Jump to content
  • 0

Маршрутизация VPN соединений


wdmaster
 Share

Question

Дано:

Имеем giga 3 (v3.7b5) + entware nginx.

На роутере настроены строго по гайдам vpn сервера:

1)VirtualIPServer

2)VirtualIPServerIKE2

3)WireGuard

Имеем телефон на Android 11 OnePlus 8pro с настроенными соответствующими VPN клиентами.

Web server (nginx) запущен и примимет запросы.

Поочередно соединяюсь каждым методом и отправлю запрос на доменное имя(example.ru), которое адрессуется на мой Nginx.

Смотрю откуда пришел запрос (remote_addr):

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). На настройки маршрута пересылки (в телефоне) вообще не реагирует, всегда внешний ip получаю.

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула VPN IKE2 (условно 172.20.8.2).

3)WireGuard: nginx регистрирует запрос от ip сотового оператора (внешний), аналогично VirtualIPServer.

Вопрос, почему так происходит, все ли правильно работает? где можно настроить маршрут к веб серверу?

 

PS: после сброса настроек VirtualIPServer в профиль возвращается настройка identity-local fqdn mykeenetic.net, возможно уже не актуально?

 

Link to comment
Share on other sites

11 answers to this question

Recommended Posts

  • 0
10 часов назад, wdmaster сказал:

Дано:

Имеем giga 3 (v3.7b5) + entware nginx.

На роутере настроены строго по гайдам vpn сервера:

1)VirtualIPServer

2)VirtualIPServerIKE2

3)WireGuard

Имеем телефон на Android 11 OnePlus 8pro с настроенными соответствующими VPN клиентами.

Web server (nginx) запущен и примимет запросы.

Поочередно соединяюсь каждым методом и отправлю запрос на доменное имя(example.ru), которое адрессуется на мой Nginx.

Смотрю откуда пришел запрос (remote_addr):

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). На настройки маршрута пересылки (в телефоне) вообще не реагирует, всегда внешний ip получаю.

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула VPN IKE2 (условно 172.20.8.2).

3)WireGuard: nginx регистрирует запрос от ip сотового оператора (внешний), аналогично VirtualIPServer.

Вопрос, почему так происходит, все ли правильно работает? где можно настроить маршрут к веб серверу?

 

PS: после сброса настроек VirtualIPServer в профиль возвращается настройка identity-local fqdn mykeenetic.net, возможно уже не актуально?

 

1 и 2 на роутере устроены внутри абсолютно одинаково, разница только в способе согласования ключей. Потому разницу в работе нужно адресовать производителям телефона, если она вас беспокоит.

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

Link to comment
Share on other sites

  • 0
10 hours ago, Le ecureuil said:

1 и 2 на роутере устроены внутри абсолютно одинаково, разница только в способе согласования ключей. Потому разницу в работе нужно адресовать производителям телефона, если она вас беспокоит.

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

Попробовал на другом телефоне, аналогичная ситуация, может разница в различной работе NAT на серверах?

Link to comment
Share on other sites

  • 0

Выключил NAT и повторил запросы, получил интересную ситуацию:

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). Такого быть же не должно!?

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула. Стандартно.

Link to comment
Share on other sites

  • 0
26 minutes ago, Le ecureuil said:

Вообще такое может быть, это особенность работы IPsec. Но сильно зависит от реализации на клиенте.

Маршруты пересылки в клиенте учитываются при работе сервера IPsec?

Link to comment
Share on other sites

  • 0
7 минут назад, wdmaster сказал:

Маршруты пересылки в клиенте учитываются при работе сервера IPsec?

Так все от клиента зависит. Сервер ему предлагает TS с 0.0.0.0/0, а дальше как захочет.

Link to comment
Share on other sites

  • 0
On 11/8/2021 at 10:49 AM, Le ecureuil said:

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?

Link to comment
Share on other sites

  • 0
16 hours ago, wdmaster said:

Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?

Этот вопрос снят, решилось гадами.

Link to comment
Share on other sites

  • 0
6 минут назад, wdmaster сказал:

Этот вопрос снят, решилось гадами.

Напишите как решилось:35_thinking: А то я не понял что/кто за гады:twisted:

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...