Настройка отдельной WIFI точки для раздачи VPN

[atam]

Товаращи, вимание!

Задача следующая. Есть уже настроенное в раутере и работающее ВПН-соединение (клиент). Надо организовать доступ к этому соединению через отдельную точку WIFI. Т.е. так, чтобы любое устройство (зарегистрированное, не зарегистрированное), подключенное к этой точке ходило только через это ВПН-соединение.

Поковырявшись какое-то время в настройках, сам я потерял веру в то, что такое возможно (по крайне мере через вэб интерсфейс). Т.к. разные соединения доступны через профили, а профиль можно повесить только либо на зарегистрированное _устройство_, либо на WiFi точку но только как "профиль для не зарегистрированных устройств". Если же устройство _зарегистрировано_, то профиль связан уже с ним напрямую, а не с WiFi точкой, к которой он подсоединен..

Дивайс: Keenetic Ultra (KeeneticOS 3.1.10)

Подскажите, может я упустил что..

Спасибо.

 

P.S. Как хак работает следующее: на нужную wifi точку вешается в "профиль для не зарегистрированный устройств" профиль, в котором прописано это впн соединение. Тогда все, устройста, которые не зарегистрированы и подключены к этой точке, будут ходить через это впн. Но мне это не подходит т.к. мне нужна регистрация устройств для навешивания на них расписания.

[r13]

6 минут назад, Кинетиковод сказал:

Создайте новый сегмент со своей точкой доступа и привяжите не отдельное устройство, а весь сегмент к нужному VPN.

ТС уже это сделал.  вопрос по зарегистрированным устройствам, их эта политика не касается в текущей реализации

@ndm

Неплохо бы для зарегисрированных опцию "использовать настройки сегмента" добавить. 

Изменено 26 ноября, 2019 пользователем r13

[r13]

17 минут назад, Кинетиковод сказал:

@r13

Зарегистрировался в допсегменте. Через заданный VPN хожу. Настроил расписание. Сработает оно или нет узнаю только в полночь. ))) А ведь раньше можно было задавать точное время. Не понял что не так.

P.S. В полночь Кинетик сообщил: "Доступ в Интернет заблокирован по расписанию". Расписание работает.

Кейс состоит в том, чтобы для зарегистрированного устройства выбирать политику по сегменту подключения, а не менять привязку к политике в настройках. 

[atam]

1 hour ago, Кинетиковод said:

Устройство должно подключаться к любой точке? Странные у вас желания однако. Трудно представить зачем вам понадобилась столь экзотическая схема. 

В чем экзотика-то?  Смысл в том, что не только одно конкретное "устройство", а любое устройство (в т.ч. и устройства людей, пришедших в гости), когда им нужен ВПН должны иметь возможность переключиться на ту wifi точку, где ВПН прописан, как основное соединение.

Это удобно, т.к. не всем устройствам и не всегда нужен ВПН. + Не все устройства (Roku, Smart TV например) имеют встроенный vpn клиент. Отдельная точка для них - вариант. Например я хочу иметь американский фильтр на контент Netflix (а доступный контент практически у всех стриминг сервисов отличается по регионам) - переключился на wifi точку c американским vpn. Хочу европейский фильтр (например по американскому недоступен Sotuh Park) - переключился на wifi точку без впн.

На мой взгляд, как раз, такое ограничение как "одно устройство == одна и та же точка доступа" выглядит неудобным.

[Кинетиковод]

Создайте новый сегмент со своей точкой доступа и привяжите не отдельное устройство, а весь сегмент к нужному VPN.

[Кинетиковод]

@r13

Зарегистрировался в допсегменте. Через заданный VPN хожу. Настроил расписание. Сработает оно или нет узнаю только в полночь. ))) А ведь раньше можно было задавать точное время. Не понял что не так.

P.S. В полночь Кинетик сообщил: "Доступ в Интернет заблокирован по расписанию". Расписание работает.

Изменено 26 ноября, 2019 пользователем Кинетиковод

[atam]

1 hour ago, r13 said:

Неплохо бы для зарегисрированных опцию "использовать настройки сегмента" добавить. 

@r13 В точку - вы отлично поняли суть проблемы!

[atam]

2 hours ago, Кинетиковод said:

Создайте новый сегмент со своей точкой доступа и привяжите не отдельное устройство, а весь сегмент к нужному VPN.

