Захотел тревел-роутер с поддержкой Wireguard, да придумал такой приподвыверт:
чтобы был двухдиапазонник и можно было на любом девайсе, хоть на Kindle,
быстро пустить трафик через VPN или напрямую просто переключившись на другую сеть.
Решил поддержать GL.iNet за идею продавать роутеры с OpenWRT из коробки
и купил Slate.
Да и железка реально понравилась, очень маленькая. Весит, правда, будто большая.
Цель 0, обещанная: получить роутер, который может в Wireguard по переключателю
Достигнута из коробки.
В роутере суперпростой интерфейс,
видно, что делали старательно и с прицелом на полных чайников.
В результате к Wireguard можно подключиться вообще не включая мозг,
как и повесить поднятие интерфейса на аппаратный переключатель.
Но это все штатная обещанная функциональность, идем дальше.
Цель 1, оригинальная: разный роутинг для разных SSID
Задача вроде несложная: разделяем Wi-Fi сети на два несвязанных интерфейса,
заводим две подсети и две таблицы роутинга.
В фирменном интерфейсе ничего про две таблицы роутинга и близко нет,
но по кнопочке Advanced в фирменном интерфейсе просто открывается luci…
в которой тоже ничегошеньки нет про две таблицы роутинга.
Зато интерфейсы и подсети разделяются чуть ли не drag-and-drop’ом.
Вспоминаю, как, кажется, 
intelfx жаловался, что в OpenWRT без ныряния
в конфиги ничего серьезного не сделать, но сначала иду в гугл.
Из гугла тут же возвращаюсь окрыленный, ставить какой-то mwan3.
Я, не разобравшись поначалу, ожидал просто возможность сделать несколько таблиц,
а узрел целый, блин, менеджер аплинков с балансировкой, мониторингом, фейловером и вообще.
Сочиняю в нем желаемые и (явно для его гибкости слишком примитивные) правила маршрутизации
«разные source подсети - разные gateways» и получаю то, зачем вообще все это затеял: одна из Wi-Fi сетей роутится через VPN, а вторая — напрямую.
Цель 2, расширенная: отдельные правила для отдельных IP
До меня доходит, что можно заворачивать в VPN трафик для отдельных хостов по destination IP.
Получается, что для них трафик можно принудительно гонять через VPN, или наоборот,
принудительно напрямую, и части ручных переключений можно будет избежать.
И правила эти можно писать раздельно для двух SSID.
Красота, причем все это все еще в пределах luci, ни одного конфига все еще не пострадало.
Цель 3, немыслимая: заворот по имени вместо IP
Оказывается, что в этом mwan3 правила можно применять по ipset:
динамическому множеству destination IP.
А dnsmasq умеет загонять в эти множества айпишники на основе доменного имени
прямо по мере резолвинга. То есть пока на моем устройстве DNS’ом указан мой роутер,
можно написать правило «а на все IP, застуканные за обслуживанием somesite.com
и всех его поддоменов (!) распространить такое-то правило роутинга».
Для написания этих правил, внезапно, тоже есть готовая морда для luci,
но в репах ее не нашлось, а README на китайском отпугивает меня достаточно, чтобы я забил и просто написал их в пустой
/etc/dnsmasq.conf руками.
Цель 4, че уж там: несколько VPN
Ну и нечего ограничиваться одним VPN и двумя подсетями с разными правилами, если можно N VPN и K<5 подсетей.
Прописал еще один VPN для ходьбы наоборот, через Россию, добавил новых ipset’ов и правил роутинга.
Теперь /etc/dnsmasq.conf состоит из записей типа:
ipset=/some_banned_website.com/force_nl
ipset=/some_other_website_banned_in.ru/force_nl
ipset=/one_more_site.ru/prefer_nl
ipset=/accessible_only_from.ru/force_ru
ipset=/whatismyip.com/force_direct
На этом этапе был, правда, подводный камень: когда уже подключен VPN1 и подключается VPN2,
автопрописыватель статического маршрута до endpoint от VPN2 какого-то лешего прописывал его через VPN1.
В итоге трафик радостно бегал, например, из России в Голландию, обратно в Россию и только потом к адресату.
Логику автопрописывателя выяснять было лень и я написал скрипт, который после поднятия VPN-интерфейсов
просто удаляет такие идиотские маршруты. Скорее всего я сам дурак себе грабли подложил и можно было гораздо проще.
Итог
После всех этих манипуляций я могу заворачивать трафик в нужный VPN или пускать его напрямую
целыми поддоменами + имею возможность переключаться между двумя такими наборами правил с разными дефолтными маршрутами просто выбрав нужную Wi-Fi сеть,
на любом устройстве.
Может можно и еще круче, но все упирается в мою фантазию, которая уже полпоста как безнадежно отстает от возможностей.
По мере набухания моих хотелок я все-таки залез в конфиги и даже скрипт написал,
но 1) возможно я просто поленился понять, как это делается правильно, и, вообще-то,
2) это было уже для достижения того, чего я не только не планировал, я вообще не думал, что так можно.
Отсюда
резюме: OpenWRT — торт, luci — торт, mwan3 — торт, dnsmasq — торт, wireguard — торт, GL.iNet — красавцы, линукс готов для потребительских роутеров с уровнем потребителя от одноклеточных до меня включительно, я просто в восторге.
