BeaViSs Posted December 12, 2023 Share Posted December 12, 2023 добрый день Есть задача трафик пользователей SSTP VPN (у меня на роутере поднят сервер) отправить в Wireguard подключение, также установленное на моем роутере но никак не могу понять, где такое сделать Казалось бы можно было бы сделать просто маршрутизацией, указав для source IP интерфейс по-умолчанию - WireguardVPN но маршрутизации по source IP нет Пробовал привязать к гостевому сегменту весь SSTP, а гостевой сегмент через приоритеты подключений-применение политик переместить в Wireguard подключение но это не сработало Есть ли возможность как-то пользователей VPN сервера Keenetic отправить в нужный Upstream? Ultra II (еще черная), 4.1 Beta 0.1 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted December 12, 2023 Share Posted December 12, 2023 1 час назад, BeaViSs сказал: Есть задача трафик пользователей SSTP VPN (у меня на роутере поднят сервер) отправить в Wireguard подключение, также установленное на моем роутере Есть ли возможность как-то пользователей VPN сервера Keenetic отправить в нужный Upstream? На текущий день - Entware + маршрутизация. Данные : 1. SSTP VPN сервер -> клиент подключившись имеет IP адрес (желательно зарег. пользователя/пароль и привязать его к IP) 2. Поднят Wireguard Решение - будущий клиент 4G удаленно подключается к роутеру на его SSTP сервер : 1. Создать профиль для Wireguard на роутере и в нем один единственный канал Wireguard активен, узнать для него table маршрутизации ( show ip policy ) 2. Найти для созданного профиля п.1 параметр table его номер (для 4.1 это будет 10 или 11 или 12 или 13 и т.д.) 3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то Скрытый текст По умолчанию основной профиль, клиент 172.16.16.16 ~ # ip ro default dev ppp0 scope link ... 172.16.16.16 dev sstp0 proto kernel scope link src 192.168.1.1 ... ~ # нужная нам table 12 от нужного профиля WG (в которой только WG активен nwg4) ~ # ip rule add from 172.16.16.16/32 table 12 ~ # ~ # ip ro show table 12 default dev nwg4 scope link ... 172.16.16.16 dev sstp0 scope link ... ~ # Запускаю на клиенте speedtest в итоге имею IP адрес от интерфейса Wireguard4 ( nwg4 ) Данная команда которая единственная " ip rule add from 172.16.16.16/32 table 12 " через ПО роутера не добавить для этого нужен Entwqre + пакеты (ip-bridge + ip-full). Отключаюсь данным клиентом, спустя 5 минут подключаюсь им и смотрю Скрытый текст ~ # ip ro show table 12 default dev nwg4 scope link 172.16.16.16 dev sstp0 scope link Все на месте. возможно придется придумать контроль данного стат.маршрута, ну тут любым доступным способом - проверка по ifconfig sstp0 Link encap:Point-to-Point Protocol inet addr:192.168.1.1 P-t-P:172.16.16.16 Mask:255.255.255.255 - проверка " show sstp-server " "tunnel": [ { "ethernet": false, "clientaddress": "172.16.16.16", "username": "VPN-t1", ... - или https://github.com/ndmsystems/packages/wiki/Opkg-Component /opt/etc/ndm/sstp_vpn_up.d # vi 1.sh #!/bin/sh echo " $ndm_opkg_id $iface $remote $local " >> /opt/tmp/sstp /opt/tmp/sstp VPN-t1 sstp0 ххх.ххх.ххх.212 172.16.16.16 Ремарка пока пробовал - отключался/подключался table 12 оставалась с прописанным маршрутом ранее, но проверка думаю не помешает. 2 Quote Link to comment Share on other sites More sharing options...
