Jump to content

Recommended Posts

Posted (edited)

Добрый день, сообщество.

Имею проблему с роутингом.

Сети:

  • Удаленная сеть 192.168.5.0/22
  • Домашняя сеть 192.168.7.0/22

Сети соединены по WireGuard, 172.16.1.0/24, где 172.16.1.1 - сервер WG, поднятый на mikrotik. Сервер расположен вне указанных сетей (в локации №3).

Ситуация:

Могу пинговать из сети Wireguard в удаленную и домашнюю сети. 

Могу пинговать из удаленной сети в сеть Wireguard и в домашнюю сеть

С устройств, находящихся в домашней сети, могу пинговать только в сеть Wireguard, но не в удаленную сеть.

При этом с роутера в домашней сети пинг идет и в сеть Wireguard, и в удаленную сеть (то есть route прописан корректно).

Что сделано:

Временно могу решить проблему только прописывая маршрут

route -n add -net 192.168.5.1/24 192.168.7.1

на устройствах в домашней сети, где 192.168.7.1 - роутер в домашней сети. Но на ТВ приставках такого не сделаешь.

Что хочу достичь:

Пинг с устройств в домашней сети доходит до устройств удаленной сети без необходимости прописывать вручную маршруты на клиентских устройствах домашней сети.

 

Нужна помощь :)

Edited by Ygvuvgugu
Link to comment
Share on other sites

Posted (edited)
2 hours ago, vasek00 said:

Кто мешает прописать маршруты на сервер WG поднятый на mikrotik и на клиенте WG

https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic

Как я написал в посте, route прописан уже: клиент WG (в виде роутера keenetic) видит все, что нужно, и пингует все, что нужно.

Проблема на уровень ниже: устройства в локальной сети за клиентом WG не видят ничего, кроме сети WG. То есть маршрут, прописанный на роутере, они не получают. 

Edited by Ygvuvgugu
более явно выразил мысль
Link to comment
Share on other sites

51 минуту назад, Ygvuvgugu сказал:

Проблема на уровень ниже: устройства в локальной сети за клиентом WG не видят ничего, кроме сети WG. То есть маршрут, прописанный на роутере, они не получают. 

Как и написал выше и в добавок два роутера соединены по WG, клиенты лок.сети каждого роутера видят клиентов друг друга.

Клиент_1.201---Роутер(WG)-------(WG)Роутер----Клиент_13.2

На Клиенте_13.2

Трассировка маршрута к 192.168.1.201 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  P-KN [192.168.13.1] 
  2    37 ms    37 ms    37 ms  10.16.13.1 
  3    50 ms    41 ms    42 ms  192.168.1.201 

Трассировка завершена.
                          

На клиенте WG роутере

~ # ip ro
default dev ppp0  scope link 
...
10.16.13.0/24 dev nwg2  proto kernel  scope link  src 10.16.13.1 
...
192.168.1.0/24 dev nwg2  scope link 
192.168.13.0/24 dev br0  proto kernel  scope link  src 192.168.13.1 
...

ngw2 туннель WG между роутерами

Все настройки через WEB, такие же как и в статье выше.

Link to comment
Share on other sites

3 minutes ago, vasek00 said:

Как и написал выше и в добавок два роутера соединены по WG, клиенты лок.сети каждого роутера видят клиентов друг друга.

Тогда почему, при аналогичных настройках, в моем случае схема буксует? Буду благодарен за подсказку.

