Добрый вечер.

Настроил сабж исходя из статьи https://support.keenetic.ru/eaeu/ultra/kn-1810/ru/21424-internet-access-through-a-wireguard-vpn-tunnel.html. В принципе, все получилось, но остался один вопрос - можно ли как-то подключающихся через wireguard-сервер запустить в инет через определенное подключение, например через сотовый модем, а не через подключение по умолчанию. Не понял, как такое сделать. Никто не пробовал? Через приоритеты подключений не выходит, потому что там никаким боком нет ни wireguard сервера, ни устройств, которые через него подключаются. Замечу, что у меня домашняя сеть состоит из двух VLANов, как вариант, сгодится маршрутизировать трафик в один из них и подключаться через то подключение, которое для VLANа определено. Но пока не разобрался, как.

Добавить клиента по MAC-адрес пробовал?

(1) еще нет, попробую. Но привязки к клиенту и его маку не очень хоца. Хоца так - все кто приходят путем коннекта на кинетиковский wg_server1 - идут на определенное подключение. Неважно какой у него мак.

Но в целом подобные задачи поднятия vpn сервера, который клиентам подключаемым из внешней сети (через инет) предоставляет доступ в инет через конкретный интерфейс решаются через iptables
Поднять Entware (opkg) на usb
https://help.keenetic.com/hc/ru/articles/360021214160-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D1%8B-%D0%BF%D0%B0%D0%BA%D0%B5%D1%82%D0%BE%D0%B2-%D1%80%D0%B5%D0%BF%D0%BE%D0%B7%D0%B8%D1%82%D0%BE%D1%80%D0%B8%D1%8F-Entware-%D0%BD%D0%B0-USB-%D0%BD%D0%B0%D0%BA%D0%BE%D0%BF%D0%B8%D1%82%D0%B5%D0%BB%D1%8C

Или уже можно сразу на встроенную память роутера
https://help.keenetic.com/hc/ru/articles/360021888880-%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-OPKG-Entware-%D0%BD%D0%B0-%D0%B2%D1%81%D1%82%D1%80%D0%BE%D0%B5%D0%BD%D0%BD%D1%83%D1%8E-%D0%BF%D0%B0%D0%BC%D1%8F%D1%82%D1%8C-%D1%80%D0%BE%D1%83%D1%82%D0%B5%D1%80%D0%B0

И вперед в дебри линукса и openwrt

(3) только такими сильнодействующими средствами?

(4) задача сильно не стандартная
и особенность wg что вот так кривовато его прикрутили
фактически он софтовый а не в прошивке с поддержкой на аппаратном уровне
с openvpn такая же шляпа

лично я рабочую сетку vpn на l2tp поднимал - намного шустрее

кинетик позволяет штатно поднимать на себе open-VPN сервер

(7) угу и openvpn и wg
но оно вне стандартных интерфейсов в отличие от других аппаратно поддерживаемых vpn протоколов

(8)+ точнее openvpn в интерфейсе/настройке там же где и прочие vpn
но фактически тоже софтовый и отдельно

(8) ну хорошо, а если поднять что-то другое из того что там доступно, скажем, l2tp или ike, то возможность появится? У меня в общем-то свет клином не сошелся на wg.

(10) хрен его знает

Маркировать трафик по определенным условиям, а потом в зависимости от маркировки применять соответствующий маршрут. Но как это в кинетике делать, фиг знает. Скорее всего, через инетфейс никак. Только командами какими-то.

Ладно, раз тут никто не в курсе, поспрошаем в более специализированных местах. Вообще я довольно сильно удивлен, потому как очень много разговоров про адскую мощь кинетика... а задача-то на самом деле плевая, ZyWall USG 2010-х годов выпуска прекрасно маршрутизирует подключения какие хочешь куда хочешь путем таскания правил в веб-морде... Микрот, думаю, тоже шутя-играя справится с этой задачей.

(13) в микроте wg глянь когда появился ))

Короче, сделал. Нужна KeeneticOS начиная с 4, поэтому мне пришлось обновиться. После этого в комстроке ip policy Wireguard{сервер} Policy{профиль_подключения_через_который_коннектиться}. Всё :) Спасибо ребятам с канала Keenetic в телеге.

