OpenWrt в Proxmox как домашний умный шлюз: DHCP, DNS, sing-box и выборочный VPN для всей сети

[SonOfRageAndLove]

Пару месяцев назад пришел к примерно такому же решению (но с другим сетевым стеком и по другой причине - тогда как раз началась чехарда с версиями OpenWRT, переход на 25-ю ветку, и очень хотелось начать обновлять "домашний роутер", сначала спокойно подготовив ВМ с новой версией, а потом в Proxmox просто переключить управление со старой ВМ на новую).

Но идеалистическая лодка разбилась о быт под названием провайдерский роутер. Разумеется, он был переведен их ТП в режим моста. И я даже смог внутри ВМ получить провайдерский IP, но вот никакие пакеты данных внутрь ВМ с OpenWRT не попадали. Внутрь Proxmox - да, а вот глубже - никак.

Возможно, это minor observation © будет полезно тем, кто решит пройти изложенный в статье полный путь, и остановится за метр у клетчатого флага. Если вы вынуждены использовать провайдерское оборудование - обратите внимание.

[hdyncrwaqw]

может firewall? недавно была проблема что openweb ui никак не работал, а чудесным образом починился после отключения firewall на самой vm

[lalexrus]

изучите что такое rule_set в sing-box , откуда их качать и как использовать, и почему ваш набор domain suffix не очень то обязан работать (в частности для telegram, anthropic и т.д.).
Однако в целом решение правильное особенно с точки зрения наличия всяких умных ТВ, приставок (с гугл тв) или того же apple tv. Ну так то хватило бы чего-то совсем мелкого типа какой-то ягодки или апельсинки ( у меня на orange pi zero), ну а при наличии маршрутизатора - ставить openwrt кмк излишне, достаточно было linux самый простой с sing-box на борту.
Вопрос - а зачем вы 2ip завели в прокси ?

[Trahibidadido]

Можно существенно упростить систему, если на proxmox два сетевых интерфейса.

Выделить их оба виртуалке под LAN/WAN, что бы работал hardware offloading (если есть). Далее прокинуть этот шлюз в проксмокс как дефолт гейт:

auto vmbr0
iface vmbr0 inet static
	address 192.168.1.2/24
	gateway 192.168.1.1
	bridge-ports none
	bridge-stp off
	bridge-fd 0

Где 192.168.1.2 будет IP проксмокса, а 192.168.1.1 IP машинки с OpenWRT, оно же гейтвей.
Для того что бы не терять контроль над машиной в случае оффлайна ВМ роутера, можно воткнуть usb сетевуху или выделить еще один контроллер при наличии, главное со статической адресацией, типо так:

auto vmbr1
iface vmbr1 inet static
	address 10.0.0.1/24
	bridge-ports #id USB-NIC
	bridge-stp off
	bridge-fd 0

И воткнуть в тот же свитч что и остальную сеть.

В итоге у вас полностью виртуализованый роутер, один гейтвей на всю сеть, нет никаких проблем с тем что бы поднять еще виртуалок в той же сети для dns/sign-box/тунелей и прочего что неудобно на OpenWRT.

Минус один, если вам нужны VLAN, будет больно.

[nikerossxp]

а зачем, если можно поднять виртуалку с mikrotik routeros, рядом контейнеры с xray\byedpi\awg и через них маршрутизироваться?

для чего эта аутофелляция?

[AndyCravec]

Давно был интересен такой вариант. Но отдавать сеть полностью виртуальной машине опасаюсь - сбой по питанию, сервер живет на UPS 10 мин, а роутер - 2-3 часа, например

Можно ли рассмотреть вариант в котором клиенты присоеденены к основному роутеру, на нем идет маршрутиризация (он отлично умеет), и все что нужно - вот на такой как у вас виртуальный роутер, а а остальное - через основой. Неясно, как именно будет возвращатся пакет на клиента - на этом и встал

[mra4nyi]

я например в похожей схеме настроил на mikrotik и openwrt vrrp и даже если полностью выключить proxmox, то практически незаметно весь трафик уйдет обратно на железный роутер. со всеми его недостатками (без туннелей), но зато сеть не умрет а продолжит работать. но это только с микротиком (и возможно с кинетиком) сработает. а провайдерский роутер я также не убирал, на случай если и моя железка приляжет, всегда можно подключиться на вайфай MTS_GPON5_d488269 💁🏿‍♂️

[lalexrus]

речь про дом, подождете пока вам свет включат

[d1rknwh1te3]

если роутер позволяет, можно обойтись без Proxmox. на роутер прошить OpenWRT, затем поставить Mixomo + MagiTricky, есть уже готовый скрипт на гитхабе (Mixomo Manager от StressOzz, в пару нажатий можно поставить связку + правила и даже сгенерировать конфиг WARP), суть в том, что в MagiTricky можно удобно загрузить правила, настроить и выбрать что через что идет (напрямую, через Mixomo, в никуда), а в Mixomo уже свой конфиг добавить и настроить даже там разделение (что будет идти через WARP, что через свой VPN и так далее) и остальное что душе угодно. правда цена за все это огромный вес, лично у меня все это вышло в около 35 мегабайт памяти, что довольно критично.

есть еще вариант через Podkop и его разновидности, там целый швейцарских нож всего, туда я пока не лез, но мне кажется и там можно настроить маршрутизацию подобным образом