Ygvuvgugu Posted June 7, 2022 Share Posted June 7, 2022 (edited) Добрый день, сообщество. Имею проблему с роутингом. Сети: Удаленная сеть 192.168.5.0/22 Домашняя сеть 192.168.7.0/22 Сети соединены по WireGuard, 172.16.1.0/24, где 172.16.1.1 - сервер WG, поднятый на mikrotik. Сервер расположен вне указанных сетей (в локации №3). Ситуация: Могу пинговать из сети Wireguard в удаленную и домашнюю сети. Могу пинговать из удаленной сети в сеть Wireguard и в домашнюю сеть С устройств, находящихся в домашней сети, могу пинговать только в сеть Wireguard, но не в удаленную сеть. При этом с роутера в домашней сети пинг идет и в сеть Wireguard, и в удаленную сеть (то есть route прописан корректно). Что сделано: Временно могу решить проблему только прописывая маршрут route -n add -net 192.168.5.1/24 192.168.7.1 на устройствах в домашней сети, где 192.168.7.1 - роутер в домашней сети. Но на ТВ приставках такого не сделаешь. Что хочу достичь: Пинг с устройств в домашней сети доходит до устройств удаленной сети без необходимости прописывать вручную маршруты на клиентских устройствах домашней сети. Нужна помощь Edited June 7, 2022 by Ygvuvgugu Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 8, 2022 Share Posted June 8, 2022 Кто мешает прописать маршруты на сервер WG поднятый на mikrotik и на клиенте WG https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 8, 2022 Author Share Posted June 8, 2022 (edited) 2 hours ago, vasek00 said: Кто мешает прописать маршруты на сервер WG поднятый на mikrotik и на клиенте WG https://help.keenetic.com/hc/ru/articles/360012075879-Настройка-WireGuard-VPN-между-двумя-роутерами-Keenetic Как я написал в посте, route прописан уже: клиент WG (в виде роутера keenetic) видит все, что нужно, и пингует все, что нужно. Проблема на уровень ниже: устройства в локальной сети за клиентом WG не видят ничего, кроме сети WG. То есть маршрут, прописанный на роутере, они не получают. Edited June 8, 2022 by Ygvuvgugu более явно выразил мысль Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 8, 2022 Share Posted June 8, 2022 51 минуту назад, Ygvuvgugu сказал: Проблема на уровень ниже: устройства в локальной сети за клиентом WG не видят ничего, кроме сети WG. То есть маршрут, прописанный на роутере, они не получают. Как и написал выше и в добавок два роутера соединены по WG, клиенты лок.сети каждого роутера видят клиентов друг друга. Клиент_1.201---Роутер(WG)-------(WG)Роутер----Клиент_13.2 На Клиенте_13.2 Трассировка маршрута к 192.168.1.201 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс P-KN [192.168.13.1] 2 37 ms 37 ms 37 ms 10.16.13.1 3 50 ms 41 ms 42 ms 192.168.1.201 Трассировка завершена. На клиенте WG роутере ~ # ip ro default dev ppp0 scope link ... 10.16.13.0/24 dev nwg2 proto kernel scope link src 10.16.13.1 ... 192.168.1.0/24 dev nwg2 scope link 192.168.13.0/24 dev br0 proto kernel scope link src 192.168.13.1 ... ngw2 туннель WG между роутерами Все настройки через WEB, такие же как и в статье выше. Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 8, 2022 Author Share Posted June 8, 2022 3 minutes ago, vasek00 said: Как и написал выше и в добавок два роутера соединены по WG, клиенты лок.