Jump to content
  • 11

Возможность пускать клиентов VPN по определенному интернет-подключению


4e.Guevara

Question

В общем пришел к тому, что очень не хватает этой фичи. Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать. Как вариант - сделать привязку пользователей, которым разрешено подключаться к роутеру, по IP и далее уже в "приоритетах подключений" создавать политики доступа исходя из этих IP или самих пользователей

Link to comment
Share on other sites

Recommended Posts

  • 0

Тоже голосую "за" идею. Пока приходится делать нужное для VPN-клиентов подключение к интернету ОСНОВНЫМ, а домашних пользователей пускать через резервное.

Link to comment
Share on other sites

  • 0

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

  • Thanks 3
  • Upvote 3
Link to comment
Share on other sites

  • 0
3 часа назад, Le ecureuil сказал:

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

А можно узнать как то эту команду для привязки политики сервера VPN можно использовать.

  • Upvote 1
Link to comment
Share on other sites

  • 0
21 минуту назад, vasek00 сказал:

А можно узнать как то эту команду для привязки политики сервера VPN можно использовать.

И вправду не нашел команды...предполагал, что будет в журнале изменений  -- прошивка 4.2.А.11....

Link to comment
Share on other sites

  • 0
18 часов назад, krass сказал:

И вправду не нашел команды...предполагал, что будет в журнале изменений  -- прошивка 4.2.А.11....

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

  • 0
Posted (edited)
58 минут назад, Le ecureuil сказал:

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Для ikev2 или того же wg нет возможности выбрать "сегмент"

По этому решение сложно назвать универсальным)

Edited by Denis P
  • Thanks 2
  • Upvote 1
Link to comment
Share on other sites

  • 0
53 минуты назад, Le ecureuil сказал:

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Пример PPTP сервера или SSTP аналогичен.

Скрытый текст

-2.jpg.17d8118aa2c095c6331077306cb0c1ad.jpg

Или речь идет что то с применением "connect via" для интерфейса

 

Link to comment
Share on other sites

  • 0
1 час назад, vasek00 сказал:

Пример PPTP сервера или SSTP аналогичен.

  Показать содержимое

Или речь идет что то с применением "connect via" для интерфейса

 

В случае PPTP, SSTP и L2TP/IPsec будет использована политика того сегмента, который выбран в поле "Доступ к сети" (на вашем скриншоте -- HomeLan)

Link to comment
Share on other sites

  • 0
Posted (edited)
1 час назад, eralde сказал:

В случае PPTP, SSTP и L2TP/IPsec будет использована политика того сегмента, который выбран в поле "Доступ к сети" (на вашем скриншоте -- HomeLan)

Логично так и было. Из ходя из ответа выше

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

и из вашего ответа, тогда например еще один сегмент "Smart" вопрос как на нем поднять VPN?

Если я правильно понял суть первого поста то имелось ввиду совсем другое - Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать.

Это есть политика на роутере к которой привязан какой то канал например WG

interface Wireguard0
    description Cloud-wg
    security-level public
    ip address 10.10.132.101 255.255.255.255

ip policy Policy0
    description Cloud
    permit global Wireguard0

Есть удаленный клиент смартфон который по WG или по любому VPN (у которого есть IP) попадает на роутер -> по умолчанию он попадет в основной профиль, т.к. WG сервер это лок. процесс.

interface Wireguard3
    description PKN-WG
    security-level public

Мы хотим этого клиента смартфон завернуть в Policy0 и дать ему выход в интернет через Wireguard0. Так как он имеет IP, то делается просто (видимо на словах, в реале сложнее для включения ее в WEB настройку) - узнаем нужную таблицу для данной политики и потом добавляем клиента к этой таблице "ip rule add .... table 10".

WG так же. В прошивке все есть, выполняется одна единственная команда, но ее только можно ввести через Entware скрипт.

Edited by vasek00
Link to comment
Share on other sites

  • 0
11 час назад, Denis P сказал:

Для ikev2 или того же wg нет возможности выбрать "сегмент"

По этому решение сложно назвать универсальным)

Начиная с 4.2.11 уже есть (правда не выведено в веб, и автоматически привязывается к Home).
Команда в cli выглядит как 
> crypto map <NAME> virtual-ip interface <segment>

  • Thanks 1
Link to comment
Share on other sites

  • 0
8 часов назад, vasek00 сказал:

Логично так и было. Из ходя из ответа выше

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

и из вашего ответа, тогда например еще один сегмент "Smart" вопрос как на нем поднять VPN?