 Маршруты с роутера, который является клиентом WG, и с которым проблема:

Spoiler
{
    "route": [
        {
            "destination": "0.0.0.0/0",
            "gateway": "Внешний IP",
            "interface": "ISP",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "Подсеть /29 провайдера",
            "gateway": "0.0.0.0",
            "interface": "ISP",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "172.16.1.0/24",     <== тоннель WG
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "192.168.4.0/22",     <== домашняя сеть
            "gateway": "0.0.0.0",
            "interface": "Home",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "192.168.5.0/24",	<== маршрут, которым не могут воспользоваться устройства в локальной сети
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        }
    ],
    "prompt": "(config)"
}

 

Маршруты с клиента в локальной сети, который не видит нужный маршрут:

Spoiler
➜  ~ netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags        Netif Expire
default            192.168.7.1        UGScg          en0
127                127.0.0.1          UCS            lo0
127.0.0.1          127.0.0.1          UH             lo0
127.255.255.255    127.0.0.1          UHW3I          lo0     20
169.254            link#4             UCS            en0      !
172.24.100/24      link#12            UC         feth410      !
192.168.4/22       link#4             UCS            en0      !
192.168.7.1/32     link#4             UCS            en0      !
192.168.7.1        1c:74:d:10:16:a0   UHLWIir        en0   1200
192.168.7.80/32    link#4             UCS            en0      !
224.0.0/4          link#4             UmCS           en0      !
224.0.0.251        1:0:5e:0:0:fb      UHmLWI         en0
239.255.255.250    1:0:5e:7f:ff:fa    UHmLWI         en0
255.255.255.255/32 link#4             UCS            en0      !

 

tracert до и после прописывания маршрута вручную:

Spoiler
➜  ~ traceroute 192.168.5.1
traceroute to 192.168.5.1 (192.168.5.1), 64 hops max, 52 byte packets
 1  * * *
^C
➜  ~ sudo route -n add -net 192.168.5.1/24 192.168.7.1
Password:
add net 192.168.5.1: gateway 192.168.7.1

➜  ~ traceroute 192.168.5.1
traceroute to 192.168.5.1 (192.168.5.1), 64 hops max, 52 byte packets
 1  192.168.7.1 (192.168.7.1)  3.675 ms  2.056 ms  1.445 ms
 2  172.16.1.1 (172.16.1.1)  44.963 ms  56.290 ms  45.207 ms

Маршруты с клиента в локальной сети, который не видит нужный маршрут - после указания маршрута вручную:

Spoiler
➜  ~ netstat -nr
Routing tables

Internet:
Destination        Gateway            Flags        Netif Expire
default            192.168.7.1        UGScg          en0
127                127.0.0.1          UCS            lo0
127.0.0.1          127.0.0.1          UH             lo0
169.254            link#4             UCS            en0      !
172.24.100/24      link#12            UC         feth410      !
172.24.100.28      link#12            UHLWIi     feth410      !
172.24.100.255     ff:ff:ff:ff:ff:ff  UHLWbI     feth410      !
192.168.4/22       link#4             UCS            en0      !
192.168.5          192.168.7.1        UGSc           en0			<-- нужный маршрут
192.168.7.1/32     link#4             UCS            en0      !
192.168.7.1        1c:74:d:10:16:a0   UHLWIir        en0   1198
192.168.7.37       link#4             UHLWIi         en0      !
192.168.7.59       90:dd:5d:c3:d2:23  UHLWI          en0   1195
192.168.7.80/32    link#4             UCS            en0      !
192.168.7.255      ff:ff:ff:ff:ff:ff  UHLWbI         en0      !
224.0.0/4          link#4             UmCS           en0      !
224.0.0.251        1:0:5e:0:0:fb      UHmLWI         en0
239.255.255.250    1:0:5e:7f:ff:fa    UHmLWI         en0
255.255.255.255/32 link#4             UCS            en0      !

 

 

Link to comment
Share on other sites

По мимо маршрутов есть еще настройка параметра разрешенные подсети

wg-s-02.png

Если все это есть то перегрузите роутер или отключите WG и заново его включите на сервере и на клиенте.

Link to comment
Share on other sites

Posted (edited)

Разрешенные сети прописаны корректно. Также пробовал 0.0.0.0/0 в качестве разрешенной сети, результат такой же (неудачный).

Перезагрузка всех участников процесса, и переподключение WG, не помогла...