сети каждого роутера видят клиентов друг друга. Тогда почему, при аналогичных настройках, в моем случае схема буксует? Буду благодарен за подсказку. Маршруты с роутера, который является клиентом WG, и с которым проблема: Spoiler { "route": [ { "destination": "0.0.0.0/0", "gateway": "Внешний IP", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "Подсеть /29 провайдера", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "172.16.1.0/24", <== тоннель WG "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.4.0/22", <== домашняя сеть "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.5.0/24", <== маршрут, которым не могут воспользоваться устройства в локальной сети "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false } ], "prompt": "(config)" } Маршруты с клиента в локальной сети, который не видит нужный маршрут: Spoiler ➜ ~ netstat -nr Routing tables Internet: Destination Gateway Flags Netif Expire default 192.168.7.1 UGScg en0 127 127.0.0.1 UCS lo0 127.0.0.1 127.0.0.1 UH lo0 127.255.255.255 127.0.0.1 UHW3I lo0 20 169.254 link#4 UCS en0 ! 172.24.100/24 link#12 UC feth410 ! 192.168.4/22 link#4 UCS en0 ! 192.168.7.1/32 link#4 UCS en0 ! 192.168.7.1 1c:74:d:10:16:a0 UHLWIir en0 1200 192.168.7.80/32 link#4 UCS en0 ! 224.0.0/4 link#4 UmCS en0 ! 224.0.0.251 1:0:5e:0:0:fb UHmLWI en0 239.255.255.250 1:0:5e:7f:ff:fa UHmLWI en0 255.255.255.255/32 link#4 UCS en0 ! tracert до и после прописывания маршрута вручную: Spoiler ➜ ~ traceroute 192.168.5.1 traceroute to 192.168.5.1 (192.168.5.1), 64 hops max, 52 byte packets 1 * * * ^C ➜ ~ sudo route -n add -net 192.168.5.1/24 192.168.7.1 Password: add net 192.168.5.1: gateway 192.168.7.1 ➜ ~ traceroute 192.168.5.1 traceroute to 192.168.5.1 (192.168.5.1), 64 hops max, 52 byte packets 1 192.168.7.1 (192.168.7.1) 3.675 ms 2.056 ms 1.445 ms 2 172.16.1.1 (172.16.1.1) 44.963 ms 56.290 ms 45.207 ms Маршруты с клиента в локальной сети, который не видит нужный маршрут - после указания маршрута вручную: Spoiler ➜ ~ netstat -nr Routing tables Internet: Destination Gateway Flags Netif Expire default 192.168.7.1 UGScg en0 127 127.0.0.1 UCS lo0 127.0.0.1 127.0.0.1 UH lo0 169.254 link#4 UCS en0 ! 172.24.100/24 link#12 UC feth410 ! 172.24.100.28 link#12 UHLWIi feth410 ! 172.24.100.255 ff:ff:ff:ff:ff:ff UHLWbI feth410 ! 192.168.4/22 link#4 UCS en0 ! 192.168.5 192.168.7.1 UGSc en0 <-- нужный маршрут 192.168.7.1/32 link#4 UCS en0 ! 192.168.7.1 1c:74:d:10:16:a0 UHLWIir en0 1198 192.168.7.37 link#4 UHLWIi en0 ! 192.168.7.59 90:dd:5d:c3:d2:23 UHLWI en0 1195 192.168.7.80/32 link#4 UCS en0 ! 192.168.7.255 ff:ff:ff:ff:ff:ff UHLWbI en0 ! 224.0.0/4 link#4 UmCS en0 ! 224.0.0.251 1:0:5e:0:0:fb UHmLWI en0 239.255.255.250 1:0:5e:7f:ff:fa UHmLWI en0 255.255.255.255/32 link#4 UCS en0 ! Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 8, 2022 Share Posted June 8, 2022 По мимо маршрутов есть еще настройка параметра разрешенные подсети Если все это есть то перегрузите роутер или отключите WG и заново его включите на сервере и на клиенте. Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 8, 2022 Author Share Posted June 8, 2022 (edited) Разрешенные сети прописаны корректно. Также пробовал 0.0.0.0/0 в качестве разрешенной сети, результат такой же (неудачный). Перезагрузка всех участников процесса, и переподключение WG, не помогла... Edited June 8, 2022 by Ygvuvgugu Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 8, 2022 Share Posted June 8, 2022 (edited) 1 час назад, Ygvuvgugu сказал: Разрешенные сети прописаны корректно. Также пробовал 0.0.0.0/0 в качестве разрешенной сети, результат такой же (неудачный). Перезагрузка всех участников процесса, и переподключение WG, не помогла... На обоих концах туннеля где адреса стоят 172.16.1.0/24 замените на реальные у которых маска /32, т.е. что там у вас будет конкретно 172.16.1.1/32 а на другой стороне так же 172.16.1.