Подключение клиента в обход настроек маршрутизации

[hop23]

Здравствуйте. Настроил на роутере возможность просматривать "зарубежный видеохостинг" путем проброса определённых IP-адресов в зарубежную ВПН сеть в настройках маршрутизации. Как настроить подключение определённого клиента в сети чтоб он работал только с чистым трафиком из WAN порта, в обход настроек маршрутизации?

Изменено 22 августа пользователем hop23

[constgen]

В целом надо специально настроить политики доступа и тогда получится это сделать. По умолчанию собственные пользовательские маршруты применяются на все политики. Даже если в политике нет указанного VPN интерфейса, трафик всё равно будет перенаправляться. Но это можно изменить. То что мы хотим получить - это возможность в каких политиках маршрутизировать сайты по VPN, а в каких - нет. В этом поможет опция `standalone` у политики. Она переводит политику в другой режим, при котором в неё попадают маршруты только те, которые есть у интерфейсов в ней. А далее дело техники каким клиентам какие политики доступа настроить в их окне настройке клиента.

В Web UI нет этой настройки. Это делается через CLI. Для начала проверьте текущие политики, так же их имена можно посмотреть
 

(config)> show ip policy 

Вы увидите все маршруты которые в них задействуются. И системные и собственные. Когда всё настроите правильно, можно будет так верифицировать что нужные маршруты работают только в нужных политиках и отсутствуют у ненужных.

За тем заходите в свою политику в которой НЕ хотите чтобы применялись глобальные маршруты (подставьте своё имя). Они пронумерованы, так что вам надо вычислить какое правильное имя

(config)> ip policy Policy1
Network::PolicyTable: Policy "Policy1" exists.
(config-policy)> 

      description - set IP policy description
        multipath - enable IP policy multipathing
           permit - permit global interface(s)
       rate-limit - set rate limit for WAN interface
       standalone - disable IP policy routes copying

(config-policy)> 

Здесь вам надо почитать документацию и разобраться как включить `standalone`. Не буду расписывать. Самой первой командой проверьте, что всё применилось. Лично я вообще на все политики его включаю. Так намного проще контролировать, что происходит в сети. Вы можете решить по своему как организовать.

Теперь можете одних клиентов кинуть в политики с VPN интерфейсом, а других без него. Другие интерфейсы вместе с интернетом как хотите на своё усмотрение в зависимости от цели.

Я например так настроил чтобы клиенты из Wiregurad туннеля могли получать доступ только к определённым клиентам в локальной сети, а не ко всем из них https://forum.keenetic.ru/topic/21602-как-настроить-wireguard-site-to-site-через-политики-доступа/#findComment-211145. Например, только к домашнему серверу, но не компьютеру или пылесосу. Я просто добавил эти устройства в отдельную политику где есть туннель. Остальные устройства никак доступ в туннель не получали и к ним нельзя достучаться извне.

 

Изменено Суббота в 08:41 пользователем constgen

[mrGhotius]

В 22.08.2025 в 14:08, hop23 сказал:

Здравствуйте. Настроил на роутере возможность просматривать "зарубежный видеохостинг" путем проброса определённых IP-адресов в зарубежную ВПН сеть в настройках маршрутизации. Как настроить подключение определённого клиента в сети чтоб он работал только с чистым трафиком из WAN порта, в обход настроек маршрутизации?

Неоднократно уже обсуждалось!

 

Изменено Суббота в 10:45 пользователем mrGhotius