vlad49

Всем доброго дня! На WAN-порту имеется дополнительный IP, прописан алиасом через ip alias. Через этот IP настроено несколько статических маршрутов во внешнюю локалку. Также на этом же порту прописан белый адрес для выхода в интернет. Все работает, но необходимо также чтобы из этой внешней локалки была видна внутренняя сеть кинетика. Т.е. нужно каким-то образом выключить NAT для всех статических маршрутов, оставив его только на маршрут по умолчанию через реальник. Интерфейс WAN общий, разделить его по вланам нет возможности. Сходу не нашел как это сделать, помогите пожалуйста советом как подобное реализуется?

Поддерживаю, udp2raw в режиме faketcp неплохо работает в Узбекистане, скорость практически не режется. Запускаешь поверх него openvpn, и как будто не уезжал из своей страны.

Вот за решение этого ребуса отдельное спасибо! Сейчас работает на static ip в режиме ikev1, но скоро нужно будет на динамик ставить, обязательно попробую. Надеюсь заработает

Большое спасибо за совет, все получилось. Сделал туннель ipip. Только осталось два момента: - IPSec работает только в режиме ikev1. А вот ikev2 ни в какую не захотел работать. Подозреваю, что дело в опции "ID интерфейса" у кинетика. Куда его указать в ipsec.conf? Strongswan ругается "no matching peer configs found xx.xx.xx.xx[IPIP0] .. xx.xx.xx.xx[IPIP0]". - NAT отключается только глобально на кинетике (no nat Home). Это означает, что в случае падения туннеля никакого интернета через публичный интерфейс не будет. Есть ли возможность настроить отключение ната только на интерфейсе ipip?

Strongswan на linux. Вот конфиг: left = xx.xx.xx.xx right = %any authby = psk leftid = user@router.server.local rightid = root@user.server.local leftsubnet = 0.0.0.0/0 rightsubnet = 192.168.57.0/24 type = tunnel ike = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha384-x25519! esp = aes256-aes192-aes128-sha256-sha384-modp2048-modp3072-modp4096-modp8192,aes128gcm16-sha256-sha384-x25519! auto = add Здесь 192.168.57.0 - внутренняя сеть кинетика. Он прекрасно подключается к этому серверу, однако кроме локалки, которую ему укажешь в свойствах IPsec-подключения (с минимальной маской /4) ничего в туннель отправлять не хочет. А ведь надо ему как-то сказать, чтобы еще трафик в этом туннеле не натился.. Микрот стоял до этого, с ним всё работало. Но wifi в нем никакой. Не хочется теперь городить зоопарк из роутеров.

Требуется подключиться к офисной сети по IPSec (по общему ключу), причем таким образом, чтобы весь трафик отправлялся в это соединение - включая локальную сеть и интернет. При этом на роутере нужно выключить NAT - доступ в интернет также осуществляется через маршрутизатор офисной сети. А также из офисной сети должны быть прозрачно видны все устройства за кинетиком. К сожалению, с наскока настроить это на кинетике не получилось: Офисный ipsec-сервер честно выдает leftsubnet 0.0.0.0/0, однако кинетик отказывается принимать такое значение. А в настройках IPSec можно задать минимальную маску /4 - что к сожалению не годится. Через IPSec должен пойти весь трафик. Неизвестно, каким образом выключить NAT на кинетике. Есть ли вариант решения этой задачи? Другие туннели использовать к сожалению не получится. Пока кроме как поставить mikrotik в разрыв больше ничего в голову не приходит. Не думал, что кинетик не умеет такой простой функционал. Выбрали его из-за wifi-функционала и как раз навороченных vpn-опций.

Мучиться с выделением нужных сервисов не нужно, эту работу уже сделал сам РКН, предоставив для каждого провайдера обновляемый список заблокированных IP и сетей. Поэтому думаю, что требуемая задача решается загрузкой этого списка прямо в таблицу маршрутизации роутера и настройкой маршрутов для этих адресов через интерфейс VPN. Только потянет ли кинетик такую таблицу? Там около 50-100k записей насколько помню.