Werld

Извините, а что вас смущает, работает же? Сделано верно. Более того, имхо в рамках возможностей прошивки, такой способ единственный в данной ситуации.

Security-level какой у впн интерфейса на роутере впн-клиенте? Если public, то нужно разрешающее правило в межсетевом экране. По идее ip global никак не влияет на security-level, хотя возможно его установка выставила интерфейсу уровень public.

На Старте стоит МТ7628 там аппаратно ускоряется не полностью весь ipsec, а только шифрование AES.

Не совсем понял, нет доступа из сети сервера в сеть клиента? И что значит "в таком случае"? Без признака ip global доступ из второй сети есть?

Чтобы клиентов впн-сервера кинетика пускало по маршруту в исходящее с этого роутера впн-соединение, нужно чтобы на этом исходящем впн-интерфейсе был признак ip global (в веб-интерфейсе галочка "Использовать для выхода в интернет") Только убедитесь, что приоритет ip global на этом интерфейсе ниже основного соединения к провайдеру, чтобы через впн не шел весь трафик. У вас аналогично, убедитесь в наличие признака ip global на wg интерфейсе. Есть альтернативный способ, не требующий ip global, т.е. не требующий выставления галочки "Использовать для выхода в интернет". Этот способ заключается в навешивании ACL с разрешающими правилами на исходящий впн-интерфейс на out. Но делается это через cli, поэтому вам проще поставить одну галочку и все.

Я веду к тому, что видимо недостаточно только того, что вы разрешили, хотя на первый взгляд и не могу сказать чего не хватает. Вообще смысла в ваших правилах нет. Безопасности они не прибавили от слова совсем. В межсетевом экране по умолчанию созданы нужные разрешения для работы нужных впн-серверов, а в конце стоит дроп всего, что не разрешено. Своими правилами Вы по сути пытаетесь дублировать этот функционал.

Если убрать правила разрешающие всё для 172.16.203.67 и 172.16.212.115, они продолжают беспроблемно подключаться с запрещающим правилом внизу?

crypto map l2tp-server mtu - Установить значение MTU, которое будет передано L2TP серверу Для Virtual IP VPN-сервера по идее: crypto ipsec mtu

У Вас в правилах разрешено всё для 172.16.203.67 и 172.16.212.115, поэтому правило запрещающее все, расположенное внизу, на эти IP не распространяется. А iphone - это 91.234.60.135?

Не знаю. Никаким особым левелом не обладаю, однако имея ноль знаний о wireguard, прочитал и теперь использую без вопросов. И в кинетике и на vps'ке на линухе. Я не говорю, что там нужно понять всю внутреннюю кухню устройства протокола, но базовые принципы, endpoint'ы, allowed ip и т.д. там расписаны очень хорошо, вопросов не возникло.

Вы плохо искали. https://www.wireguard.com/papers/wireguard.pdf

https://help.keenetic.com/hc/ru/articles/115003690689-Какой-интервал-используется-для-обновления-ключей-rekey-interval-между-клиентом-и-точкой-доступа-Wi-Fi-

Каждый сегмент - это отдельный бридж, то есть l2 связность, то есть "широковещательный домен". Это не прихоть разработчиков, что dhcp (по сути броадкаст) работает только в пределах широковещательного домена. Это концептуально так, это основа сетевых взаимодействий. Так что тут не в переделывании логики дело. Как я вам выше показал, вы можете разбить подсети и привязать их на разные бриджы, но это не имеет смысла, т.к. l2 связности между бриджами это все равно не даст, да и не может дать. А l3 связность можно получить и без извращений с разбиением 24ой сетки на подсети для сегментов.

Если грамотно разбить на подсети 24-ую сеть, то возможно привязать на разные сегменты. Например: Домашняя сеть: И в тоже время гостевая сеть: Так можно сделать уже сейчас, можете проверить. Зачем так делать, это другой вопрос. Смысла, конечно, мало. Да и ТС спрашивает не об этом. Он просит один сквозной dhcp с одним пулом на два бриджа. А это принципиально невозможно.

@T3ch Cat Думаю, еще на роутере провайдера нужен маршрут до 192.168.3.0/24. Так как, по идее, кинетик 2 пересылая пакеты от кинетик 1 не натит их, то до провайдерского роутера они доходят с адресом источника из сети 192.168.3.0/24, а значит чтобы отправлять ответы, этому роутеру тоже нужен маршрут.

На кинетике 2 есть маршрут в сеть кинетика 1(192.168.3.0/24)? На впн-интерфейсе кинетика 2 есть разрешающие правила межсетевого экрана? На кинетике 1 есть маршрут в сеть кинетика 2 (192.168.1.0/24)?

В начале вы упоминаете vps'ку c ikev2/ipsec сервером, при этом кто к ней подключен и какое она вообще имеет отношение, никакой информации. intel nuc с win 10 - дома или на работе? Что значит "wi-fi - интернет. ethernet - провод от keenetic" по wifi интернет не от кинетика, а от куда? Рисуйте схему, потому что вообще ничего не понятно.

В cli с помощью команды show netfilter можно посмотреть все текущие правила. В filter->INPUT есть правило вида -A INPUT -m conntrack --ctstate DNAT -j ACCEPT . Правила межсетевого экрана созданные через веб-морду располагаются выше приведенного правила. Соответственно, вам нужно в межсетевом экране создать два правила. В первом нужно разрешить доступ к пробрасываемому порту для нужных IP. Во втором запретить доступ к этому порту всем. Разумеется, порт надо указывать тот, который уже после DNAT преобразования. Поднобнее об устройстве МСЭ в keenetic здесь, здесь и здесь.

ip static tcp ISP 443 185.0.0.1 443 - работает. Если посмотреть show netfilter, можно увидеть, что правило создается: src: 0.0.0.0/0, dst: х.х.х.х/32, in: "*", out: "*", proto: "TCP"; "tcp" match, mask: , cmp: , dport: 443; DNAT, address: 185.0.0.1, port: 443 Это правило аналог того, что приведено на вашем скрине с микротика. Так что копайте дальше, что вообще должно происходить по вашему? Может у вас микротик еще и snat выполнял, чтобы ответные пакеты от 185.0.0.1 шли к нему? Иначе ответные пакеты от 185.0.0.1 пойдут в соответствии с его таблицей маршрутизации во внешний интернет. Что вообще вы пытаетесь получить таким перенаправлением?

Что-то типа такого ip static tcp ISP 443 185.0.0.1 443 , ISP здесь имя входного интерфейса, у вас может быть другое. cli manual взять здесь

https://forum.keenetic.net/announcement/5-где-взять-тестовые-прошивки/

Согласен. Особенно учитывая, что под капотом то по сути нетфильтр, где все это элементарно выполняется. Ну, допустим, есть проблема с интерпретацией команды ip static, слишком она сложная и универсальная, ну так сделали бы две отдельные ip snat и ip dnat.

Ничего себе какие дела. Очень плохо, что такие замечания к работе не записаны в cli manual'e. Полагаю, в данном конкретном случае, должна сработать как нужно только ip static Wireguard0 PPPoE0

Тут пришло в голову. Раз у вас интерфейс wireguard, так сделайте ip static Wireguard0 PPPoE0