Если я правильно понял суть первого поста то имелось ввиду совсем другое - Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать.

Это есть политика на роутере к которой привязан какой то канал например WG

interface Wireguard0
    description Cloud-wg
    security-level public
    ip address 10.10.132.101 255.255.255.255

ip policy Policy0
    description Cloud
    permit global Wireguard0

Есть удаленный клиент смартфон который по WG или по любому VPN (у которого есть IP) попадает на роутер -> по умолчанию он попадет в основной профиль, т.к. WG сервер это лок. процесс.

interface Wireguard3
    description PKN-WG
    security-level public

Мы хотим этого клиента смартфон завернуть в Policy0 и дать ему выход в интернет через Wireguard0. Так как он имеет IP, то делается просто (видимо на словах, в реале сложнее для включения ее в WEB настройку) - узнаем нужную таблицу для данной политики и потом добавляем клиента к этой таблице "ip rule add .... table 10".

WG так же. В прошивке все есть, выполняется одна единственная команда, но ее только можно ввести через Entware скрипт.

WG - это другое. Как и OpenVPN.

Когда мы говорим про VPN-серверы, всегда речь идет о шести единообразных с жестким разделением: PPTP, SSTP, L2TP/IPsec, VIP Xauth, IKEv2, OpenConnect.

 

  • Thanks 1
Link to comment
Share on other sites

  • 0
Только что, Le ecureuil сказал:

WG - это другое. Как и OpenVPN.

А можно про  WG и OpenVPN поподробней? Для них будет или уже тоже реализовано?

Link to comment
Share on other sites

  • 0
46 минут назад, krass сказал:

А можно про  WG и OpenVPN поподробней? Для них будет или уже тоже реализовано?

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

  • Thanks 3
  • Upvote 1
Link to comment
Share on other sites

  • 0
33 минуты назад, Le ecureuil сказал:

security-level private

Тут есть неприятные спецэффекты с перезапуском сервисов типа smb которые слушают все private интерфейсы

 

35 минут назад, Le ecureuil сказал:

ip policy interface Wireguard0 <POLICY>

Спасибо, а мужики то не знают

Link to comment
Share on other sites

  • 0
8 часов назад, Le ecureuil сказал:

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

В наличие

interface Wireguard3
    description KN-WG
    security-level private
...
    wireguard peer Z8.....................TY= !73
...
    connect
    !
    wireguard peer y09....................CA= !505
...
    connect
    !
    up

Сервер для доступа клиентов

ip policy Policy0
    description Cl
    permit global Wireguard0

ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9

Вводим команду, а в ответ "no such command"

(config)> ip policy interface Wireguard3 Policy0
Command::Base error[7405600]: no such command: Wireguard3.
(config)> ip policy interface Wireguard3 Policy1
Command::Base error[7405600]: no such command: Wireguard3.
(config)> 

(config)> ip policy 

 Usage template:  
           policy {name}

 

Link to comment
Share on other sites

  • 0
38 минут назад, vasek00 сказал:

В наличие

interface Wireguard3
    description KN-WG
    security-level private
...
    wireguard peer Z8.....................TY= !73
...
    connect
    !
    wireguard peer y09....................CA= !505
...
    connect
    !
    up

Сервер для доступа клиентов

ip policy Policy0
    description Cl
    permit global Wireguard0

ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9

Вводим команду, а в ответ "no such command"

(config)> ip policy interface Wireguard3 Policy0
Command::Base error[7405600]: no such command: Wireguard3.
(config)> ip policy interface Wireguard3 Policy1
Command::Base error[7405600]: no such command: Wireguard3.
(config)> 

(config)> ip policy 

 Usage template:  
           policy {name}

 

ip hotspot policy.... правильная команда полагаю

  • Thanks 1
Link to comment
Share on other sites

  • 0
Posted (edited)
24 минуты назад, r13 сказал:

ip hotspot policy.... правильная команда полагаю

Похоже

ip hotspot policy {interface} ({access} | {policy})

осталось только проверить на клиенте

ip hotspot policy Wireguard3 Policy0

ip hotspot
...
    policy Wireguard3 Policy0
...

