Трафик от SSTP клиента через IKEV2

[Zalupus]

Добрый день! Замучился уже плясать с бубном. Задача такая: есть Keenetic Speedster с OS 4.3.6.3. На Кинетике есть SSTP сервер. К нему подключается телефон. Ещё на Кинетике есть клиент IKEV2. Нужно пускать трафик телефона через ВПН подключение Кинетика. Телефону назначается статический адрес 10.0.0.101. Задача осложняется тем, что нельзя колдовать с сегментами, т.к. к этому Кинетику помимо телефона подключаются ещё 2 Кинетика по SSTP. Если мутить с сегментами, то трафик между ними перестаёт ходить. Не могу понять, как пустить отдельно трафик телефона через ВПН?

[Le ecureuil]

Попробуйте сделать на IKEv2-интерфейсе правило в firewall на выход (out) в acl (это сделать можно только в cli, веб редактирует только in), которое разрешит выход трафика с источником 10.0.0.101 через этот самый ikev2-интерфейс, а в in добавьте правило которое разрешит вход с Ikev2 на адрес 10.0.0.101.

По идее должно заработать.

[Zalupus]

20 часов назад, Le ecureuil сказал:

Попробуйте сделать на IKEv2-интерфейсе правило в firewall на выход (out) в acl (это сделать можно только в cli, веб редактирует только in), которое разрешит выход трафика с источником 10.0.0.101 через этот самый ikev2-интерфейс, а в in добавьте правило которое разрешит вход с Ikev2 на адрес 10.0.0.101.

По идее должно заработать.

Так а как заставить кинетик трафик для 10.0.0.101 пропускать через ikev? До файервола дело ещё не дошло, т.к. трафик идёт через стандартное подключение Кинетика.

Изменено 8 ноября пользователем Zalupus

[Zalupus]

Проблема ещё в том, что телефон не отображается в списке устройств, когда подключается по SSTP. Так бы, конечно, было легко через приоритеты подключений направить его трафик через IKEV2

[Zalupus]

23 часа назад, Le ecureuil сказал:

Попробуйте сделать на IKEv2-интерфейсе правило в firewall на выход (out) в acl (это сделать можно только в cli, веб редактирует только in), которое разрешит выход трафика с источником 10.0.0.101 через этот самый ikev2-интерфейс, а в in добавьте правило которое разрешит вход с Ikev2 на адрес 10.0.0.101.

По идее должно заработать.

И можно ли поподробнее? Не особо разбираюсь в командной строке

[Keen09]

Всем привет!

Аналогичная проблема, трафик подключения Wareguard пускать на SSTP-сервер. В sstp-сервере выбрана "гостевая", приоритеты подключения настроены на домашнюю/гостевую, но трафик не идёт(

[Zalupus]

В 09.11.2025 в 21:32, Keen09 сказал:

Всем привет!

Аналогичная проблема, трафик подключения Wareguard пускать на SSTP-сервер. В sstp-сервере выбрана "гостевая", приоритеты подключения настроены на домашнюю/гостевую, но трафик не идёт(

У меня с переводом всего сегмента под ikev2 (в моём случае), как раз, вопросов не возникает. Всё нормально. Отдельное устройство вот невозможно перекинуть. Поддержка тоже написала, что просто не получится. Только через жёсткие танцы с бубном. Считаю, что нужно такую возможность дать пользователям в ближайших обновлениях, т.к. сейчас в РФ это особо актуально. И вот почему: мобильный интернет кастрированный, и провайдеры банят всё подряд, в т.ч. впн подключения на уровне протокола. От региона к региону забанены разные протоколы и ситуация очень динамичная. Много езжу по России и заметил, что sstp подключения не банятся, ну оно и понятно: протокол http. А вот на проводном интернете, на котором висит Кинетик, список рабочих протоколов намного шире. Поэтому отсутствие возможности нормально перекинуть трафик - это полный бред в нынешних условиях.

Изменено 16 ноября пользователем Zalupus