Сегменты сети + Wireguard VPN + маршрутизация на основе DNS

[stas_sl]

Привет!

Пытаюсь решить такую задачу. Допустим у меня на роутере настроено 2 сегмента сети:  Home (192.168.1.0/24) и Guest (192.168.2.0/24). А так же несколько Wireguard подключений WG1 (10.1.1.0/24) - c доступом в инет и WG2(10.1.2.0/24) - без доступа в инет. И еще настроено несолько маршрутов на основе DNS, которые отправляют трафик для некоторых сайтов через WG1. 

Я хочу сделать так чтобы клиенты подключенные к сегменту Guest ничего не знали про Wireguard подключения WG1/2. Т.е. чтобы не могли пинговать хосты по IP, а также чтобы для них не применялсь маршруты на основе DNS. Также хотелось бы, чтобы если добавятся новые сегменты сети, то по умолчанию они тоже не имели бы доступ к WG1/2.

Я вроде почти настроил, но не уверен что все правильно.

Вопрос 1: Какой лушче security-level выставить для интерфейсов WG1/2? По идее, если я хочу, чтобы из большинства сегментов сети, кроме Home, ни у кого не было доступа по умолчанию, то надо выставить private/protected. Т.к. если public, то надо не забыть для каждого сегмента запретить туда лезть через фаервол.

Вопрос 2: Если я выставляю security-level private у WG1/2, то чтобы у клиентов Home был туда доступ надо явно добавить разрешающее правило через фаервол 192.168.1.0/24 -> 10.1.1.0/24 и 192.168.1.0/24 -> 10.1.2.0/24. Так?

Вопрос 3: Как сделать так чтобы для клиентов Guest не применялась маршрутизация на основе DNS, которая перенаправляет некоторые сайты через WG1/WG2. Иначе, если доступа к Wireguard у них нет, то сайты будут тупить. Они и так и так не откроются, просто если перенаправления через VPN не будет - им покажется сообщение, что доступа нет, а если перенаправление будет, то сайты просто подвиснут и потом отвалятся по таймауту.

Вопрос 4: Может я чего то напутал и надо еще раз перепроверить, но почему то если я пытаюсь сделать, как написал выше не работает. Т.е. если я ставлю security-level private для интерфейсов WG1/WG2 и добавляю разрешающее правило в файерволе 192.168.1.0/24 -> 10.1.1.0/24. То я подключившись к Homе могу пинговать 10.1.1.xx, но при этом сайты которые должны идти через WG1 виснут. Если же я выполняю команду no isolate-private, то сайты начинают открываться. Разве не достаточно разрешающего правила в фаерволе для конкретно одной сети? Пинг же идет.

Вопрос 5: Еще же есть политики доступа в интернет. И они вроде почти подходят, кроме того что у меня для WG2 не стоит галочка "Использовать для выхода в интернет". Из-за этого оно не отображатся в политиках. Но, если для WG1 через политики я убираю доступ к нему для сегмента Guest, то вроде как и правила маршрутизации на основе DNS, которые ведут через WG1 не применяются. Т.е. для клиентов Guest на этих сайтах показывается сообщение о блокировке - собственно как и требуется. Ну единственное "но": что для этого у WG1 должен быть security-level public судя по предыдущему вопросу 4.

Вопрос 6: Нельзя ли сделать чтобы подключение/интерфейс WG2 также отображался в политиках доступа, хоть он и не используется для доступа в интернет, чтобы можно было одной галочкой рарешить/запретить доступ к этому подключени для всего сегмента сети, так же как это работает для WG1? Или это имеено для подключений с интернетом было задумано, а другие подключения рулить через фаервол?

Вопрос 7: Почему надо выставлять правило фаервола на интерфейсе Home/Guest разрешающее/запрещающее, чтобы оно работало. А если выставить аналогичное правило на интерфейсах WG1/WG2 - то оно не работает. Я просто думал, что чтобы не бегать по вкладкам с сегментами, можно было бы на WG1 разрешить доступ из Home и запретить из всех остальных. А так надо зайти в каждый сегмент кроме Home и запретить доступ к WG1.

В общем сейчас я сделал управление доступом к WG1 через политики доступа + security-level public + правило в фаерволе запрещающее лезть из Guest в WG1. Для WG2 выставил security-level private + правило разрешающее лезть из Home в WG2. Вроде как все работает, но может можно было как-то проще/правильнее? И не баг ли это в вопросе 4?

Изменено Понедельник в 11:27 пользователем stas_sl