Трафик от клиентов, подключаемых через SSTP и Openconnect на роутере не идет через статические маршруты.

[FatMike]

Добрый день. Версия ос 4.3.3. На роутере поднято подключение к провайдеру, и 2 подключения по wg. Прописаны статические маршруты, на какие адреса через какое подключение идет трафик. Тут проблем нет, все работает.

Но есть потребность подключиться к роутеру через SSTP либо Openconnect. Подключенный клиент должен работать по тем же правилам что и локальная сеть.

В итоге настроил, подключаюсь, от клиента весь трафик идет через роутер - все круто, все хорошо.

Но вот статические маршруты игнорируются. В настройках сегмент домашняя сеть, как и для всех локальных клиентов, ипы выдаются из того же диапазона (192.168.11.0). Для контроля прописал маршрут для 2ip через одно из wg подключений, с локальных захожу - показывает ип роутера за подключением. Захожу с подключенного по SSTP/Openconnect - ип роутера.

Помогите, пожулуйста, разобраться.

[Кинетиковод]

ip серый или просто любите SSTP и Openconnect?

[FatMike]

ip белый статический.

Раньше пользовался wireguard и было все прекрасно. С стационарными подключениями проблем нет, но чаще всего приходится подключаться через мобильные сети. В один момент стали появляться проблемы с подключением(если корректно говорить так о wg). Причем с разными операторами по-разном. Проверено с йотой, мегафоном и т2. Сначала с йоты стало невозможно пользоваться в вечернее время, при этом с т2 все было норм. Потом эти проблемы появились и днем. Дольше всех сохранялась возможность подключения с мегафона, но сейчас с ним все закончилось. С амнезией такая же проблема. Как мне показалось, блокируют не по протоколу, а просто мусорный udp трафик во время высоких нагрузок.

Есть еще Openvpn, опять же, udp, плюс в другом месте ранее использовали его, было не очень удобно когда нужно дать/забрать доступ.

С SSTP и OC удается подключиться всегда. Это решает проблему доступа к ресурсам с коротким списком ip для входящих подключений, но вот на адреса 2х сетей за wg я попасть не могу.

 

[Кинетиковод]

29 минут назад, FatMike сказал:

ip белый статический.

Значит не всё так плохо. Попробуйте ike.

31 минуту назад, FatMike сказал:

Есть еще Openvpn, опять же, udp

Можно же и tcp использовать. 

[FatMike]

42 минуты назад, Кинетиковод сказал:

ike

Что то мне подсказывает, что любая технология, которая находится в разделе "приложения" мне не подойдет. Под них не создаются интерфейсы, для них нет политик доступа и правил фаервола. Они все прилеплены сбоку.

[Кинетиковод]

9 минут назад, FatMike сказал:

Что то мне подсказывает, что любая технология, которая находится в разделе "приложения" мне не подойдет.

Лучше ike подключите, а потом теоретизируйте. Правда на 4.3.3 с ike есть некоторые проблемы и нужно чтобы ikev1 и ikev2 были одновременно включены после запуска системы. Должны поправить в 4.3.4. Если будут проблемы с подключением, то накатите V5.  

[FatMike]

Спасибо конечно, но мы развели оффтоп. Вопрос был про конкретные 2 технологии. 

Я не просто так решил что мне нужны SSTP и Openconnect. Долго прикидывал все варианты и возможности. 

На одном из роутеров (через 4г работает), который нужно подключить сюда же в кучу ike нет, а Openconnect есть. В клиенте под андроид нет возможности прописать нужные маршруты, в то время как для Openconnect есть. 

[Denis P]

1 час назад, FatMike сказал:

Спасибо конечно, но мы развели оффтоп. Вопрос был про конкретные 2 технологии. 

Я не просто так решил что мне нужны SSTP и Openconnect. Долго прикидывал все варианты и возможности. 