Вот здесь более развернуто проблема описана и почему все не так просто

 

[Кинетиковод]

15 часов назад, Andrey Tamelo сказал:

Вот здесь более развернуто проблема описана и почему все не так просто

Цитата

Получается, что когда зарегистрированное устройство подсоединяется в любую wifi точку, для устройства будет действовать профиль прописанный для него (а не для точки). Явно не хватает возможности прописывать профиль доступа для точки для зареганых устройств.

Устройство должно подключаться к любой точке? Странные у вас желания однако. Трудно представить зачем вам понадобилась столь экзотическая схема. 

[gewer]

В 27.11.2019 в 16:49, Кинетиковод сказал:

Устройство должно подключаться к любой точке? Странные у вас желания однако. Трудно представить зачем вам понадобилась столь экзотическая схема. 

Добрый день. Решения так и не было?

Ситуация аналогичная. Нужно 2 wi-fi сети в доме - 1 обычная, вторая с VPN. Сейчас актуально. Любые устройства (и зарегистрированные и нет) должны подключаться через VPN, если подключены к второй сети. Если в первой - то без VPN. Удалось настроить такую схему, но к VPN подключаются только незарегистрированные устройства, т.к. в настройках сегмента можно выставить его использование только для них.

[Eugeny Novozhilov]

всем привет, тоже отмечусь тут, хотел сделать вторую точку доступа и ее трафик отправить в IPIP тоннель.

одновременно с этим заметил, что static ip тоже прописывается один на все сегменты, если расширять "per segment" идею, то и его бы туда отправить. 

[dmdrl]

Присоединяюсь к вопросу. 

Как бы задать маршрут по умолчанию через туннель для сегмента, вне зависимости от регистрации устройства.

 

[KyZZMI4]

Присоединяюсь, такая же проблема. Хотелось бы иметь регистрацию устройства на сегмент, а не на весь роутер.

Схема как у многих выше, одна сеть в интернет напрямую, вторая через ВПН, хотелось бы зарегистрировать устройства (как минимум для просмотра статистики по трафику), но при этом сохранить возможность выходить через ВПН путём переключения сети. 

После Микротика это показалось очень странным, я думал что сегмент важнее регистрации устройства. 

[dez64ru]

Подписываюсь в теме, это супер очевидная мысль, не понимаю в чем сложность ее реализовать?

[Kolega]

Поддержу данную хотелку в 2023 году.

[VladimirV]

Очень нужный функционал и жаль его нет. ТВ боксам на Андроиде нужен такой функционал для кинотеатров. Кто переехал,компании релакацию сделали - увезли умные колонки с собой, а они в других странах музыку играть отказываются.

[agreczov]

Зарегистрировался, только для того чтобы подписаться под этой проблемой. Очень нужный функционал. Настройки "использовать настройки сегмента" не хватает. Приходится не регистрировать устройства

[ilya0103]

Поддерживаю. Неожиданно, что роутер это не умеет (

[Spark Trx]

Поддерживаю. Давно жду эту функцию.

[LTMRV]

Поддержу. Не хватает такой функции

[walkman]

Подниму тему. Идея удобная: каждой Wifi сети назначать свое соединение. Сейчас можно назначить только проводное. Одна сеть для впн, одна для обычного интернета - это мегаудобно.

[eralde]

@agreczov @ilya0103 @Spark Trx @LTMRV @walkman в 4.2 нужный вам вариант реализован:

 

Достаточно настроить сегмент для VPN и задать устройствам эту настройку. При подключении к сегменту с VPN устройства будут ходить в Интернет через VPN, при подключении к сегменту, для которого задана политика по умолчанию -- клиенты будут ходить в Интернет через основной канал.

 

[walkman]

Спасибо, жду релиза.

[perdun1123]

В 30.07.2024 в 12:57, eralde сказал:

@agreczov @ilya0103 @Spark Trx @LTMRV @walkman в 4.2 нужный вам вариант реализован:

 

Достаточно настроить сегмент для VPN и задать устройствам эту настройку. При подключении к сегменту с VPN устройства будут ходить в Интернет через VPN, при подключении к сегменту, для которого задана политика по умолчанию -- клиенты будут ходить в Интернет через основной канал.

 

Накатил бету прошивки 4,2

Все работает, для каждой сети назначаешь политику, для каждого зарегистрированного устройства назначаешь политику по умолчанию сегмента

Изменено 20 августа, 2024 пользователем perdun1123

[Быстрый тушканчик]

В приоритетах создал 2 политики - по умолчанию и приоритетом VPN. Создал wi-fi сети, назначил политику. Назначил на айфон политику по умолчанию сегмента. В итоге сеть с VPN не работает. На прошивке 4.1 vpn работал. Что делаю не так?

ps. Уже обсуждали. Повторю:

Цитата

Ну так вопрос о том был, как весь сегмент привязать к соединению. Было бы хорошо, если бы можно было в настройках всему сегменту назначить соединение, а не устройствам, не зависимо от регистрации.

 

Изменено 30 сентября, 2024 пользователем Быстрый тушканчик

[Artemis21]

Up: Есть сегмент, там настроена определенная политика "по-умолчанию сегмента". Когда устройства подключаются - они работают через эту политику. Однако,  когда я регистрирую эти устройства - к ним индивидуально применяется просто политика "по-умолчанию".

Есть ли в текущей актуальной версии 4.3.6 настройка, чтобы когда регистрируешь клиента, к нему приписывалось использование политики по-умолчанию сегмента, к которому устройство подключено?

Если нет - очень хотелось бы такой функционал, жутко неудобно. Постоянно забываю донастроить клиента, хочется просто нажать "зарегистрировать", выдать имя, и больше не трогать настройки.

ИМХО текущее поведение, где регистрация клиента сбрасывает его политику на "по-умолчанию", и нужно ручками переназначать - очень неудобное для активного администрирования регулярной текучки новых клиентов сети.

 

По сути, это же пожелание озвучено в сообщении выше, только в иной форме - было бы неплохо иметь возможность просто привязать целый сегмент к политике доступа, и не морочиться вовсе с политиками на каждого клиента.

Но мне кажется, терять возможность раздавать индивидуальные политики клиентам - неправильно. Достаточно при регистрации выдавать политику по-умолчанию сегмента, в которой находится девайс на момент регистрации.

Изменено 20 декабря пользователем Artemis21

[Denis P]

4 часа назад, Artemis21 сказал:

По сути, это же пожелание озвучено в сообщении выше, только в иной форме - было бы неплохо иметь возможность просто привязать целый сегмент к политике доступа, и не морочиться вовсе с политиками на каждого клиента.

прокрутите до конца страницу с настройками сегмента, там вас ожидает сюрприз

[Artemis21]

В 20.12.2025 в 18:13, Denis P сказал:

там вас ожидает сюрприз

Сюрпризов меня там не ожидает. Сегмент-то привязан к политике доступа. Дело в том, что когда новое устройство в сегменте вручную регистрируется, в регистрации устройства (его индивидуальных настройках) прописывается просто политика по умолчанию, а не политика по умолчанию в сегменте. Приходится руками каждый раз менять, а если забудешь - потом интернет коряво у клиента работает, неудобно. Эта настройка прекрасно работает с незарегистрированными клиентами, я же предлагаю сделать так, чтобы в момент регистрации устройства у него по дефолту в поле "политика доступа" прописывалось значение "политика по умолчанию сегмента", что удобно, ибо в таком случае клиент может и в иной сегмент переключиться, и там у него будет нужная политика, и не нужно вспоминать каждый раз об этой настройке. Если надо обязательно в основную политику поместить клиента, или еще в какую специфическую, можно всегда и руками, что логично. Еще лучше сделать вышеописанное отдельным ползунком в настройках политик доступа...

Изменено Четверг в 16:11 пользователем Artemis21

[Denis P]

2 минуты назад, Artemis21 сказал:

Сюрпризов меня там не ожидает. Сегмент-то привязан к политике доступа. Дело в том, что когда новое устройство в сегменте вручную регистрируется, в регистрации устройства (его индивидуальных настройках) прописывается просто политика по умолчанию, а не политика по умолчанию в сегменте. Приходится руками каждый раз менять, а если забудешь - потом интернет коряво у клиента работает, неудобно. Эта настройка прекрасно работает с незарегистрированными клиентами, я же предлагаю сделать так, чтобы в момент регистрации устройства у него по дефолту в поле "политика доступа" прописывалось значение "политика по умолчанию сегмента", что удобно, ибо в таком случае клиент может и в иной сегмент переключиться, и там у него будет нужная политика, и не нужно вспоминать каждый раз об этой настройке. Если надо обязательно в основную политику поместить клиента, или еще в какую специфическую, можно всегда и руками, что логично. Еще лучше сделать вышеописанное отдельным ползунком в настройках политик доступа...

как раз таки при авторегистрации клиент и попадает в "политику по умолчанию сегмента", а при ручной сразу же дается выбор какой политике следовать. Пока что не ясно какую проблему пытаетесь решить