 

Снимок экрана 2022-06-08 в 11.59.36.png

Edited by Ygvuvgugu
Link to comment
Share on other sites

Posted (edited)
1 час назад, Ygvuvgugu сказал:

Разрешенные сети прописаны корректно. Также пробовал 0.0.0.0/0 в качестве разрешенной сети, результат такой же (неудачный).

Перезагрузка всех участников процесса, и переподключение WG, не помогла...

На обоих концах туннеля где адреса стоят 172.16.1.0/24 замените на реальные у которых маска /32, т.е. что там у вас будет конкретно 172.16.1.1/32 а на другой стороне так же 172.16.1.Х/32

Для сравнения так же "show ip route"

Ваш туннель
destination": "172.16.1.0/24",     <== тоннель WG
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "kernel",
            "floating": false
"destination": "192.168.5.0/24",	<== маршрут, которым не могут воспользоваться устройства в локальной сети
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        
        
        
                                            
Мой
destination": "10.16.13.0/24", - туннель WG
            "gateway": "0.0.0.0",
            "interface": "Wireguard2",
            "metric": 0,
            "flags": "U",
            "rejecting": false,
            "proto": "kernel",
            "floating": false,
            "static": false
"destination": "192.168.1.0/24", - удаленная сеть
            "gateway": "0.0.0.0",
            "interface": "Wireguard2",
            "metric": 0,
            "flags": "U",
            "rejecting": false,
            "proto": "boot",
            "floating": false,
            "static": false

Мой конф

Скрытый текст
access-list _WEBADMIN_Wireguard2
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit description WG-e

interface Wireguard2
    description E
    security-level public
    ip address 10.16.13.1 255.255.255.0
    ip mtu 1420
    ip access-group _WEBADMIN_Wireguard2 in
    ip tcp adjust-mss pmtu
    wireguard listen-port хххх1
    wireguard peer fxrW0.........Q8xbxBo= !PKN
        endpoint 1хх.ххх.ххх.ххх:хххх1
        keepalive-interval 30
        allow-ips 10.16.13.1 255.255.255.255
        allow-ips 192.168.1.0 255.255.255.0
    !

ip route 192.168.1.0 255.255.255.0 Wireguard2 !E-Lan

Ну и аналогичный на сервере только со своими IP.

 

Edited by vasek00
Link to comment
Share on other sites

Posted (edited)
1 hour ago, vasek00 said:

На обоих концах туннеля где адреса стоят 172.16.1.0/24 замените на реальные у которых маска /32, т.е. что там у вас будет конкретно 172.16.1.1/32 а на другой стороне так же 172.16.1.Х/32

Для сравнения так же "show ip route"

Заменил на маску /32. 

Также пришлось добавить в разрешенные подсети отдельно подсеть WG и прописать для нее route, иначе роутеру и устройства в локальной сети было не видно других узлов в сети WG, только текущего клиента и сервер.

Симптомы остались все те же: я все также могу с устройств в локальной сети пинговать только сеть WG, но не могу пинговать удаленную сеть. 

show ip route

Spoiler
{
    "route": [
        {
            "destination": "0.0.0.0/0",
            "gateway": "Внешний IP",
            "interface": "ISP",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "Подсеть /29 провайдера",
            "gateway": "0.0.0.0",
            "interface": "ISP",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "172.16.1.0/24",  <--- маршрут до сети WG, который пришлось добавить
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "172.16.1.0/24",   <--- маршрут до сети WG, создается автоматически
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "xxxxxxx/32", <--- маршрут для подключения к WG серверу
            "gateway": "xxxx",
            "interface": "ISP",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "192.168.4.0/22",
            "gateway": "0.0.0.0",
            "interface": "Home",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "192.168.5.0/24", <--- маршрут, который не видят устройства в локальной сети
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        }
    ],
    "prompt": "(config)"
}

 

 

конфиг:

Spoiler
access-list _WEBADMIN_Wireguard0
    permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

interface Wireguard0
    description nl
    security-level public
    ip address 172.16.1.2 255.255.255.0
    ip mtu 1324
    ip access-group _WEBADMIN_Wireguard0 in
    ip tcp adjust-mss pmtu
    wireguard peer [ключ] ![имя]
        endpoint [IP сервера]:[порт]
        keepalive-interval 30
        allow-ips 172.16.1.1 255.255.255.255    <--- изменил на маску /32  
        allow-ips 192.168.5.0 255.255.255.0
        allow-ips 172.16.1.0 255.255.255.0		<--- пришлось добавить для доступа к другим узлам сети WG
    !
    up
!
ip route 192.168.5.0 255.255.255.0 Wireguard0 auto
ip route 172.16.1.0 255.255.255.0 Wireguard0 auto

 

При этом, если отказаться от доступа к другим узлам сети WG (и соответственно, от сети 172.16.1.0/24 в разделе "разрешенные подсети" и от маршрута) то роутер выдает ошибку An I/O error occurred: unknown error 161. при попытке пинга, скажем, 172.16.1.3.

По сути же темы ничего не меняется, доступа к сети 192.168.5.0/24 все также нет для устройств в локальной сети. Роутер все также доступ к этой сети имеет без проблем.

Edited by Ygvuvgugu
Link to comment
Share on other sites

Цитата

Сети соединены по WireGuard, 172.16.1.0/24, где 172.16.1.1 - сервер WG, поднятый на mikrotik. Сервер расположен вне указанных сетей (в локации №3).

....на устройствах в домашней сети, где 192.168.7.1 - роутер в домашней сети. Но на ТВ приставках такого не сделаешь.

....Маршруты с роутера, который является клиентом WG, и с которым проблема

Подозреваю что все таки проблема не на данном роутере Keenetic.

А можно полную вашу схеме кто где и куда хочет, а то есть упоминания в маршрутах про 192.168.4.х, 192.168.5.х, 192.168.7.х ?

 

 

WG туннель это точка-точка или проще P-t-P т.е. с маской 255.255.255.255

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.10.12.1  P-t-P:10.10.12.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:19214084 errors:0 dropped:20 overruns:0 frame:0
          TX packets:14788308 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:24040669766 (22.3 GiB)  TX bytes:1595499128 (1.4 GiB)

nwg2      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.16.13.1  P-t-P:10.16.13.1  Mask:255.255.255.0
          UP POINTOPOINT RUNNING NOARP  MTU:1420  Metric:1
          RX packets:35 errors:0 dropped:0 overruns:0 frame:0
          TX packets:148 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:3864 (3.7 KiB)  TX bytes:12936 (12.6 KiB)

nwg4      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:10.2.0.2  P-t-P:10.2.0.2  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:2945658 errors:0 dropped:4 overruns:0 frame:0
          TX packets:1102060 errors:0 dropped:9 overruns:0 carrier:0
          collisions:0 txqueuelen:50 
          RX bytes:3771878564 (3.5 GiB)  TX bytes:123705384 (117.9 MiB)

но если мы речь ведем про nwg2 то в данном случае на нем три пира -> mask 255.255.255.0

Link to comment
Share on other sites

Posted (edited)
7 hours ago, vasek00 said:

А можно полную вашу схеме кто где и куда хочет, а то есть упоминания в маршрутах про 192.168.4.х, 192.168.5.х, 192.168.7.х ?

 

192.168.4.0/22 - общая сеть, объединяющая несколько локаций.
Все её сегменты (кусками по /24), кроме описываемых ниже, работают без проблем. /22 нужен для общего broadcast и связности на уровне L2 (в сетях ниже использовалось до недавнего времени, будет использоваться в будущем).

192.168.5.0/22 - удаленный сегмент, куда хочу иметь доступ (далее - удаленная сеть)
Роутер keenetic, 
шлюз 192.168.5.1/22, 
Конец WG - 172.16.1.3

192.168.7.0/22 - локальный сегмент, откуда доступ тестируется (далее - локальная сеть)
Роутер keenetic.
Шлюз 192.168.7.1
Конец WG - 172.16.1.2

172.16.1.0/24 - сервисная сеть, используется для Wireguard. 
Wireguard сервер поднят на mikrotik.
Конец WG - 172.16.1.1

Прилагаю примерную схему, где зеленым выделил работающие маршруты, красным - то, что не удается достичь.

