Yuich Posted April 10, 2022 Share Posted April 10, 2022 Доброго времени суток. Имеется Keenetic Giga (KN-1010 версия KeeneticOS 3.7.4) с двумя подключениями ISP ("белый" IP) и VPN (добавлен как Другие подключения -> PPPTP VPN с галочкой в "Использовать для выхода в интернет"). Так же на нем работает VPN-сервер L2TP/IPsec, который используется для доступа к локальной сети. Есть два пользователя (admin и work), которым доступно подключаться к этому VPN и им назначены постоянные адреса (192.168.3.201 и 192.168.3.202 соответственно). Помогите пожалуйста реализовать следующую схему: 1) Для пользователя admin перенаправлять только обращения в подсеть 10.10.1.0/24 через VPN; 2) Для пользователя work перенаправлять весь трафик через VPN. Пункт 1 я решил добавив правило маршрутизации 10.10.1.0/24 -> VPN, но таким образом любое устройство в сети имеет доступ в эту подсеть. Quote Link to comment Share on other sites More sharing options...
loginella Posted April 11, 2022 Share Posted April 11, 2022 Как вариант, можно, раз адреса клиентов и шлюзов фиксированные, настроить в сетевом экране правила, которыми одного клиента отправить через один шлюз, а другого - через другой шлюз (шлюз VPN). Иными словами, все запросы с конкретного адреса клиента отправляем через конкретный шлюз интересующего соединения. Quote Link to comment Share on other sites More sharing options...
Yuich Posted April 11, 2022 Author Share Posted April 11, 2022 1 час назад, loginella сказал: Как вариант, можно, раз адреса клиентов и шлюзов фиксированные, настроить в сетевом экране правила, которыми одного клиента отправить через один шлюз, а другого - через другой шлюз (шлюз VPN). Иными словами, все запросы с конкретного адреса клиента отправляем через конкретный шлюз интересующего соединения. В межсетевом экране я могу установить только разрешающие и запрещающие правила. Или как-то можно добавить правило перенаправления? Попробовал добавить правило переадресации (vpn - нужный интерфейс из группы "Подключения"), не помогло: Quote Link to comment Share on other sites More sharing options...
loginella Posted April 11, 2022 Share Posted April 11, 2022 55 минут назад, Yuich сказал: В межсетевом экране я могу установить только разрешающие и запрещающие правила. Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих. Quote Link to comment Share on other sites More sharing options...
SySOPik Posted April 11, 2022 Share Posted April 11, 2022 18 часов назад, Yuich сказал: Для пользователя work перенаправлять весь трафик через VPN. Создайте новый профиль доступа в интернет, в нем отметьте только нужный интерфейс ВПН и туда в него перенесите нужное устройство. Quote Link to comment Share on other sites More sharing options...
Yuich Posted April 11, 2022 Author Share Posted April 11, 2022 2 часа назад, SySOPik сказал: Создайте новый профиль доступа в интернет, в нем отметьте только нужный интерфейс ВПН и туда в него перенесите нужное устройство. Создал таким образом профиль "VPN профиль" и еще сегмент сети "Изолированная сеть", где в поле "Профиль доступа для незарегистрированных устройств" указал этот профиль, включил DHCP, NAT и изоляцию клиентов в этом сегменте. 1) Мне нужно назначить профиль не устройству, а определенному IP адресу (который назначает VPN сервер когда я подключаюсь за одного из пользователей). В списке устройств ничего похожего нет. 2) Если в настройках VPN сервера в поле "Доступ к сети" выбрать новый сегмент, похоже что оно влияет только на видимость, а не на принадлежность. Через CLI тут можно задать любой интерфейс, хотя WEB интерфейс дает на выбор только сегменты: Судя по всему при подключении к VPN серверу в кинетике, соединения на этих адресах считаются известными и подчиняются "Основному профилю". Ставить VPN подключение наверх в основной политике - не то что я хочу т.к. в таком случае весь трафик обоих пользователей будет идти через VPN подключение, что для admin не нужно. 3 часа назад, loginella сказал: Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих. Межсетевой экран как я понимаю разрешает либо запрещает обращаться из одного сегмента в другой. Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс. За это должен отвечать PBR, но в WEB интерфейсе нет настройки для IP адресов, только для известных устройств. Quote Link to comment Share on other sites More sharing options...
loginella Posted April 11, 2022 Share Posted April 11, 2022 1 час назад, Yuich сказал: Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс. https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7 Quote Link to comment Share on other sites More sharing options...
Yuich Posted April 12, 2022 Author Share Posted April 12, 2022 16 часов назад, loginella сказал: Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих. 11 час назад, loginella сказал: https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7 Добавил правила для сегментов "Домашняя сеть" и "Изолированная сеть": И правила для подключения "vpn": Подключившись к VPN серверу кинетика за нужного пользователя (которому выдается 192.168.3.202) на 2ip мне дает мой домашний IP а не впновый. Quote Link to comment Share on other sites More sharing options...
loginella Posted April 12, 2022 Share Posted April 12, 2022 6 часов назад, Yuich сказал: Подключившись к VPN серверу кинетика за нужного пользователя (которому выдается 192.168.3.202) на 2ip мне дает мой домашний IP а не впновый. Попробуйте понять, почему VPN просто пропускает клиента на домашнюю сеть, а не куда-то на сервер. Quote Link to comment Share on other sites More sharing options...
Yuich Posted April 22, 2022 Author Share Posted April 22, 2022 Почитав статью, вывел команду: ip rule add from 192.168.3.202 table 42 Которая делает все что мне нужно. Таблица 42 как я понимаю это таблица назначенная приоритету подключения созданному для VPN. Судя по всему работает оно до перезагрузки. Какой есть самый простой способ автоматизировать выполнение при запуске? Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.