нужно будет N таких подсетей, один резолвер и механизм добавления правил от разных туннелей на N разных endpoint’ах. Ну или гонять трафик через лишний крюк.

2. Чтобы поддерживались разные конфигурации на клиентах за разными SSID нужно будет натравить из на разные резолверы, запустить эти разные резолверы и как-то синхронизировать их деятельность в правилах iptables, чтобы они и друг другу на пятки не наступали, и DNS caching на клиенте не мешал мне переключаться.

Только из-за них не рвусь перенастраивать роутер и сервер на эту схему. Возможно стоит для подключений к VPN с ноутбуков и телефонов реализовать эту схему отдельно.

А где можно посмотреть на код твоего резолвера? И сколько задержки добавляет действие «DNS-сервер на VPN-сервере понимает, что rutracker.org заблокирован»?