Dimbas Posted February 29 Share Posted February 29 В 12.12.2023 в 12:44, vasek00 сказал: На текущий день - Entware + маршрутизация. Данные : 1. SSTP VPN сервер -> клиент подключившись имеет IP адрес (желательно зарег. пользователя/пароль и привязать его к IP) 2. Поднят Wireguard Решение - будущий клиент 4G удаленно подключается к роутеру на его SSTP сервер : 1. Создать профиль для Wireguard на роутере и в нем один единственный канал Wireguard активен, узнать для него table маршрутизации ( show ip policy ) 2. Найти для созданного профиля п.1 параметр table его номер (для 4.1 это будет 10 или 11 или 12 или 13 и т.д.) 3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то Показать содержимое По умолчанию основной профиль, клиент 172.16.16.16 ~ # ip ro default dev ppp0 scope link ... 172.16.16.16 dev sstp0 proto kernel scope link src 192.168.1.1 ... ~ # нужная нам table 12 от нужного профиля WG (в которой только WG активен nwg4) ~ # ip rule add from 172.16.16.16/32 table 12 ~ # ~ # ip ro show table 12 default dev nwg4 scope link ... 172.16.16.16 dev sstp0 scope link ... ~ # Запускаю на клиенте speedtest в итоге имею IP адрес от интерфейса Wireguard4 ( nwg4 ) Данная команда которая единственная " ip rule add from 172.16.16.16/32 table 12 " через ПО роутера не добавить для этого нужен Entwqre + пакеты (ip-bridge + ip-full). Отключаюсь данным клиентом, спустя 5 минут подключаюсь им и смотрю Скрыть содержимое ~ # ip ro show table 12 default dev nwg4 scope link 172.16.16.16 dev sstp0 scope link Все на месте. возможно придется придумать контроль данного стат.маршрута, ну тут любым доступным способом - проверка по ifconfig sstp0 Link encap:Point-to-Point Protocol inet addr:192.168.1.1 P-t-P:172.16.16.16 Mask:255.255.255.255 - проверка " show sstp-server " "tunnel": [ { "ethernet": false, "clientaddress": "172.16.16.16", "username": "VPN-t1", ... - или https://github.com/ndmsystems/packages/wiki/Opkg-Component /opt/etc/ndm/sstp_vpn_up.d # vi 1.sh #!/bin/sh echo " $ndm_opkg_id $iface $remote $local " >> /opt/tmp/sstp /opt/tmp/sstp VPN-t1 sstp0 ххх.ххх.ххх.212 172.16.16.16 Ремарка пока пробовал - отключался/подключался table 12 оставалась с прописанным маршрутом ранее, но проверка думаю не помешает. Спасибо, все замечательно работает. Но после перезагрузки маршрут пропадает. Как его можно сохранить постоянно? Quote Link to comment Share on other sites More sharing options...
vasek00 Posted February 29 Share Posted February 29 (edited) 8 часов назад, Dimbas сказал: Спасибо, все замечательно работает. Но после перезагрузки маршрут пропадает. Как его можно сохранить постоянно? На вскидку. Вариант 1. Так как все скрипты Entware запускаются через /opt/etc/init.d то можно создать скрип запуска с одной командой после некоторой задержки Скрытый текст #!/bin/sh PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin sleep 30; ip rule add from 172.16.130.29/32 table 12; Файл должен иметь имя Snnnхххххх, где S - обязательно, так как это Start nnn - цифра, скрипты в данном каталоге запускаются по порядку с 1 и будут по nnn, например S102-SSTP. Далее "chmod 755 S102-SSTP". Вариант 2. Считаем что профиль готов к работе, а именно таблица маршрутизации для него после того как в нем будет установлен default маршрут в нем. Скрытый текст Для примера имеем профиль и в нем только один WG, тогда #!