Как разделить трафик на Keenetic от двух разных VPN по клиентам?
Привет!
Обзавелся тут на днях роутером Keenetiс Hopper. Хорошая железка, что хочется на ней сделать, но никак получается как надо. Не совсем сведущ в подобных настройках и прочем, поэтому нужна помощь простым языком.
Есть 2 впн подключения. Одно рабочее l2tp/ipsec- дает мне доступ до рабочих серверов, чатов, звонилок и прочего рабочего окружения, назовем VPN1, второе - Wireguard, для прочих ныне недоступных или ограниченных видео и социальных сервисов, для меня и всей семьи (конфиг давний, на самом сервере WG менять ничего не могу, т.к. не мой) - это VPN2.
Хочу настроить роутер так, чтобы я с рабочего места мог пойти на любые ресурсы с домашнего ip, но если иду на рабочий сервер, он меня роутит через интерфейс vpn1. Т.е. в настройках политики мне нужно и Ethernet подключение и vpn1, с более высоким приоритетом Ethernet. Я с первого впн так же могу пойти во все нужные недоступные сервисы. Добавил в маршрутизации статические маршруты до нужных узлов/сетей, все работает.
При этом все остальные устройства дома, тоже должны иметь доступ к Ethernret подключению, т.е. по всем доступным ресурсам ходить с обычного домашнего айпи, а уже на видео и стограмы ходить с впн2 и не иметь доступа к маршрутам впн1. Создал политику 2 - в ней тоже эзернет с более высоким приоритетом и впн2.
Но, т.к. не сведущ в более глубоких настройках, я методом проб и ошибок понял, что статические маршруты - глобальны. И все устройства из политики 2 роутятся на мои рабочие ресурсы. Оставить в политике 2 только впн2 - не вариант, т.к. все-таки скорости там ограничены и весь трафик от всех устройств пойдет через узкий впн2, в то время как домашняя сеть имеет довольно широкий канал. Пытался что-то там крутить с сегментами сети, но что-то все отваливается и не работает (скорее я не так делаю). На два разных подключения я настраивал, одному отдал мобильный инет, второму отдал эзернет, общих нет, все хорошо, а в моей ситуации - Можте кто подскажет, как это сделать, и можно ли вообще? Буду очень признателен за помощь.
Хочу настроить роутер так, чтобы я с рабочего места мог пойти на любые ресурсы с домашнего ip
Что имеется ввиду под "с рабочего места мог пойти"? Имеется ввиду внешнее подключение к роутеру откуда то по VPN или изнутри сети кинетика?
Лучше нарисуй топологию сети как она должна быть, станет понятнее.
AlexVWill, рабочее место - мой рабочий пк, с ресурсами, в которыек можно попасть только с впн1. Я все указал в сообщении. Если почитать, то я написал, что требуется простыми словами, а про топологии сети я бы ответил и нарисовал, если бы понимал вопрос ваш и скорее всего не задал бы свой.
slagoris, Топология - это схема.
Как то так примерно:
spoiler
Берешь draw.io и просто банально рисуешь. И сразу становится понятно что куда и откуда.
Ибо
я написал, что требуется простыми словами
это тебе понятно, что именно, а тем, кто твою сеть не видел ни разу, эти "простые слова" - отсутствие полезной информации.
Ну, а если вдуматься, что именно ты написал (хотя я возможно, в силу указанного выше не совсем въехал), то тебе надо чтобы ты, подключаясь к одному VPN клиенту удаленно (т.е. роутеру, на котором стоит VPN клиент для доступа к рабочим ресурсам) имел доступ через второй VPN клиент к удаленной WG сети на зарубежном сервере? Так? Так вот, так сделать не получится. Для этого надо поднять на роутере VPN сервер, подключаться к нему, и путем маркировки трафика делать через маскарадинг маршрутизацию в сетевой интерфейс WG.
Сергей, это скорее всего не поможет, потому что клиент VPN не будет форвардить пакеты во внутреннюю сеть кинетика... Он просто получает IP от внешнего VPN сервера, и он клиент не подсети кинетика, а того сервера к которому он подключен. Т.е. обращаясь к его IP из внутренней сети кинетика можно достучаться к VPN серверу (и всем доступным ресурсам VNP), а вот обратно - нет. Я подозреваю, что без поднятия сервера такой фокус не выйдет.
Ну и даже если теоретически это было возможно - это как то не безопасно, даем доступ к своей сети из другой VPN сети, как то все это стремно...)))