Подключение клиента в обход настроек маршрутизации

[hop23]

Здравствуйте. Настроил на роутере возможность просматривать "зарубежный видеохостинг" путем проброса определённых IP-адресов в зарубежную ВПН сеть в настройках маршрутизации. Как настроить подключение определённого клиента в сети чтоб он работал только с чистым трафиком из WAN порта, в обход настроек маршрутизации?

Изменено 22 августа, 2025 пользователем hop23

[constgen]

В целом надо специально настроить политики доступа и тогда получится это сделать. По умолчанию собственные пользовательские маршруты применяются на все политики. Даже если в политике нет указанного VPN интерфейса, трафик всё равно будет перенаправляться. Но это можно изменить. То что мы хотим получить - это возможность в каких политиках маршрутизировать сайты по VPN, а в каких - нет. В этом поможет опция `standalone` у политики. Она переводит политику в другой режим, при котором в неё попадают маршруты только те, которые есть у интерфейсов в ней. А далее дело техники каким клиентам какие политики доступа настроить в их окне настройке клиента.

В Web UI нет этой настройки. Это делается через CLI. Для начала проверьте текущие политики, так же их имена можно посмотреть
 

(config)> show ip policy 

Вы увидите все маршруты которые в них задействуются. И системные и собственные. Когда всё настроите правильно, можно будет так верифицировать что нужные маршруты работают только в нужных политиках и отсутствуют у ненужных.

За тем заходите в свою политику в которой НЕ хотите чтобы применялись глобальные маршруты (подставьте своё имя). Они пронумерованы, так что вам надо вычислить какое правильное имя

(config)> ip policy Policy1
Network::PolicyTable: Policy "Policy1" exists.
(config-policy)> 

      description - set IP policy description
        multipath - enable IP policy multipathing
           permit - permit global interface(s)
       rate-limit - set rate limit for WAN interface
       standalone - disable IP policy routes copying

(config-policy)> 

Здесь вам надо почитать документацию и разобраться как включить `standalone`. Не буду расписывать. Самой первой командой проверьте, что всё применилось. Лично я вообще на все политики его включаю. Так намного проще контролировать, что происходит в сети. Вы можете решить по своему как организовать.

Теперь можете одних клиентов кинуть в политики с VPN интерфейсом, а других без него. Другие интерфейсы вместе с интернетом как хотите на своё усмотрение в зависимости от цели.

Я например так настроил чтобы клиенты из Wiregurad туннеля могли получать доступ только к определённым клиентам в локальной сети, а не ко всем из них https://forum.keenetic.ru/topic/21602-как-настроить-wireguard-site-to-site-через-политики-доступа/#findComment-211145. Например, только к домашнему серверу, но не компьютеру или пылесосу. Я просто добавил эти устройства в отдельную политику где есть туннель. Остальные устройства никак доступ в туннель не получали и к ним нельзя достучаться извне.

 

Изменено 30 августа, 2025 пользователем constgen

[mrGhotius]

В 22.08.2025 в 14:08, hop23 сказал:

Здравствуйте. Настроил на роутере возможность просматривать "зарубежный видеохостинг" путем проброса определённых IP-адресов в зарубежную ВПН сеть в настройках маршрутизации. Как настроить подключение определённого клиента в сети чтоб он работал только с чистым трафиком из WAN порта, в обход настроек маршрутизации?

Неоднократно уже обсуждалось!

 

Изменено 30 августа, 2025 пользователем mrGhotius

[n1kasus]

В 30.08.2025 в 11:39, constgen сказал:

Она переводит политику в другой режим, при котором в неё попадают маршруты только те, которые есть у интерфейсов в ней.

Добрый день! можно ли как то реализовать обратное?
хотелось бы реализовать политики:
политика по умолчанию где все устройства по дефолту идут через wan + маршруты vpn
политика чистого wan (это standalone) и добавление только wan подключения 
политика только vpn, но т.к.
маршруты цепляются на vpn подключение вне зависимости от добавления standalone при добавлении vpn подключения в политику автоматически прописываются маршруты и устройства под политикой работают только по данным маршрутам (например только ютюб но не остальной трафик)

.