/bin/sh PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin COUNTER=0 LIMIT=30 while [ -z "`ndmc -c show ip policy Policy2 | grep destination | awk '/0.0.0.0/ {print $2}'`" -a "$COUNTER" -le "$LIMIT" ]; do sleep 1; COUNTER=`expr $COUNTER + 1` done ip rule add from 172.16.130.29/32 table 12; Policy2 это профиль с WG каналом который нужен, поиск в нем default маршрута - destination 0.0.0.0/0. В данном примере S102-SSTP получаем при COUNTER=16 появляется маршрут default в таблице маршрутизации. Добавим далее IP клиента который будет по SSTP (172.16.130.29/32) в данную таблицу 12 маршрутизации данного профиля. В настройках SSTP сервера для пользователя зарезервирован IP адрес. LIMIT=30 это для ARM, можно и 45 и 60. Сколько точно можно проверить добавив команду echo " $COUNTER " >> /opt/tmp/count_12 ip rule add from 172.16.130.29/32 table 12; Посмотреть потом в /opt/tmp/count_12 В место ndmc можно использовать curl -kfsS http://localhost:79/rci/show/ip/policy/Policy2 | grep destination | awk '/0.0.0.0/ {print $2}' или curl ... http://localhost:79/rci/show/ip/policy/Policy2 | jq .... Поверяем вариант2. 1. Без скрипта S102-SSTP. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от провайдера который в основном профиле/по умолчанию профиль. 2. Используем скрипт, перезапускаем роутер. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от WG который в профиле Policy2. Ремарка - по команде "ip ro show table 12" ip адреса клиента видно не будет, до тех пор пока он не появится/подключится к роутеру и будет висеть в данной таблице пока клиент не отключится. Если потом опять подключится то данный стат маршрут будет опять активен и он выйдет в интернет опять через нужный нам профиль Policy2. Edited February 29 by vasek00 1 Quote Link to comment Share on other sites More sharing options...
Dimbas Posted February 29 Share Posted February 29 Спасибо большое! сделал по первому варианту, маршрут при перезагрузке прописался. Quote Link to comment Share on other sites More sharing options...
Dimbas Posted March 1 Share Posted March 1 12 часа назад, vasek00 сказал: Вариант 1. Так как все скрипты Entware запускаются через /opt/etc/init.d то можно создать скрип запуска с одной командой после некоторой задержки Еще вопрос, при таком сценарии, возможно ли добавить маршрут, чтобы была видна сеть 192.168.1.0? Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 1 Share Posted March 1 41 минуту назад, Dimbas сказал: Еще вопрос, при таком сценарии, возможно ли добавить маршрут, чтобы была видна сеть 192.168.1.0? О чем идет речь? Quote Link to comment Share on other sites More sharing options...
Dimbas Posted March 1 Share Posted March 1 1 час назад, vasek00 сказал: О чем идет речь? когда мы настроили для клиента с IP 172... маршрутизацию интернета через VPN все заработало, но пропал доступ к серверу Homeassistant, который находится на 192.168.1.100. Вопрос в том, может ли одновременно работать интернет, как мы настроили выше и еще добавить доступ к Homeassistant? Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 1 Share Posted March 1 7 часов назад, Dimbas сказал: когда мы настроили для клиента с IP 172... маршрутизацию интернета через VPN все заработало, но пропал доступ к серверу Homeassistant, который находится на 192.168.1.100. Вопрос в том, может ли одновременно работать интернет, как мы настроили выше и еще добавить доступ к Homeassistant? но пропал доступ к серверу Homeassistant В моем случае Клиент[SSTP]----Интернет----[SSTP]Keenetic1[LAN]------[LAN]Keenetic2 на обоих Keenetic Entware + SMB и сами WEB роутеров, Keenetic1 запущен AGH (его WEB) - проблем с доступом нет. В обоих вариантах подключения одинаково. Пользователю SSTP разрешено user U*****N password md5 *** password nt *** home SSD1: tag sstp tag vpn tag ipsec-xauth tag http tag opt tag sftp tag cifs tag printers tag http-proxy У вас в данном профиле какой стоит канал основной ? При этом стоит "isolate-private" что это написано ниже https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса Quote Link to comment Share on other sites More sharing options...