Х/32 Для сравнения так же "show ip route" Ваш туннель destination": "172.16.1.0/24", <== тоннель WG "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "kernel", "floating": false "destination": "192.168.5.0/24", <== маршрут, которым не могут воспользоваться устройства в локальной сети "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false Мой destination": "10.16.13.0/24", - туннель WG "gateway": "0.0.0.0", "interface": "Wireguard2", "metric": 0, "flags": "U", "rejecting": false, "proto": "kernel", "floating": false, "static": false "destination": "192.168.1.0/24", - удаленная сеть "gateway": "0.0.0.0", "interface": "Wireguard2", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false Мой конф Скрытый текст access-list _WEBADMIN_Wireguard2 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit description WG-e interface Wireguard2 description E security-level public ip address 10.16.13.1 255.255.255.0 ip mtu 1420 ip access-group _WEBADMIN_Wireguard2 in ip tcp adjust-mss pmtu wireguard listen-port хххх1 wireguard peer fxrW0.........Q8xbxBo= !PKN endpoint 1хх.ххх.ххх.ххх:хххх1 keepalive-interval 30 allow-ips 10.16.13.1 255.255.255.255 allow-ips 192.168.1.0 255.255.255.0 ! ip route 192.168.1.0 255.255.255.0 Wireguard2 !E-Lan Ну и аналогичный на сервере только со своими IP. Edited June 8, 2022 by vasek00 Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 8, 2022 Author Share Posted June 8, 2022 (edited) 1 hour ago, vasek00 said: На обоих концах туннеля где адреса стоят 172.16.1.0/24 замените на реальные у которых маска /32, т.е. что там у вас будет конкретно 172.16.1.1/32 а на другой стороне так же 172.16.1.Х/32 Для сравнения так же "show ip route" Заменил на маску /32. Также пришлось добавить в разрешенные подсети отдельно подсеть WG и прописать для нее route, иначе роутеру и устройства в локальной сети было не видно других узлов в сети WG, только текущего клиента и сервер. Симптомы остались все те же: я все также могу с устройств в локальной сети пинговать только сеть WG, но не могу пинговать удаленную сеть. show ip route Spoiler { "route": [ { "destination": "0.0.0.0/0", "gateway": "Внешний IP", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "Подсеть /29 провайдера", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "172.16.1.0/24", <--- маршрут до сети WG, который пришлось добавить "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false }, { "destination": "172.16.1.0/24", <--- маршрут до сети WG, создается автоматически "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "xxxxxxx/32", <--- маршрут для подключения к WG серверу "gateway": "xxxx", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.4.0/22", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.5.0/24", <--- маршрут, который не видят устройства в локальной сети "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false } ], "prompt": "(config)" } конфиг: Spoiler access-list _WEBADMIN_Wireguard0 permit icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 interface Wireguard0 description nl security-level public ip address 172.16.1.2 255.255.255.0 ip mtu 1324 ip access-group _WEBADMIN_Wireguard0 in ip tcp adjust-mss pmtu wireguard peer [ключ] ![имя] endpoint [IP сервера]:[порт] keepalive-interval 30 allow-ips 172.16.1.1 255.255.255.255 <--- изменил на маску /32 allow-ips 192.168.5.0 255.255.255.0 allow-ips 172.16.1.0 255.255.255.0 <--- пришлось добавить для доступа к другим узлам сети WG ! up ! ip route 192.168.5.0 255.255.255.0 Wireguard0 auto ip route 172.16.1.0 255.255.255.0 Wireguard0 auto При этом, если отказаться от доступа к другим узлам сети WG (и соответственно, от сети 172.16.1.0/24 в разделе "разрешенные подсети" и от маршрута) то роутер выдает ошибку An I/O error occurred: unknown error 161. при попытке пинга, скажем, 172.16.1.3. По сути же темы ничего не меняется, доступа к сети 192.168.5.0/24 все также нет для устройств в локальной сети. Роутер все также доступ к этой сети имеет без проблем. Edited June 8, 2022 by Ygvuvgugu Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 8, 2022 Share Posted June 8, 2022 Цитата Сети соединены по WireGuard, 172.16.1.0/24, где 172.16.1.1 - сервер WG, поднятый на mikrotik. Сервер расположен вне указанных сетей (в локации №3). ....