завернуть трафик клиентов SSTP в мое подключение Wireguard

[BeaViSs]

добрый день

Есть задача трафик пользователей SSTP VPN (у меня на роутере поднят сервер) отправить в Wireguard подключение, также установленное на моем роутере

 

но никак не могу понять, где такое сделать

Казалось бы можно было бы сделать просто маршрутизацией, указав для source IP интерфейс по-умолчанию - WireguardVPN

но маршрутизации по source IP нет

Пробовал привязать к гостевому сегменту весь SSTP, а гостевой сегмент через приоритеты подключений-применение политик переместить в Wireguard подключение

но это не сработало

 

Есть ли возможность как-то пользователей VPN сервера Keenetic отправить в нужный Upstream?

 

Ultra II (еще черная), 4.1 Beta 0.1

[vasek00]

  В 12.12.2023 в 07:53, BeaViSs сказал:

Есть задача трафик пользователей SSTP VPN (у меня на роутере поднят сервер) отправить в Wireguard подключение, также установленное на моем роутере

Есть ли возможность как-то пользователей VPN сервера Keenetic отправить в нужный Upstream?

Показать  

На текущий день - Entware + маршрутизация. Данные :

1. SSTP VPN сервер -> клиент подключившись имеет IP адрес (желательно зарег. пользователя/пароль и привязать его к IP)

2. Поднят Wireguard

Решение - будущий клиент 4G удаленно подключается к роутеру на его SSTP сервер :

1. Создать профиль для Wireguard на роутере и в нем один единственный канал Wireguard активен, узнать для него table маршрутизации ( show ip policy )

2. Найти для созданного профиля п.1 параметр table его номер (для 4.1 это будет 10 или 11 или 12 или 13 и т.д.)

3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то

  Показать контент

По умолчанию основной профиль, клиент 172.16.16.16 
~ # ip ro
default dev ppp0  scope link 
...
172.16.16.16 dev sstp0  proto kernel  scope link  src 192.168.1.1 
...
~ # 

нужная нам table 12 от нужного профиля WG (в которой только WG активен nwg4)
~ # ip rule add from 172.16.16.16/32 table 12
~ # 
~ # ip ro show table 12
default dev nwg4  scope link 
...
172.16.16.16 dev sstp0  scope link 
...
~ # 

 

Запускаю на клиенте speedtest в итоге имею IP адрес от интерфейса Wireguard4 ( nwg4 )

Данная команда которая единственная " ip rule add from 172.16.16.16/32 table 12 " через ПО роутера не добавить для этого нужен Entwqre + пакеты (ip-bridge + ip-full).

Отключаюсь данным клиентом, спустя 5 минут подключаюсь им и смотрю

  Показать контент

~ # ip ro show table 12
default dev nwg4  scope link 

172.16.16.16 dev sstp0  scope link 

Все на месте.

возможно придется придумать контроль данного стат.маршрута, ну тут любым доступным способом

- проверка по ifconfig

sstp0     Link encap:Point-to-Point Protocol  
          inet addr:192.168.1.1  P-t-P:172.16.16.16  Mask:255.255.255.255

- проверка " show sstp-server "

 "tunnel": [
        {
            "ethernet": false,
            "clientaddress": "172.16.16.16",
            "username": "VPN-t1",
...

- или https://github.com/ndmsystems/packages/wiki/Opkg-Component

/opt/etc/ndm/sstp_vpn_up.d # vi 1.sh

#!/bin/sh
echo " $ndm_opkg_id $iface $remote $local " >> /opt/tmp/sstp

/opt/tmp/sstp
VPN-t1 sstp0 ххх.ххх.ххх.212 172.16.16.16

 

Ремарка пока пробовал - отключался/подключался table 12 оставалась с прописанным маршрутом ранее, но проверка думаю не помешает.