Dimbas Posted March 4 Share Posted March 4 В 01.03.2024 в 21:35, vasek00 сказал: Клиент[SSTP]----Интернет----[SSTP]Keenetic1[LAN]------[LAN]Keenetic2 У меня вот так, т.е. весь траффик с SSTP идет через локальный TOR. Вопрос в том, как бы я не добавлял маршрутизацию на 192.168.1.100, она не хочет работать. Клиент[SSTP]----Интернет----[SSTP]Keenetic[LAN]------[TOR]Keenetic Quote Link to comment Share on other sites More sharing options...
vasek00 Posted March 4 Share Posted March 4 (edited) 1 час назад, Dimbas сказал: У меня вот так, т.е. весь траффик с SSTP идет через локальный TOR. Вопрос в том, как бы я не добавлял маршрутизацию на 192.168.1.100, она не хочет работать. Клиент[SSTP]----Интернет----[SSTP]Keenetic[LAN]------[TOR]Keenetic Если у вас 4.1. попробуйте вот такую команду, на своем примере (тут именно 120, для начала) была ip rule add from 172.16.130.29/32 table 12 стала ip rule add pref 120 from 172.16.130.29/32 table 12 или она же ip rule add from 172.16.130.29/32 table 12 pref 120 для удаления введенной - точно такая же только вместо "add" нужно "del" Edited March 4 by vasek00 Quote Link to comment Share on other sites More sharing options...
Reolins Posted June 23 Share Posted June 23 @vasek00 - подскажите, пожалуйста - мне требуется реализовать похожую схему - отличия вот в чем: Между двумя роутерами Ultra (WG сервер) и Hopper (WG клиент) установлен WG туннель. Типичный сценарий использования - маршутизировать трафик в интернет устройств за Hopper (WG клиент) через Ultra (WG сервер) - и это работает, но мне же нужно дополнительно реализовать и обратную схему - маршрутизировать трафик в интернет клиентов за Ultra (WG сервер) через Ultra Hopper (WG клиент) IP адреса WG туннеля такие: Ultra (WG сервер) 192.168.5.1 - клиенты в сети 192.168.1.0/24, в ACL WG и клиентской подсети везде permit any any Hopper (WG клиент) 192.168.5.100 - клиенты в сети 192.168.100.0/24, в ACL WG и клиентской подсети везде permit any any На ультра создана Policy только с WG туннелем, в роутах в веб морде добавлен маршрут "default via 192.168.5.100 dev nwg0" В entware для теста сделано правило: ip rule add from 192.168.1.3/32 table 42 При этом таблица маршрутизации выглядит так: ~ # ip ro show table 42 default via 192.168.5.100 dev nwg0 ... 192.168.100.0/24 via 192.168.5.100 dev nwg0 Доступ с 192.168.1.3 до клиентов в сети 192.168.100.0/24 за Hopper (WG клиент) есть, а вот при попытке сделать трассировку на любой публичный адрес дальше 192.168.1.1 траффик не уходит. NAT для интерфейсе WG на Hopper (WG клиент) включен, все интерфейсы стоят в private, выполнен no isolate private. При этом трафик ходит в направлении Клиенты >> Hopper (WG клиент) >> Ultra (WG сервер) >> Интернет Как все-таки заставить так же одновременно работать схему Клиенты >> Ultra (WG сервер) >> Hopper (WG клиент) >> Интернет ? Quote Link to comment Share on other sites More sharing options...