Да проверил все ОК. Удаленный клиент смартфон через мобильного подключился по WG к роутеру и получил доступ в интернет через политику Policy0. Speedtest клиента показал то что надо, а не мобильного.

Edited by vasek00
  • Upvote 1
Link to comment
Share on other sites

  • 0

Да, ip hotspot policy WG / OVPN работает именно так, можете использовать ее для Wireguard / OpenVPN / ZeroTier серверов (все, которые выглядят как интерфейс, только не забывайте, что этот интерфейс должен быть не-public).

К сожалению, другие VPN-серверы так не настроишь, но мы работаем над этим.

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

  • 0
6 часов назад, Le ecureuil сказал:

только не забывайте, что этот интерфейс должен быть не-public

Но это ведь не так, с public тоже всё работает.

Или это баг?)

Link to comment
Share on other sites

  • 0
11 минуту назад, Denis P сказал:

Но это ведь не так, с public тоже всё работает.

Или это баг?)

Работает, но вообще интерфейсы в роли сервера рекомендуется делать private.

  • Thanks 2
Link to comment
Share on other sites

  • 0

Всем привет.
Подскажите, правильно ли я понял, что начиная с 4.2, для того что бы клиенты IKEv2 сервера на Keenetic, ходили в интернет через WG (клиент), в CLI необходимо задать интерфейс для IKEv2?
 

crypto map VirtualIPServerIKE2 virtual-ip interface Wireguard0
system configuration save
exit
Edited by AVPikhtin
Link to comment
Share on other sites

  • 0
16 минут назад, Le ecureuil сказал:

Нет, нужно привязать к свободному сегменту, а этот сегмент воткнуть в политику с wireguard0.

Можно подробнее...
Через раздел "Мои сети и Wi-Fi" мне необходимо создать новый сегмент.
В настройках сегмента, в подразделе "Правила использования интернет-трафика" я выбираю нужную политику доступа с необходимым приоритетом подключений.
Далее связываю это сегмент и  IKEv2?
 

crypto map VirtualIPServerIKE2 virtual-ip interface Bridge1
Link to comment
Share on other sites

  • 0
6 минут назад, Le ecureuil сказал:

Да. Вы слово в слово повторили что я написал выше.

Попробовал, получилось не очень.
Если не сложно, взгляните на конфиг.
Что то не то делаю?

interface Bridge1
    description "Test Segment"
    include GigabitEthernet0/Vlan2
    mac access-list type none
    security-level protected
    ip address 192.168.2.1 255.255.255.0
    ip dhcp client dns-routes
    no band-steering
    up
!
ip hotspot
    policy Home permit
    policy Bridge1 Policy0
    host 4a:01:ae:a6:64:d4 permit
    host 4a:01:ae:a6:64:d4 policy Policy0
    host 60:31:97:00:af:ee permit
    host 60:31:97:00:af:ee policy Policy0
    host fe:ca:cb:ff:f0:68 permit
    host fe:ca:cb:ff:f0:68 policy Policy0
!
crypto map VirtualIPServerIKE2
    set-peer any
    set-profile VirtualIPServerIKE2
    set-transform VirtualIPServerIKE2
    traffic-selectors _WEBADMIN_IPSEC_VirtualIPServerIKE2-local _WEBADMIN_IPSEC_VirtualIPServerIKE2-remote
    set-tcpmss 1200
    force-encaps
    no nail-up
    reauth-passive
    virtual-ip range 172.20.8.1 172.20.9.0
    virtual-ip dns-server 78.47.125.180
    virtual-ip nat
    virtual-ip interface Bridge1
    virtual-ip multi-login
    virtual-ip enable
    l2tp-server lcp echo 30 3
    l2tp-server no enable
    enable
!
ip policy Policy0
    description VPN
    permit global Wireguard0
    permit global ISP
    permit auto
!
Link to comment
Share on other sites

  • 0
Только что, Le ecureuil сказал:

Версия-то какая? Работает только в последних 4.2.

4.2 beta 0 - самая последняя вроде как.
Специально с 4.1.7 обновился.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...