Возможность пускать клиентов VPN по определенному интернет-подключению

4e.Guevara · 25 августа, 2022

В общем пришел к тому, что очень не хватает этой фичи. Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать. Как вариант - сделать привязку пользователей, которым разрешено подключаться к роутеру, по IP и далее уже в "приоритетах подключений" создавать политики доступа исходя из этих IP или самих пользователей

Jeff · 6 июня

+1 за политики доступа исходя из IP/логинов клиентов VPN

Namenloss · 19 мая, 2023

+1

Mr. Grey · 5 июня, 2023

Тоже голосую "за" идею. Пока приходится делать нужное для VPN-клиентов подключение к интернету ОСНОВНЫМ, а домашних пользователей пускать через резервное.

Le ecureuil · 6 июня

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

vasek00 · 6 июня

3 часа назад, Le ecureuil сказал:

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

А можно узнать как то эту команду для привязки политики сервера VPN можно использовать.

krass · 6 июня

21 минуту назад, vasek00 сказал:

А можно узнать как то эту команду для привязки политики сервера VPN можно использовать.

И вправду не нашел команды...предполагал, что будет в журнале изменений -- прошивка 4.2.А.11....

Le ecureuil · 7 июня

18 часов назад, krass сказал:

И вправду не нашел команды...предполагал, что будет в журнале изменений -- прошивка 4.2.А.11....

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Denis P · 7 июня

58 минут назад, Le ecureuil сказал:

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Для ikev2 или того же wg нет возможности выбрать "сегмент"

По этому решение сложно назвать универсальным)

Изменено 7 июня пользователем Denis P

vasek00 · 7 июня

53 минуты назад, Le ecureuil сказал:

Так команды и нет.
Вы когда настраиваете VPN-сервер, то выбираете же сегмент для него? Вот политика этого сегмента и будет использована. Если никакой нет, то как раньше все. Настроек новых не добавилось, скорее "подровняли" под то, как изначально должно было быть.

Пример PPTP сервера или SSTP аналогичен.

Скрытый текст

-2.jpg.17d8118aa2c095c6331077306cb0c1ad.jpg

Или речь идет что то с применением "connect via" для интерфейса

eralde · 7 июня

1 час назад, vasek00 сказал:

Пример PPTP сервера или SSTP аналогичен.

Показать содержимое

Или речь идет что то с применением "connect via" для интерфейса

В случае PPTP, SSTP и L2TP/IPsec будет использована политика того сегмента, который выбран в поле "Доступ к сети" (на вашем скриншоте -- HomeLan)

vasek00 · 7 июня

1 час назад, eralde сказал:

В случае PPTP, SSTP и L2TP/IPsec будет использована политика того сегмента, который выбран в поле "Доступ к сети" (на вашем скриншоте -- HomeLan)

Логично так и было. Из ходя из ответа выше

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

и из вашего ответа, тогда например еще один сегмент "Smart" вопрос как на нем поднять VPN?

Если я правильно понял суть первого поста то имелось ввиду совсем другое - Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать.

Это есть политика на роутере к которой привязан какой то канал например WG

interface Wireguard0
    description Cloud-wg
    security-level public
    ip address 10.10.132.101 255.255.255.255

ip policy Policy0
    description Cloud
    permit global Wireguard0

Есть удаленный клиент смартфон который по WG или по любому VPN (у которого есть IP) попадает на роутер -> по умолчанию он попадет в основной профиль, т.к. WG сервер это лок. процесс.

interface Wireguard3
    description PKN-WG
    security-level public

Мы хотим этого клиента смартфон завернуть в Policy0 и дать ему выход в интернет через Wireguard0. Так как он имеет IP, то делается просто (видимо на словах, в реале сложнее для включения ее в WEB настройку) - узнаем нужную таблицу для данной политики и потом добавляем клиента к этой таблице "ip rule add .... table 10".

WG так же. В прошивке все есть, выполняется одна единственная команда, но ее только можно ввести через Entware скрипт.

Изменено 7 июня пользователем vasek00

Le ecureuil · 7 июня

11 час назад, Denis P сказал:

Для ikev2 или того же wg нет возможности выбрать "сегмент"

По этому решение сложно назвать универсальным)

Начиная с 4.2.11 уже есть (правда не выведено в веб, и автоматически привязывается к Home).
Команда в cli выглядит как
> crypto map <NAME> virtual-ip interface <segment>

Le ecureuil · 7 июня

8 часов назад, vasek00 сказал:
Логично так и было. Из ходя из ответа выше

Частично уже есть - начиная с 4.2.A.11 клиенты VPN-серверов ходят в Интернет через политику, привязанную к сегменту, к которому привязан сам VPN-сервер.

