условный роутинг трафика?

использовать ipset.

Я не в курсе, что там с арубой, но у квадхоста я спидтестом намерял сеть 90 Мбит в обоих направлениях.

Мда. Проверка через iperf показала неутешительные новости относительно kcptun.

При скорости сети в 100 Мбит, в одном направлении он показывает что то разумное, 40-60 Мбит, но в обратном направлении безнадежно проваливается до 10-12 Мбит. Причем на разных площадках в разных странах картина одинакова.

Похоже придется искать другие варианты туннелей. На очереди fastd и openvpn. Очень не хотелось лупить из пушек по воробьям, но этак мы далеко не уедем...

Есть задача - прокси для кеширования. Нужно

Не нужно, если у тебя не завалялось дырочки в куда более вменяемый мир, где вебдваноля не случилось.

у тебя не завалялось дырочки в куда более вменяемый мир, где вебдваноля не случилось

Обслуживаю конторы где разрешены наружу порты 80, 443 и 8080. Ну еще и почта там. Остальное - в REJECT. Никто не жалуется.

Следовательно прокси для них - актуален. Экономия на трафике там копеечная конечно, но подоменные ACL-и никто не отменял :-)

Ftp не используют?

Только локальный(и то не везде). В основном - SAMBA-шары

Ну у арубы не хуже, только ресурсы честные и без извращений.

Почту не по 443 никто не юзает? Ну и мрак.

«Ну еще и почта там» - это значит 25, 143 и прочее. POP3 забанен, да, только IMAP/SMTP, только хардкор.

Протестировал еще один вариант.

туннели через fastd, подключение через сокс сервер ss5.

Результаты частично ободряющие. На соединении 60 мбит показана скорость 58 мбит.

Учитывая, что тест прямого подключения выдает 61мбит/62мбит (тариф 60мбит), достигнутая скорость через прокси 59мбит/58мбит это уже в пределах погрешности измерений, то есть, очевидный вин. Особенно радует, что теперь нет этой странной разницы в направлении передачи данных.

Не знаю, твоя ли работа, но на хабре появилась статья на ту же тему: https://sohabr.net/habr/post/354282/

Не видел это решение, но оно выглядит вполне разумно.

Я сделал проще в части роутинга. Поставил fastd до внешнего гейтвея, завел его как провайдера в shorewall и настроил два правила в mangle на трафик на два ipset с адресами от днсмаск и базы ИП адресов.

Если интересно, VPN антизапрета с некоторого времени работает на уровне DNS-маршрутизации. Смысл такой: клиенту отдается один большой маршрут на внутреннюю сеть, и DNS-сервер внутри VPN. В DNS-сервер загружены заблокированные доменные зоны, для которых он устанавливает соответствие (маппинг) A-записи к незанятому IP-адресу из большого внутреннего диапазона.

Преимущество в том, что не нужно добавлять десятки тысяч маршрутов, а достаточно только одного большого (и еще нескольких маленьких для отдельных случаев).

DNS-сервер самописный, код пока не выложил, но приведу его в порядок и выложу.

Хм, идея интересная, для всяких http и прочих NAT-agnostic протоколов должна сработать влёт.

DNS-сервер самописный, код пока не выложил, но приведу его в порядок и выложу.

Лично я буду очень рад - годные вещи делаешь. В своё время адаптировал твои скрипты для своего прокси - очень помогло. До этого пытался решить задачу в лоб(без чистки и разбиения массива DNS-имен на группы) - тормозил браузинг не по-детски.