vasek00 Posted June 26 Share Posted June 26 В 23.06.2024 в 18:45, Reolins сказал: ip rule add from 192.168.1.3/32 table 42 Как все-таки заставить так же одновременно работать схему Клиенты >> Ultra (WG сервер) >> Hopper (WG клиент) >> Интернет ? Так как у вас ссылка на "table 42" то это не 4.2 (но может и в 4.1 уже есть). Появилась информация не давно что в ПО и как раз вопрос про WG ip hotspot policy {interface} ({access} | {policy}) Данная команда для политики, а не для конкретного клиента, но можно попробовать ip hotspot policy Wireguard3 Policy0 ip hotspot ... policy Wireguard3 Policy0 ... ip policy Policy0 description Cloud permit global Wireguard0 возможно теперь уже проще. Wireguard3 это удаленный доступ клиентов по WG к роутеру, а Policy0 это политика уже на Wireguard0 выход в интернет. А для того чтоб с Ultra клиенты на Hopper и далее в интернет что-то было сделано? Hopper ------ Инет---Ultra[5.1=WG]----[WG=5.100]Hopper[100.0/24]----Клиенты ~ # ip ro show table 42 default via 192.168.5.100 dev nwg0 192.168.100.0/24 via 192.168.5.100 dev nwg0 Ultra ----- Клиенты---[1.0/24]Ultra[5.1=WG]----[WG=5.100]Hopper---Инет ???????? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted July 3 Share Posted July 3 Самый простой вариант, начиная с 4.2: - создать еще один сегмент - привязать его к желаемой политике - привызать к этому сегменту VPN-сервер (в настройках этого сервера) 1 Quote Link to comment Share on other sites More sharing options...
BeaViSs Posted July 4 Author Share Posted July 4 (edited) 22 часа назад, Le ecureuil сказал: Самый простой вариант, начиная с 4.2: - создать еще один сегмент - привязать его к желаемой политике - привызать к этому сегменту VPN-сервер (в настройках этого сервера) а можно с картинками? где и как создать сегмент? я читал в What'sNew о сегментах и их маршрутизации даже в приоритетах подключений видел сегменты а вот как их создавать - не очень понял .... а не, все нашел Edited July 4 by BeaViSs 1 Quote Link to comment Share on other sites More sharing options...
x13 Posted August 10 Share Posted August 10 (edited) В 03.07.2024 в 13:10, Le ecureuil сказал: Самый простой вариант, начиная с 4.2: - создать еще один сегмент - привязать его к желаемой политике - привызать к этому сегменту VPN-сервер (в настройках этого сервера) 1.сделал сегмент WG 2.Привязал незарегистрированные клиенты сегмента WG 3. Привязал в настройка SSTP сервера доступ в сегмент WG НЕ РАБОТАЕТ. Ломится в основной интернет. Подскажите всю голову изломал. kn 1010 4.2 Edited August 10 by x13 Quote Link to comment Share on other sites More sharing options...
x13 Posted August 11 Share Posted August 11 В 04.07.2024 в 11:14, BeaViSs сказал: а можно с картинками? где и как создать сегмент? я читал в What'sNew о сегментах и их маршрутизации даже в приоритетах подключений видел сегменты а вот как их создавать - не очень понял .... а не, все нашел У вас получилось сделать не из командной строки? Quote Link to comment Share on other sites More sharing options...
vasek00 Posted August 11 Share Posted August 11 25 минут назад, x13 сказал: У вас получилось сделать не из командной строки? Судя по тому что написано ранее. Цитата Самый простой вариант, начиная с 4.2: - создать еще один сегмент - привязать его к желаемой политике - привызать к этому сегменту VPN-сервер (в настройках этого сервера) Все из WEB. Если правильно понял - 1. новый сегмент -> в политику 2. SSTP к этому сегменту. Скрытый текст Quote Link to comment Share on other sites More sharing options...
x13 Posted August 11 Share Posted August 11 (edited) 1 час назад, vasek00 сказал: Судя по тому что написано ранее. Все из WEB. Если правильно понял - 1. новый сегмент -> в политику 2. SSTP к этому сегменту. Скрыть содержимое Сделал все как указано выше Какие клиентом вы пользуетесь на мобильном устройстве. Open SSTP коннектится. Но в качестве DNS выбирает начальный ip сегмента . Если принудительно скормить ему dns 1.1.1.1 то трафик на мобиле не идет через SSTP клиент а my IP выдает что у вас ip мобильно сети т.е если я подключаюсь мобильником через Open SSTP с настройками open SSTP по умолчанию,то коннект происходит. вижу подключенного клиента в панели роутера. но на мобильном ничего не открывается. Может маршрута какого то не хватает? Edited August 11 by x13 Quote Link to comment Share on other sites More sharing options...