[mrGhotius]

7 часов назад, n1kasus сказал:

Добрый день! можно ли как то реализовать обратное?
хотелось бы реализовать политики:
политика по умолчанию где все устройства по дефолту идут через wan + маршруты vpn
политика чистого wan (это standalone) и добавление только wan подключения 
политика только vpn, но т.к.
маршруты цепляются на vpn подключение вне зависимости от добавления standalone при добавлении vpn подключения в политику автоматически прописываются маршруты и устройства под политикой работают только по данным маршрутам (например только ютюб но не остальной трафик)

Цитата

• IP: добавлены настройки статических маршрутов, специфичных для политики [NDM-3435]:
  • ip policy {name} route ( {network} {mask} | {host} ) ( {gateway} [interface] | {interface}) [auto] [metric] [reject]
  • ip policy {name} ipv6 route {prefix} ( {interface} [gateway] | {gateway} ) [auto] [metric] [reject]

 

Изменено 21 января пользователем mrGhotius

[n1kasus]

В 21.01.2026 в 17:52, mrGhotius сказал:

IP: добавлены настройки статических маршрутов, специфичных для политики [NDM-3435]:

• ip policy {name} route ( {network} {mask} | {host} ) ( {gateway} [interface] | {interface}) [auto] [metric] [reject]
• ip policy {name} ipv6 route {prefix} ( {interface} [gateway] | {gateway} ) [auto] [metric] [reject]

 

 

Цитата

(config)> ip policy vpn_only route 0.0.0.0 0.0.0.0 OpenVPN0
Network::PolicyTable error[25362942]: default routes are not accepted.

к сожалению не помогает, а при добавлении соединения через web автоматически подтягивает все маршруты

[n1kasus]

не знаю что сделал, мб после обновления до 5.0.4 или добавления подключения через cli
permit global OpenVPN0

появился общий маршрут 

Цитата

 

(config)> show ip policy vpn_only

           policy, name = vpn_only:
                 mark: ffffaab
               table4: 4098

               route4:
                    route:
                  destination: 0.0.0.0/0
                      gateway: 0.0.0.0
                    interface: OpenVPN0
                       metric: 1000
                        flags: U
                    rejecting: no
                        proto: boot
                     floating: yes
                       static: no

 

ip policy vpn_only route 0.0.0.0 0.0.0.0 OpenVPN0 - не работало выдавало ошибку

[VladMart]

Добрый день. Возникла проблема при использовании wireguard, настроен vpn и маршрутизация на популярный видеохостинг. Проблема в том, что не все устройства подключенные к роутеру получают доступ к этому видео хостингу, например два телефона на андройде и айфон спокойно грузят видео, а два телевизора LG и приставка на андройде МИ БОКС не могут выйти на данный ресурс, при этом доступ в интернет есть у всех устройств и допустим вк видео или рутюб работают исправно. Ранее ( примерно год назад) в этой конфигурации все работало, проблемы пришли после продления подписки на vpn и обновлении прошивки до 5.0.7 (так совпало что при смене ключа сразу обновил прошивку. Роутер spedster KN-3013. Если написал не в ту тему просьба перенаправить так сказать по адресу, очень плохо разбираюсь в этих вопросах.

Хотелось указать еще один момент. Во время попыток разобраться (методом тыка) на одном из телевизоров LG в настройках сети снял галочку использовать ipv6  и видео начали грузиться, но не долго, не хватило и на пол часа, не знаю это так совпало или такая настройка как то влияет... В общем уже замучался.

[mrGhotius]

2 часа назад, VladMart сказал:

настроен vpn и маршрутизация на популярный видеохостинг

Какая маршрутизация статическая или DNS-маршрутизация? Проверьте списки маршрутов/доменов, возможно они не полные.

2 часа назад, VladMart сказал:

снял галочку использовать ipv6  и видео начали грузиться

Если ваш WG-туннель не поддерживает IPv6, и вы не используете его (IPv6) для каких-то своих нужд, тогда отключите IPv6 на роутере.

Изменено 22 марта пользователем mrGhotius

[VladMart]

2 часа назад, mrGhotius сказал:

Какая маршрутизация статическая или DNS-маршрутизация? Проверьте списки маршрутов/доменов, возможно они не полные.

Если ваш WG-туннель не поддерживает IPv6, и вы не используете его (IPv6) для каких-то своих нужд, тогда отключите IPv6 на роутере.

Маршрутизация использовалась из файла, к сожалению не могу подсказать, статическая или DNS, но списки роутер с файла подтянул все, там выскакивало сообщение что то вроде 103 записи и при попытки подсунуть ему повторно больше ничего не добавляет.