на устройствах в домашней сети, где 192.168.7.1 - роутер в домашней сети. Но на ТВ приставках такого не сделаешь. ....Маршруты с роутера, который является клиентом WG, и с которым проблема Подозреваю что все таки проблема не на данном роутере Keenetic. А можно полную вашу схеме кто где и куда хочет, а то есть упоминания в маршрутах про 192.168.4.х, 192.168.5.х, 192.168.7.х ? WG туннель это точка-точка или проще P-t-P т.е. с маской 255.255.255.255 nwg0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.10.12.1 P-t-P:10.10.12.1 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:19214084 errors:0 dropped:20 overruns:0 frame:0 TX packets:14788308 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:24040669766 (22.3 GiB) TX bytes:1595499128 (1.4 GiB) nwg2 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.16.13.1 P-t-P:10.16.13.1 Mask:255.255.255.0 UP POINTOPOINT RUNNING NOARP MTU:1420 Metric:1 RX packets:35 errors:0 dropped:0 overruns:0 frame:0 TX packets:148 errors:0 dropped:1 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:3864 (3.7 KiB) TX bytes:12936 (12.6 KiB) nwg4 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.2.0.2 P-t-P:10.2.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MTU:1280 Metric:1 RX packets:2945658 errors:0 dropped:4 overruns:0 frame:0 TX packets:1102060 errors:0 dropped:9 overruns:0 carrier:0 collisions:0 txqueuelen:50 RX bytes:3771878564 (3.5 GiB) TX bytes:123705384 (117.9 MiB) но если мы речь ведем про nwg2 то в данном случае на нем три пира -> mask 255.255.255.0 Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 8, 2022 Author Share Posted June 8, 2022 (edited) 7 hours ago, vasek00 said: А можно полную вашу схеме кто где и куда хочет, а то есть упоминания в маршрутах про 192.168.4.х, 192.168.5.х, 192.168.7.х ? 192.168.4.0/22 - общая сеть, объединяющая несколько локаций. Все её сегменты (кусками по /24), кроме описываемых ниже, работают без проблем. /22 нужен для общего broadcast и связности на уровне L2 (в сетях ниже использовалось до недавнего времени, будет использоваться в будущем). 192.168.5.0/22 - удаленный сегмент, куда хочу иметь доступ (далее - удаленная сеть) Роутер keenetic, шлюз 192.168.5.1/22, Конец WG - 172.16.1.3 192.168.7.0/22 - локальный сегмент, откуда доступ тестируется (далее - локальная сеть) Роутер keenetic. Шлюз 192.168.7.1 Конец WG - 172.16.1.2 172.16.1.0/24 - сервисная сеть, используется для Wireguard. Wireguard сервер поднят на mikrotik. Конец WG - 172.16.1.1 Прилагаю примерную схему, где зеленым выделил работающие маршруты, красным - то, что не удается достичь. Spoiler Машртуты кинетика в удаленной сети. Spoiler { "route": [ { "destination": "0.0.0.0/0", <-- весь трафик идет через WG "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false }, { "destination": "xxxx/32", <-- провайдер "gateway": "0.0.0.0", "interface": "PPPoE0", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "172.16.1.0/24", <-- автоматически создается при подключении WG (сервисная сеть WG) "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "xxx/32", "gateway": "0.0.0.0", "interface": "PPPoE0", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.4.0/22", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.5.128/25", <-- все работает (соединение со второй, "дальней", частью