Как разделить трафик на Keenetic от двух разных VPN по клиентам?

Question

[slagoris]

Привет!
Обзавелся тут на днях роутером Keenetiс Hopper. Хорошая железка, что хочется на ней сделать, но никак получается как надо. Не совсем сведущ в подобных настройках и прочем, поэтому нужна помощь простым языком.
Есть 2 впн подключения. Одно рабочее l2tp/ipsec- дает мне доступ до рабочих серверов, чатов, звонилок и прочего рабочего окружения, назовем VPN1, второе - Wireguard, для прочих ныне недоступных или ограниченных видео и социальных сервисов, для меня и всей семьи (конфиг давний, на самом сервере WG менять ничего не могу, т.к. не мой) - это VPN2.
Хочу настроить роутер так, чтобы я с рабочего места мог пойти на любые ресурсы с домашнего ip, но если иду на рабочий сервер, он меня роутит через интерфейс vpn1. Т.е. в настройках политики мне нужно и Ethernet подключение и vpn1, с более высоким приоритетом Ethernet. Я с первого впн так же могу пойти во все нужные недоступные сервисы. Добавил в маршрутизации статические маршруты до нужных узлов/сетей, все работает.
При этом все остальные устройства дома, тоже должны иметь доступ к Ethernret подключению, т.е. по всем доступным ресурсам ходить с обычного домашнего айпи, а уже на видео и стограмы ходить с впн2 и не иметь доступа к маршрутам впн1. Создал политику 2 - в ней тоже эзернет с более высоким приоритетом и впн2.

Но, т.к. не сведущ в более глубоких настройках, я методом проб и ошибок понял, что статические маршруты - глобальны. И все устройства из политики 2 роутятся на мои рабочие ресурсы. Оставить в политике 2 только впн2 - не вариант, т.к. все-таки скорости там ограничены и весь трафик от всех устройств пойдет через узкий впн2, в то время как домашняя сеть имеет довольно широкий канал. Пытался что-то там крутить с сегментами сети, но что-то все отваливается и не работает (скорее я не так делаю). На два разных подключения я настраивал, одному отдал мобильный инет, второму отдал эзернет, общих нет, все хорошо, а в моей ситуации - Можте кто подскажет, как это сделать, и можно ли вообще? Буду очень признателен за помощь.

Comments

[AlexVWill]

Хочу настроить роутер так, чтобы я с рабочего места мог пойти на любые ресурсы с домашнего ip

Что имеется ввиду под "с рабочего места мог пойти"? Имеется ввиду внешнее подключение к роутеру откуда то по VPN или изнутри сети кинетика?
Лучше нарисуй топологию сети как она должна быть, станет понятнее.

[slagoris]

AlexVWill, рабочее место - мой рабочий пк, с ресурсами, в которыек можно попасть только с впн1. Я все указал в сообщении. Если почитать, то я написал, что требуется простыми словами, а про топологии сети я бы ответил и нарисовал, если бы понимал вопрос ваш и скорее всего не задал бы свой.

[AlexVWill]

slagoris, Топология - это схема.
Как то так примерно:

spoiler

Берешь draw.io и просто банально рисуешь. И сразу становится понятно что куда и откуда.
Ибо

я написал, что требуется простыми словами

это тебе понятно, что именно, а тем, кто твою сеть не видел ни разу, эти "простые слова" - отсутствие полезной информации.
Ну, а если вдуматься, что именно ты написал (хотя я возможно, в силу указанного выше не совсем въехал), то тебе надо чтобы ты, подключаясь к одному VPN клиенту удаленно (т.е. роутеру, на котором стоит VPN клиент для доступа к рабочим ресурсам) имел доступ через второй VPN клиент к удаленной WG сети на зарубежном сервере? Так? Так вот, так сделать не получится. Для этого надо поднять на роутере VPN сервер, подключаться к нему, и путем маркировки трафика делать через маскарадинг маршрутизацию в сетевой интерфейс WG.

[Сергей]

Заходите на вкладку "Маршрутизация" и прописываете маршруты через нужный интерфейс (vpn)

[AlexVWill]

Сергей, это скорее всего не поможет, потому что клиент VPN не будет форвардить пакеты во внутреннюю сеть кинетика... Он просто получает IP от внешнего VPN сервера, и он клиент не подсети кинетика, а того сервера к которому он подключен. Т.е. обращаясь к его IP из внутренней сети кинетика можно достучаться к VPN серверу (и всем доступным ресурсам VNP), а вот обратно - нет. Я подозреваю, что без поднятия сервера такой фокус не выйдет.
Ну и даже если теоретически это было возможно - это как то не безопасно, даем доступ к своей сети из другой VPN сети, как то все это стремно...)))