Возможность пускать клиентов VPN по определенному интернет-подключению

[4e.Guevara]

В общем пришел к тому, что очень не хватает этой фичи. Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать. Как вариант - сделать привязку пользователей, которым разрешено подключаться к роутеру, по IP и далее уже в "приоритетах подключений" создавать политики доступа исходя из этих IP или самих пользователей

[Namenloss]

+1

[Mr. Grey]

Тоже голосую "за" идею. Пока приходится делать нужное для VPN-клиентов подключение к интернету ОСНОВНЫМ, а домашних пользователей пускать через резервное.

[Jeff]

+1 за политики доступа исходя из IP/логинов клиентов VPN

[Le ecureuil]

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

[vasek00]

3 часа назад, Le ecureuil сказал:

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

А можно узнать как то эту команду для привязки политики сервера VPN можно использовать.

[krass]

21 минуту назад, vasek00 сказал:

А можно узнать как то эту команду для привязки политики сервера VPN можно использовать.

И вправду не нашел команды...предполагал, что будет в журнале изменений  -- прошивка 4.2.А.11....

[Le ecureuil]

18 часов назад, krass сказал:

И вправду не нашел команды...предполагал, что будет в журнале изменений  -- прошивка 4.2.А.11....

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

[Denis P]

58 минут назад, Le ecureuil сказал:

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Для ikev2 или того же wg нет возможности выбрать "сегмент"

По этому решение сложно назвать универсальным)

Edited June 7 by Denis P

[vasek00]

53 минуты назад, Le ecureuil сказал:

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Пример PPTP сервера или SSTP аналогичен.

Скрытый текст

Или речь идет что то с применением "connect via" для интерфейса

 

[eralde]

1 час назад, vasek00 сказал:

Пример PPTP сервера или SSTP аналогичен.

  Показать содержимое

Или речь идет что то с применением "connect via" для интерфейса

 

В случае PPTP, SSTP и L2TP/IPsec будет использована политика того сегмента, который выбран в поле "Доступ к сети" (на вашем скриншоте -- HomeLan)

[vasek00]

1 час назад, eralde сказал:

В случае PPTP, SSTP и L2TP/IPsec будет использована политика того сегмента, который выбран в поле "Доступ к сети" (на вашем скриншоте -- HomeLan)

Логично так и было. Из ходя из ответа выше

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

и из вашего ответа, тогда например еще один сегмент "Smart" вопрос как на нем поднять VPN?

Если я правильно понял суть первого поста то имелось ввиду совсем другое - Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать.

Это есть политика на роутере к которой привязан какой то канал например WG

interface Wireguard0
    description Cloud-wg
    security-level public
    ip address 10.10.132.101 255.255.255.255

ip policy Policy0
    description Cloud
    permit global Wireguard0

Есть удаленный клиент смартфон который по WG или по любому VPN (у которого есть IP) попадает на роутер -> по умолчанию он попадет в основной профиль, т.к. WG сервер это лок. процесс.

interface Wireguard3
    description PKN-WG
    security-level public

Мы хотим этого клиента смартфон завернуть в Policy0 и дать ему выход в интернет через Wireguard0. Так как он имеет IP, то делается просто (видимо на словах, в реале сложнее для включения ее в WEB настройку) - узнаем нужную таблицу для данной политики и потом добавляем клиента к этой таблице "ip rule add .... table 10".

WG так же. В прошивке все есть, выполняется одна единственная команда, но ее только можно ввести через Entware скрипт.

Edited June 7 by vasek00

[Le ecureuil]

11 час назад, Denis P сказал:

Для ikev2 или того же wg нет возможности выбрать "сегмент"

По этому решение сложно назвать универсальным)

Начиная с 4.2.11 уже есть (правда не выведено в веб, и автоматически привязывается к Home).
Команда в cli выглядит как 
> crypto map <NAME> virtual-ip interface <segment>

[Le ecureuil]

8 часов назад, vasek00 сказал:

Логично так и было. Из ходя из ответа выше

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

и из вашего ответа, тогда например еще один сегмент "Smart" вопрос как на нем поднять VPN?

