Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Маршрутизация VPN соединений

wdmaster

Ответ от wdmaster,

 Поделиться

Вопрос

wdmaster Пользователь

wdmaster

Опубликовано
Опубликовано

Дано:

Имеем giga 3 (v3.7b5) + entware nginx.

На роутере настроены строго по гайдам vpn сервера:

1)VirtualIPServer

2)VirtualIPServerIKE2

3)WireGuard

Имеем телефон на Android 11 OnePlus 8pro с настроенными соответствующими VPN клиентами.

Web server (nginx) запущен и примимет запросы.

Поочередно соединяюсь каждым методом и отправлю запрос на доменное имя(example.ru), которое адрессуется на мой Nginx.

Смотрю откуда пришел запрос (remote_addr):

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). На настройки маршрута пересылки (в телефоне) вообще не реагирует, всегда внешний ip получаю.

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула VPN IKE2 (условно 172.20.8.2).

3)WireGuard: nginx регистрирует запрос от ip сотового оператора (внешний), аналогично VirtualIPServer.

Вопрос, почему так происходит, все ли правильно работает? где можно настроить маршрут к веб серверу?

 

PS: после сброса настроек VirtualIPServer в профиль возвращается настройка identity-local fqdn mykeenetic.net, возможно уже не актуально?

 

11 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
  В 07.11.2021 в 21:30, wdmaster сказал:

Дано:

Имеем giga 3 (v3.7b5) + entware nginx.

На роутере настроены строго по гайдам vpn сервера:

1)VirtualIPServer

2)VirtualIPServerIKE2

3)WireGuard

Имеем телефон на Android 11 OnePlus 8pro с настроенными соответствующими VPN клиентами.

Web server (nginx) запущен и примимет запросы.

Поочередно соединяюсь каждым методом и отправлю запрос на доменное имя(example.ru), которое адрессуется на мой Nginx.

Смотрю откуда пришел запрос (remote_addr):

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). На настройки маршрута пересылки (в телефоне) вообще не реагирует, всегда внешний ip получаю.

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула VPN IKE2 (условно 172.20.8.2).

3)WireGuard: nginx регистрирует запрос от ip сотового оператора (внешний), аналогично VirtualIPServer.

Вопрос, почему так происходит, все ли правильно работает? где можно настроить маршрут к веб серверу?

 

PS: после сброса настроек VirtualIPServer в профиль возвращается настройка identity-local fqdn mykeenetic.net, возможно уже не актуально?

 

Показать  

1 и 2 на роутере устроены внутри абсолютно одинаково, разница только в способе согласования ключей. Потому разницу в работе нужно адресовать производителям телефона, если она вас беспокоит.

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

  • 0
wdmaster Пользователь

wdmaster

Опубликовано
  • Автор
Опубликовано
  В 08.11.2021 в 07:49, Le ecureuil сказал:

1 и 2 на роутере устроены внутри абсолютно одинаково, разница только в способе согласования ключей. Потому разницу в работе нужно адресовать производителям телефона, если она вас беспокоит.

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

Показать  

Попробовал на другом телефоне, аналогичная ситуация, может разница в различной работе NAT на серверах?

  • 0
wdmaster Пользователь

wdmaster

Опубликовано
  • Автор
Опубликовано

Выключил NAT и повторил запросы, получил интересную ситуацию:

1)VirtualIPServer: nginx регистрирует запрос от ip сотового оператора (внешний). Такого быть же не должно!?

2)VirtualIPServerIKE2: nginx регистрирует запрос от ip от внутреннего пула. Стандартно.

  • 0
wdmaster Пользователь

wdmaster

Опубликовано
  • Автор
Опубликовано
  В 09.11.2021 в 10:06, Le ecureuil сказал:

Вообще такое может быть, это особенность работы IPsec. Но сильно зависит от реализации на клиенте.

Показать  

Маршруты пересылки в клиенте учитываются при работе сервера IPsec?

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
  В 09.11.2021 в 10:33, wdmaster сказал:

Маршруты пересылки в клиенте учитываются при работе сервера IPsec?

Показать  

Так все от клиента зависит. Сервер ему предлагает TS с 0.0.0.0/0, а дальше как захочет.

  • 0
wdmaster Пользователь

wdmaster

Опубликовано
  • Автор
Опубликовано
  В 08.11.2021 в 07:49, Le ecureuil сказал:

По поводу wg - это реально непонятная история, скорее всего трафик идет "мимо".

Показать  

Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?

  • 0
wdmaster Пользователь

wdmaster

Опубликовано
  • Автор
Опубликовано
  В 17.11.2021 в 19:28, wdmaster сказал:

Действительно через wg трафик идёт "мимо", сторонние сервисы видят ip оператора сотовой связи, а не роутера. Куда смотреть, в какие настройки?

Показать  

Этот вопрос снят, решилось гадами.

  • 0
wdmaster Пользователь

wdmaster

Опубликовано
  • Автор
Опубликовано (изменено)
  В 18.11.2021 в 12:30, wdmaster сказал:

https://help.keenetic.com/hc/ru/articles/360010551419

Показать  

Только приоритет ниже провайдера нужно оставить.

Изменено пользователем wdmaster

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю