Собственно, суть вопроса. Арендовал виртуальный сервер, подрубил на него wireguard, все вроде бы отлично. Но теперь возник вопрос, можно ли каким-то образом на клиентской машине одному приложению позволить ходить в сеть без ВПНа при включенном ВПН? Или же я просто себя накручиваю и проблема нерелевантна, ибо на рабочую машину через vdi нельзя коннектиться из других стран, а через ВПН я буду в Финляндии. Что можете посоветовать?
Разделить на уровне приложений сложновато.
Гораздо лучше прописать через ВПН маршруы только до адресов где это нужно.
А это работает в обратную сторону, сделать blacklist, который наоборот бы игнорировался впном? Я так понимаю, надо курить манулы wireguard'a?
Можно, просто добавить маршрут с меньшей или такой же метрикой через обычный шлюз итернета.
Это делается на ОС клиента.
Route add
Заведи второй сетевой интерфейс, без ВПН. И роути все запросы от целевого приложения на этот интерфейс.
Имеешь в виду аппаратно вторую сетевуху, на которую перенаправлять все, что не нужно в впн, или это программно делается?
Почитай про nekobox (который nekoray, боксом он станет при первом запуске) в качестве клиента. Там все настраивается и работает с wg в том числе. Ставим общее правило bypass, а списком подкидываем те домены, которые должны проксироваться. Можешь настроить по-другому, например проксировать зону .com, и не проксировать ру.
Можно пойти еще дальше, на гитхабе есть базы антизапрета файлами, качаем эти файлы, подкидываем некобоксу, производим опреденные настройки самого некобокса (опять же в гугле все есть) и вуаля, не ебем мозги вообще, любой заблокированный сайт проксируется.
Все это гуглится и делается за час-два, включая само курение мануалов по некобоксу.
А работодатель знает, что вы находитесь в другой стране? А то потом придет злое гестапо и возьмет за жопу
Для интересующихся этим же вопросом, решил следующим методом - wireguard-клиент TunniTo https://github.com/TunnlTo. Очень удобно можно разрешить или наоборот запретить отдельным приложениям ходить через впн, причем в случае, если дать прямое разрешение приложению, как на скриншоте, то все остальные приложения буду ходить по обычной сети. В общем, кайф
Приложение Wireguard не поддерживает Split tunneling, но в твоём случае это и не нужно, в настройках соединения есть параметр AllowedIPs, тебе нужно в нём исключить IP адрес (или подсеть) VDI подключения. Почитай тут: https://www.procustodibus.com/blog/2021/03/wireguard-allowed...
Я совсем чайник в данном вопросе. Я так понимаю, для этого необходимо знать точный ip-адрес vdi подключения, у меня же есть только домен.