(14) я согласен, но он и сам по себе вещь, скажем так, не очень старая :) Я в общем про маршрутизацию. Ты говоришь, что задача шибко нестандартная, а по-моему, задача самая примитивная и тупейшая для роутера просто в силу его такового названия. Если не wg, так другие, более старые протоколы.

https://support.keenetic.ru/eaeu/ultra/kn-1810/ru/6463-latest-main-release.html

(16) подобные задачи я обычно решал двумя и более роутерами
один внешний проброска и маршрутизация
второй внутренний vpn сервер

для первого второй является обычным локальным клиентом и правила маршрутизации для него действуют и на vpn клиентов

(18) Хм... Еще 15 лет назад появились интегрированные шлюзы для предприятий. Их делали всякие конторы: циско, зайцел, джунипер и кто только не делал. Все они имели на борту VPN клиентов и серверов, позволяли несколько каналов в инет и давали сервисы для внутренней сетки - ну там вланы, DMZ, вайфай офисный и гостевой, многие до кучи еще имели сервисы прикладного уровня, например антивирус и антиспам трафика. Про то что можно было маршрутизировать что хочешь куда хочешь - даже речь не шла, это была база. Позже появился микротик, который делал все то же, но в разы дешевле. Еще позже домашний кинетик начал подтягиваться к этому же уровню, я помню, как в нем потихоньку появлялись знаковые вещи, например, IKE-сервер... Какие два роутера, зачем так сложно? Я еще понимаю - сейчас, когда нужны всякие ShadowSocks, cloak и прочее, чего в стоке нет и, возможно, не будет...

(19) >вайфай офисный и гостевой

очень смешно
несколько ssid на одном роутере это очень недавнее изобретение
а уж выделение гостевой сети - это как раз с домашних роутеров пошло

(20)+ в "не soho" оборудовании там нет обычно понятия гостевой
там несколько сетей делай и настраивай вручную как надо с разграничениями доступа

да и в целом мультикомбайн - это как раз soho (домашние роутеры фактически и да микротик в этом были одни из первых)
enterprise оборудование там роутеры/маршрутизаторы - отдельно, точки доступа wifi - отдельно
и на каждую wifi сеть - своя точка(и) доступа

(22) на самом деле у энтерпрайзов часто бывали soho-версии, которые не отличались по софту от более мощных коллег, но имели ТД на борту. Например ZyWall USG 20W, Cisco 871w. Все эти вещи вполне продавались в местных компьютерных сетях, и гораздо раньше, чем микрот хоть как-то завоевал российский рынок. Это, чтоб не соврать, был примерно 2008-2010 г.

(0) Хоть ты и решил свою задачу, но если поднять на роутере IKE сервер (который к тому же вроде аппаратно поддерживается), можно прицепить клиентов с назначением внутренних айпишников. А потом в межсетевом экране прописать правила на нужных тебе интерфейсах с какого IP (прицепившихся IKE клиентов) куда направляться?

(23) С легендарным D-Link DIR-320 (первый который A1/A2 и совместимый по прошивке с Asus WL 500GP v2) не сравнить ))

(24) ну может, как-нибудь поэкспериментирую. По IKE всегда вопросов много, не самая простая штука. Поднимал на зиволле, на микротике и каждый раз было много е#атории именно с клиентами. Между двух одинаковых железок или хотя бы от одного вендора - обычно все просто, а вот с клиентами, особенно с бесплатными под IKE чаще всего непросто. С двоечкой хоть получше стало, а вот v1 изрядно, помню, выел мне мозг в начале десятых.

(26) Вот поэтому я и выбрал L2TP/IPsec
https://help.keenetic.com/hc/ru/articles/360000684919-VPN-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-L2TP-IPsec
Только парольную фразу и пароли юзеров нормальные
Сейчас вроде нет проблем что рабочие VPNы блочат, РКН наигрались уже

(26) мне надо было андроидные девайсы к домашней сети прицепить. А в моих андроидах из коробки к IKE -серверу можно подключиться

(28) Нативным андроидным клиентом или через StrongSwan? Там хотя бы какая версия IKE, v1 или v2?

(29) на кинетике настроил IKEv2, на 14 андроиде (Samsung) все нативными клиентами получилось, без установки доп софта

(30) Спасибо! Вполне возможно что ваш опыт пригодится.

(27) если у тебя оба конца туннеля в России, то все норм. Проблемы есть, если один конец в России, а второй зарубежный.

https://support.keenetic.ru/eaeu/ultra/kn-1810/ru/17892-connection-priorities.html#17892-%D0%BF%D1%80%D0%B8%D0%BE%D1%80%D0%B8%D1%82%D0%B5%D1%82%D1%8B-%D0%BF%D0%BE%D0%B4%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%B8%D0%B9

оставлю тут..

(33) Это было читано. Но беда в том, что серверные wg-подключения не появляются в списке для выбора их включения в политику, т.е. мышкой ничего не сделать. Можно только через командную строку с версии 4 так, как указано в (15). Может быть, пригодится также (17).