Spoiler

image.png.5715a2e97591248b6c041010be191d9a.png

 

 

Машртуты кинетика в удаленной сети.

Spoiler
{
    "route": [
        {
            "destination": "0.0.0.0/0", <-- весь трафик идет через WG
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "xxxx/32", <-- провайдер
            "gateway": "0.0.0.0",
            "interface": "PPPoE0",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "172.16.1.0/24", <-- автоматически создается при подключении WG (сервисная сеть WG)
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "xxx/32",
            "gateway": "0.0.0.0",
            "interface": "PPPoE0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "192.168.4.0/22", 
            "gateway": "0.0.0.0",
            "interface": "Home",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "192.168.5.128/25",  <-- все работает (соединение со второй, "дальней", частью удаленной сети)
            "gateway": "172.16.1.100",  <-- все работает (конец WG второй, "дальней", частью удаленной сети)
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "192.168.7.0/24", <-- соединение с локальной сетью, о которой говорил в посте. С роутера 192.168.5.1 пинг идет в роутер локальной сети и в саму локальную сеть. Проверить, идет ли пинг с устройств удаленной сети к устройствам локальной сети не могу.
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        }
    ],

 

 

 

Маршртуты кинетика в локальной сети (выкладывал ранее, дублирую):

Spoiler
    {
    "route": [
        {
            "destination": "0.0.0.0/0",
            "gateway": "Внешний IP",
            "interface": "ISP",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "Подсеть /29 провайдера",
            "gateway": "0.0.0.0",
            "interface": "ISP",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "172.16.1.0/24",  <--- маршрут до сети WG, который пришлось добавить
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "172.16.1.0/24",   <--- маршрут до сети WG, создается автоматически
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "xxxxxxx/32", <--- маршрут для подключения к WG серверу
            "gateway": "xxxx",
            "interface": "ISP",
            "metric": 0,
            "proto": "boot",
            "floating": false
        },
        {
            "destination": "192.168.4.0/22",
            "gateway": "0.0.0.0",
            "interface": "Home",
            "metric": 0,
            "proto": "kernel",
            "floating": false
        },
        {
            "destination": "192.168.5.0/24", <--- маршрут, который не видят устройства в локальной сети. При этом маршруте пинг с роутера 192.168.7.1 до устройств удаленной сети идет, пинг с устройств локальной сети до устройств удаленной сети не идет.
            "gateway": "0.0.0.0",
            "interface": "Wireguard0",
            "metric": 0,
            "proto": "boot",
            "floating": false
        }
    ],
    "prompt": "(config)"
}

 

 

 

Edited by Ygvuvgugu
Link to comment
Share on other sites

По какой-то причине keenetic не раздает маршрут в локальную сеть.

Для эксперимента настроил все те же самые параметры на mikrotik, маршрут пришел.

Но хочется всё же оставить keenetic, поэтому просьба о помощи все еще актуальна...

Link to comment
Share on other sites

Posted (edited)
5 часов назад, Ygvuvgugu сказал:

По какой-то причине keenetic не раздает маршрут в локальную сеть.

Для эксперимента настроил все те же самые параметры на mikrotik, маршрут пришел.

Но хочется всё же оставить keenetic, поэтому просьба о помощи все еще актуальна...

Если взять https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN

то при маске /24 на трех точках WG все работает и описана по ссылке, т.е. любой клиент лок.сети может получить доступ к клиенту другой лок.сети. Для того чтоб маршрут работал нужно прописать allow для данных сетей и у вас по конф скорей всего прописано :

- "allow-ips 192.168.5.0 255.255.255.0" при "ip route 192.168.5.0 255.255.255.0 Wireguard0 auto"

- "allow-ips 192.168.7.0 255.255.255.0" при "ip route 192.168.7.0 255.255.255.0 Wireguard0 auto"

но при сети "192.168.4.0/22" на Home интерфейсах роутеров Keenetic.