[Dimbas]

  В 12.12.2023 в 09:44, vasek00 сказал:

На текущий день - Entware + маршрутизация. Данные :

1. SSTP VPN сервер -> клиент подключившись имеет IP адрес (желательно зарег. пользователя/пароль и привязать его к IP)

2. Поднят Wireguard

Решение - будущий клиент 4G удаленно подключается к роутеру на его SSTP сервер :

1. Создать профиль для Wireguard на роутере и в нем один единственный канал Wireguard активен, узнать для него table маршрутизации ( show ip policy )

2. Найти для созданного профиля п.1 параметр table его номер (для 4.1 это будет 10 или 11 или 12 или 13 и т.д.)

3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то

  Показать контент

По умолчанию основной профиль, клиент 172.16.16.16 
~ # ip ro
default dev ppp0  scope link 
...
172.16.16.16 dev sstp0  proto kernel  scope link  src 192.168.1.1 
...
~ # 

нужная нам table 12 от нужного профиля WG (в которой только WG активен nwg4)
~ # ip rule add from 172.16.16.16/32 table 12
~ # 
~ # ip ro show table 12
default dev nwg4  scope link 
...
172.16.16.16 dev sstp0  scope link 
...
~ # 

 

Запускаю на клиенте speedtest в итоге имею IP адрес от интерфейса Wireguard4 ( nwg4 )

Данная команда которая единственная " ip rule add from 172.16.16.16/32 table 12 " через ПО роутера не добавить для этого нужен Entwqre + пакеты (ip-bridge + ip-full).

Отключаюсь данным клиентом, спустя 5 минут подключаюсь им и смотрю

  Показать контент

~ # ip ro show table 12
default dev nwg4  scope link 

172.16.16.16 dev sstp0  scope link 

Все на месте.

возможно придется придумать контроль данного стат.маршрута, ну тут любым доступным способом

- проверка по ifconfig

sstp0     Link encap:Point-to-Point Protocol  
          inet addr:192.168.1.1  P-t-P:172.16.16.16  Mask:255.255.255.255

- проверка " show sstp-server "

 "tunnel": [
        {
            "ethernet": false,
            "clientaddress": "172.16.16.16",
            "username": "VPN-t1",
...

- или https://github.com/ndmsystems/packages/wiki/Opkg-Component

/opt/etc/ndm/sstp_vpn_up.d # vi 1.sh

#!/bin/sh
echo " $ndm_opkg_id $iface $remote $local " >> /opt/tmp/sstp

/opt/tmp/sstp
VPN-t1 sstp0 ххх.ххх.ххх.212 172.16.16.16

 

Ремарка пока пробовал - отключался/подключался table 12 оставалась с прописанным маршрутом ранее, но проверка думаю не помешает.

Показать  

Спасибо, все замечательно работает. Но после перезагрузки маршрут пропадает. Как его можно сохранить постоянно?

[vasek00]

  В 29.02.2024 в 11:34, Dimbas сказал:

Спасибо, все замечательно работает. Но после перезагрузки маршрут пропадает. Как его можно сохранить постоянно?

Показать  

На вскидку.

Вариант 1.

Так как все скрипты Entware запускаются через /opt/etc/init.d то можно создать скрип запуска с одной командой после некоторой задержки

  Показать контент

#!/bin/sh
PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

sleep 30;
ip rule add from 172.16.130.29/32 table 12;

Файл должен иметь имя Snnnхххххх, где

S - обязательно, так как это Start

nnn - цифра, скрипты в данном каталоге запускаются по порядку с 1 и будут по nnn, например S102-SSTP. Далее "chmod 755 S102-SSTP".

Вариант 2.

Считаем что профиль готов к работе, а именно таблица маршрутизации для него после того как в нем будет установлен default маршрут в нем.

  Показать контент

Для примера имеем профиль и в нем только один WG, тогда 

#!/bin/sh

PATH=/opt/sbin:/opt/bin:/opt/usr/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

COUNTER=0
LIMIT=30
while [ -z "`ndmc -c show ip policy Policy2 | grep destination | awk '/0.0.0.0/ {print $2}'`" -a "$COUNTER" -le "$LIMIT" ]; do
        sleep 1;
	COUNTER=`expr $COUNTER + 1`
done

ip rule add from 172.16.130.29/32 table 12;

Policy2 это профиль с WG каналом который нужен, поиск в нем default маршрута -  destination 0.0.0.0/0. В данном примере S102-SSTP получаем при COUNTER=16 появляется маршрут default в таблице маршрутизации. Добавим далее IP клиента который будет по SSTP (172.16.130.29/32) в данную таблицу 12 маршрутизации данного профиля. В настройках SSTP сервера для пользователя зарезервирован IP адрес.