x13 Posted August 11 Share Posted August 11 5 часов назад, x13 сказал: Сделал все как указано выше Какие клиентом вы пользуетесь на мобильном устройстве. Open SSTP коннектится. Но в качестве DNS выбирает начальный ip сегмента . Если принудительно скормить ему dns 1.1.1.1 то трафик на мобиле не идет через SSTP клиент а my IP выдает что у вас ip мобильно сети т.е если я подключаюсь мобильником через Open SSTP с настройками open SSTP по умолчанию,то коннект происходит. вижу подключенного клиента в панели роутера. но на мобильном ничего не открывается. Может маршрута какого то не хватает? Если в настройках SSTP доступ к сети "Домашняя сеть"- то трафик с телефона идет в домашнюю сеть. my ip на мобиле возвращает Ip роутера. Если ставлю в настройках SSTP доступ к сети "WG" то трафик с мобилы никуда не идет ни одна страница не открыввтся. Quote Link to comment Share on other sites More sharing options...
x13 Posted August 11 Share Posted August 11 В 03.07.2024 в 13:10, Le ecureuil сказал: Самый простой вариант, начиная с 4.2: - создать еще один сегмент - привязать его к желаемой политике - привызать к этому сегменту VPN-сервер (в настройках этого сервера) не работает. ничего не открывается Quote Link to comment Share on other sites More sharing options...
x13 Posted August 11 Share Posted August 11 В 12.12.2023 в 13:44, vasek00 сказал: На текущий день - Entware + маршрутизация. Данные : 1. SSTP VPN сервер -> клиент подключившись имеет IP адрес (желательно зарег. пользователя/пароль и привязать его к IP) 2. Поднят Wireguard Решение - будущий клиент 4G удаленно подключается к роутеру на его SSTP сервер : 1. Создать профиль для Wireguard на роутере и в нем один единственный канал Wireguard активен, узнать для него table маршрутизации ( show ip policy ) 2. Найти для созданного профиля п.1 параметр table его номер (для 4.1 это будет 10 или 11 или 12 или 13 и т.д.) 3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то Скрыть содержимое По умолчанию основной профиль, клиент 172.16.16.16 ~ # ip ro default dev ppp0 scope link ... 172.16.16.16 dev sstp0 proto kernel scope link src 192.168.1.1 ... ~ # нужная нам table 12 от нужного профиля WG (в которой только WG активен nwg4) ~ # ip rule add from 172.16.16.16/32 table 12 ~ # ~ # ip ro show table 12 default dev nwg4 scope link ... 172.16.16.16 dev sstp0 scope link ... ~ # Запускаю на клиенте speedtest в итоге имею IP адрес от интерфейса Wireguard4 ( nwg4 ) Данная команда которая единственная " ip rule add from 172.16.16.16/32 table 12 " через ПО роутера не добавить для этого нужен Entwqre + пакеты (ip-bridge + ip-full). Отключаюсь данным клиентом, спустя 5 минут подключаюсь им и смотрю Скрыть содержимое ~ # ip ro show table 12 default dev nwg4 scope link 172.16.16.16 dev sstp0 scope link Все на месте. возможно придется придумать контроль данного стат.маршрута, ну тут любым доступным способом - проверка по ifconfig sstp0 Link encap:Point-to-Point Protocol inet addr:192.168.1.1 P-t-P:172.16.16.16 Mask:255.255.255.255 - проверка " show sstp-server " "tunnel": [ { "ethernet": false, "clientaddress": "172.16.16.16", "username": "VPN-t1", ... - или https://github.com/ndmsystems/packages/wiki/Opkg-Component /opt/etc/ndm/sstp_vpn_up.d # vi 1.sh #!/bin/sh echo " $ndm_opkg_id $iface $remote $local " >> /opt/tmp/sstp /opt/tmp/sstp VPN-t1 sstp0 ххх.ххх.ххх.212 172.16.16.16 Ремарка пока пробовал - отключался/подключался table 12 оставалась с прописанным маршрутом ранее, но проверка думаю не помешает. как узнать , table маршрутизации ( show ip policy ) для профиля? Походу черезвеб морду не запустится. придется черезкомандную строку делать Quote Link to comment Share on other sites More sharing options...