Цитата

192.168.5.0/22 - удаленный сегмент, куда хочу иметь доступ (далее - удаленная сеть)
Роутер keenetic, 
шлюз 192.168.5.1/22, 
Конец WG - 172.16.1.3

192.168.7.0/22 - локальный сегмент, откуда доступ тестируется (далее - локальная сеть)
Роутер keenetic.
Шлюз 192.168.7.1
Конец WG - 172.16.1.2

 

Возможно попробовать в направление

https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних-

есть диаграмма на которой показано взаимодействие интерфейсов между собой. По default настройкам ПО в наличие 

interface Bridge0
    rename Home
    description HomeLan
    security-level private

interface Wireguard2
    description E
    security-level public

 

Цитата
Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private
Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство.
Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством.
С помощью команды security-level public|private|protected можно управлять уровнями доступа на интерфейсах интернет-центра.

 

Вы не рассматривали вопрос по переходу с WG на IPIP/EoIP.

Edited by vasek00
  • Upvote 1
Link to comment
Share on other sites

Posted (edited)

Операционка не ходит в роутер для доступа к вашим хитрым сетям из-за /22 маски, потому что она охватывает весь диапазон - и локальный, который доступен даже без роутера, и удалённый, в который всё-таки нужно ходить через роутер. Вам надо или маску подрезать на клиентах руками или научить роутер отдавать дополнительные маршруты через DHCP.

В CLI есть такая штука, она позволяет DHCP серверу отдавать дополнительные данные клиентам:

ip dhcp pool option

смотрите значения опций 121 или 249, какой-то из них должен заработать. Поэкспериментируйте, надеюсь получится. http://docs.help.keenetic.com/cli/3.8/ru/cli_manual_kn-1010_ru.pdf

Цитата

Опция 121, Бесклассовые статические маршруты.
Опция 249, MS маршруты

Вот тут даже официальная дока есть https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах

Edited by qmxocynjca
  • Upvote 1
Link to comment
Share on other sites

21 hours ago, vasek00 said:

Возможно попробовать в направление

https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних-

есть диаграмма на которой показано взаимодействие интерфейсов между собой. По default настройкам ПО в наличие 

Увы, это попробовал - не помогло...

 

21 hours ago, vasek00 said:

Вы не рассматривали вопрос по переходу с WG на IPIP/EoIP.

Рассматривал, и более того планирую это внедрить. EoIP хорошо работает между двумя Keenetic или двумя Mikrotik.

Однако, мне нужно подружить Keenetic и Mikrotik - и тут сталкиваюсь с проблемами...видимо, скоро будет еще один пост на форуме)

 

19 hours ago, qmxocynjca said:

В CLI есть такая штука, она позволяет DHCP серверу отдавать дополнительные данные клиентам:

Большое спасибо за наводку! Это именно то, что нужно, задача полностью решилась.

 

-----

Для тех, кому пригодится информация из данной темы, мне помогла команда:

ip dhcp pool _WEBADMIN option 121 ascii 192.168.5.0/24,192.168.7.1

где 192.168.5.0/24 - куда я хочу иметь доступ, 192.168.7.1 - шлюз, через который доступ нужно организовать.

Link to comment
Share on other sites

Интересно, что если добавить опцию 121 в DHCP, то роутер перестает раздавать default route: он пропал на нескольких ubuntu. В настройках default route есть, но устройствами в сети он не принимается...

 

 

Link to comment
Share on other sites

  • 1 month later...
В 10.06.2022 в 08:25, fenogentov сказал:

Как запретить всем устройствам, кроме одного, лезть в Опенвпн подключение?

Маршрутами, либо через приоритеты подключений, с созданием отдельной политики для openvpn и добавить туда нужное вам ус-во

Edited by Monstr86
Опечатка
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...