Jump to content

Как настроить маршрутизацию пользователя VPN на другое подключение?


Recommended Posts

Доброго времени суток.

Имеется Keenetic Giga (KN-1010 версия KeeneticOS 3.7.4) с двумя подключениями ISP ("белый" IP) и VPN (добавлен как Другие подключения -> PPPTP VPN с галочкой в "Использовать для выхода в интернет"). Так же на нем работает VPN-сервер L2TP/IPsec, который используется для доступа к локальной сети. Есть два пользователя (admin и work), которым доступно подключаться к этому VPN и им назначены постоянные адреса (192.168.3.201 и 192.168.3.202 соответственно).

Помогите пожалуйста реализовать следующую схему:
1) Для пользователя admin перенаправлять только обращения в подсеть 10.10.1.0/24 через VPN;
2) Для пользователя work перенаправлять весь трафик через VPN.

Пункт 1 я решил добавив правило маршрутизации 10.10.1.0/24 -> VPN, но таким образом любое устройство в сети имеет доступ в эту подсеть.

Link to comment
Share on other sites

Как вариант, можно, раз адреса клиентов и шлюзов фиксированные, настроить в сетевом экране правила, которыми одного клиента отправить через один шлюз, а другого - через другой шлюз (шлюз VPN). Иными словами, все запросы с конкретного адреса клиента отправляем через конкретный шлюз интересующего соединения.

Link to comment
Share on other sites

1 час назад, loginella сказал:

Как вариант, можно, раз адреса клиентов и шлюзов фиксированные, настроить в сетевом экране правила, которыми одного клиента отправить через один шлюз, а другого - через другой шлюз (шлюз VPN). Иными словами, все запросы с конкретного адреса клиента отправляем через конкретный шлюз интересующего соединения.

В межсетевом экране я могу установить только разрешающие и запрещающие правила. Или как-то можно добавить правило перенаправления?

Попробовал добавить правило переадресации (vpn - нужный интерфейс из группы "Подключения"), не помогло:

image.png.012bb8cffbc6268aa10d68f23c9bf495.png

Link to comment
Share on other sites

55 минут назад, Yuich сказал:

В межсетевом экране я могу установить только разрешающие и запрещающие правила.

Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.

Link to comment
Share on other sites

18 часов назад, Yuich сказал:

Для пользователя work перенаправлять весь трафик через VPN.

Создайте новый профиль доступа в интернет, в нем отметьте только нужный интерфейс ВПН и туда в него перенесите нужное устройство.

Link to comment
Share on other sites

2 часа назад, SySOPik сказал:

Создайте новый профиль доступа в интернет, в нем отметьте только нужный интерфейс ВПН и туда в него перенесите нужное устройство.

Создал таким образом профиль "VPN профиль" и еще сегмент сети "Изолированная сеть", где в поле "Профиль доступа для незарегистрированных устройств" указал этот профиль, включил DHCP, NAT и изоляцию клиентов в этом сегменте.

1) Мне нужно назначить профиль не устройству, а определенному IP адресу (который назначает VPN сервер когда я подключаюсь за одного из пользователей). В списке устройств ничего похожего нет.
2) Если в настройках VPN сервера в поле "Доступ к сети" выбрать новый сегмент, похоже что оно влияет только на видимость, а не на принадлежность. Через CLI тут можно задать любой интерфейс, хотя WEB интерфейс дает на выбор только сегменты:

image.thumb.png.c0111996d6a18adb78990bed7d881c5b.png

Судя по всему при подключении к VPN серверу в кинетике, соединения на этих адресах считаются известными и подчиняются "Основному профилю". Ставить VPN подключение наверх в основной политике - не то что я хочу т.к. в таком случае весь трафик обоих пользователей будет идти через VPN подключение, что для admin не нужно.

3 часа назад, loginella сказал:

Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.

Межсетевой экран как я понимаю разрешает либо запрещает обращаться из одного сегмента в другой. Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс. За это должен отвечать PBR, но в WEB интерфейсе нет настройки для IP адресов, только для известных устройств.

Link to comment
Share on other sites

1 час назад, Yuich сказал:

Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс.

https://help.keenetic.com/hc/ru/articles/360000991640-Примеры-использования-правил-межсетевого-экрана#7

Link to comment
Share on other sites

16 часов назад, loginella сказал:

Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.

11 час назад, loginella сказал:

Добавил правила для сегментов "Домашняя сеть" и "Изолированная сеть":

image.png.adad02b5b0a5b7fb6da300d38dd25e8a.png

И правила для подключения "vpn":

image.thumb.png.65cc7a9035c83587aa97f4f471c607ef.png

Подключившись к VPN серверу кинетика за нужного пользователя (которому выдается 192.168.3.202) на 2ip мне дает мой домашний IP а не впновый.

Link to comment
Share on other sites

6 часов назад, Yuich сказал:

Подключившись к VPN серверу кинетика за нужного пользователя (которому выдается 192.168.3.202) на 2ip мне дает мой домашний IP а не впновый.

Попробуйте понять, почему VPN просто пропускает клиента на домашнюю сеть, а не куда-то на сервер.

Link to comment
Share on other sites

  • 2 weeks later...

Почитав статью, вывел команду:

ip rule add from 192.168.3.202 table 42

Которая делает все что мне нужно. Таблица 42 как я понимаю это таблица назначенная приоритету подключения созданному для VPN.

Судя по всему работает оно до перезагрузки. Какой есть самый простой способ автоматизировать выполнение при запуске?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...