Если я правильно понял суть первого поста то имелось ввиду совсем другое - Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать.

Это есть политика на роутере к которой привязан какой то канал например WG

interface Wireguard0
    description Cloud-wg
    security-level public
    ip address 10.10.132.101 255.255.255.255

ip policy Policy0
    description Cloud
    permit global Wireguard0

Есть удаленный клиент смартфон который по WG или по любому VPN (у которого есть IP) попадает на роутер -> по умолчанию он попадет в основной профиль, т.к. WG сервер это лок. процесс.

interface Wireguard3
    description PKN-WG
    security-level public

Мы хотим этого клиента смартфон завернуть в Policy0 и дать ему выход в интернет через Wireguard0. Так как он имеет IP, то делается просто (видимо на словах, в реале сложнее для включения ее в WEB настройку) - узнаем нужную таблицу для данной политики и потом добавляем клиента к этой таблице "ip rule add .... table 10".

WG так же. В прошивке все есть, выполняется одна единственная команда, но ее только можно ввести через Entware скрипт.

WG - это другое. Как и OpenVPN.

Когда мы говорим про VPN-серверы, всегда речь идет о шести единообразных с жестким разделением: PPTP, SSTP, L2TP/IPsec, VIP Xauth, IKEv2, OpenConnect.

 

[krass]

Только что, Le ecureuil сказал:

WG - это другое. Как и OpenVPN.

А можно про  WG и OpenVPN поподробней? Для них будет или уже тоже реализовано?

[Le ecureuil]

46 минут назад, krass сказал:

А можно про  WG и OpenVPN поподробней? Для них будет или уже тоже реализовано?

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

[Denis P]

33 минуты назад, Le ecureuil сказал:

security-level private

Тут есть неприятные спецэффекты с перезапуском сервисов типа smb которые слушают все private интерфейсы

 

35 минут назад, Le ecureuil сказал:

ip policy interface Wireguard0 <POLICY>

Спасибо, а мужики то не знают

[vasek00]

8 часов назад, Le ecureuil сказал:

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

В наличие

interface Wireguard3
    description KN-WG
    security-level private
...
    wireguard peer Z8.....................TY= !73
...
    connect
    !
    wireguard peer y09....................CA= !505
...
    connect
    !
    up

Сервер для доступа клиентов

ip policy Policy0
    description Cl
    permit global Wireguard0

ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9

Вводим команду, а в ответ "no such command"

(config)> ip policy interface Wireguard3 Policy0
Command::Base error[7405600]: no such command: Wireguard3.
(config)> ip policy interface Wireguard3 Policy1
Command::Base error[7405600]: no such command: Wireguard3.
(config)> 

(config)> ip policy 

 Usage template:  
           policy {name}

 

[r13]

38 минут назад, vasek00 сказал:

В наличие

interface Wireguard3
    description KN-WG
    security-level private
...
    wireguard peer Z8.....................TY= !73
...
    connect
    !
    wireguard peer y09....................CA= !505
...
    connect
    !
    up

Сервер для доступа клиентов

ip policy Policy0
    description Cl
    permit global Wireguard0

ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9

Вводим команду, а в ответ "no such command"

(config)> ip policy interface Wireguard3 Policy0
Command::Base error[7405600]: no such command: Wireguard3.
(config)> ip policy interface Wireguard3 Policy1
Command::Base error[7405600]: no such command: Wireguard3.
(config)> 

(config)> ip policy 

 Usage template:  
           policy {name}

 

ip hotspot policy.... правильная команда полагаю

[vasek00]

24 минуты назад, r13 сказал:

ip hotspot policy.... правильная команда полагаю

Похоже

ip hotspot policy {interface} ({access} | {policy})

осталось только проверить на клиенте

ip hotspot policy Wireguard3 Policy0

ip hotspot
...
    policy Wireguard3 Policy0
...

Да проверил все ОК. Удаленный клиент смартфон через мобильного подключился по WG к роутеру и получил доступ в интернет через политику Policy0. Speedtest клиента показал то что надо, а не мобильного.

Edited June 8 by vasek00