Возможность пускать клиентов VPN по определенному интернет-подключению

[4e.Guevara]

В общем пришел к тому, что очень не хватает этой фичи. Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать. Как вариант - сделать привязку пользователей, которым разрешено подключаться к роутеру, по IP и далее уже в "приоритетах подключений" создавать политики доступа исходя из этих IP или самих пользователей

[vasek00]

  В 09.08.2024 в 20:00, Reolins сказал:

а можно ли как то сделать rate limit для полиси/private интерфейса wg/vpn сервера? 

Показать  

Это не оно

  Показать контент

 

ip policy Policy0
...
    rate-limit Wireguard0 input auto

 

 

Изменено 10 августа, 2024 пользователем vasek00

[Reolins]

  В 10.08.2024 в 06:31, vasek00 сказал:

Это не оно

  Показать контент

 

ip policy Policy0
...
    rate-limit Wireguard0 input auto

 

 

Показать  

Ни ntce upstream rate-limit Wireguard1, ни опция выше у меня фактически не снижает скорость на Wireguard интерфейсе

 

[М. Мik]

Интересная история получается с заворачиваем трафика через ip hotspot policy Wireguard3 Policy0.

Прошу подтвердить мои догадки, итак мы имеем сегмент сети допустим Home c подсетью 192.168.1.0/24 где правило Policy1,  и второй сегмент TUNEL VPN подсеть 192.168.2.0/24 где правило Policy0.

  Показать контент

И по идеи подсети разные и до друг друга без маршрутизации не должны видеть, на всякий случай проверил на практике так и есть)

поднимаем Wireguard сервер который получает интерфейс Wireguard1, причем из разрешенных сетей для пира только 172.16.82.0/24 ну и 0.0.0.0/0

применяем ip hotspot policy Wireguard1  Policy0, трафик прекрасно заворачивается из одного тунеля в другой. но появляется эффект вседоступности для клиентов Wireguard1 сервера, т.е. я могу заходить в веб морду через 192.168.1.1  к другому серваку в веб морду 192.168.1.133, и к устройсвам в сети 192.168.2.1

Это особенность политики? ведь для клиентов Policy0 подсети 192.168.2.0 такое счастье не доступно... 

Баг, фича, или незнания??

[Mr.Derbes]

 

  В 18.07.2024 в 05:58, AVPikhtin сказал:

начиная с 4.2, для того что бы клиенты IKEv2 сервера на Keenetic

Показать  

  В 18.07.2024 в 07:48, Le ecureuil сказал:

Да. Вы слово в слово повторили что я написал выше.

Показать  

  В 07.06.2024 в 21:30, Le ecureuil сказал:

Начиная с 4.2.11 уже есть

Показать  

Всё же с 4.2, или с 4.2.11?

На 4.2.4 не работает: после связывания сегмента с IKEv2 интернет на подключенных клиентах пропадает, тогда как доступ к локальным ресурсам остаётся.

[ctmd]

прошивка 4.2.4

в конфиге

ip hotspot

policy Wireguard0 Policy0

 

но трафик идет через основное соединение

что может быть не так?

 

заработало после того как прописал маршруты в bridge0 и 1

Изменено 21 декабря, 2024 пользователем ctmd

[Ugro]

  В 07.06.2024 в 22:24, Le ecureuil сказал:

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

Показать  

Огромное спасибо!) Кучу времени потратил, а ларчик просто открывался)

[Le ecureuil]

Частично реализовано через привязку сегмента, на котором работает VPN Server к политике.