Пул адресов для телеги вполне себе небольшой, и резолвить его не надо: просто находим список подсетей и адресов, вносим в файл и не mitm-аем имя сертификата. При этом трафик всё ещё идет через кальмара, и в статистике squid трафик даже будет отражаться, если есть задача вести логи. Банк-клиент тоже вряд-ли обращается к большому пулу адресов. Согласен, особенности работы ssl 1.3 с контексте прозрачного сквида вызывают фрустрацию...
Но, на данный момент, в продуктивной среде я использую прозрачный сквид для ограничения доступа в интернет на предприятии. Делать это по ip-адресам было бы неприятно. А тут всего (пока) два сервиса, которые требуют 1.3 .. Пока что можно сделать небольшой список подсетей и делать вид, что тебя это не беспокоит.
Маршруты поднимутся автоматически, если для поднятия тоннеля использовать wg-quick@wg0. Если поднимать тоннель средствами ip, маршруты нужно создавать отдельно. Окажусь у рабочего места - перепроверю.
За table=off спасибо. Как говорится, rtfm.
Пул адресов для телеги вполне себе небольшой, и резолвить его не надо: просто находим список подсетей и адресов, вносим в файл и не mitm-аем имя сертификата. При этом трафик всё ещё идет через кальмара, и в статистике squid трафик даже будет отражаться, если есть задача вести логи. Банк-клиент тоже вряд-ли обращается к большому пулу адресов. Согласен, особенности работы ssl 1.3 с контексте прозрачного сквида вызывают фрустрацию...
Но, на данный момент, в продуктивной среде я использую прозрачный сквид для ограничения доступа в интернет на предприятии. Делать это по ip-адресам было бы неприятно. А тут всего (пока) два сервиса, которые требуют 1.3 .. Пока что можно сделать небольшой список подсетей и делать вид, что тебя это не беспокоит.
Маршруты поднимутся автоматически, если для поднятия тоннеля использовать wg-quick@wg0. Если поднимать тоннель средствами ip, маршруты нужно создавать отдельно. Окажусь у рабочего места - перепроверю.