завернуть трафик клиентов SSTP в мое подключение Wireguard

[x13]

В 14.08.2024 в 10:33, vasek00 сказал:

Странно. Данная команда добавит маршрут для клиента SSTP в

  Показать содержимое

Авг 14 08:51:51 ndm SstpServer::Manager: user "UsrVP" connected from "2хх.хх7.1хх.ххх" with address "172.16.130.29". 


~ # ip rule add from 172.16.130.29/32 table 10
~ # ip rule
0:      from all lookup local 
9:      from 172.16.130.29 lookup 10 
10:     from all fwmark 0xffffa00 lookup main 
100:    from all fwmark 0xffffaaa lookup 10 ****** table для маркированных 
...

или 
~ # ip rule add from 172.16.130.29/32 table 75
~ # ip rule
0:      from all lookup local 
9:      from 172.16.130.29 lookup 75 
10:     from all fwmark 0xffffa00 lookup main 
100:    from all fwmark 0xffffaaa lookup 10 
...
451:    from 10.10.132.101 lookup 75 ****** table для интерфейса WG (для данной Policy0)
...

или 
~ # ip rule add from 172.16.130.29/32 table 75 prio 300
~ # ip rule
0:      from all lookup local 
10:     from all fwmark 0xffffa00 lookup main 
...
111:    from all fwmark 0xffffaaf blackhole
300:    from 172.16.130.29 lookup 75 
450:    from ххх.ххх.ххх.ххх lookup 74 
451:    from 10.10.132.101 lookup 75 
...

 

Как итог удаленный клиент подключился, вышел в интернет через провайдера (speedtest на клиенте провайдера), при применении выше правил удаленный клиент вышел через WG (speedtest на клиенте показал), что через WG.

ip nat sstp

 

 

Проблема была в том что нужно было снять галочку в широкополосном соединении

Игнорировать DNSv4 интренет провайдера.

после снятия - все заработало.

[x13]

В 16.08.2024 в 00:08, x13 сказал:

Проблема была в том что нужно было снять галочку в широкополосном соединении

т.е наоборот поставить галочку игнорировать DNSv4 провайдера

Изменено 25 августа пользователем x13

[x13]

Цитата

3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то

 

Лучше сделать множественный вход. и прописать несколько IP последовательно. Таким образом при переключени мобильная сеть / wi-fi клиент SSTP будет практически переключаться мгновенно. Если же присаивать IP то при смене сети моб/вай фай переподключение происходит с задержкой т.к старый коннект еще живет какое то время на роутере. и клиент соответстенно не  может подключиться пока IP не освободится

[bdcrew]

On 7/3/2024 at 12:10 PM, Le ecureuil said:

Самый простой вариант, начиная с 4.2:

- создать еще один сегмент

- привязать его к желаемой политике

- привызать к этому сегменту VPN-сервер (в настройках этого сервера)

А кто-то проверял работоспособность этого функционала? у меня в упор не работает, в любом случае идет соединение через провайдера. По трейсруту вижу, что после подключения к сстп серверу трафик идет в специально созданный сегмент, но дальше игнорируя политику сегмента идет в интернет через провайдера, а не заворачивается в другой туннель. При подключении непосредственно к wifi сегменту все работает правильно, но при попадании в этот сегмент через сстп сервер политика игнорируется.

[x13]

В 26.08.2024 в 13:24, bdcrew сказал:

А кто-то проверял работоспособность этого функционала? у меня в упор не работает, в любом случае идет соединение через провайдера. По трейсруту вижу, что после подключения к сстп серверу трафик идет в специально созданный сегмент, но дальше игнорируя политику сегмента идет в интернет через провайдера, а не заворачивается в другой туннель. При подключении непосредственно к wifi сегменту все работает правильно, но при попадании в этот сегмент через сстп сервер политика игнорируется.

Проверял. Все в точности как и у Вас. т.е я сделал вывод что такой функционал не работает.

[x13]

В 12.12.2023 в 13:44, vasek00 сказал:

3. Добавить нужный стат маршрут для клиента SSTP так как к имени привязан IP то

Добрый день.

Сделал все по инструкциям. Добавил маршруты в скрипт, при перезагрузке маршруты встают все ок. Все работало около недели.

Не знаю что произошло, но некоторые клиенты отказываются маршрутизироваться в туннель.

маршруты прописаны

Причем те клиенты которые не могут выйти зависают на состоянии трафика отправлено 68Б

Не помогает ни реконнект в приложении не перезагрузка роутера. как то происходит  хаотичном порядке. Какое то устройство не получает выхода в нужный сегмент. Спустя какое то время все начинает работать. потом в определенный момент при реконнекте перестает.

Я так понимаю не срабатывает маршрутизация.До этого все работало изумительно около недели.

Ничего не обновлял ничего не делал.

Как еще можно понять где затык. и подправить его? 

[x13]

Причем пользователи который не могут выйти, хотя есть в таблице маршрутизации. (ip rule)

отсутствуют в списке Активных соединений на роутере

 

нет активного соединения 172.16.3.34 хотя пользователь подключен и маршрут в IP rule для него прописан.

 

[x13]

Разобрался.

На роутере был еще установлен SSTP Клиент который при подключении к другому роутеру получал Ip из списка SSTP сервера. в результате возникало задвоение IP адресов

[VI-666]

В 12.12.2023 в 12:44, vasek00 сказал:

На текущий день - Entware + маршрутизация. Данные :

Доброго времени суток! Данный способ сработает на XKeen и поднятом на нем Vless?

[VI-666]

В 12.12.2023 в 12:44, vasek00 сказал:

На текущий день - Entware + маршрутизация

Проверил-работает в связке IKEv2 c созданной политикой + SSTP.

При настройке через XKeen (Vless) трафик газует через провайдера(по соответствующим в политике приоритетам, прокси не пашет. Помогите пожалуйста, у кого был опыт.