vasek00 Posted August 12 Share Posted August 12 (edited) 8 часов назад, x13 сказал: как узнать , table маршрутизации ( show ip policy ) для профиля? Походу черезвеб морду не запустится. придется черезкомандную строку делать 192.168.1.1/a в 42B2 работает так же (в 4.2 - 42B1 - 192.168.1.1/webcli) Скрытый текст show ip policy { "policy": { "Policy0": { "description": "C-", "mark": "ffffaaa", "table4": 10, "route4": { "route": [ { "destination": "0.0.0.0/0", "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false ... }, "table6": 10, "route6": {} }, "Policy1": { "description": "In-2", "mark": "ffffaab", "table4": 11, "route4": { "route": [ { "destination": "0.0.0.0/0", "gateway": "0.0.0.0", "interface": "PPPoE0", "metric": 120, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false ... Edited August 12 by vasek00 Quote Link to comment Share on other sites More sharing options...
x13 Posted August 12 Share Posted August 12 / # show ip policy /opt/bin/sh: show: not found / # Я так понимаю мне нужны пакеты (ip-bridge + ip-full)? Есть ссылка на их скачивание? Где их брать? Quote Link to comment Share on other sites More sharing options...
Leshiyart Posted August 13 Share Posted August 13 7 часов назад, x13 сказал: / # show ip policy /opt/bin/sh: show: not found / # Я так понимаю мне нужны пакеты (ip-bridge + ip-full)? Есть ссылка на их скачивание? Где их брать? это делается не в ентвар, а в штатном cli Quote Link to comment Share on other sites More sharing options...
x13 Posted August 13 Share Posted August 13 (edited) ~ # ip rule add from 172.16.3.33/32 table 10 сделал не помогло "Policy0": { "description": "Трафик через VPS", "mark": "ffffaaa", "table4": 10, "route4": { "route": [ { "destination": "0.0.0.0/0", "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false }, { "destination": "1.1.1.1/32", "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false }, { } ip hotspot policy Wireguard3 Policy0 { "prompt": "(config)", "status": [ { "status": "message", "code": "19006440", "ident": "Hotspot::Manager", "message": "policy \"Policy0\" applied to interface \"Wireguard3\"." } ] } Это тоже делал-не помогло. Помогиге заставить смартфон подключающийся по SSTP ходить в ВПН тоннель. неделю уже мучаюсь. мобила подключается по SSTP. роутер коннект видит но с нее ничего не открывается Edited August 14 by x13 Quote Link to comment Share on other sites More sharing options...