удаленной сети) "gateway": "172.16.1.100", <-- все работает (конец WG второй, "дальней", частью удаленной сети) "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.7.0/24", <-- соединение с локальной сетью, о которой говорил в посте. С роутера 192.168.5.1 пинг идет в роутер локальной сети и в саму локальную сеть. Проверить, идет ли пинг с устройств удаленной сети к устройствам локальной сети не могу. "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false } ], Маршртуты кинетика в локальной сети (выкладывал ранее, дублирую): Spoiler { "route": [ { "destination": "0.0.0.0/0", "gateway": "Внешний IP", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "Подсеть /29 провайдера", "gateway": "0.0.0.0", "interface": "ISP", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "172.16.1.0/24", <--- маршрут до сети WG, который пришлось добавить "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false }, { "destination": "172.16.1.0/24", <--- маршрут до сети WG, создается автоматически "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "xxxxxxx/32", <--- маршрут для подключения к WG серверу "gateway": "xxxx", "interface": "ISP", "metric": 0, "proto": "boot", "floating": false }, { "destination": "192.168.4.0/22", "gateway": "0.0.0.0", "interface": "Home", "metric": 0, "proto": "kernel", "floating": false }, { "destination": "192.168.5.0/24", <--- маршрут, который не видят устройства в локальной сети. При этом маршруте пинг с роутера 192.168.7.1 до устройств удаленной сети идет, пинг с устройств локальной сети до устройств удаленной сети не идет. "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "proto": "boot", "floating": false } ], "prompt": "(config)" } Edited June 8, 2022 by Ygvuvgugu Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 8, 2022 Author Share Posted June 8, 2022 По какой-то причине keenetic не раздает маршрут в локальную сеть. Для эксперимента настроил все те же самые параметры на mikrotik, маршрут пришел. Но хочется всё же оставить keenetic, поэтому просьба о помощи все еще актуальна... Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 8, 2022 Share Posted June 8, 2022 (edited) 5 часов назад, Ygvuvgugu сказал: По какой-то причине keenetic не раздает маршрут в локальную сеть. Для эксперимента настроил все те же самые параметры на mikrotik, маршрут пришел. Но хочется всё же оставить keenetic, поэтому просьба о помощи все еще актуальна... Если взять https://help.keenetic.com/hc/ru/articles/360010131139-Пример-объединения-локальных-сетей-трех-роутеров-Keenetic-через-соединение-Wireguard-VPN то при маске /24 на трех точках WG все работает и описана по ссылке, т.е. любой клиент лок.сети может получить доступ к клиенту другой лок.сети. Для того чтоб маршрут работал нужно прописать allow для данных сетей и у вас по конф скорей всего прописано : - "allow-ips 192.168.5.0 255.255.255.0" при "ip route 192.168.5.0 255.255.255.0 Wireguard0 auto" - "allow-ips 192.168.7.0 255.255.255.0" при "ip route 192.168.7.0 255.255.255.0 Wireguard0 auto" но при сети "192.168.4.0/22" на Home интерфейсах роутеров Keenetic. Цитата 192.168.5.0/22 - удаленный сегмент, куда хочу иметь доступ (далее - удаленная сеть) Роутер keenetic, шлюз 192.168.5.1/22, Конец WG - 172.16.1.3 192.168.7.0/22 - локальный сегмент, откуда доступ тестируется (далее - локальная сеть) Роутер keenetic. Шлюз 192.168.7.1 Конец WG - 172.16.1.2 Возможно попробовать в направление https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних- есть диаграмма на которой показано взаимодействие интерфейсов между собой. По default настройкам ПО в наличие interface Bridge0 rename Home description HomeLan security-level private interface Wireguard2 description E security-level public Цитата Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство. Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством. С помощью команды security-level public|private|protected можно управлять уровнями доступа на интерфейсах интернет-центра. Вы не рассматривали вопрос по переходу с WG на IPIP/EoIP. Edited June 8, 2022 by vasek00 1 Quote Link to comment Share on other sites More sharing options...
