WG подключение роутера через VPN того же роутера

[Михаил Озерский]

Добрый день!

Имею WG подключение, как резервное.

Хочу поднять сервер VPN, чтобы клиенты (в т.ч. iPhone), ходили через этот сервер в интернет именно через резервное подключение (WG), а не через основное (Beeline). L2TP поднял, iPhone успешно цепляется, но определяется на различных сервисах как IP именно Beeline.

Прошу помощи в настройке.

[FLK]

Выяснено, что на 3.5.10 так не особо получится)

 

[Михаил Озерский]

6 часов назад, FLK сказал:

Выяснено, что на 3.5.10 так не особо получится)

 

Спасибо! Обновление прошивки на 4.3.1 помогло

[gamych]

В 14.05.2025 в 17:28, Михаил Озерский сказал:

Обновление прошивки на 4.3.1 помогло

Здравствуйте. Расскажите пожалуйста, как Вы решили свою задачу? У меня прошивка 4.3.6, и я не могу найти настроек политики доступа, чтобы заставить клиентов, подключенных к роутеру по VPN, ходить в Интернет через резервное соединение, все идут через основное, как и у Вас вначале.

[Denis P]

2 часа назад, gamych сказал:

Здравствуйте. Расскажите пожалуйста, как Вы решили свою задачу? У меня прошивка 4.3.6, и я не могу найти настроек политики доступа, чтобы заставить клиентов, подключенных к роутеру по VPN, ходить в Интернет через резервное соединение, все идут через основное, как и у Вас вначале.

ip hotspot policy Wireguard0 Policy0

где

Wireguard0 - интерфейс вашего сервера
Policy0 - необходимая политика, см show ip policy и поле description
 

Изменено вчера в 10:22 пользователем Denis P

[gamych]

1 час назад, Denis P сказал:

ip hotspot policy Wireguard0 Policy0

Не пойму, как это должно работать?

В случае с локальными, так сказать, клиентами, которые коннектятся по WiFi или проводу, я сначала создаю политики доступа - наборы интерфейсов, упорядоченные по приоритету их использования (это на странице Приоритеты подключений/Политики доступа в интернет в WEB-интерфейсе). Потом связываю политику доступа и конкретного клиента (страница Приоритеты подключений/Применение политик). В случае же клиентов, подключающихся через VPN, я их в списке не вижу и связать с политикой не могу.

А что делает эта команда? Попробовал разобраться по мануалу - там написано, что она связывает сетевой интерфейс и политику доступа. Но политика доступа - это набор интерфейсов. Как это дальше работает, что за связь такая? И названия подсети VPN в этой команде нет - как же с её помощью указывается, что к клиентам VPN нужно политику применять?

Вы не могли бы разъяснить?

[Leshiyart]

14 минут назад, gamych сказал:

А что делает эта команда?

всех клиентов этого впн пустит по заданной политике доступа

[gamych]

3 минуты назад, Leshiyart сказал:

всех клиентов этого впн пустит по заданной политике доступа

Так в политике доступа перечислены несколько сетевых интерфейсов. И параметром команды тоже является сетевой интерфейс, причём как раз указанный в политике. Как это вместе работает?

И потом, какого "этого" впн? В команде же впн не указан, а в роутере этих впн не один.

[Leshiyart]

Только что, gamych сказал:

И параметром команды тоже является сетевой интерфейс

это и есть интерфейс впн сервера wireguard

1 минуту назад, gamych сказал:

Так в политике доступа перечислены несколько сетевых интерфейсов.

вот тот что выше из активных на данный момент, по тому пути и пойдет

[Leshiyart]

4 минуты назад, gamych сказал:

И потом, какого "этого" впн? В команде же впн не указан, а в роутере этих впн не один.

для разных типов впн команды будут отличаться, в каких то это прям в вебе можно сменить указав к какому сегменту он принадлежит (и назначив этому сегменту по умолчанию нужную политику)

Изменено вчера в 12:42 пользователем Leshiyart

[gamych]

10 минут назад, Leshiyart сказал:

это и есть интерфейс впн сервера wireguard

Я, кажется, не вполне понятно изложил свою конфигурацию. Возможно для неё надо искать ответы не в этой теме, Вы меня поправьте, если что не так.

