Как сделать две точки доступа (трафик одной шел через ВНП, другой - напрямую)

[Ilya K.]

Привет всем, возник вопрос, не могу разграничить трафик, чтобы шел некоторым устройствам через vpn, а другим на напрямую через ВиФи.

Приходится либо заходить в интерфейс и либо включать всем vpn, либо отключать. Нельзя сделать, чтобы например было две точки доступа, подключаясь к одной трафик идет через vpn, для другой сети - напрямую. Маршрутиризацию не предлагать (потому что мне нужно, чтобы заход на все ресурсы был с одного ip). По идее такое можно реализовать через LAN порты, но у моего ноута нет LAN порта.

Буду рад если предлодите решение как это сделать или кинете ссылкой, где это уже обсуждалось (искал по формуму - не нашел)

[vasek00]

Для решения вашей задачи целиком или частично предложу что можно сделать или что могут.

Берем два/три роутера они все в режиме ОСНОВНОЙ (а не основной+ТД) и подключены по LAN, интернет на Роутер

Роутер1[LAN]---[LAN]Роутер[LAN]---[LAN]Роутер2

на двух других def маршрут и DNS указываем на Роутер, так как они такие же как и все клиенты то мы их регистрируем (MAC-IP) т.е. можем управлять выходом их через основной роутер и профили. Так как Роутер1/Роутер2 в основном режиме то мы на них можем поднять VPN.

Пример Роутер1:

1. поднят VPN на ProtonIKE

- если будет стоять галка выход в интернет то def маршрут с данного Роутер1 будет сменен с Роутер на канал Proton

- если галки нет то мы не получим данную смену

2. создаем профиль на Роутер1 например Proton и помещаем туда клиента (зарегестированного)

Суть профилей - создание под них своих таблиц маршрутизации и что хорошо то что все из WEB. К варианту выше может возникнуть проблема на Роутере1 для профиля Proton именно в def маршруте для данного профиля, но все решаемо.

Скрытый текст

то что получилось на Роутер1 с созданным профилем

Настройка ProtonVPN

interface IKE0
    description Proton
    role misc
    security-level public
    authentication identity B.....I
    authentication password ns3 c........e
    authentication mschap-v2
    authentication eap-mschapv2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    ipsec name-servers
    ipsec ikev2
    ipsec force-encaps
    tunnel source auto
    tunnel destination nl-free-10.protonvpn.com
    up


Настройка для Роутера1 def/DNS

ip route default 192.168.1.1 Home !Default
ip name-server 192.168.1.1 "" on Home


Новый профиль

ip policy Policy0
    description Proton
    permit global IKE0
    no permit global ISP *** WAN порт отключен
    no permit global Wireguard2


Клиента в новый профиль Policy0 или он же Proton

ip hotspot
...
    host 70:хх:хх:хх:хх:e2 permit
    host 70:хх:хх:хх:хх:e2 policy Policy0

Проблемка/не проблемка, которая описаны выше по def маршруту в данном профиле просто покажу

Команда CLI для данного профиля Proton по маршрутам 

show ip route table 42

Вывод ее большой, есть по короче и по информативней, обратить внимание на интерфейс "nikecli0"

~ # ip route show table 42
10.1.0.1 dev nikecli0  scope link  *************** туннель на Proton
185.107.57.51 via 192.168.1.1 dev br0  ******* сервер Proton 
192.168.1.0/24 dev br0  scope link **** сеть роутера
192.168.1.1 dev br0  scope link **** основной шлюз
~ #

как видим нет def маршрута добавим его (это галка выхода в интернет, но мы ее поставить не можем 
так как роутер сразу будет иметь def на Proron) и так же подчеркну вопрос по приоритетам каналов 
нужно быть по внимательней так как нет WAN на данном роутере1)

~ # ip route add default dev nikecli0 table 42
~ # ip route show table 42
default dev nikecli0  scope link 
10.1.0.1 dev nikecli0  scope link 
185.107.57.51 via 192.168.1.1 dev br0 
192.168.1.0/24 dev br0  scope link 
192.168.1.1 dev br0  scope link 
~ #

И так для данного профиля появился def маршрут


Основной профиль Роутера1 - 192.168.1.9

~ # ip ro
default via 192.168.1.1 dev br0 
10.1.0.1 dev nikecli0  scope link 
185.107.57.51 via 192.168.1.1 dev br0 
192.168.1.0/24 dev br0  proto kernel scope link  src 192.168.1.9 
192.168.1.1 dev br0  scope link 

На клиенте НУЖНО указать адресом шлюза именно этого данного Роутера1. В итоге имеем выход данного клиента ИМЕННО через данный ProtonVPN.

т.е. данное управление идет на клиенте на котором можно установить адрес шлюза Роутер1 или Роутер

Это частный вариант для частного случая, но на примере такого решения может можно что-то придумать и другое.

Edited April 3, 2022 by vasek00

[SnT]

Похожий вопрос.

У хозяина есть домашний интернет со статическим адресом и непонятным роутером. Его приятель говорит «я хочу по LAN подключить мой предварительно настроенный Keenetic и с KeenDNS, чтобы я через WireGuard выходил в интернет с твоим IP-адресом. К твоим устройством в сети у меня не будет доступа, все автономно и безопасно для тебя. И свой роутер я сам буду удаленно настраивать».

Такое возможно реализовать?

[Monstr86]

21 час назад, SnT сказал:

Похожий вопрос.

У хозяина есть домашний интернет со статическим адресом и непонятным роутером. Его приятель говорит «я хочу по LAN подключить мой предварительно настроенный Keenetic и с KeenDNS, чтобы я через WireGuard выходил в интернет с твоим IP-адресом. К твоим устройством в сети у меня не будет доступа, все автономно и безопасно для тебя. И свой роутер я сам буду удаленно настраивать».

Такое возможно реализовать?

Возможно все :), только вот сразу несостыковка в том, что как раз доступ он будет иметь к устройствам внутри сети, а чтобы его не было надо настраивать  отдельную сеть на центральном роутере, для кинетика.

[vasek00]

37 минут назад, Monstr86 сказал:

Возможно все :), только вот сразу несостыковка в том, что как раз доступ он будет иметь к устройствам внутри сети, а чтобы его не было надо настраивать  отдельную сеть на центральном роутере, для кинетика.

Дополню.

На двух - Keenetic1 + Keenetic2. К Кeenetic1 подключен интернет, на нем создается новый сегмен, на этот сегмент подключается LAN порт второго Keenetic2. Оба Keenetic в основном режиме. Клиенты Keenetic2 не будут видеть сеть Keenetic1

Скрытый текст

Использовать NAT - Для подключения устройств сегмента к интернету.
Доступ к приложениям вашего Keenetic - Да/Нет

 

В место Keenetic2 может быть любой другой роутер.

Edited December 21, 2022 by vasek00