Всем доброго времени.
Не могу осилить раздельное туннелирование в Amnezia: беда в том, что она резолвит адрес домена только один раз, когда добавляешь и потом маршрутизирует только этот единственный IP.
Я очень долго не мог понять, почему ChatGPT не пускает, ведь у меня добавлены все домены. Потом додумался посмотреть, какой адрес открывается в браузере и какой запомнил клиент - все стало ясно.

Связался с автором треда, пришли к выводу, что немногие клиенты умеют маршрутизировать по доменам. Clash умеет, но я так и не понял, как в нем сменить язык, блин! Была упомянута возможность каким-то образом подружить SOCKS5 с Amnezia, чтобы потом через браузерный прокси добавлять домены для маршрутов, но я вообще не знаю, реализуемо ли это.
Платформа Windows.
Если кто-то делал такое, буду рад подсказке в верном направлении.
Отдельно добавлю, почему хочу так. Идея пускать половину интернета через подсети, взятые с реестров, мне кажется неоптимальной. И пускать весь свой трафик через туннель - тоже.

Да, похоже это оно. Спасибо за наводку. Кстати, пару сайтов, на которых заметил сбой, сегодня отпустило. Может и остальные скоро починятся.

Если переподключиться иногда даёт ip из другого пула и там видимо другими путями идёт трафик и мимо тспу, по крайней мере в случае с usque

Клиентов клеш целая куча и больше, например https://github.com/pluralplay/FlClashX/releases - он как раз под российскую аудиторию заточен

И пользуясь случаем, хочу посоветовать свой конфигуратор, чтобы быстро собрать конфиг для клеша (там же можно и чатгпт добавить)

Честно говоря, выглядит как то, что нужно! Генератор тоже очень классный, я его уже пару раз видел, но не сразу понял, что к чему.
Буду потихоньку изучать структуру конфига и пробовать собрать под все свои хотелки. Спасибо.

del

Возможно достаточно будет указать один конкретный dns сервер в этом приложении и убедиться, что windows (браузер) будет использовать аналогичный dns сервер (и лучше тот, серверов которого нет в РФ - не cloudflare, чтоб попытаться добиться однозначного ip для сайтов).
Сам не проверял это.

Попытался сделать эксперементы с i1 (и другими параметрами), но пока что единственный удачный вариант у себя получил - маршрутизовать этот тунель внутри другого, например того же варп.

главный специалист по раздельному туннелированию доменов это Cloudflare Warp, он умеет это не только по самим доменам, но и по wildcard, то есть по доменам “со звездочкой”. Происходит все налету, как только добавляешь новую запись (по ip или домену) в исключение, перестраивается таблица маршрутизации, происходит переподключение, то есть разрешение имени в ip-адрес в текущий момент.

У таких клиентов, как AneziaWG, можно на ходу менять разделение, используя команду route add (в Windows). Да, здесь только ip-адреса, но используя сервис bgp.he.net, можно получать список ASN для домена, а значит и текущий список ip-адресов. Думаю, это процесс несложно запрограммировать, написав скрипт, который по нужному доменному имени будет формировать нужное количество строк route add с указанием в качестве шлюза ip-адрес сетевой карты, а не туннельного адаптера.
Не представляю, как Warp проводит такое с, например: *.example.com? Откуда известно, какие будут поддомены в исключениях?

В AmneziaVPN при добавлении домена в Split Tunnel он как домен не добавляется, а сразу резолвится, и добавляется его IP. Домен там подписан только для справки, дальше он не используется. Толку от этого в современных реалиях мало. AmneziaVPN не умеет сплитить по доменам, это описано у них в документации
Можно добавлять IP подсетями, типа 74.125.0.0/16. Но это боль

Есть sing-box-extended
Там можно более гибко рулить доменами через конфиги, если настроить его как proxy, например, и держать сервисом

Очень странно. В далеком светлом прошлом я даже создавал тред в сообществе Cloudflare на тему неработоспособности ST. Может быть, у Вас WARP+ или корпоративный план? Или за три года что-то поменялось.
Мне все же удобнее Amnezia, так как живу не только Warpом единым. А городить фильтрацию в winws, чтобы пробивать официальный клиент CF будет излишне, так как рабочее решение уже есть, пусть и не идеальное.
В любом случае, описанное Вами предложение насчет Amnezia звучит интересно, но на моем уровне понимания технологии - невыполнимо. Я смирился с маршрутами по подсетям, пока разбираюсь с Clash.
За ответ благодарю.