На одном из роутеров (через 4г работает), который нужно подключить сюда же в кучу ike нет, а Openconnect есть. В клиенте под андроид нет возможности прописать нужные маршруты, в то время как для Openconnect есть. 

отлично работают статические маршруты, указанные на роутере, при подключении к серверу через sstp и OC, точно речь о статике?

Изменено 19 июня пользователем Denis P

[FatMike]

1 час назад, Denis P сказал:

при подключении к серверу

Я описываю ситуацию, когда необходимо подключиться к роутеру, он выступает сервером, клиенты могут быть разные, как роутеры, так и смартфоны с ноутбуками.

Когда роутер является клиентом и подключается к какому то серверу - действительно, проблем никаких. Клиенты oc и sstp доступны в подключениях. Когда эти подключения создаются - для каждого поднимается интерфейс. И эти интерфейсы доступны и в сетевых правилах, и в настройках фаервола, и в статических маршрутах.

В случае, когда нужны oc и sstp сервера, они находятся в приложениях, подключения к ним не рассматриваются как полноценные, на них не создается интерфейсов, чтобы можно было применить правила, маршруты и политики изоляции. В веб интерфейсе я указываю для oc сервера сегмент Домашняя сеть, но когда активируется приложение сервер openconnect в примененных маршрутах в колонке интерфейс висит OCVPN, однако если посмотреть через терминал, show interface - его в списке нет, show interface OCVPN тоже ошибка. Так же, если верить докам, можно вручную привязать нужный интерфейс к серверу, командой oc-serv interface ,имя,. Пробовал указывать и Bridge0 и Home - это все домашняя сеть, но результата никакого нет. 

[Denis P]

17 минут назад, FatMike сказал:

Я описываю ситуацию, когда необходимо подключиться к роутеру, он выступает сервером, клиенты могут быть разные, как роутеры, так и смартфоны с ноутбуками.

Когда роутер является клиентом и подключается к какому то серверу - действительно, проблем никаких. Клиенты oc и sstp доступны в подключениях. Когда эти подключения создаются - для каждого поднимается интерфейс. И эти интерфейсы доступны и в сетевых правилах, и в настройках фаервола, и в статических маршрутах.

В случае, когда нужны oc и sstp сервера, они находятся в приложениях, подключения к ним не рассматриваются как полноценные, на них не создается интерфейсов, чтобы можно было применить правила, маршруты и политики изоляции. В веб интерфейсе я указываю для oc сервера сегмент Домашняя сеть, но когда активируется приложение сервер openconnect в примененных маршрутах в колонке интерфейс висит OCVPN, однако если посмотреть через терминал, show interface - его в списке нет, show interface OCVPN тоже ошибка. Так же, если верить докам, можно вручную привязать нужный интерфейс к серверу, командой oc-serv interface ,имя,. Пробовал указывать и Bridge0 и Home - это все домашняя сеть, но результата никакого нет. 

давайте еще раз
- сервер на роутере oc/sstp
- статический маршрут до условного узла 8.8.8.8 через условный интерфейс Wireguard0

 подключаемся к серверу, делаем трассировку до узла 8.8.8.8 и видим что пакетики идут через нужный интерфейс (wireguard0), убираем маршрут, пакеты идут по дефолту.

Вы о каких-то других маршрутах говорите или внешних таблицах заведенных через entware?
 

[FatMike]

9 часов назад, Denis P сказал:

- сервер на роутере oc/sstp
- статический маршрут до условного узла 8.8.8.8 через условный интерфейс Wireguard0

Да, все верно. Из локальной сети трейс корректный, через wg. При подключении к роутеру через oc/sstp запускаю трейс, после роутера не проходит. при этом icmp udp tcp протоколы для интерфейса wg фаерволом разрешены.

[FatMike]

15 часов назад, Кинетиковод сказал:

Попробуйте ike

Попробовал, зря сомневался, работает как надо. Но мне не подходит, может когда то пригодится. Спасибо за совет.

[FatMike]

Обновился до 5 альфа 3, ничего не поменялось.

