Jump to content
Как правильно добавить self-test и прочую отладку в тему

Маршрутизация между L2TP/IPSEC и Wireguard

mburyakov
 Share

Recommended Posts

mburyakov Newbie

mburyakov

Posted
Posted

Добрый день.

Подскажите, если ли возможность настроить маршрутизацию между клиентами L2TP/IPSEC и подключенной сетью WireGuard?

  • Домашняя подсеть настроена как 192.168.1.1/24, dhcp выдает адреса 192.168.1.2-192.168.1.31.
  • Подключил другой Keenetic с подсетью 192.168.0.1/24 через Wireguard в точности по инструкции.
  • Настроил L2TP/IPSEC с NAT и с множественным входом для подключения с телефона/ноутбука, адреса 192.168.1.32-192.168.1.63

В результате ping c 192.168.0.1 на 192.168.1.32 проходит (с роутера пингую подключенный ноутбук), а в обратную сторону (с ноутбука 192.168.1.32 на роутер 192.168.0.1) нет. При этом с устройства 192.168.1.2 из домашней сети пинг всюду идёт.

Подозреваю, что не хватает разрешающего правила межсетевого экрана, но не могу его настроить для интерфейса L2TP, потому что такого интерфейса нет, как я понял из этой темы. Более того, для клиента, подключенного чере L2TP, не работает захват пакетов - я не могу настроить захват пакетов, чтобы он ловил даже пинг с 192.168.1.32 на 192.168.1.1. Подскажите, это и вправду совсем не работает, и я что-то не понимаю?

Link to comment
Share on other sites
Werld Honored Flooder

Werld

Posted
Posted (edited)
7 часов назад, Михаил Буряков сказал:

Подозреваю, что не хватает разрешающего правила межсетевого экрана, но не могу его настроить для интерфейса L2TP, потому что такого интерфейса нет, как я понял из этой темы. Более того, для клиента, подключенного чере L2TP, не работает захват пакетов - я не могу настроить захват пакетов, чтобы он ловил даже пинг с 192.168.1.32 на 192.168.1.1. Подскажите, это и вправду совсем не работает, и я что-то не понимаю?

Обратите внимание на это сообщение. Только вам нужно будет привязывать acl к интерфейсу Wireguard, а не Bridge, но точно так же на OUT. Ну и сами правила в acl'e у вас должны быть разрешающие. Например permit ip 192.168.1.32/27 0.0.0.0/0 

Edited by Werld
  • Upvote 1
Link to comment
Share on other sites
mburyakov Newbie

mburyakov

Posted
  • Author
Posted

Спасибо большое! Действительно заработало. Любопытно теперь, почему такое правило понадобилось.

Почему такое не получается создать из web-интерфейс, понятно - там правила только на IN (ими мыслить проще и чаще всего их и хватает), а интерфейса, через который приходят пакеты от L2TP, нет. Не понятно только, почему по умолчанию стоит запрет на это направление? Потому что в настройках L2TP в пункте "Доступ к сети" выбрана домашяя сеть, поэтому по умочанию доступ только к ней? А почему тогда выход в интернет работает без дополнительных правил?

Link to comment
Share on other sites
Werld Honored Flooder

Werld

Posted
Posted
21 час назад, mburyakov сказал:

Почему такое не получается создать из web-интерфейс, понятно - там правила только на IN (ими мыслить проще и чаще всего их и хватает), а интерфейса, через который приходят пакеты от L2TP, нет. Не понятно только, почему по умолчанию стоит запрет на это направление? Потому что в настройках L2TP в пункте "Доступ к сети" выбрана домашяя сеть, поэтому по умочанию доступ только к ней? А почему тогда выход в интернет работает без дополнительных правил?

В кинетикОС у интерфейсов есть такая характеристика как security-level. Если у интерфейса security-level private, то на него разрешены входящие. Если seciruty-level public, то входящие запрещены. Из интерфейса с security-level private разрешен форвард в интерфейс с security-level public. Из public в private - нет. Между интерфейсами c security-level private форвард, по-умолчанию, тоже запрещен.

От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global (это галочка в настройках интерфейса "Использовать для выхода в интернет"). У любого создаваемого интерфейса по умолчанию seciruty-levle public. Так и у созданного вами wireguard интерфейса, если вы сами не меняли руками. Если у такого public wireguard интерфейса выставить в настройках галочку "Использовать для выхода в интернет" (признак ip global), то создавать разрешающие правила черел cli бы не пришлось.

Подробнее можно почитать в базе знаний: https://help.keenetic.com/hc/ru/articles/360001434079

 

Firewall-diagram.png

Link to comment
Share on other sites
mburyakov Newbie

mburyakov

Posted
  • Author
Posted
4 часа назад, Werld сказал:

От впн-клиентов l2tp, sstp и pptp серверов разрешен форвард в интерфейс, указанный в настройках в пункте "Доступ к сети", а также к любым интерфейсам с security-level public и признаком ip global

Спасибо, это очень полезная информация!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...