По поводу ipv6, во всех настроеных подключениях стоит не использовать.

[mrGhotius]

52 минуты назад, VladMart сказал:

к сожалению не могу подсказать, статическая или DNS

Статическая.

Попробуйте использовать DNS-маршрутизацию.

https://support.keenetic.ru/speedster/kn-3013/ru/51150-dns-based-routes.html

Или

Так же используйте DoT/DoH

https://support.keenetic.ru/speedster/kn-3013/ru/31543-dot-and-doh-proxy-servers-for-dns-requests-encryption.html

Почитайте смежные темы на этом форуме.

Изменено 22 марта пользователем mrGhotius

[VladMart]

9 часов назад, mrGhotius сказал:

Статическая.

Попробуйте использовать DNS-маршрутизацию.

https://support.keenetic.ru/speedster/kn-3013/ru/51150-dns-based-routes.html

Или

Так же используйте DoT/DoH

https://support.keenetic.ru/speedster/kn-3013/ru/31543-dot-and-doh-proxy-servers-for-dns-requests-encryption.html

Почитайте смежные темы на этом форуме.

Ого, мне тут нужно прям покурить тему... Мой уровень, могу поменять пароль от вай фай и или настроить подключение к  интернету... Во всех этих сетевых историях я практически ноль... 

У меня может быть глупый вопрос, а по чему ранее удавалось всем устроиствам получать доступ к маршрутам(ну или как это будет правильно), а теперь эти же устройства туда попасть не могут?

[mrGhotius]

14 часов назад, VladMart сказал:

У меня может быть глупый вопрос, а по чему ранее удавалось всем устроиствам получать доступ к маршрутам(ну или как это будет правильно), а теперь эти же устройства туда попасть не могут?

Слишком мало исходных данных, чтобы ответить однозначно. Причин может быть не одна. И без должных диагностических данных остается только гадать

Как вариант: вы на ТВ и приставке никаких "левых" DNS серверов не вводили в настройках сети?

Хотя в любом случае снимите отметку с пункта "Транзит запросов" в разделе "Интернет-фильтры" вкладка "Настройка DNS"

Спойлер

 

[VladMart]

12 часов назад, mrGhotius сказал:

Слишком мало исходных данных, чтобы ответить однозначно. Причин может быть не одна. И без должных диагностических данных остается только гадать

Как вариант: вы на ТВ и приставке никаких "левых" DNS серверов не вводили в настройках сети?

Хотя в любом случае снимите отметку с пункта "Транзит запросов" в разделе "Интернет-фильтры" вкладка "Настройка DNS"

  Скрыть контент

 

Добрый день. На ТВ и приставке сетевые не меняли.

"Транзит запросов" в разделе "Интернет-фильтры" вкладка "Настройка DNS" я пока имею доступ через мобильное приложение для доступа к настройкам роутера, там подобное находится в разделе "сетевые правила" > "профили DNS" в данном разделе есть пункт "Система. Разрешен транзит запросов" когда проваливаюсь в этот пункт вижу три варианта: "подключение эзернет (это к провайдеру)" с иконкой закрытый замок( не дает редактировать); подключение VPN которое я настраивал с одним из DNS 1.1.1.1 так же с закрытым замочком и символ ">" (можно редактировать) и еще этот же VPN c вторым  DNS 8.8.8.8 (его так же можно редактировать). Только галочки нет, чтобы ее(галочку) снять. Или для этого нужно войти через вэб "морду"?

 

 

Спойлер

 

 

 

 

 

 

Изменено Вторник в 03:30 пользователем VladMart
изображения в спойлер

[mrGhotius]

10 часов назад, VladMart сказал:

Только галочки нет, чтобы ее(галочку) снять.

Нажмите для редактирования:

Спойлер

 

[VladMart]

29 минут назад, mrGhotius сказал:

Нажмите для редактирования:

  Показать контент

 

Я там могу только удалить VPN подключения или отредактировать их. Так и сделать? Полключение эзернет редактировать не могу, не дает.

Изменено Вторник в 14:16 пользователем VladMart
Дополнение

[mrGhotius]

3 часа назад, VladMart сказал:

Так и сделать?

Не надо ничего удалять. Попробуйте зайти НЕ через приложение.