Диагностика

Диагностика ipset

1. ip rule | grep "101[012]" - проверяем что таблицы 1010/1011 (и 1012 в случае двух впн) есть

2. ip route list table 1011 - проверяем что маршрут по умолчанию в таблицу записался. Должно выдать что-то типа: default dev nwg2 scope link вместо 1011 можно указать 1010 и 1012

3. iptables-save | grep ipset - проверяем, что правила фаерволла есть. Должно выдать 4 (в случае с одним впн) и 6 (в случае с двумя впн) строк

4. ipset list ipset_vpn1 - проверяем, что таблицы ipset наполняются адресами, вместо ipset_vpn1 можно указывать еще ipset_vpn2 и ipset_isp1

Известные проблемы

1. Вся эта система работает только если днс запросы принимает AdguardHome/dnsmasq на роутере.
   • Браузеры могут работать через свой днс, если указать им такие настройки. Тогда маршрутизация не сработает.
   • Нужно проверять, что на порту 53 сидит именно наш днс сервис, и что клиенты к нему обращаются!
   • На отдельно стоящее устройство днс сервер выделить не получится, нужно именно на роутере
2. Если перестал работать доступ к ресурсам, которые внесены в файл user-ipset-isp.list, то в файле /opt/etc/ipset4static.conf можно убрать знак # в начале строки с ISP_GW=.... Это заставит скрипт использовать не имя интерфейса, а шлюз по умолчанию в системе. После редактирования нужно запустить ./IPsetStatic/scripts/update-ipset.sh, что бы изменения применились. Так же можно вместо команды, которая сама выцепляет шлюз, указать его в ручную в той же переменной ISP_GW, но при обновлении, установке это значение затрется и нужно снова вносить его обратно.

Полезные команды

1. ./IPsetStatic/scripts/update-ipset.sh -v - Покажет текущую информацию о настройках скрипта и его версию

2. ./IPsetStatic/scripts/update-ipset.sh -d - Запускает скрипт в режиме отладки. Выводится более подробная информация о том, что он запускает