Wireguard и политики доступа

[Igora1505]

Имеется роутер Keenetic peak в качестве клиента с настроенными соединениями Wireguard.  Соединения до серверов VPS и их более 15 шт. Каждое устройство локальной сети выходит через свой канал WG с помощью политик доступа. Это необходимо для получения большого числа белых IP адресов. Все прекрасно работает, но ограничено количеством политик подключения в 16 шт. Более 16-ти шт создать нельзя, хотя самих соединений WG роутер поддерживает до 128 шт. Можно ли как то через консоль или маршрутизацией привязать выход конкретного устройства локальной сети через определенное WG соединение, так как лимит создания политик исчерпан.

[Igora1505]

14 минуты назад, ANDYBOND сказал:

https://help.keenetic.com/hc/ru/articles/360000521799-Приоритеты-подключений

У меня настроено 16-ть политик и все устройства по ним разнесены. Вы видимо не прочитали суть вопроса. Необходимо разнести более чем 16 -ть устройств по Wiregurd соединениям , которых тоже более 16

[Igora1505]

Я просто спрашивал, может костыль какой есть с маршрутизацией или обходной способ. 

[Mamay]

1 час назад, Igora1505 сказал:

Я просто спрашивал, может костыль какой есть с маршрутизацией или обходной способ. 

1 час назад, ANDYBOND сказал:

Нет.

1. Вы можете попробовать аргументировано попытаться доказать разработчикам необходимость повышения лимита, путём создания в соответствующей ветке форума топа.

2. Вы можете взять в руки напильник и попытаться же в любом из устанавливаемых на внешний HDD GNU/Linux изваять в цифре своё.

[Igora1505]

7 минут назад, ANDYBOND сказал:

https://help.keenetic.com/hc/ru/articles/115005342025-Типы-VPN-соединений-в-Keenetic

Да я в курсе что их 128, у меня как раз кинетик пик. 

Изменено 2 декабря, 2022 пользователем Igora1505

[Igora1505]

В техподдержку писал, ждем когда наберется достаточно желающих на такую обнову, а столько профилей вряд ли кому то нужно ))). Интересно с чем связано такое ограничение на 16 профилей и дикая сложность их увеличить. Тоесть ресурсов на поддержку большого количества впн соединений достаточно, а привязать по ним устройства никак ))

Изменено 2 декабря, 2022 пользователем Igora1505

[Mamay]

Только что, Igora1505 сказал:

Интересно с чем связано такое ограничение на 16 профилей и дикая сложность

Очевидно же. С деньгами. Если хотите со временем, ах да это ж и есть деньги. ))

3 минуты назад, Igora1505 сказал:

а столько профилей вряд ли кому то нужно ))). 

Потому и 16.

[Igora1505]

Немного тупанул, сменил старенький кинетик экстра2 , так как тот не тянул более 10 wg соединений , процессора не хватало. Прочитал что в киетик пик аж 128 держит, не думал что в самой дорогой железке столкнусь с таким нелепым по моему делитанскому мнению ограничению. 

[R0cky]

Разрабы до сих пор не могут допилить для Wireguard куда более востребованную функцию - Возможность выбора интернет-подключения, через которое будет осуществляться подключение к впн серверу. А вы тут совсем нестандартные хотелки реализовать предлагаете. Очень вряд ли дождетесь. Ищите костыли

[vasek00]

21 час назад, Igora1505 сказал:

В техподдержку писал, ждем когда наберется достаточно желающих на такую обнову, а столько профилей вряд ли кому то нужно ))). Интересно с чем связано такое ограничение на 16 профилей и дикая сложность их увеличить. Тоесть ресурсов на поддержку большого количества впн соединений достаточно, а привязать по ним устройства никак ))

Для каждого профиля это своя таблица маршрутизации и своя mark пакетов для профиля.

[Тимми]

В 03.12.2022 в 10:49, R0cky сказал:

Разрабы до сих пор не могут допилить для Wireguard куда более востребованную функцию - Возможность выбора интернет-подключения, через которое будет осуществляться подключение к впн серверу. А вы тут совсем нестандартные хотелки реализовать предлагаете. Очень вряд ли дождетесь. Ищите костыли

А что, эксклюзивной маршрутизацией это не решается для вас?

[R0cky]

В 09.12.2022 в 03:50, Тимми сказал:

А что, эксклюзивной маршрутизацией это не решается для вас?

Маршрутизация не избирательно направляет весь исходящий трафик до определенного узла через заданный интерфейс

Для задачи пустить подключение wireguard через определенный интеренет-интерфейс это не всегда подходит потому что:

1. Ип адрес устройства, на котором поднят wireguard сервер может быть динамическим и тогда придется маршрутизировать целые подсети. Если маршрутизировать подсеть, то в ней могут быть ресурсы, на которые необходимо ходить через wireguard. Возникает противоречие, которое маршрутизацией никак не решить.

2. На самом устройстве, где поднят wireguard сервер могут присутствовать другие сервисы, доступ к которым пойдет мимо wireguard. А в случае если в политике доступа для клиента запрещены любые подключения кроме впн Wireguard (иногда такое требуется например для обхода ограничений опсосов), то доступ до этих сервисов блокируется. Вот такая петрушка с этим костыльным решением путем маршрутизации.

[Тимми]

7 часов назад, R0cky сказал:

Маршрутизация не избирательно направляет весь исходящий трафик до определенного узла через заданный интерфейс

 

Ок, соглашусь.

[Igora1505]

А есть ли возможность через openwrt завернуть весь исходящий траффик с определенного ip локальной сети на интерфейс wg? через маркировку пакетов iptables и прочее? Есть ли у кого то работающие примеры?

Изменено 6 января, 2023 пользователем Igora1505

[avn]

13 минуты назад, Igora1505 сказал:

А есть ли возможность через openwrt завернуть весь исходящий траффик с определенного ip локальной сети на интерфейс wg? через маркировку пакетов iptables и прочее? Есть ли у кого то работающие примеры?

Читай про ip rule