Маршрутизация между L2TP/IPSEC и Wireguard

[mburyakov]

Добрый день.

Подскажите, если ли возможность настроить маршрутизацию между клиентами L2TP/IPSEC и подключенной сетью WireGuard?

• Домашняя подсеть настроена как 192.168.1.1/24, dhcp выдает адреса 192.168.1.2-192.168.1.31.
• Подключил другой Keenetic с подсетью 192.168.0.1/24 через Wireguard в точности по инструкции.
• Настроил L2TP/IPSEC с NAT и с множественным входом для подключения с телефона/ноутбука, адреса 192.168.1.32-192.168.1.63

В результате ping c 192.168.0.1 на 192.168.1.32 проходит (с роутера пингую подключенный ноутбук), а в обратную сторону (с ноутбука 192.168.1.32 на роутер 192.168.0.1) нет. При этом с устройства 192.168.1.2 из домашней сети пинг всюду идёт.

Подозреваю, что не хватает разрешающего правила межсетевого экрана, но не могу его настроить для интерфейса L2TP, потому что такого интерфейса нет, как я понял из этой темы. Более того, для клиента, подключенного чере L2TP, не работает захват пакетов - я не могу настроить захват пакетов, чтобы он ловил даже пинг с 192.168.1.32 на 192.168.1.1. Подскажите, это и вправду совсем не работает, и я что-то не понимаю?

[Werld]

7 часов назад, Михаил Буряков сказал:

Подозреваю, что не хватает разрешающего правила межсетевого экрана, но не могу его настроить для интерфейса L2TP, потому что такого интерфейса нет, как я понял из этой темы. Более того, для клиента, подключенного чере L2TP, не работает захват пакетов - я не могу настроить захват пакетов, чтобы он ловил даже пинг с 192.168.1.32 на 192.168.1.1. Подскажите, это и вправду совсем не работает, и я что-то не понимаю?

Обратите внимание на это сообщение. Только вам нужно будет привязывать acl к интерфейсу Wireguard, а не Bridge, но точно так же на OUT. Ну и сами правила в acl'e у вас должны быть разрешающие. Например permit ip 192.168.1.32/27 0.0.0.0/0 

Edited January 20, 2023 by Werld

[mburyakov]

Спасибо большое! Действительно заработало. Любопытно теперь, почему такое правило понадобилось.

Почему такое не получается создать из web-интерфейс, понятно - там правила только на IN (ими мыслить проще и чаще всего их и хватает), а интерфейса, через который приходят пакеты от L2TP, нет. Не понятно только, почему по умолчанию стоит запрет на это направление? Потому что в настройках L2TP в пункте "Доступ к сети" выбрана домашяя сеть, поэтому по умочанию доступ только к ней? А почему тогда выход в интернет работает без дополнительных правил?

[Werld]

21 час назад, mburyakov сказал:

Почему такое не получается создать из web-интерфейс, понятно - там правила только на IN (ими мыслить проще и чаще всего их и хватает), а интерфейса, через который приходят пакеты от L2TP, нет. Не понятно только, почему по умолчанию стоит запрет на это направление? Потому что в настройках L2TP в пункте "Доступ к сети" выбрана домашяя сеть, поэтому по умочанию доступ только к ней? А почему тогда выход в интернет работает без дополнительных правил?

В кинетикОС у интерфейсов есть такая характеристика как security-level. Если у интерфейса security-level private, то на него разрешены входящие. Если seciruty-level public, то входящие запрещены. Из интерфейса с security-level private разрешен форвард в интерфейс с security-level public. Из public в private - нет. Между интерфейсами c security-level private форвард, по-умолчанию, тоже запрещен.

От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global (это галочка в настройках интерфейса "Использовать для выхода в интернет"). У любого создаваемого интерфейса по умолчанию seciruty-levle public. Так и у созданного вами wireguard интерфейса, если вы сами не меняли руками. Если у такого public wireguard интерфейса выставить в настройках галочку "Использовать для выхода в интернет" (признак ip global), то создавать разрешающие правила черел cli бы не пришлось.

Подробнее можно почитать в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

 

[mburyakov]

4 часа назад, Werld сказал:

От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global

Спасибо, это очень полезная информация!

[Tribal_]

Добрый день! Столкнулся с подобной ситуацией.

Имеется "Keenetic Wireguard-server", к нему подключаются Wireguard-клиенты. Этот же "Keenetic Wireguard-server" является L2TP/IPSEC-клиентом и подключается к другому "Keenetic L2TP-серверу".

Пытаюсь настроить связь между Wireguard-клиентами и сетью за Keenetic L2TP-сервером.

В стандартных настройках в сети Keenetic Wireguard-server'а (192.168.111.0/24) я вижу Wireguard-клиентов и сеть Keenetic L2TP-сервера (192.168.0.0/24)

Добавил правило out на интерфейс Wireguard0 на Keenetic: Wireguard-server "permit ip 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0" но это не помогает.

Чую я, что в моем случае все не так просто, прошу помощи.