Как настроить маршрутизацию пользователя VPN на другое подключение?

[Yuich]

Доброго времени суток.

Имеется Keenetic Giga (KN-1010 версия KeeneticOS 3.7.4) с двумя подключениями ISP ("белый" IP) и VPN (добавлен как Другие подключения -> PPPTP VPN с галочкой в "Использовать для выхода в интернет"). Так же на нем работает VPN-сервер L2TP/IPsec, который используется для доступа к локальной сети. Есть два пользователя (admin и work), которым доступно подключаться к этому VPN и им назначены постоянные адреса (192.168.3.201 и 192.168.3.202 соответственно).

Помогите пожалуйста реализовать следующую схему:
1) Для пользователя admin перенаправлять только обращения в подсеть 10.10.1.0/24 через VPN;
2) Для пользователя work перенаправлять весь трафик через VPN.

Пункт 1 я решил добавив правило маршрутизации 10.10.1.0/24 -> VPN, но таким образом любое устройство в сети имеет доступ в эту подсеть.

[loginella]

Как вариант, можно, раз адреса клиентов и шлюзов фиксированные, настроить в сетевом экране правила, которыми одного клиента отправить через один шлюз, а другого - через другой шлюз (шлюз VPN). Иными словами, все запросы с конкретного адреса клиента отправляем через конкретный шлюз интересующего соединения.

[Yuich]

1 час назад, loginella сказал:

Как вариант, можно, раз адреса клиентов и шлюзов фиксированные, настроить в сетевом экране правила, которыми одного клиента отправить через один шлюз, а другого - через другой шлюз (шлюз VPN). Иными словами, все запросы с конкретного адреса клиента отправляем через конкретный шлюз интересующего соединения.

В межсетевом экране я могу установить только разрешающие и запрещающие правила. Или как-то можно добавить правило перенаправления?

Попробовал добавить правило переадресации (vpn - нужный интерфейс из группы "Подключения"), не помогло:

[loginella]

55 минут назад, Yuich сказал:

В межсетевом экране я могу установить только разрешающие и запрещающие правила.

Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.

[SySOPik]

18 часов назад, Yuich сказал:

Для пользователя work перенаправлять весь трафик через VPN.

Создайте новый профиль доступа в интернет, в нем отметьте только нужный интерфейс ВПН и туда в него перенесите нужное устройство.

[Yuich]

2 часа назад, SySOPik сказал:

Создайте новый профиль доступа в интернет, в нем отметьте только нужный интерфейс ВПН и туда в него перенесите нужное устройство.

Создал таким образом профиль "VPN профиль" и еще сегмент сети "Изолированная сеть", где в поле "Профиль доступа для незарегистрированных устройств" указал этот профиль, включил DHCP, NAT и изоляцию клиентов в этом сегменте.

1) Мне нужно назначить профиль не устройству, а определенному IP адресу (который назначает VPN сервер когда я подключаюсь за одного из пользователей). В списке устройств ничего похожего нет.
2) Если в настройках VPN сервера в поле "Доступ к сети" выбрать новый сегмент, похоже что оно влияет только на видимость, а не на принадлежность. Через CLI тут можно задать любой интерфейс, хотя WEB интерфейс дает на выбор только сегменты:

Судя по всему при подключении к VPN серверу в кинетике, соединения на этих адресах считаются известными и подчиняются "Основному профилю". Ставить VPN подключение наверх в основной политике - не то что я хочу т.к. в таком случае весь трафик обоих пользователей будет идти через VPN подключение, что для admin не нужно.

3 часа назад, loginella сказал:

Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.

Межсетевой экран как я понимаю разрешает либо запрещает обращаться из одного сегмента в другой. Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс. За это должен отвечать PBR, но в WEB интерфейсе нет настройки для IP адресов, только для известных устройств.

[loginella]

1 час назад, Yuich сказал:

Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс.

https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7

[Yuich]

16 часов назад, loginella сказал:

Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.

11 час назад, loginella сказал:

https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7

Добавил правила для сегментов "Домашняя сеть" и "Изолированная сеть":

И правила для подключения "vpn":

Подключившись к VPN серверу кинетика за нужного пользователя (которому выдается 192.168.3.202) на 2ip мне дает мой домашний IP а не впновый.

[loginella]

6 часов назад, Yuich сказал:

Подключившись к VPN серверу кинетика за нужного пользователя (которому выдается 192.168.3.202) на 2ip мне дает мой домашний IP а не впновый.

Попробуйте понять, почему VPN просто пропускает клиента на домашнюю сеть, а не куда-то на сервер.

[Yuich]

Почитав статью, вывел команду:

ip rule add from 192.168.3.202 table 42

Которая делает все что мне нужно. Таблица 42 как я понимаю это таблица назначенная приоритету подключения созданному для VPN.

Судя по всему работает оно до перезагрузки. Какой есть самый простой способ автоматизировать выполнение при запуске?