LIMIT=30 это для ARM, можно и 45 и 60. Сколько точно можно проверить добавив команду

echo " $COUNTER " >> /opt/tmp/count_12
ip rule add from 172.16.130.29/32 table 12;

Посмотреть потом в /opt/tmp/count_12

В место ndmc можно использовать

curl -kfsS http://localhost:79/rci/show/ip/policy/Policy2 | grep destination | awk '/0.0.0.0/ {print $2}'

или

curl ... http://localhost:79/rci/show/ip/policy/Policy2 | jq ....

Поверяем вариант2.

1. Без скрипта S102-SSTP. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от провайдера который в основном профиле/по умолчанию профиль.

2. Используем скрипт, перезапускаем роутер. Клиент подключается по SSTP к роутеру. Speedtest на клиенте показывает IP от WG который в профиле Policy2.

Ремарка - по команде "ip ro show table 12" ip адреса клиента видно не будет, до тех пор пока он не появится/подключится к роутеру и будет висеть в данной таблице пока клиент не отключится. Если потом опять подключится то данный стат маршрут будет опять активен и он выйдет в интернет опять через нужный нам профиль Policy2.

Изменено 29 февраля, 2024 пользователем vasek00

[Dimbas]

Спасибо большое! сделал по первому варианту, маршрут при перезагрузке прописался.

[Dimbas]

  В 29.02.2024 в 19:36, vasek00 сказал:

Вариант 1.

Так как все скрипты Entware запускаются через /opt/etc/init.d то можно создать скрип запуска с одной командой после некоторой задержки

Показать  

Еще вопрос, при таком сценарии, возможно ли добавить маршрут, чтобы была видна сеть 192.168.1.0?

[vasek00]

  В 01.03.2024 в 07:54, Dimbas сказал:

Еще вопрос, при таком сценарии, возможно ли добавить маршрут, чтобы была видна сеть 192.168.1.0?

Показать  

О чем идет речь?

[Dimbas]

  В 01.03.2024 в 08:36, vasek00 сказал:

О чем идет речь?

Показать  

когда мы настроили для клиента с IP 172... маршрутизацию интернета через VPN все заработало, но пропал доступ к серверу Homeassistant, который находится на 192.168.1.100. Вопрос в том, может ли одновременно работать интернет, как мы настроили выше и еще добавить доступ к Homeassistant?

[vasek00]

  В 01.03.2024 в 10:15, Dimbas сказал:

когда мы настроили для клиента с IP 172... маршрутизацию интернета через VPN все заработало, но пропал доступ к серверу Homeassistant, который находится на 192.168.1.100. Вопрос в том, может ли одновременно работать интернет, как мы настроили выше и еще добавить доступ к Homeassistant?

Показать  

но пропал доступ к серверу Homeassistant

В моем случае

Клиент[SSTP]----Интернет----[SSTP]Keenetic1[LAN]------[LAN]Keenetic2

на обоих Keenetic Entware + SMB и сами WEB роутеров, Keenetic1 запущен AGH (его WEB) - проблем с доступом нет. В обоих вариантах подключения одинаково. Пользователю SSTP разрешено

user U*****N
    password md5 ***
    password nt ***
    home SSD1:
    tag sstp
    tag vpn
    tag ipsec-xauth
    tag http
    tag opt
    tag sftp
    tag cifs
    tag printers
    tag http-proxy

У вас в данном профиле какой стоит канал основной ?

При этом стоит "isolate-private" что это написано ниже

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

[Dimbas]

  В 01.03.2024 в 18:35, vasek00 сказал:

Клиент[SSTP]----Интернет----[SSTP]Keenetic1[LAN]------[LAN]Keenetic2

Показать  

У меня вот так, т.е. весь траффик с SSTP идет через локальный TOR. Вопрос в том, как бы я не добавлял маршрутизацию на 192.168.1.100, она не хочет работать.

