Mr. Grey Posted June 3 Share Posted June 3 Добрый день! У меня на Ультре KN-1810 поднято основное интернет-подключение и Wireguard тоннель до VPN-провайдера (Mullvad). Также включен IPSec VPN сервер и несколько клиентов подключены через Wireguard. В резервном подключении установлена галочка для выхода в интернет, для клиентов IPSec и Wireguard также включен NAT (все четко по статьям из KB). Соответственно для всех клиентов кинетика по проводу и по воздуху я могу настроить политику выхода через основное/резервное подключения. Но клиенты VPN, которые подключаются к кинетику извне, выходят в интернет ТОЛЬКО через основное подключение. Как применить политику доступа к этому сегменту (сегменту VPN-клиентов, это подсети 172.16.10.0/24 и 172.16.52.0/24 для IPSec и Wireguard клиентов соответственно)? Кроме действий из KB также выполнена команда no isolate-private. P.S. Пока обошелся тем, что включил Антизапрет и для внешних клиентов VPN-сервера указал DNS те же, что и в антизапрете, но хотелось бы в идеале, чтобы они ходили в инет через Mullvad (в этом и был смысл затеи)..... Quote Link to comment Share on other sites More sharing options...
ANDYBOND Posted June 3 Share Posted June 3 17 минут назад, Mr. Grey сказал: чтобы они ходили в инет через Mullvad Статические маршруты для сетей подойдут? Внешние клиенты-через шлюз VPN-в Интернет. Это будет приоритетней любых политик. Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 3 Author Share Posted June 3 3 часа назад, ANDYBOND сказал: Статические маршруты для сетей подойдут? Внешние клиенты-через шлюз VPN-в Интернет. Это будет приоритетней любых политик. А пример такого маршрута напишите, пожалуйста? Допустим, сеть клиент Wireguard - сервер Wireguard Keenetic. Это же на кинетике нужно прописывать? Quote Link to comment Share on other sites More sharing options...
ANDYBOND Posted June 3 Share Posted June 3 https://help.keenetic.com/hc/ru/articles/360000925780-Статические-маршруты https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 3 Author Share Posted June 3 32 минуты назад, ANDYBOND сказал: https://help.keenetic.com/hc/ru/articles/360000925780-Статические-маршруты https://help.keenetic.com/hc/ru/articles/360001390359-Маршрутизация-сетей-через-VPN Все равно я не совсем понимаю Вот например, маршрутом можно заставить клиентов локального сегмента в кинетике видеть подсеть VPN-клиента (который к кинетику коннектится), и наоборот, сделать доступ для клиентов в основную локальную сеть. Но что за маршрут должен быть, чтобы клиенты VPN использовали тоннель Wireguard, который является вторым резервным подключением интернета у кинетика? Quote Link to comment Share on other sites More sharing options...
Denis P Posted June 3 Share Posted June 3 2 минуты назад, Mr. Grey сказал: Все равно я не совсем понимаю Вот например, маршрутом можно заставить клиентов локального сегмента в кинетике видеть подсеть VPN-клиента (который к кинетику коннектится), и наоборот, сделать доступ для клиентов в основную локальную сеть. Но что за маршрут должен быть, чтобы клиенты VPN использовали тоннель Wireguard, который является вторым резервным подключением интернета у кинетика? То чего вы добиваетесь можно сделать с помощью ip rule, но только при установленном entware, из коробки такого функционала нет Например ip rule add from 192.168.98.0/24 table 42 Будет заворачивать адреса из указанной подсети в первую, после основной, политику доступа 1 Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 3 Author Share Posted June 3 (edited) 15 минут назад, Denis P сказал: То чего вы добиваетесь можно сделать с помощью ip rule, но только при установленном entware, из коробки такого функционала нет Например ip rule add from 192.168.98.0/24 table 42 Будет заворачивать адреса из указанной подсети в первую, после основной, политику доступа Хмм, это надо OPKG с флэшкой подключать и настраивать, похоже? А другой вариант, можно ли сделать видимой в веб-интерфейсе подсеть VPN-клиента, создав, например, сегмент с такой адресацией в "Домашней сети"? Тогда и политики доступа можно ей выставить. P.S. Вся эта возня исключительно потому, что муллвад на мобильных устройствах стали блокировать. Теперь мобильные устройства через IPSec Xauth я подключаю к кинетику, а сам тоннель поднят на нем. Но вот незадача - выходят в инет только через основного провайдера, не через резерв. Edited June 3 by Mr. Grey Quote Link to comment Share on other sites More sharing options...
ANDYBOND Posted June 4 Share Posted June 4 16 часов назад, Mr. Grey сказал: Но что за маршрут должен быть, чтобы клиенты VPN использовали тоннель Wireguard, который является вторым резервным подключением интернета у кинетика? Маршрут через интерфейс WG куда надо. Собственно, WG уже знает, куда надо (в Интернет), но маршрутизатор должен знать, что такой-то адрес (клиент или подсеть) надо сразу на WG отправлять. 16 часов назад, Mr. Grey сказал: маршрутом можно заставить клиентов локального сегмента в кинетике видеть подсеть VPN-клиента Они и так её видят, если локальные. Quote Link to comment Share on other sites More sharing options...
ANDYBOND Posted June 4 Share Posted June 4 2 минуты назад, ANDYBOND сказал: Маршрут через интерфейс WG куда надо. Если же речь об удалённых клиентах (а о них и речь), то вот: https://help.keenetic.com/hc/ru/articles/360010551419-Доступ-в-Интернет-через-WireGuard-туннель Quote Link to comment Share on other sites More sharing options...
Denis P Posted June 4 Share Posted June 4 (edited) 17 часов назад, Mr. Grey сказал: Хмм, это надо OPKG с флэшкой подключать и настраивать, похоже? А другой вариант, можно ли сделать видимой в веб-интерфейсе подсеть VPN-клиента, создав, например, сегмент с такой адресацией в "Домашней сети"? Тогда и политики доступа можно ей выставить. P.S. Вся эта возня исключительно потому, что муллвад на мобильных устройствах стали блокировать. Теперь мобильные устройства через IPSec Xauth я подключаю к кинетику, а сам тоннель поднят на нем. Но вот незадача - выходят в инет только через основного провайдера, не через резерв. Тот вариант, что я озвучил, как раз подходит для вашей ситуации. Настраивать opkg вам практически не придется, только установить, не обязательно даже на usb, создать файл, с именем 01-ipset.sh и положить в каталог opt/etc/ndm/ifstatechanged.d с примерным содержимым: Скрытый текст #!/opt/bin/sh [ "$1" == "hook" ] || exit 0 [ "$id" == "IKE0" ] || exit 0 case ${id}-${connected}-${link}-${up} in IKE0-no-down-down) ip rule delete from 192.168.98.0/24 table 42 ;; IKE0-yes-up-up) ip rule add from 192.168.98.0/24 table 42 ;; IKE0-no-down-up) ip rule delete from 192.168.98.0/24 table 42 esac Чтобы правило срабатывало после перезагрузки/поднятия vpn интерфейса. Нужно только изменить адреса и имя интерфейса под ваш случай Edited June 4 by Denis P 1 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.