Ответ на пост «CloudFlare WARP + WireGuard через NetworkManager»⁠⁠1

Зависит от сценария использования, я в какой то момент как и автор, обнаружил что каждое посещение интернета превратилось в рулетку вида откроется—не откроется, и не только по причине отечественных поборников морали, но и по причине отказа зарубежных сервисов/сайтов обслуживать российские IP,  поэтому вариант гнать по умолчанию все через впн, но руками вписывать исключения нужные мне видится более предпочтительным. Спустя где то месяц вписывания активного исключений, получилось порядка 50 +- сайтов и стало удобно.

Именно так, чем более распространен сервис и чем больше в нем клиентов тем быстрее он будет в блоках. Отчасти поэтому, нужно иметь механизм исключений, основная мысль в этом.

У меня обратный опыт использования. Очень часто по разным причинам бывал недоступен ресурс, часто отваливалась вся схема. Я допускаю, что причины недоступности могли быть с моей стороны, и можно было попробовать затюнить все, но по разным причинам отказался от этой идеи, на тот момент создатели ресурса в явном виде запрещали модификацию файлика, не знаю как сейчас. Дополнительно, при таком решении, нет возможности руками вписать ресурсы, которые не заблокированы со стороны страны, но заблокирована страна со стороны ресурса :)

Ну и в виде бонуса, на том же кинетике поднят L2TP/IPSec сервер, куда подключаются клиенты в виде мобильных устройств, когда находятся вне дома, и получают доступ в домашнюю сеть\маршруты во внешку через ВПН.

Не знаю как пикабу относится к линкам на сторонние ресурсы, но, если что, модератор подчистит, наверное.

Общая система сделана так:

Роутер Keenetic с клиентским конфигом WireGuard, который смотрит в VPS + в роутер воткнута флешка с busybox(это называют Entware), там поднят bird4 с набором скриптов. За основу взято это решение: https://github.com/DennoN-RUS/Bird4Static/ , но модифицировано под мои нужды с обратной схемой. Итого, на выходе получаем возможность менеджить клиентов исходя из потребностей, кому то выдаем чистый интернет с провайдера, кому то выдаем трафик через ВПН с возможностью динамически написать исключения в формате A-DNS записей.

У меня настроено, сходил проверил, работает и работало раньше. В списке исключений, которые идут через домашнего провайдера в обход впна, из того сегмента две записи:

gosuslugi.ru

esia.gosuslugi.ru

Дополнительно, прикручен скрипт который постоянно ходит и обновляет в автоматическом режиме, через dig—запросы, айпишники с адресов которые добавлены в лист исключения.

IP точечно добавляете в исключения или по A DNS’ам? Во втором случае, вроде, проблем не испытываю :)