Jump to content

Маршрутизация между L2TP/IPSEC и Wireguard


Recommended Posts

Добрый день.

Подскажите, если ли возможность настроить маршрутизацию между клиентами L2TP/IPSEC и подключенной сетью WireGuard?

  • Домашняя подсеть настроена как 192.168.1.1/24, dhcp выдает адреса 192.168.1.2-192.168.1.31.
  • Подключил другой Keenetic с подсетью 192.168.0.1/24 через Wireguard в точности по инструкции.
  • Настроил L2TP/IPSEC с NAT и с множественным входом для подключения с телефона/ноутбука, адреса 192.168.1.32-192.168.1.63

В результате ping c 192.168.0.1 на 192.168.1.32 проходит (с роутера пингую подключенный ноутбук), а в обратную сторону (с ноутбука 192.168.1.32 на роутер 192.168.0.1) нет. При этом с устройства 192.168.1.2 из домашней сети пинг всюду идёт.

Подозреваю, что не хватает разрешающего правила межсетевого экрана, но не могу его настроить для интерфейса L2TP, потому что такого интерфейса нет, как я понял из этой темы. Более того, для клиента, подключенного чере L2TP, не работает захват пакетов - я не могу настроить захват пакетов, чтобы он ловил даже пинг с 192.168.1.32 на 192.168.1.1. Подскажите, это и вправду совсем не работает, и я что-то не понимаю?

Link to comment
Share on other sites

7 часов назад, Михаил Буряков сказал:

Подозреваю, что не хватает разрешающего правила межсетевого экрана, но не могу его настроить для интерфейса L2TP, потому что такого интерфейса нет, как я понял из этой темы. Более того, для клиента, подключенного чере L2TP, не работает захват пакетов - я не могу настроить захват пакетов, чтобы он ловил даже пинг с 192.168.1.32 на 192.168.1.1. Подскажите, это и вправду совсем не работает, и я что-то не понимаю?

Обратите внимание на это сообщение. Только вам нужно будет привязывать acl к интерфейсу Wireguard, а не Bridge, но точно так же на OUT. Ну и сами правила в acl'e у вас должны быть разрешающие. Например permit ip 192.168.1.32/27 0.0.0.0/0 

Edited by Werld
  • Upvote 1
Link to comment
Share on other sites

Спасибо большое! Действительно заработало. Любопытно теперь, почему такое правило понадобилось.

Почему такое не получается создать из web-интерфейс, понятно - там правила только на IN (ими мыслить проще и чаще всего их и хватает), а интерфейса, через который приходят пакеты от L2TP, нет. Не понятно только, почему по умолчанию стоит запрет на это направление? Потому что в настройках L2TP в пункте "Доступ к сети" выбрана домашяя сеть, поэтому по умочанию доступ только к ней? А почему тогда выход в интернет работает без дополнительных правил?

Link to comment
Share on other sites

21 час назад, mburyakov сказал:

Почему такое не получается создать из web-интерфейс, понятно - там правила только на IN (ими мыслить проще и чаще всего их и хватает), а интерфейса, через который приходят пакеты от L2TP, нет. Не понятно только, почему по умолчанию стоит запрет на это направление? Потому что в настройках L2TP в пункте "Доступ к сети" выбрана домашяя сеть, поэтому по умочанию доступ только к ней? А почему тогда выход в интернет работает без дополнительных правил?

В кинетикОС у интерфейсов есть такая характеристика как security-level. Если у интерфейса security-level private, то на него разрешены входящие. Если seciruty-level public, то входящие запрещены. Из интерфейса с security-level private разрешен форвард в интерфейс с security-level public. Из public в private - нет. Между интерфейсами c security-level private форвард, по-умолчанию, тоже запрещен.

От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global (это галочка в настройках интерфейса "Использовать для выхода в интернет"). У любого создаваемого интерфейса по умолчанию seciruty-levle public. Так и у созданного вами wireguard интерфейса, если вы сами не меняли руками. Если у такого public wireguard интерфейса выставить в настройках галочку "Использовать для выхода в интернет" (признак ip global), то создавать разрешающие правила черел cli бы не пришлось.

Подробнее можно почитать в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

 

Firewall-diagram.png

Link to comment
Share on other sites

4 часа назад, Werld сказал:

От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global

Спасибо, это очень полезная информация!

Link to comment
Share on other sites

  • 1 year later...

Добрый день! Столкнулся с подобной ситуацией.

Имеется "Keenetic Wireguard-server", к нему подключаются Wireguard-клиенты. Этот же "Keenetic Wireguard-server" является L2TP/IPSEC-клиентом и подключается к другому "Keenetic L2TP-серверу".

Пытаюсь настроить связь между Wireguard-клиентами и сетью за Keenetic L2TP-сервером.

В стандартных настройках в сети Keenetic Wireguard-server'а (192.168.111.0/24) я вижу Wireguard-клиентов и сеть Keenetic L2TP-сервера (192.168.0.0/24)

Добавил правило out на интерфейс Wireguard0 на Keenetic: Wireguard-server "permit ip 192.168.0.0 255.255.255.0 0.0.0.0 0.0.0.0" но это не помогает.

Чую я, что в моем случае все не так просто, прошу помощи.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...