Клиент[SSTP]----Интернет----[SSTP]Keenetic[LAN]------[TOR]Keenetic

[vasek00]

  В 04.03.2024 в 07:59, Dimbas сказал:

У меня вот так, т.е. весь траффик с SSTP идет через локальный TOR. Вопрос в том, как бы я не добавлял маршрутизацию на 192.168.1.100, она не хочет работать.

Клиент[SSTP]----Интернет----[SSTP]Keenetic[LAN]------[TOR]Keenetic

Показать  

Если у вас 4.1. попробуйте вот такую команду, на своем примере (тут именно 120, для начала)

была
ip rule add from 172.16.130.29/32 table 12

стала

ip rule add pref 120 from 172.16.130.29/32 table 12
или она же 
ip rule add from 172.16.130.29/32 table 12 pref 120

для удаления введенной - точно такая же только вместо "add" нужно "del"

 

Изменено 4 марта, 2024 пользователем vasek00

[Reolins]

@vasek00 - подскажите, пожалуйста - мне требуется реализовать похожую схему - отличия вот в чем:

Между двумя роутерами Ultra (WG сервер) и Hopper (WG клиент) установлен WG туннель. Типичный сценарий использования - маршутизировать трафик в интернет устройств за Hopper (WG клиент) через Ultra (WG сервер) - и это работает, но мне же нужно дополнительно реализовать и обратную схему - маршрутизировать трафик в интернет клиентов за Ultra (WG сервер) через Ultra Hopper (WG клиент)

IP адреса WG туннеля такие: 

Ultra (WG сервер) 192.168.5.1 - клиенты в сети 192.168.1.0/24, в ACL WG и клиентской подсети везде permit any any

Hopper (WG клиент) 192.168.5.100 - клиенты в сети 192.168.100.0/24, в ACL WG и клиентской подсети везде permit any any

На ультра создана Policy только с WG туннелем, в роутах в веб морде добавлен маршрут "default via 192.168.5.100 dev nwg0"

В entware для теста сделано правило:

ip rule add from 192.168.1.3/32 table 42

При этом таблица маршрутизации выглядит так:

~ # ip ro show table 42
default via 192.168.5.100 dev nwg0
...
192.168.100.0/24 via 192.168.5.100 dev nwg0

Доступ с 192.168.1.3 до клиентов в сети 192.168.100.0/24 за Hopper (WG клиент) есть, а вот при попытке сделать трассировку на любой публичный адрес дальше 192.168.1.1 траффик не уходит. NAT для интерфейсе WG на Hopper (WG клиент) включен, все интерфейсы стоят в private, выполнен no isolate private. 

При этом трафик ходит в направлении Клиенты >> Hopper (WG клиент) >> Ultra (WG сервер) >> Интернет 

Как все-таки заставить так же одновременно работать схему Клиенты >> Ultra (WG сервер) >> Hopper (WG клиент) >>  Интернет ?

[vasek00]

  В 23.06.2024 в 15:45, Reolins сказал:

ip rule add from 192.168.1.3/32 table 42

Как все-таки заставить так же одновременно работать схему Клиенты >> Ultra (WG сервер) >> Hopper (WG клиент) >>  Интернет ?

Показать  

Так как у вас ссылка на "table 42" то это не 4.2 (но может и в 4.1 уже есть). Появилась информация не давно что в ПО и как раз вопрос про WG

ip hotspot policy {interface} ({access} | {policy})

Данная команда для политики, а не для конкретного клиента, но можно попробовать

ip hotspot policy Wireguard3 Policy0

ip hotspot
...
    policy Wireguard3 Policy0
...

ip policy Policy0
    description Cloud
    permit global Wireguard0

возможно теперь уже проще. Wireguard3 это удаленный доступ клиентов по WG к роутеру, а Policy0 это политика уже на Wireguard0 выход в интернет.

 

А для того чтоб с Ultra клиенты на Hopper и далее в интернет что-то было сделано?

