Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

4.2 Beta 1 Не работают профили политик доступа?

cheburashkaDDNS

Ответ от cheburashkaDDNS,

 Поделиться

Вопрос

cheburashkaDDNS Пользователь

cheburashkaDDNS

Опубликовано
Опубликовано

поднял туннель wireguard на основном профиле, весь трафик идёт через основное подключение за исключением некоторых маршрутов. всё работает. но на одном из устройств домашней сети планировал оставить только подключение через основное подключение. создал новую политику, снял галочку с wireguard, перенес клиента в эту политику. зашел в раздел клиенты сети, перепроверил, выставлена новая политика, у wireguard перечеркнутый крестик. выхожу в сеть на этом клиенте и о чудо трафик идёт через туннель. так и должно быть?

3 ответа на этот вопрос

Рекомендуемые сообщения

  • 0
FLK Продвинутый пользователь

FLK

Опубликовано
Опубликовано (изменено)

Ну, если все работает как вы хотели, значит все правильно)

 

Изменено пользователем FLK
  • 0
cheburashkaDDNS Пользователь

cheburashkaDDNS

Опубликовано
  • Автор
Опубликовано

не совсем так. задача чтобы клиент не использовал wireguard туннель при подключении. создал отдельный профиль и переместил его. галочка снята, в списке клиентов зарегистрированных устройств политика применена однако клиент продолжает ходить через туннель. что не так?

1.thumb.png.fae7ed252535d1fe85a1b2ad6ac14385.png2.thumb.png.875920f17e4947b8417009f18c9a5116.png

  • 0
vasek00 Старожил

vasek00

Опубликовано
Опубликовано (изменено)
1 час назад, cheburashkaDDNS сказал:

не совсем так. задача чтобы клиент не использовал wireguard туннель при подключении. создал отдельный профиль и переместил его. галочка снята, в списке клиентов зарегистрированных устройств политика применена однако клиент продолжает ходить через туннель. что не так?

Думаю у вас есть стат маршруты, которые вы вводили в WEB роутера.

 

Для начала по конф файлу :

1. "ip policy Policy" - описание политики, "description" - имя по WEB, "permit global" - разрешен канал выхода (интеренет), "no permit global" - не используется

2. "ip hotspot" - блок клиента, при установленном на сегменте "Без доступа в интернет" в этом блоке будет запись "policy Home deny" -> настройка по зарег.клиенту имеет приоритет по отношению к ней.

2.1 по клиенту который размещен в данной политике.

    host хх:хх:хх:хх:хх:хх permit
    host хх:хх:хх:хх:хх:хх policy Policy0

2.2 на основание данных настроек к данной политике привязана таблица маршрутизации в которой default (маршрут по умолчанию) будет на указанный "permit global".

3. Вводим стат.маршрут через WEB и ОНИ попадают во все таблицы маршрутизации которые есть в роутере (в политики то же).

 

Как в реале. Стат маршруты введенные в WEB - 64.233.160.0/19, 74.125.0.0/16 для интерфейса WG. Помещаем клиента в политику где только провайдер. 

~ # ip rule
0:      from all lookup local 
...
454:    from 10.ПРОВ-шлюз.12 lookup 78 ***** таблица политики в которой клиент
...
~ # ip ro show table 78
default via 10.ПРОВ.1 dev eth2.9  src 10.ПРОВ-шлюз.12 
...
10.16.хх.0/24 dev nwg5 proto kernel  scope link 
64.233.160.0/19 dev nwg0  proto static  scope link **** стат маршрут из WEB
74.125.0.0/16 dev nwg0  proto static  scope link **** стат маршрут из WEB
....
~ # ip ro ************ для основного профиля
default dev ppp0  scope link 
10.ПРОВ.0/24 dev eth2.9  proto kernel  scope link  src 10.ПРОВ-шлюз.12 
10.16.хх.0/24 dev nwg5  proto kernel  scope link  src 10.16.хх.1 
64.233.160.0/19 dev nwg0  proto static  scope link 
74.125.0.0/16 dev nwg0  proto static  scope link 
...

Клиент который в этой политики в итоге при traceroute на данную сеть 64.233 пойдет не по default, а по стат.маршруту который был введен в WEB роутера и ЛОГИЧНО не должен был сюда попасть.

 

Не которые пожелания были

 

Изменено пользователем vasek00
  • Лайк 1

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю