Проброс VPN соединения клиента с Keenetic на другое подключение (не Основное)

[DenAleks]

Честно прочитал десяток тем со схожей историей, но все равно не догнал как действовать.
Сразу скажу, что с CLI от Кинетика работал по минимуму. А значит очевидные вещи для вас могут быть не очевидные для меня.

Keenetic Ultra, N-1810, прошивка 4.2 Beta 2.

Есть основной канал интернета (Россия), есть в Других Подключениях VPN на Казахстан.

Тех нужных, кто подключается локально (LAN и WiFi) мы направили на VPN KZ через Приоритеты Подключений (Политики)
При этом в Политике по умолчанию первым стоит все равно основной канал интернета. А вот в Политике под KZ стоит основным VPN на Казахстан и всё.

При подключении извне к VPN-серверу самого роутера клиенты все равно получают IP от основного канала интернета (Россия). Хотя создан отдельный новый сегмент, в котором прописана Политика именно для KZ VPN. И в настройках VPN сервера также стоит использовать Политику где KZ VPN. Однако это не помогает.

Далее скриншоты: https://cln.sh/76Vq7sSKjtX22jmhWdLv | https://cln.sh/2nyGLgjQgG3LYll8nZ5M | https://cln.sh/xl82Gbt1LwR0XTpsrWSv | https://cln.sh/jQBBXTZrKjjyG9wydNV3

По различным сообщениям в сети как я понял через CLI нужно выполнит некую команду биндинга. Потому что похоже привязка сегмента к VPN серверу настроенному все также не работает...

Прошу помощи – как сделать так, чтобы клиенты подключающиеся к серверу VPN от Кинетика получали публичный IP именного того "Другого подключения" (KZ VPN), которое мне нужно?

[vasek00]

10 часов назад, DenAleks сказал:

Прошу помощи – как сделать так, чтобы клиенты подключающиеся к серверу VPN от Кинетика получали публичный IP именного того "Другого подключения" (KZ VPN), которое мне нужно?

Из ходим из того что есть на сегодня, выдержка из

Цитата

Разработчик

- Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

- Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Для ikev2

Начиная с 4.2.11 уже есть (правда не выведено в веб, и автоматически привязывается к Home). Команда в cli выглядит как 
> crypto map <NAME> virtual-ip interface <segment>

- WG - это другое. Как и OpenVPN. Когда мы говорим про VPN-серверы, всегда речь идет о шести единообразных с жестким разделением: PPTP, SSTP, L2TP/IPsec, VIP Xauth, IKEv2, OpenConnect.

WG и OpenVPN

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

- Да, ip hotspot policy WG / OVPN работает именно так, можете использовать ее для Wireguard / OpenVPN / ZeroTier серверов (все, которые выглядят как интерфейс, только не забывайте, что этот интерфейс должен быть не-public). К сожалению, другие VPN-серверы так не настроишь, но мы работаем над этим. вообще интерфейсы в роли сервера рекомендуется делать private.

 

[Le ecureuil]

11 час назад, DenAleks сказал:

Честно прочитал десяток тем со схожей историей, но все равно не догнал как действовать.
Сразу скажу, что с CLI от Кинетика работал по минимуму. А значит очевидные вещи для вас могут быть не очевидные для меня.

Keenetic Ultra, N-1810, прошивка 4.2 Beta 2.

Есть основной канал интернета (Россия), есть в Других Подключениях VPN на Казахстан.

Тех нужных, кто подключается локально (LAN и WiFi) мы направили на VPN KZ через Приоритеты Подключений (Политики)
При этом в Политике по умолчанию первым стоит все равно основной канал интернета. А вот в Политике под KZ стоит основным VPN на Казахстан и всё.

При подключении извне к VPN-серверу самого роутера клиенты все равно получают IP от основного канала интернета (Россия). Хотя создан отдельный новый сегмент, в котором прописана Политика именно для KZ VPN. И в настройках VPN сервера также стоит использовать Политику где KZ VPN. Однако это не помогает.

Далее скриншоты: https://cln.sh/76Vq7sSKjtX22jmhWdLv | https://cln.sh/2nyGLgjQgG3LYll8nZ5M | https://cln.sh/xl82Gbt1LwR0XTpsrWSv | https://cln.sh/jQBBXTZrKjjyG9wydNV3

По различным сообщениям в сети как я понял через CLI нужно выполнит некую команду биндинга. Потому что похоже привязка сегмента к VPN серверу настроенному все также не работает...

Прошу помощи – как сделать так, чтобы клиенты подключающиеся к серверу VPN от Кинетика получали публичный IP именного того "Другого подключения" (KZ VPN), которое мне нужно?

Пришлите, пожалуйста, self-test скрытым файлом снятый в момент, когда все включено, но не работает. И еще конкретный хост подскажите (его MAC или IP), с которого вы пытаетесь это проверить.

[cool]

Может быть дело в этом?

 

[DenAleks]

Такая настройка стоит уже https://cln.sh/9CqSdg2d8354qw4nnK1H

Я пока попробовал выполнить пару команд (понаходил в других топиках)

crypto map VPNL2TPServer virtual-ip interface Bridge1
crypto map VirtualIPServerIKE2 virtual-ip interface Bridge1
system configuration save

На Bridge1 у меня как раз сегмент KZ, к которому привязана политику KZ (где уже внутри политики KZ VPN)

Вскоре достану селф-тесты

[cool]

4 часа назад, DenAleks сказал:

Такая настройка стоит уже

Так правильно, галочка у вас стоит, а если вы ВНИМАТЕЛЬНО прочтете (или хотя бы вообще прочтете) первую строчку моей ссылке и увидите:

Цитата

Проблема была в том что нужно было снять галочку в широкополосном соединении Игнорировать DNSv4 интренет провайдера. после снятия - все заработало.

 

Edited August 16 by cool

[DenAleks]

У меня в целом был выключен IPv6. Сейчас включил, галочку снял, но она DNSv6.
А галочки DNSv4 я не вижу.

https://cln.sh/PvqzGtwF2yfsbHn6Tc6N

[cool]

Значит это не ваш случай. Проблема наверно в другом.

[Le ecureuil]

Будет поправлено в следующем релизе 4.2.

[stefbarinov]

Только что, Le ecureuil сказал:

Будет поправлено в следующем релизе 4.2.

Как скоро ожидать?