и из вашего ответа, тогда например еще один сегмент "Smart" вопрос как на нем поднять VPN?

Если я правильно понял суть первого поста то имелось ввиду совсем другое - Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать.

Это есть политика на роутере к которой привязан какой то канал например WG
interface Wireguard0
    description Cloud-wg
    security-level public
    ip address 10.10.132.101 255.255.255.255

ip policy Policy0
    description Cloud
    permit global Wireguard0
Есть удаленный клиент смартфон который по WG или по любому VPN (у которого есть IP) попадает на роутер -> по умолчанию он попадет в основной профиль, т.к. WG сервер это лок. процесс.
interface Wireguard3
    description PKN-WG
    security-level public
Мы хотим этого клиента смартфон завернуть в Policy0 и дать ему выход в интернет через Wireguard0. Так как он имеет IP, то делается просто (видимо на словах, в реале сложнее для включения ее в WEB настройку) - узнаем нужную таблицу для данной политики и потом добавляем клиента к этой таблице "ip rule add .... table 10".

WG так же. В прошивке все есть, выполняется одна единственная команда, но ее только можно ввести через Entware скрипт.

WG - это другое. Как и OpenVPN.

Когда мы говорим про VPN-серверы, всегда речь идет о шести единообразных с жестким разделением: PPTP, SSTP, L2TP/IPsec, VIP Xauth, IKEv2, OpenConnect.

krass · 7 июня

Только что, Le ecureuil сказал:

WG - это другое. Как и OpenVPN.

А можно про WG и OpenVPN поподробней? Для них будет или уже тоже реализовано?

Le ecureuil · 7 июня

46 минут назад, krass сказал:

А можно про WG и OpenVPN поподробней? Для них будет или уже тоже реализовано?

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

Denis P · 7 июня

33 минуты назад, Le ecureuil сказал:

security-level private

Тут есть неприятные спецэффекты с перезапуском сервисов типа smb которые слушают все private интерфейсы

35 минут назад, Le ecureuil сказал:

ip policy interface Wireguard0 <POLICY>

Спасибо, а мужики то не знают

vasek00 · 8 июня

8 часов назад, Le ecureuil сказал:

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

В наличие

interface Wireguard3
    description KN-WG
    security-level private
...
    wireguard peer Z8.....................TY= !73
...
    connect
    !
    wireguard peer y09....................CA= !505
...
    connect
    !
    up

Сервер для доступа клиентов

ip policy Policy0
    description Cl
    permit global Wireguard0

ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9

Вводим команду, а в ответ "no such command"

(config)> ip policy interface Wireguard3 Policy0
Command::Base error[7405600]: no such command: Wireguard3.
(config)> ip policy interface Wireguard3 Policy1
Command::Base error[7405600]: no such command: Wireguard3.
(config)> 

(config)> ip policy 

 Usage template:  
           policy {name}

r13 · 8 июня

38 минут назад, vasek00 сказал:

В наличие

interface Wireguard3
    description KN-WG
    security-level private
...
    wireguard peer Z8.....................TY= !73
...
    connect
    !
    wireguard peer y09....................CA= !505
...
    connect
    !
    up

Сервер для доступа клиентов

ip policy Policy0
    description Cl
    permit global Wireguard0

ip policy Policy1
    description In-2
    permit global GigabitEthernet0/Vlan9

Вводим команду, а в ответ "no such command"

(config)> ip policy interface Wireguard3 Policy0
Command::Base error[7405600]: no such command: Wireguard3.
(config)> ip policy interface Wireguard3 Policy1
Command::Base error[7405600]: no such command: Wireguard3.
(config)> 

(config)> ip policy 

 Usage template:  
           policy {name}

ip hotspot policy.... правильная команда полагаю

vasek00 · 8 июня

24 минуты назад, r13 сказал:

ip hotspot policy.... правильная команда полагаю

Похоже

ip hotspot policy {interface} ({access} | {policy})

осталось только проверить на клиенте

ip hotspot policy Wireguard3 Policy0

ip hotspot
...
    policy Wireguard3 Policy0
...

Да проверил все ОК. Удаленный клиент смартфон через мобильного подключился по WG к роутеру и получил доступ в интернет через политику Policy0. Speedtest клиента показал то что надо, а не мобильного.

