wireguard соединение как основной канал.

[Slider88]

Прошу подсказать, возможно ли реализовать следующую схему.

keenetic 1711 подключен к интернет через ppoe Ростелекома.  Создано подключение wireguard к личному серверу. Устройства, которые подключены к keenetic 1711 через профиль прописан доступ в интернет через wireguard - все работает.

Создан sstp сервер на этом же кинетике, к которому подключен клиент из вне. 

Желаемый результат: что бы клиент sstp получал интернет через wireguard соединение.  В настоящее время он получает интернет через через основного провайдера (Ростелеком). Профиль клиенту через wireguard настроить через веб интерфейс не смог (не нашел где и как)

 

p.s. на клиенте в другой сети нельзя напрямую настроить wireguard, т.к. этот тип соединения блокируется.

[vasek00]

29 минут назад, Slider88 сказал:

Прошу подсказать, возможно ли реализовать следующую схему.

keenetic 1711 подключен к интернет через ppoe Ростелекома.  Создано подключение wireguard к личному серверу. Устройства, которые подключены к keenetic 1711 через профиль прописан доступ в интернет через wireguard - все работает.

Создан sstp сервер на этом же кинетике, к которому подключен клиент из вне. 

Желаемый результат: что бы клиент sstp получал интернет через wireguard соединение.  В настоящее время он получает интернет через через основного провайдера (Ростелеком). Профиль клиенту через wireguard настроить через веб интерфейс не смог (не нашел где и как)

 

p.s. на клиенте в другой сети нельзя напрямую настроить wireguard, т.к. этот тип соединения блокируется.

1. Поднять Entware (+ ip route) для того чтоб прописать маршрут на нужную table

2. Клиент sstp получает IP от сервера sstp

3. Так как есть профиль

Создано подключение wireguard к личному серверу. Устройства, которые подключены к keenetic 1711 через профиль прописан доступ в интернет через wireguard - все работает.

то есть таблица маршрцтизации для данного профиля

4. нужно для данного клиента sstp маршрут в данную таблицу маршрутизации данного профиля

***************

Клиент подключился к SSTP серверу в итоге он получил например 172.16.13.1 (согласно настроек VPN сервера SSTP)

Проверяем выход данного клиента через speedtest и смотрим какой IP показывает, он должен быть от РТ.

На роутере стоит Entware делаем маршрутизацию данного клиента на профиль Wireguard, в моем случае это table 42 (в ПО Keenetic нумерация table идет с 42, далее 43, далее 44 от кол-ва профилей)

Профиль Wireguard
~ # ip route show table 42
default dev nwg0  scope link

Основной профиль через РТ
~ # ip ro
default dev ppp0  scope link 


~ # ip rule add from 172.16.13.1 table 42

В итоге получаем

Скрытый текст

В моем случае есть два профиля Wireguard0 - table 42 и Wireguard4 - table 44

1. ~ # ip rule add from 172.16.13.1 table 42

2. ~ # ip rule add from 172.16.13.1 table 44

Если не прописывать маршрут на нужную table то клиент идет по умолчанию по основному профилю и канал РТ, т.е. speedtest говорит IP от РТ.

Данную инструкцию проверял ранее 3.9.х и проверил сейчас 4.0.х на мобильном клиенте - все работает

[Slider88]

Спасибо огромное за развернутый ответ! А можно уточнить нельзя ли маршрут прописать без установки entware? Просто через ssh? 

[vasek00]

40 минут назад, Slider88 сказал:

Спасибо огромное за развернутый ответ! А можно уточнить нельзя ли маршрут прописать без установки entware? Просто через ssh? 

Возможно как то это и можно, так как прошивка же создает table при создание профилей. Но читая cli и единственную команду "ip route" она не позволяет это сделать

Цитата

3.70 ip route
Описание Добавить в таблицу маршрутизации статический маршрут, который задает правило передачи IP-пакетов через определенный шлюз или сетевой интерфейс.