нет, разделение по туннелям работает в Warp в любых конфигурациях. Важно для работы вводить в список исключений именно тот домен или поддомен, который реально требуется. Часто поддомены живут на совершенно других диапазонах адресов. Здорово также, что CF сразу и ipv6 цепляет. Обычно требуется пара минут, чтобы это заработало.

Свежий пример. Яндекс-учебник теперь сечет, что клиент заходит из сети CF и ругается на “американский” ip-адрес. В Warp достаточно было добавить education.yandex.ru, чтобы тот замолк. В AmneziaWG пришлось идти в bgp.he.net и узнавать диапазон ip для указанного домена (как ipv4, так и ipv6), идти на сайт AllowedIPs Calculator и вводить Disallowed IPs не только для ipv4, но ipv6, получить скорректированный диапазон, подставить его в conf-файл AWG, чтобы это сработало. Согласитесь, в первом случае как-то попроще.
Дополнительное достоинство ZT в том, что там исключения вносятся централизованно, достаточно сообщить админу, какой сайт не пускает, он добавит его в исключения, и это действует сразу на всю организацию.

Еще в копилку консольных клиентов с поддержкой awg2.0 (есть версии для win, linux, mac)

Не нужно ничего устанавливать, настраивать. Просто :

• скачать конфиг wg с параметрами обфускации awg1.5+
• добавить в конец конфига к примеру

[Socks5]
BindAddress = 127.0.0.1:1080

[http]
BindAddress = 127.0.0.1:8443

• Запустить командой

wireproxy.exe --config warp.conf

И все - в любом приложении можно прописать этот socks/http прокси. В браузере самый удобный вариант - расширение smartproxy или zeroomega. Там легко можно настроить какой сайт пускать через какой прокси либо напрямую. @g4jCbms

Работает просто идеально!
Я с Zeroomega знаком еще с тех пор, как баловался с Kronymous лет 8 назад. В одном из гайдов рекомендовали как раз тогда еще SwitchyOmega, в котором было ужасно удобно играться с правилами Auto Switch. Жизнь сделала полный цикл
Дай бог здоровья Вам и автору wireproxy (да и всему сообществу NTC, чего уж тут).

Мне тоже раньше нравилась zeroomega, но сейчас сижу на smartproxy в связке с firefox, потому что именно для FF там очень крутая фича (жаль, что в chrome не работает):

Функция «Использовать прокси для вкладки/источника» гарантирует, что вся страница, включая все соединения с разных доменов и источников, использует один и тот же прокси, который применяется к исходной вкладке. Также этот параметр устраняет необходимость иметь отдельное правило для каждого домена.

И еще одна удобная фича smartproxy (аналог auto switch в zeroomega) - запоминание прокси для конкретных сайтов

Т.е. можно выбрать активный прокси, но при этом отдельные сайты будут идти через свой (удобно, т.к. где-то нужна канада/сша для обхода геоблока , а где-то ipv6, настроил один раз и забыл)
P.s. Присоединяюсь к вашему пожеланию) И вам всего хорошего!

Не поддерживает SOCKS5 UDP, к сожалению

Не совсем понимаю( WG же работает по udp? Или что-то иное имеется в виду?

WG-то поддерживает, но прокси — нет
В браузере просмотр страниц будет работать, но VoIP, игры и т.д. работать не будут

Ага, дошло, спасибо. А этот поддерживает? GitHub - ValentineShilov/wireproxy-awg-udp: AmneziaWG compatible wireguard client that exposes itself as a socks5 proxy with udp tunnel support

Они все пишут:

TODO

• UDP Support in SOCKS5