Изменено 8 июня пользователем vasek00

Le ecureuil · 3 июля

Да, ip hotspot policy WG / OVPN работает именно так, можете использовать ее для Wireguard / OpenVPN / ZeroTier серверов (все, которые выглядят как интерфейс, только не забывайте, что этот интерфейс должен быть не-public).

К сожалению, другие VPN-серверы так не настроишь, но мы работаем над этим.

Denis P · 3 июля

6 часов назад, Le ecureuil сказал:

только не забывайте, что этот интерфейс должен быть не-public

Но это ведь не так, с public тоже всё работает.

Или это баг?)

Le ecureuil · 3 июля

11 минуту назад, Denis P сказал:

Но это ведь не так, с public тоже всё работает.

Или это баг?)

Работает, но вообще интерфейсы в роли сервера рекомендуется делать private.

AVPikhtin · 18 июля

Всем привет.
Подскажите, правильно ли я понял, что начиная с 4.2, для того что бы клиенты IKEv2 сервера на Keenetic, ходили в интернет через WG (клиент), в CLI необходимо задать интерфейс для IKEv2?

crypto map VirtualIPServerIKE2 virtual-ip interface Wireguard0
system configuration save
exit

Изменено 18 июля пользователем AVPikhtin

Le ecureuil · 18 июля

Нет, нужно привязать к свободному сегменту, а этот сегмент воткнуть в политику с wireguard0.

AVPikhtin · 18 июля

16 минут назад, Le ecureuil сказал:

Нет, нужно привязать к свободному сегменту, а этот сегмент воткнуть в политику с wireguard0.

Можно подробнее...
Через раздел "Мои сети и Wi-Fi" мне необходимо создать новый сегмент.
В настройках сегмента, в подразделе "Правила использования интернет-трафика" я выбираю нужную политику доступа с необходимым приоритетом подключений.
Далее связываю это сегмент и IKEv2?

crypto map VirtualIPServerIKE2 virtual-ip interface Bridge1

Le ecureuil · 18 июля

Да. Вы слово в слово повторили что я написал выше.

AVPikhtin · 18 июля

6 минут назад, Le ecureuil сказал:

Да. Вы слово в слово повторили что я написал выше.

Попробовал, получилось не очень.
Если не сложно, взгляните на конфиг.
Что то не то делаю?

interface Bridge1
    description "Test Segment"
    include GigabitEthernet0/Vlan2
    mac access-list type none
    security-level protected
    ip address 192.168.2.1 255.255.255.0
    ip dhcp client dns-routes
    no band-steering
    up
!
ip hotspot
    policy Home permit
    policy Bridge1 Policy0
    host 4a:01:ae:a6:64:d4 permit
    host 4a:01:ae:a6:64:d4 policy Policy0
    host 60:31:97:00:af:ee permit
    host 60:31:97:00:af:ee policy Policy0
    host fe:ca:cb:ff:f0:68 permit
    host fe:ca:cb:ff:f0:68 policy Policy0
!
crypto map VirtualIPServerIKE2
    set-peer any
    set-profile VirtualIPServerIKE2
    set-transform VirtualIPServerIKE2
    traffic-selectors _WEBADMIN_IPSEC_VirtualIPServerIKE2-local _WEBADMIN_IPSEC_VirtualIPServerIKE2-remote
    set-tcpmss 1200
    force-encaps
    no nail-up
    reauth-passive
    virtual-ip range 172.20.8.1 172.20.9.0
    virtual-ip dns-server 78.47.125.180
    virtual-ip nat
    virtual-ip interface Bridge1
    virtual-ip multi-login
    virtual-ip enable
    l2tp-server lcp echo 30 3
    l2tp-server no enable
    enable
!
ip policy Policy0
    description VPN
    permit global Wireguard0
    permit global ISP
    permit auto
!

Le ecureuil · 18 июля

Версия-то какая? Работает только в последних 4.2.

AVPikhtin · 18 июля

Только что, Le ecureuil сказал:

Версия-то какая? Работает только в последних 4.2.

4.2 beta 0 - самая последняя вроде как.
Специально с 4.1.7 обновился.

Reolins · 9 августа

@Le ecureuil - с привязкой wg к полиси все понятно, а можно ли как то сделать rate limit для полиси/private интерфейса wg/vpn сервера?

Возможность пускать клиентов VPN по определенному интернет-подключению

Вопрос

35 ответов на этот вопрос

Рекомендуемые сообщения

Присоединяйтесь к обсуждению

Последние посетители 1 пользователь онлайн

Важная информация