Hopper
------
Инет---Ultra[5.1=WG]----[WG=5.100]Hopper[100.0/24]----Клиенты

~ # ip ro show table 42
default via 192.168.5.100 dev nwg0
192.168.100.0/24 via 192.168.5.100 dev nwg0

Ultra
-----
Клиенты---[1.0/24]Ultra[5.1=WG]----[WG=5.100]Hopper---Инет

????????

 

 

[Le ecureuil]

Самый простой вариант, начиная с 4.2:

- создать еще один сегмент

- привязать его к желаемой политике

- привызать к этому сегменту VPN-сервер (в настройках этого сервера)

[BeaViSs]

  В 03.07.2024 в 09:10, Le ecureuil сказал:

Самый простой вариант, начиная с 4.2:

- создать еще один сегмент

- привязать его к желаемой политике

- привызать к этому сегменту VPN-сервер (в настройках этого сервера)

Показать  

а можно с картинками? где и как создать сегмент?

я читал в What'sNew о сегментах и их маршрутизации

даже в приоритетах подключений видел сегменты
а вот как их создавать - не очень понял
....

 

а не, все нашел

 

Изменено 4 июля, 2024 пользователем BeaViSs

[x13]

  В 03.07.2024 в 09:10, Le ecureuil сказал:

Самый простой вариант, начиная с 4.2:

- создать еще один сегмент

- привязать его к желаемой политике

- привызать к этому сегменту VPN-сервер (в настройках этого сервера)

Показать  

1.сделал сегмент WG

2.Привязал незарегистрированные клиенты сегмента WG

3. Привязал в настройка SSTP сервера доступ в сегмент WG

НЕ РАБОТАЕТ.

Ломится в основной интернет.

Подскажите всю голову изломал.

kn 1010 4.2

Изменено 10 августа, 2024 пользователем x13

[x13]

  В 04.07.2024 в 07:14, BeaViSs сказал:

а можно с картинками? где и как создать сегмент?

я читал в What'sNew о сегментах и их маршрутизации

даже в приоритетах подключений видел сегменты
а вот как их создавать - не очень понял
....

 

а не, все нашел

 

Показать  

У вас получилось сделать не из командной строки?

[vasek00]

  В 11.08.2024 в 06:56, x13 сказал:

У вас получилось сделать не из командной строки?

Показать  

Судя по тому что написано ранее.

  Цитата

Самый простой вариант, начиная с 4.2:

- создать еще один сегмент

- привязать его к желаемой политике

- привызать к этому сегменту VPN-сервер (в настройках этого сервера)

Показать  

Все из WEB. Если правильно понял - 1. новый сегмент -> в политику 2. SSTP к этому сегменту.

  Показать контент

 

[x13]

  В 11.08.2024 в 07:27, vasek00 сказал:

Судя по тому что написано ранее.

Все из WEB. Если правильно понял - 1. новый сегмент -> в политику 2. SSTP к этому сегменту.

  Показать контент

 

Показать  

Сделал все как указано выше

Какие клиентом вы пользуетесь на мобильном устройстве.

Open SSTP коннектится. Но в качестве DNS выбирает начальный ip сегмента .

Если принудительно скормить ему dns 1.1.1.1 то трафик на мобиле не идет через SSTP клиент а my IP выдает что у вас ip мобильно сети

т.е если я подключаюсь мобильником через Open SSTP  с настройками open SSTP по умолчанию,то коннект происходит.  вижу подключенного клиента в панели роутера. но на мобильном ничего не открывается.

Может маршрута какого то не хватает?

 

Изменено 11 августа, 2024 пользователем x13

[x13]

  В 11.08.2024 в 08:24, x13 сказал:

Сделал все как указано выше

Какие клиентом вы пользуетесь на мобильном устройстве.

Open SSTP коннектится. Но в качестве DNS выбирает начальный ip сегмента .

Если принудительно скормить ему dns 1.1.1.1 то трафик на мобиле не идет через SSTP клиент а my IP выдает что у вас ip мобильно сети

т.е если я подключаюсь мобильником через Open SSTP  с настройками open SSTP по умолчанию,то коннект происходит.  вижу подключенного клиента в панели роутера. но на мобильном ничего не открывается.

