На nftables rule от zapret попадает трафик, который не должен

[Toshka31]

Здравствуйте!
Столкнулся с проблемой на роутере с OpenWRT 23.05.4. На нем настроен роутинг трафика через VPN по списку доменов. Также настроен zapret через tpws, также со списком (в котором только youtube).

Получается так, что трафик, который должен идти через VPN, идет по другому чейну из таблицы zapret (chain dnat_pre). Удаление этого чейна из таблицы помогает, трафик идет правильно, но не работает сам zapret, очевидно.

Как мне понять почему так происходит? Или что я неправильно настроил? Подскажите пожалуйста

Ниже привожу конфиги
/opt/zapret/config:

FWTYPE=nftables

SET_MAXELEM=522288
IPSET_OPT="hashsize 262144 maxelem $SET_MAXELEM"

IP2NET_OPT4="--prefix-length=22-30 --v4-threshold=3/4"
IP2NET_OPT6="--prefix-length=56-64 --v6-threshold=5"
AUTOHOSTLIST_RETRANS_THRESHOLD=3
AUTOHOSTLIST_FAIL_THRESHOLD=3
AUTOHOSTLIST_FAIL_TIME=60
AUTOHOSTLIST_DEBUGLOG=0

# number of parallel threads for domain list resolves
MDIG_THREADS=30

GZIP_LISTS=1

# mark bit used by nfqws to prevent loop
DESYNC_MARK=0x40000000
DESYNC_MARK_POSTNAT=0x20000000

TPWS_SOCKS_ENABLE=0

TPWS_ENABLE=1
TPWS_PORTS=80,443
# use <HOSTLIST> and <HOSTLIST_NOAUTO> placeholders to engage standard hostlists and autohostlist in ipset dir
# hostlist markers are replaced to empty string if MODE_FILTER does not satisfy
# <HOSTLIST_NOAUTO> appends ipset/zapret-hosts-auto.txt as normal list
TPWS_OPT="
--filter-tcp=80 --methodeol <HOSTLIST> --new
--filter-tcp=443 --split-pos=1,midsld --disorder <HOSTLIST> --debug-level=1
"

NFQWS_ENABLE=0

MODE_FILTER=hostlist

FLOWOFFLOAD=donttouch

OPENWRT_LAN=lan
OPENWRT_WAN4=wan
#OPENWRT_WAN6=eth0

INIT_APPLY_FW=1

DISABLE_IPV6=1

#GETLIST=get_antizapret_domains.sh

/opt/zapret/ipset/zapret-hosts-user.txt

nonexistent.domain
googlevideo.com
youtu.be
youtube.com
yt3.ggpht.com
i.ytimg.com
i9.ytimg.com

Настройка для перенаправления в VPN
etc/config/network

config interface 'oc0'
	option proto 'openconnect'
	option vpn_protocol 'anyconnect'
	option server 'server-address.com'
	option username 'login'
	option password 'password'
	option defaultroute '0'
	option delegate '0'

config rule
	option name 'mark0x1'
	option mark '0x1'
	option priority '100'
	option lookup 'vpn'

config route 'vpn_route'
	option name 'vpn'
	option interface 'oc0'
	option table 'vpn'
	option target '0.0.0.0/0'

/etc/config/firewall

config zone
	option name 'oc'
	option forward 'REJECT'
	option output 'ACCEPT'
	option input 'REJECT'
	option masq '1'
	option mtu_fix '1'
	option device 'vpn-oc0'
	option family 'ipv4'

config forwarding
	option name 'lan-oc'
	option dest 'oc'
	option src 'lan'
	option family 'ipv4'

config ipset
	option name 'vpn_domains'
	option match 'dst_net'

config rule
	option name 'mark_domains'
	option src 'lan'
	option dest '*'
	option proto 'all'
	option ipset 'vpn_domains'
	option set_mark '0x1'
	option target 'MARK'
	option family 'ipv4'

[bol-van]

tpws никак не влияет на маршрутизацию.
Но исходящий трафик от tpws перестает быть forward и становится output
Здесь прописан марк только для forward, соответственно на tpws он никак не влияет.
Прозрачный заворот на tpws не может производиться по именам доменов, только по ipset.
Вообще я рекомендую использовать систему ipban, которая интегрирована в zapret, и она как раз и решает задачу выборочного заворота на VPN того, что нельзя обойти дурилкой
Попутно обнаружил недоработку. На tpws заворачивались ip из сета ipban. Исправлено в исходниках.
Для nfqws не делал ничего, поскольку решение о перенаправлении принимается до заворота на nfqws.

[Toshka31]

То есть получается что у меня весь трафик идет через tpws, становится output и не маркируется меткой чтобы идти через VPN? Правильно ли я понял?
А IPban поможет не посылать на tpws?

А можно ли сделать наоборот? Чтобы адреса из ipset zapret направлялись на tpws прокси, а все что не в сете - не направлялось? Или это плохой способ?

[bol-van]

А IPban поможет не посылать на tpws?

Поможет, но надо обновить скрипты из common из текущего git. Была недоработка.

Чтобы адреса из ipset zapret направлялись на tpws прокси, а все что не в сете - не направлялось?

MODE_FILTER=ipset
как раз решает эту задачу

[Toshka31]

Спасибо!
Пока что поставил MODE_FILTER=ipset. Потом еще попробую сделать чтобы сеты заполнялись из dnsmasq, как для роутинга в впн