Два интернет соединения.

[Payk1488]

Здравствуйте. Стоит задача использовать два интернета одновременно, один из которых, должен использовать только определённые IP адреса. Весь остальной трафик идти через другое соединение.

Имеется: два интернет соединение (проводной и sim-карта). Sim-карта - это основное интернет соедение, через который идёт весь трафик. Проводной интернет (PPPoE) - нужен только только для определённого IP-адреса. Для проводного интернета настроил статический маршрут, на нужный мне IP-адрес. Всё работает: весь трафик идёт через симку, а когда обращаюсь к нужному мне IP-адресу, трафик идёт через PPPoE. Только остался один момент: если отключить сим-карту, весь трафик идёт через PPPoE, а мне это не нужно. Хочу чтобы во время отключения sim-карты, и когда активен PPPoE, я не мог никуда зайти, кроме как на нужный мне IP.

[phntms]

Как вариант можно написать access-list в котором разрешить только "определенные IP-адреса" и запретить все остальные и повешать этот лист на проводной интернет (PPPoE) интерфейс.

[Payk1488]

5 часов назад, phntms сказал:

Как вариант можно написать access-list в котором разрешить только "определенные IP-адреса" и запретить все остальные и повешать этот лист на проводной интернет (PPPoE) интерфейс.

Пробовал писать правила в межсетевом экране, как это показанно в соответствующей статье в справочнике, но ни одно правило не работает.

[keenet07]

Убрать проводное из маршрутов по умолчанию.

Или через приоритеты https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

Edited July 22, 2022 by keenet07

[Payk1488]

17 минут назад, keenet07 сказал:

Убрать проводное из маршрутов по умолчанию.

Каким образом? Пробовал в маршрутизации установить маршрут по умолчанию и выбрать интерфейс основного интернета. Но, когда основной интернет отключён, роутер использует PPPoE для маршрутов по умолчанию.

Edited July 22, 2022 by Payk1488

[keenet07]

4 минуты назад, Payk1488 сказал:

Каким образом?

Тут удалить удалить среди статических маршрутов "по умолчанию" http://192.168.1.1/controlPanel/staticRoutes 

[phntms]

On 7/22/2022 at 8:49 PM, Payk1488 said:

Пробовал писать правила в межсетевом экране, как это показанно в соответствующей статье в справочнике, но ни одно правило не работает.

Напишите пример что и как делали и какая была задача. 

PS: Правила можно писать через web-интерфейс, а можно через CLI в виде access-list

[Payk1488]

В 23.07.2022 в 07:23, keenet07 сказал:

Тут удалить удалить среди статических маршрутов "по умолчанию"

Но у меня не назначен маршрут по умолчанию. А

[Payk1488]

1 час назад, phntms сказал:

Правила можно писать через web-интерфейс

Я не понимаю, почему не сделано на уровне интерфейса, сделали только правила для входящего трафика. Почему, чтобы сделать правило для исходящего соединения, а так же, сразу для всех протоколов (а не в ручную писать правило для UTP, UDP, ICMP). К примеру, как это сделанно в Comodo Firewall. 

[Payk1488]

1 минуту назад, ANDYBOND сказал:

Протокол IP выбирайте - это оно.

Спасибо. А можно ли, как-то, правила для исходящего соединения писать в интерфейсе роутера?

[Payk1488]

2 минуты назад, ANDYBOND сказал:

Например, потому что исходящий трафик от устройств локальной сети - это входящий трафик интерфейса HOME.

Не совсем понял. Пожалуйста, можете на примере показать как пользователю в домашней сети, запретить доступ, например, к IP 111.111.111.111? Как будет выглядеть это правило?

[Payk1488]

9 минут назад, ANDYBOND сказал:

Третий пример.

Прямо сейчас создал правило для основного интернета (получаю его от телефона по WiFi), где запретил доступ ко всем адреса, с любого адреса. Протокол, как вы и говорили выше, указал IP. Перезапустил подключение, а интернет всё равно работает.

[phntms]

Через web интерфейс настраиваются только фильтеринг на входящий трафик. Через CLI можно настроить как входящий так и исходящий фильтр трафика.

Описание Configuring firewall rules from the command-line interface – Keenetic

Рабочий пример с моего маршрутизатора фильтрации исходящего трафика на telegram

! 
access-list telegram
    deny ip 192.168.1.0 255.255.255.0 149.154.160.0 255.255.252.0
    deny ip 192.168.1.0 255.255.255.0 149.154.164.0 255.255.252.0
    deny ip 192.168.1.0 255.255.255.0 91.108.4.0 255.255.252.0
    deny ip 192.168.1.0 255.255.255.0 91.108.56.0 255.255.252.0
    deny ip 192.168.1.0 255.255.255.0 91.108.8.0 255.255.252.0
    deny ip 192.168.1.0 255.255.255.0 95.161.64.0 255.255.240.0
!
interface GigabitEthernet1
    rename ISP
    description "Internet"
    ip access-group telegram out
!

 

[keenet07]

Вот тут писал, как можно сделать правила для исходящих в веб-интерфейсе.