Может маршрута какого то не хватает?

Если в настройках SSTP доступ к сети "Домашняя сеть"-  то трафик с телефона идет в домашнюю сеть. my ip на мобиле возвращает Ip роутера.

Если ставлю в настройках SSTP доступ к сети "WG"  то трафик с мобилы никуда не идет ни одна страница не открыввтся.

 

Показать  

 

[x13]

  В 03.07.2024 в 09:10, Le ecureuil сказал:

Самый простой вариант, начиная с 4.2:

- создать еще один сегмент

- привязать его к желаемой политике

- привызать к этому сегменту VPN-сервер (в настройках этого сервера)

Показать  

не работает. ничего не открывается

[x13]

  В 12.12.2023 в 09:44, vasek00 сказал:

На текущий день - Entware + маршрутизация. Данные :

1. SSTP VPN сервер -> клиент подключившись имеет IP адрес (желательно зарег. пользователя/пароль и привязать его к IP)

2. Поднят Wireguard

Решение - будущий клиент 4G удаленно подключается к роутеру на его SSTP сервер :

1. Создать профиль для Wireguard на роутере и в нем один единственный канал Wireguard активен, узнать для него table маршрутизации ( show ip policy )

2. Найти для созданного профиля п.1 параметр table его номер (для 4.1 это будет 10 или 11 или 12 или 13 и т.д.)

3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то

  Показать контент

По умолчанию основной профиль, клиент 172.16.16.16 
~ # ip ro
default dev ppp0  scope link 
...
172.16.16.16 dev sstp0  proto kernel  scope link  src 192.168.1.1 
...
~ # 

нужная нам table 12 от нужного профиля WG (в которой только WG активен nwg4)
~ # ip rule add from 172.16.16.16/32 table 12
~ # 
~ # ip ro show table 12
default dev nwg4  scope link 
...
172.16.16.16 dev sstp0  scope link 
...
~ # 

 

Запускаю на клиенте speedtest в итоге имею IP адрес от интерфейса Wireguard4 ( nwg4 )

Данная команда которая единственная " ip rule add from 172.16.16.16/32 table 12 " через ПО роутера не добавить для этого нужен Entwqre + пакеты (ip-bridge + ip-full).

Отключаюсь данным клиентом, спустя 5 минут подключаюсь им и смотрю

  Показать контент

~ # ip ro show table 12
default dev nwg4  scope link 

172.16.16.16 dev sstp0  scope link 

Все на месте.

возможно придется придумать контроль данного стат.маршрута, ну тут любым доступным способом

- проверка по ifconfig

sstp0     Link encap:Point-to-Point Protocol  
          inet addr:192.168.1.1  P-t-P:172.16.16.16  Mask:255.255.255.255

- проверка " show sstp-server "

 "tunnel": [
        {
            "ethernet": false,
            "clientaddress": "172.16.16.16",
            "username": "VPN-t1",
...

- или https://github.com/ndmsystems/packages/wiki/Opkg-Component

/opt/etc/ndm/sstp_vpn_up.d # vi 1.sh

#!/bin/sh
echo " $ndm_opkg_id $iface $remote $local " >> /opt/tmp/sstp

/opt/tmp/sstp
VPN-t1 sstp0 ххх.ххх.ххх.212 172.16.16.16

 

Ремарка пока пробовал - отключался/подключался table 12 оставалась с прописанным маршрутом ранее, но проверка думаю не помешает.

Показать  

как узнать ,  table маршрутизации ( show ip policy ) для профиля?

Походу черезвеб морду не запустится. придется черезкомандную строку делать

[vasek00]

  В 11.08.2024 в 21:52, x13 сказал:

как узнать ,  table маршрутизации ( show ip policy ) для профиля?