x13 Posted August 14 Share Posted August 14 (edited) В 12.08.2024 в 09:55, vasek00 сказал: 192.168.1.1/a в 42B2 работает так же (в 4.2 - 42B1 - 192.168.1.1/webcli) Скрыть содержимое show ip policy { "policy": { "Policy0": { "description": "C-", "mark": "ffffaaa", "table4": 10, "route4": { "route": [ { "destination": "0.0.0.0/0", "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false ... }, "table6": 10, "route6": {} }, "Policy1": { "description": "In-2", "mark": "ffffaab", "table4": 11, "route4": { "route": [ { "destination": "0.0.0.0/0", "gateway": "0.0.0.0", "interface": "PPPoE0", "metric": 120, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false ... А почему у Вас в Policy 0 только Wireguard0 а у меня куча всего "policy": { "Policy0": { "description": "Трафик через VPS", "mark": "ffffaaa", "table4": 10, "route4": { "route": [ { "destination": "0.0.0.0/0", "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false }, { "destination": "1.1.1.1/32", "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false }, { "destination": "10.1.30.0/24", "gateway": "0.0.0.0", "interface": "Bridge1", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false }, { "destination": "10.8.0.0/24", "gateway": "0.0.0.0", "interface": "Wireguard0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false }, { "destination": "5.15.155.98/18", "gateway": "0.0.0.0", "interface": "GigabitEthernet1", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false }, { "destination": "164.164.164.0/24", "gateway": "0.0.0.0", "interface": "Bridge2", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false }, { "destination": "192.168.0.0/24", "gateway": "0.0.0.0", "interface": "Bridge0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": false, "static": false }, { "destination": "192.168.8.1/32", "gateway": "192.168.10.10", "interface": "SSTP0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": true }, { "destination": "192.168.10.0/24", "gateway": "0.0.0.0", "interface": "SSTP0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false }, { "destination": "192.168.10.10/32", "gateway": "0.0.0.0", "interface": "SSTP0", "metric": 0, "flags": "U", "rejecting": false, "proto": "boot", "floating": true, "static": false Edited August 14 by x13 Quote Link to comment Share on other sites More sharing options...
vasek00 Posted August 14 Share Posted August 14 9 часов назад, x13 сказал: Это тоже делал-не помогло. Странно. Данная команда добавит маршрут для клиента SSTP в Скрытый текст Авг 14 08:51:51 ndm SstpServer::Manager: user "UsrVP" connected from "2хх.хх7.1хх.ххх" with address "172.16.130.29". ~ # ip rule add from 172.16.130.29/32 table 10 ~ # ip rule 0: from all lookup local 9: from 172.16.130.29 lookup 10 10: from all fwmark 0xffffa00 lookup main 100: from all fwmark 0xffffaaa lookup 10 ****** table для маркированных ... или ~ # ip rule add from 172.16.130.29/32 table 75 ~ # ip rule 0: from all lookup local 9: from 172.16.130.29 lookup 75 10: from all fwmark 0xffffa00 lookup main 100: from all fwmark 0xffffaaa lookup 10 ... 451: from 10.10.132.101 lookup 75 ****** table для интерфейса WG (для данной Policy0) ... или ~ # ip rule add from 172.16.130.29/32 table 75 prio 300 ~ # ip rule 0: from all lookup local 10: from all fwmark 0xffffa00 lookup main ... 111: from all fwmark 0xffffaaf blackhole 300: from 172.16.130.29 lookup 75 450: from ххх.ххх.ххх.ххх lookup 74 451: from 10.10.132.101 lookup 75 ... Как итог удаленный клиент подключился, вышел в интернет через провайдера (speedtest на клиенте провайдера), при применении выше правил удаленный клиент вышел через WG (speedtest на клиенте показал), что через WG. ip nat sstp Quote Link to comment Share on other sites More sharing options...
vasek00 Posted August 14 Share Posted August 14 1 час назад, x13 сказал: А почему у Вас в Policy 0 только Wireguard0 Потому что в моем сообщение "портянка" размером меньше чем у вас, и второе там есть "...", третье заострил внимание только на том что показал, остальное не принципиально "..." для решения. Quote Link to comment Share on other sites More sharing options...
x13 Posted August 14 Share Posted August 14 Цитата Как итог удаленный клиент подключился, вышел в интернет через провайдера (speedtest на клиенте провайдера), при применении выше правил удаленный клиент вышел через WG (speedtest на клиенте показал), что через WG. Так пытаюсь еще раз. Раз. Два. и никак Nat включен. Включаю Open SSTP - подключаюсь к роутеру, и на мобиле ни одна страница не открывается. Что еще может быть? может как то трассировку на мобиле глянуть.? где затык. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.