qmxocynjca Posted June 8, 2022 Share Posted June 8, 2022 (edited) Операционка не ходит в роутер для доступа к вашим хитрым сетям из-за /22 маски, потому что она охватывает весь диапазон - и локальный, который доступен даже без роутера, и удалённый, в который всё-таки нужно ходить через роутер. Вам надо или маску подрезать на клиентах руками или научить роутер отдавать дополнительные маршруты через DHCP. В CLI есть такая штука, она позволяет DHCP серверу отдавать дополнительные данные клиентам: ip dhcp pool option смотрите значения опций 121 или 249, какой-то из них должен заработать. Поэкспериментируйте, надеюсь получится. http://docs.help.keenetic.com/cli/3.8/ru/cli_manual_kn-1010_ru.pdf Цитата Опция 121, Бесклассовые статические маршруты. Опция 249, MS маршруты Вот тут даже официальная дока есть https://help.keenetic.com/hc/ru/articles/115004467465-Инструкция-по-настройке-опций-DHCP-в-интернет-центрах Edited June 8, 2022 by qmxocynjca 1 Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 9, 2022 Author Share Posted June 9, 2022 21 hours ago, vasek00 said: Возможно попробовать в направление https://help.keenetic.com/hc/ru/articles/213969389-Описание-работы-с-межсетевым-экраном-для-версий-NDMS-2-11-и-более-ранних- есть диаграмма на которой показано взаимодействие интерфейсов между собой. По default настройкам ПО в наличие Увы, это попробовал - не помогло... 21 hours ago, vasek00 said: Вы не рассматривали вопрос по переходу с WG на IPIP/EoIP. Рассматривал, и более того планирую это внедрить. EoIP хорошо работает между двумя Keenetic или двумя Mikrotik. Однако, мне нужно подружить Keenetic и Mikrotik - и тут сталкиваюсь с проблемами...видимо, скоро будет еще один пост на форуме) 19 hours ago, qmxocynjca said: В CLI есть такая штука, она позволяет DHCP серверу отдавать дополнительные данные клиентам: Большое спасибо за наводку! Это именно то, что нужно, задача полностью решилась. ----- Для тех, кому пригодится информация из данной темы, мне помогла команда: ip dhcp pool _WEBADMIN option 121 ascii 192.168.5.0/24,192.168.7.1 где 192.168.5.0/24 - куда я хочу иметь доступ, 192.168.7.1 - шлюз, через который доступ нужно организовать. Quote Link to comment Share on other sites More sharing options...
Ygvuvgugu Posted June 9, 2022 Author Share Posted June 9, 2022 Интересно, что если добавить опцию 121 в DHCP, то роутер перестает раздавать default route: он пропал на нескольких ubuntu. В настройках default route есть, но устройствами в сети он не принимается... Quote Link to comment Share on other sites More sharing options...
fenogentov Posted June 10, 2022 Share Posted June 10, 2022 Как запретить всем устройствам, кроме одного, лезть в Опенвпн подключение? Quote Link to comment Share on other sites More sharing options...
Monstr86 Posted July 18, 2022 Share Posted July 18, 2022 (edited) В 10.06.2022 в 08:25, fenogentov сказал: Как запретить всем устройствам, кроме одного, лезть в Опенвпн подключение? Маршрутами, либо через приоритеты подключений, с созданием отдельной политики для openvpn и добавить туда нужное вам ус-во Edited July 18, 2022 by Monstr86 Опечатка Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.