Итак, роутер, подключенный к интернету через провайдера, является клиентом нескольких VPN-серверов, к одним из них роутер подключен по OpenVPN, к другим по WireGuard. Все эти соединения перечислены в одной политике доступа в некоей последовательности. Зарегистрированные клиенты роутера (устройства), которым не требуется ходить в интернет напрямую, привязаны к этой политике и, соответственно, ходят в интернет через VPN-соединение.

Также на роутере поднята пара VPN-серверов (L2TP/IPSEC и IKE2/IPSEC), через которые к роутеру коннектятся всякие другие клиенты, имеющие доступ в интернет через своих провайдеров - смартфоны, ноутбуки и т.п. Они имеют доступ к ресурсам домашней локалки и интернету. Но вот в интернет они, будучи подключенными к VPN-серверам роутера, ходят через основной интерфейс, через провайдера интернета. А я хочу, чтобы они ходили через VPN в соответствии с политикой доступа.

Среди доступных через WEB-интерфейс параметров VPN-серверов, поднимаемых на роутере, нет применяемой политики доступа. Подсети VPN-серверов среди объектов, для которых доступно назначение политики доступа на странице "Приоритеты подключений", также не показаны. Соответственно, через WEB-админку задачу свою я решить не могу.

Скажите пожалуйста, та команда, она вот эту мою задачу решает, или она про что-то другое?

[vasek00]

2 часа назад, gamych сказал:

Итак, роутер, подключенный к интернету через провайдера, является клиентом нескольких VPN-серверов, к одним из них роутер подключен по OpenVPN, к другим по WireGuard. Все эти соединения перечислены в одной политике доступа в некоей последовательности. Зарегистрированные клиенты роутера (устройства), которым не требуется ходить в интернет напрямую, привязаны к этой политике и, соответственно, ходят в интернет через VPN-соединение.

Также на роутере поднята пара VPN-серверов (L2TP/IPSEC и IKE2/IPSEC), через которые к роутеру коннектятся всякие другие клиенты, имеющие доступ в интернет через своих провайдеров - смартфоны, ноутбуки и т.п. Они имеют доступ к ресурсам домашней локалки и интернету. Но вот в интернет они, будучи подключенными к VPN-серверам роутера, ходят через основной интерфейс, через провайдера интернета. А я хочу, чтобы они ходили через VPN в соответствии с политикой доступа.

 

Ранее команда была. Пример для Wireguard настройки 

1. 
Клиент[WG-client]-----Инет------[WG-Serv]Keenetic[WG-clint]-------Инет------[WG-Serv]....

2.
Клиент[WG-client]-----Инет------[WG-Serv]Keenetic[WAN-пров]-------Инет---------------....

Есть политика в ней активен WG-client Keenetic для WG интернет сервера  

ip policy Policy0
    permit global Wireguard0
    no permit global GigabitEthernet0/Vlan9

Далее есть WG-Serv для удаленных клиентов, которые подключаются к данному роутеру

interface Wireguard2
    description UKN-WG
...
        connect
    !
    up

Вводим описанную ранее выше команду 

ip hotspot
    policy Wireguard2 Policy0

заворачиваем клиентов, которые подключились по WG2 в политику "Policy0" -> получаем их выход в интернет не через п.2. а по п.1

 

Вариант для клиента "VPN-сервер IKEv2/IPsec" ниже или точнее еще ниже

Спойлер

при установленном Entware, нужно еще контроль "ip rule add from ...."

По умолчанию в iptables будет заворот клиента с 172.20.8.1 в туннель - IPSEC_FORWARD_MANGLE и т.д.

Посмотрите тему 

Цитата

В случае PPTP, SSTP и L2TP/IPsec будет использована политика того сегмента, который выбран в поле "Доступ к сети" (на вашем скриншоте -- HomeLan)

!!!!!!!!! Для ikev2 или того же wg нет возможности выбрать "сегмент" По этому решение сложно назвать универсальным)

Начиная с 4.2.11 уже есть (правда не выведено в веб, и автоматически привязывается к Home). Команда в cli выглядит как 
crypto map <NAME> virtual-ip interface <segment>

 

Изменено 23 часа назад пользователем vasek00

[Leshiyart]

3 часа назад, gamych сказал:

Также на роутере поднята пара VPN-серверов (L2TP/IPSEC и IKE2/IPSEC)

Для l2tp/ipsec нужно создать сегмент сети, указать для него политику доступа, а в настройках сервера доступ к это у сегменту.

 

Для ike2 

crypto  map  VirtualIPServerIKE2 virtual-ip interface BridgeX (где X номер бриджа сегмента)