Политика доступа зарегистрированного клиента в зависимости от сегмента, к которому он подключен

[Kdalvikk]

У меня стоит Keenetic KN-1811, которому я очень рад.

Я создал 3 вай фай сети: Домашняя сеть, сеть с VPN, сеть с VPN в другой стране. Установил 2 конфигурации WireGuard на роутер. В "Политики доступа в интернет" сделал 3 политики: "по умолчанию", "vpn", "vpn2". Каждой из 3 вай фай сетей я назначил соответствующую политику. Таким образом, чтобы подключиться к VPN, мне достаточно подключиться к нужной сети, а если VPN не нужен -- к дефолтной. Все очень удобно.

Проблема появляется когда я хочу зарегистрировать клиента. При регистрации, надо обязательно указать политику доступа для него, и там 4 выбора: 3 политики которые я добавил и "Без доступа в интернет." Таким образом, когда я регистрирую свой телефон и тыкаю, например, "Политика по умолчанию", в независимости от того, к какой из вай фай сетей телефон подключен (по умолчанию, vpn или vpn2) всегда будет использоваться политика по умолчанию без впн.

Я очень хочу, чтобы при регистрации клиента, в меню "Политика по умолчанию" появилась опция "Применять политику в зависимости от сети". (Или как-то так)

Это позволит регистрировать устройства, и назначать выбранное интернет-соединение в зависимости от того, к какой сети оно подключено. Я надеюсь, что эта фича не сложна в разработке, она мне очень сильно поможет.

 

Заранее спасибо за ответ. 

Изменено 29 февраля, 2024 пользователем Kdalvikk
чуть подправил текст, чтобы легче читался

[Mamay]

Ну хз. ИМХО это разные вещи. И связь между ним последовательна.

1. Зарегистрировать устройство, читайте открыть дверь и впустить в квартиру.

2. Пустить в нужный сегмент сети, читайте из прихожей направить в зал, спальню, туалет.

6 часов назад, Kdalvikk сказал:

Я очень хочу, чтобы при регистрации клиента, в меню "Политика по умолчанию" появилась опция "Применять политику в зависимости от сети". (Или как-то так)

Не всегда ваши "хотелки" совпадают с реальностью.

[Kdalvikk]

Насчет

Цитата

1. Зарегистрировать устройство, читайте открыть дверь и впустить в квартиру.

как будто это более валидно для гостей, которых я хочу регистрировать и выдавать им нужный сегмент вне зависимости от сети. А если я регистрирую свое устройство (сам хожу по квартире и выбираю куда мне идти)?

Возможно, "политика доступа" по своему смыслу не подходит для реализации этой идеи. Но тогда я не понимаю как можно сделать удобное подключение к VPN когда мне это надо.

 

Почему я не могу сразу поставить VPN на одну сеть?

1. Конечно же, падает скорость в 2 раза.

2. Для работы мне требуется подключаться к внутреннему VPN. Если мой IP адрес будет не из России придут грозные ИБ.

В тоже время было бы неплохо и регистрировать свои устройства (выдавая им нужный приоритет, статический адрес и т.д.), и легко переподключаться между vpn/не vpn.

 

Есть одно костыльное решение моей проблемы, но оно работает не до конца:

Телефоны выбирают рандомизированный MAC адрес когда подключается к сети, этот адрес постоянен для нее. Можно зарегистрировать 3 устройства "телефон", и зная маппинг "mac адрес : сеть к которой он подключается" выдать им 3 соответствующие политики доступа. Проблема что это не работает на рабочем ноутбуке, так как macOS не имеет такой настройки. Да, ноут рабочий, но часто с него надо куда то зайти под моим VPN'ом. Есть всякие macspoofer'ы, которые меняют адрес, но держатся до ближайшей перезагрузки, а дальше все по новой: регистрировать устройство, выбирать приоритет, статический адрес, политику доступа. Да и некрасиво как то.

 

То что мои хотелки не всегда совпадают с реальностью я отлично понимаю, сам бэкенд программист. Я хотел создать обсуждение, чтобы мне подсказали есть ли другое решение проблемы, или почему так сделать маловероятно. Не сочтите за наезд, но просто мне показалось что вы грубо отреагировали на обычную вежливую фразу. Тем не менее, спасибо что ответили. У меня не было цели топать ногой и кричать "хочу, хочу"

Цитата

Не всегда ваши "хотелки" совпадают с реальностью.

 

В общем, я все еще в поиске способа удобно переподключаться со всех устройств к VPN/не VPN.

Изменено 1 марта, 2024 пользователем Kdalvikk

[Tyman]

Поддерживаю идею добавить политику доступа зарегистрированного клиента в зависимости от сегмента, к которому он подключен!

[kirk88]

 

разграничим для понимания:

## 3 сети wifi это сегменты LAN

## isp, vpn1 и vpn2 это WAN

 

хотели сделать что бы каждый сегмент LAN отправлял трафик в свой определенный WAN.

 

для этого разделе "политики доступа" создали две дополнительные политики vpn1, vpn2.

теперь необходимо выставить в каждой политике только одну галочку соответствующего интерфейса wireguard, либо все, но выстроить очередность самый верхний тот куда надо отправлять трафик.

 

далее во вкладке применение политик перенести незарегистрированные клиенты в сегментах **название сегмента LAN""" и определенных зарегистрированных клиентов, тогда можно и не регистрировав клиентов отправить переключаясь между wifi ропадать в разное назначение, а зарегистрированным клиентам можно менять назначение без переключения по wifi.

 

скрин 1

политика доступа в интернет

скрин 2 

перетаскивание сегментов/устройств в применение политик

скрин 3

применение политик при регистрации клиента

скрин 4

применение политик для незарнгистрированных клиентов в разделе конфигурации LAN сегмента

Изменено 11 сентября, 2024 пользователем kirk88

[Kdalvikk]

Кажется нас услышали! Ну либо таска с такой фичей уже существовала и ее сделали. Ура :)