Походу черезвеб морду не запустится. придется черезкомандную строку делать

Показать  

192.168.1.1/a в 42B2 работает так же (в 4.2 - 42B1 - 192.168.1.1/webcli)

  Показать контент

show ip policy

{
	"policy": {
		"Policy0": {
			"description": "C-",
			"mark": "ffffaaa",
			"table4": 10,
			"route4": {
				"route": [
					{
						"destination": "0.0.0.0/0",
						"gateway": "0.0.0.0",
						"interface": "Wireguard0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false

...
		},
			"table6": 10,
			"route6": {}
		},
		"Policy1": {
			"description": "In-2",
			"mark": "ffffaab",
			"table4": 11,
			"route4": {
				"route": [
					{
						"destination": "0.0.0.0/0",
						"gateway": "0.0.0.0",
						"interface": "PPPoE0",
						"metric": 120,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": false,
						"static": false
...

 

 

Изменено 12 августа, 2024 пользователем vasek00

[x13]

/ # show ip policy
/opt/bin/sh: show: not found
/ #

Я так понимаю мне нужны пакеты (ip-bridge + ip-full)? Есть ссылка на их скачивание? Где их брать?

[Leshiyart]

  В 12.08.2024 в 21:18, x13 сказал:

/ # show ip policy
/opt/bin/sh: show: not found
/ #

Я так понимаю мне нужны пакеты (ip-bridge + ip-full)? Есть ссылка на их скачивание? Где их брать?

Показать  

это делается не в ентвар, а в штатном cli

[x13]

~ # ip rule add from 172.16.3.33/32 table 10 сделал  не помогло

 

 "Policy0": {
        "description": "Трафик через VPS",
        "mark": "ffffaaa",
        "table4": 10,
        "route4": {
            "route": [
                {
                    "destination": "0.0.0.0/0",
                    "gateway": "0.0.0.0",
                    "interface": "Wireguard0",
                    "metric": 0,
                    "flags": "U",
                    "rejecting": false,
                    "proto": "boot",
                    "floating": true,
                    "static": false
                },
                {
                    "destination": "1.1.1.1/32",
                    "gateway": "0.0.0.0",
                    "interface": "Wireguard0",
                    "metric": 0,
                    "flags": "U",
                    "rejecting": false,
                    "proto": "boot",
                    "floating": true,
                    "static": false
                },
                {
   
}

 

 

 

ip hotspot policy Wireguard3 Policy0

{
	"prompt": "(config)",
	"status": [
		{
			"status": "message",
			"code": "19006440",
			"ident": "Hotspot::Manager",
			"message": "policy \"Policy0\" applied to interface \"Wireguard3\"."
		}
	]
}

Это тоже делал-не помогло.

 

Помогиге заставить смартфон подключающийся по SSTP ходить в ВПН тоннель.

неделю уже мучаюсь.

 

мобила подключается по SSTP. роутер коннект видит но с нее ничего не открывается

Изменено 14 августа, 2024 пользователем x13

[x13]

  В 12.08.2024 в 05:55, vasek00 сказал:

192.168.1.1/a в 42B2 работает так же (в 4.2 - 42B1 - 192.168.1.1/webcli)

  Показать контент

show ip policy

{
	"policy": {
		"Policy0": {
			"description": "C-",
			"mark": "ffffaaa",
			"table4": 10,
			"route4": {
				"route": [
					{
						"destination": "0.0.0.0/0",
						"gateway": "0.0.0.0",
						"interface": "Wireguard0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false

...
		},
			"table6": 10,
			"route6": {}
		},
		"Policy1": {
			"description": "In-2",
			"mark": "ffffaab",
			"table4": 11,
			"route4": {
				"route": [
					{
						"destination": "0.0.0.0/0",
						"gateway": "0.0.0.0",
						"interface": "PPPoE0",
						"metric": 120,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": false,
						"static": false
...