[Denis P]

1 час назад, FatMike сказал:

Да, все верно. Из локальной сети трейс корректный, через wg. При подключении к роутеру через oc/sstp запускаю трейс, после роутера не проходит. при этом icmp udp tcp протоколы для интерфейса wg фаерволом разрешены.

уточню момент, чекбокс "nat для клиентов" отмечен?

Изменено 20 июня пользователем Denis P

[FatMike]

8 минут назад, Denis P сказал:

nat для клиентов

Да, стоит.

Вообще пробовал в разных сочетаниях, например ip из локального диапазона - тогда и без галки доступ в интернет есть, если присвоить другой диапазон, без галки тогда доступ только к домашней сети, с галкой доступ к интернету. Но в через wg ничего идти не хочет.

Я уже давно пляшу с бубном вокруг этого дела, то плюну, то вернусь. В последних версиях 4.3.* я заметил изменения, касающиеся openconnect, подумал, что может быть изменилось, но нет.

Подумываю на выходных сбросить настройки и поднять минимальную конфигурацию с нуля, но вера в успех, усугубляемая ленью, минимальная.

[Denis P]

1 час назад, FatMike сказал:

Да, стоит.

Вообще пробовал в разных сочетаниях, например ip из локального диапазона - тогда и без галки доступ в интернет есть, если присвоить другой диапазон, без галки тогда доступ только к домашней сети, с галкой доступ к интернету. Но в через wg ничего идти не хочет.

Я уже давно пляшу с бубном вокруг этого дела, то плюну, то вернусь. В последних версиях 4.3.* я заметил изменения, касающиеся openconnect, подумал, что может быть изменилось, но нет.

Подумываю на выходных сбросить настройки и поднять минимальную конфигурацию с нуля, но вера в успех, усугубляемая ленью, минимальная.

никак не могу воспроизвести поведение которое вы описываете, проверил даже на серверах с разными версиями ПО, 4.2.6 4.3.3 и 5A3
клиенты win (родной sstp и openconnect GUI) и на android (SSTP client и cisco anyconnect)

[FatMike]

17 минут назад, Denis P сказал:

никак не могу воспроизвести поведение которое вы описываете

Да я и сам понимаю, что это на грани абсурда.

Маловероятно, что дело в клиенте, с oc пробовал и на android, клиент так и называет OpenConnect, брал с f-droid, и на ubuntu, консольный клиент openconnect.

Может быть я когда то что то навертел из командной строки когда то давно, но не знал, потому что раньше с wg проблем не было и другими vpn не пользовался. Это очень маловероятно, но исключать нельзя.

Спасибо, за то, что проверили. Теперь я точно уверен, что лыжи то едут, и проблема только на моей стороне.

Как говорится, семь бед - один резет, на выходных попробую сбросить все и посмотрю что будет. 

[Кинетиковод]

39 минут назад, FatMike сказал:

Теперь я точно уверен, что лыжи то едут, и проблема только на моей стороне.

Это штатное поведение Keenetic OS. Denis P  энтузиаст затейник у которого вероятно давно всё через Энтварь перенастроено и он уже забыл как выглядит сток. Для реализации вашей фантазии надо через cli правила создавать. Если хотите заняться, то ищите в истории форума. 

[qmxocynjca]

Кажется я тоже сталкивался с подобной задачей. Находилось только такое, но там всё через entware крутили. Есть уже какое-то прошивочное решение (пусть и через CLI)?

 

 

[Denis P]

1 час назад, qmxocynjca сказал:

Кажется я тоже сталкивался с подобной задачей. Находилось только такое, но там всё через entware крутили. Есть уже какое-то прошивочное решение (пусть и через CLI)?

 

 

Это другой случай и решается он без cli, назначением нужной политики сегменту к которому выборан доступ в параметрах SSTP сервера

[Le ecureuil]

А можете минимальный конфиг для воспроизведения набросать, чтобы было понятнее как именно не работает?