Возможность пускать клиентов VPN по определенному интернет-подключению

[4e.Guevara]

В общем пришел к тому, что очень не хватает этой фичи. Вкратце - часто подключаюсь с телефона к впн-серверу на домашнем роутере. На самом роутере несколько исходящих инет-подключений, включая разные впн. По умолчанию подключение в инет идет по активному на данный момент каналу, а хотелось бы иметь возможность выбора для клиентов впн, через какой канал их выпускать. Как вариант - сделать привязку пользователей, которым разрешено подключаться к роутеру, по IP и далее уже в "приоритетах подключений" создавать политики доступа исходя из этих IP или самих пользователей

[vasek00]

10 часов назад, Reolins сказал:

а можно ли как то сделать rate limit для полиси/private интерфейса wg/vpn сервера? 

Это не оно

Скрытый текст

 

ip policy Policy0
...
    rate-limit Wireguard0 input auto

 

 

Изменено 10 августа пользователем vasek00

[Reolins]

On 8/10/2024 at 9:31 AM, vasek00 said:

Это не оно

  Hide contents

 

ip policy Policy0
...
    rate-limit Wireguard0 input auto

 

 

Ни ntce upstream rate-limit Wireguard1, ни опция выше у меня фактически не снижает скорость на Wireguard интерфейсе

 

[М. Мik]

Интересная история получается с заворачиваем трафика через ip hotspot policy Wireguard3 Policy0.

Прошу подтвердить мои догадки, итак мы имеем сегмент сети допустим Home c подсетью 192.168.1.0/24 где правило Policy1,  и второй сегмент TUNEL VPN подсеть 192.168.2.0/24 где правило Policy0.

Скрытый текст

И по идеи подсети разные и до друг друга без маршрутизации не должны видеть, на всякий случай проверил на практике так и есть)

поднимаем Wireguard сервер который получает интерфейс Wireguard1, причем из разрешенных сетей для пира только 172.16.82.0/24 ну и 0.0.0.0/0

применяем ip hotspot policy Wireguard1  Policy0, трафик прекрасно заворачивается из одного тунеля в другой. но появляется эффект вседоступности для клиентов Wireguard1 сервера, т.е. я могу заходить в веб морду через 192.168.1.1  к другому серваку в веб морду 192.168.1.133, и к устройсвам в сети 192.168.2.1

Это особенность политики? ведь для клиентов Policy0 подсети 192.168.2.0 такое счастье не доступно... 

Баг, фича, или незнания??

[Mr.Derbes]

 

В 18.07.2024 в 07:58, AVPikhtin сказал:

начиная с 4.2, для того что бы клиенты IKEv2 сервера на Keenetic

В 18.07.2024 в 09:48, Le ecureuil сказал:

Да. Вы слово в слово повторили что я написал выше.

В 07.06.2024 в 23:30, Le ecureuil сказал:

Начиная с 4.2.11 уже есть

Всё же с 4.2, или с 4.2.11?

На 4.2.4 не работает: после связывания сегмента с IKEv2 интернет на подключенных клиентах пропадает, тогда как доступ к локальным ресурсам остаётся.

[ctmd]

прошивка 4.2.4

в конфиге

ip hotspot

policy Wireguard0 Policy0

 

но трафик идет через основное соединение

что может быть не так?

 

заработало после того как прописал маршруты в bridge0 и 1

Изменено 21 декабря пользователем ctmd

[Ugro]

В 08.06.2024 в 01:24, Le ecureuil сказал:

Их и так уже можно привязать (если они имеют security-level private, то есть это "сервер") через
> ip policy interface Wireguard0 <POLICY>

Огромное спасибо!) Кучу времени потратил, а ларчик просто открывался)