 

 

Показать  

 

 

А почему у Вас в Policy 0 только Wireguard0 

а у меня куча всего

"policy": {
		"Policy0": {
			"description": "Трафик через VPS",
			"mark": "ffffaaa",
			"table4": 10,
			"route4": {
				"route": [
					{
						"destination": "0.0.0.0/0",
						"gateway": "0.0.0.0",
						"interface": "Wireguard0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false
					},
					{
						"destination": "1.1.1.1/32",
						"gateway": "0.0.0.0",
						"interface": "Wireguard0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false
					},
					{
						"destination": "10.1.30.0/24",
						"gateway": "0.0.0.0",
						"interface": "Bridge1",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": false,
						"static": false
					},
					{
						"destination": "10.8.0.0/24",
						"gateway": "0.0.0.0",
						"interface": "Wireguard0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false
					},
					{
						"destination": "5.15.155.98/18",
						"gateway": "0.0.0.0",
						"interface": "GigabitEthernet1",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": false,
						"static": false
					},
					{
						"destination": "164.164.164.0/24",
						"gateway": "0.0.0.0",
						"interface": "Bridge2",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": false,
						"static": false
					},
					{
						"destination": "192.168.0.0/24",
						"gateway": "0.0.0.0",
						"interface": "Bridge0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": false,
						"static": false
					},
					{
						"destination": "192.168.8.1/32",
						"gateway": "192.168.10.10",
						"interface": "SSTP0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": true
					},
					{
						"destination": "192.168.10.0/24",
						"gateway": "0.0.0.0",
						"interface": "SSTP0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false
					},
					{
						"destination": "192.168.10.10/32",
						"gateway": "0.0.0.0",
						"interface": "SSTP0",
						"metric": 0,
						"flags": "U",
						"rejecting": false,
						"proto": "boot",
						"floating": true,
						"static": false

 

Изменено 14 августа, 2024 пользователем x13

[vasek00]

  В 13.08.2024 в 19:58, x13 сказал:

Это тоже делал-не помогло.

Показать  

Странно. Данная команда добавит маршрут для клиента SSTP в

  Показать контент

Авг 14 08:51:51 ndm SstpServer::Manager: user "UsrVP" connected from "2хх.хх7.1хх.ххх" with address "172.16.130.29". 


~ # ip rule add from 172.16.130.29/32 table 10
~ # ip rule
0:      from all lookup local 
9:      from 172.16.130.29 lookup 10 
10:     from all fwmark 0xffffa00 lookup main 
100:    from all fwmark 0xffffaaa lookup 10 ****** table для маркированных 
...

или 
~ # ip rule add from 172.16.130.29/32 table 75
~ # ip rule
0:      from all lookup local 
9:      from 172.16.130.29 lookup 75 
10:     from all fwmark 0xffffa00 lookup main 
100:    from all fwmark 0xffffaaa lookup 10 
...
451:    from 10.10.132.101 lookup 75 ****** table для интерфейса WG (для данной Policy0)
...

или 
~ # ip rule add from 172.16.130.29/32 table 75 prio 300
~ # ip rule
0:      from all lookup local 
10:     from all fwmark 0xffffa00 lookup main 
...
111:    from all fwmark 0xffffaaf blackhole
300:    from 172.16.130.29 lookup 75 
450:    from ххх.ххх.ххх.ххх lookup 74 
451:    from 10.10.132.101 lookup 75 
...

 

Как итог удаленный клиент подключился, вышел в интернет через провайдера (speedtest на клиенте провайдера), при применении выше правил удаленный клиент вышел через WG (speedtest на клиенте показал), что через WG.

ip nat sstp

 

 

[vasek00]

  В 14.08.2024 в 04:39, x13 сказал:

А почему у Вас в Policy 0 только Wireguard0 

Показать  

Потому что в моем сообщение "портянка" размером меньше чем у вас, и второе там есть "...", третье заострил внимание только на том что показал, остальное не принципиально "..." для решения.

[x13]

  Цитата

Как итог удаленный клиент подключился, вышел в интернет через провайдера (speedtest на клиенте провайдера), при применении выше правил удаленный клиент вышел через WG (speedtest на клиенте показал), что через WG.

Показать  

Так пытаюсь еще раз.

Раз.

 

Два.

и никак

Nat включен.

 

Включаю Open SSTP - подключаюсь к роутеру, и на мобиле ни  одна страница не открывается.

Что еще может быть? может как то трассировку на мобиле глянуть.? где затык.