PPPoe + WireGuard + L2TP цепочка

RIP, OSFP, BGP, MPLS/VPLS
Ответить
mrin
Сообщения: 4
Зарегистрирован: 12 авг 2022, 21:46

PPPoe + WireGuard + L2TP цепочка

Сообщение mrin »

Добрый день!

Имеется RouterOS 7.4.1, на котором подняты PPPOE к Byfly, L2TP клиент к VPN серверу, и WireGuard интерфейс для удаленных клиентов.
WG клиенты подключаются на PPPOE со статичным IP, им доступен LAN/Byfly интернет.
Некоторые LAN клиенты ходят в интернет через L2TP (mangle pre-route+routing mark и route прописан)
Нужно некоторых WG клиентов отправить через L2TP. Пробовал аналогично mangle прописать - у клиента пропадает доступ к LAN/Byfly.
Подскажите куда копать/как настроить?

Спасибо

Код: Выделить всё

/interface wireguard
add listen-port=XXXXX mtu=1420 name=wireguard1

/interface wireguard peers
add allowed-address=172.16.1.2/32 comment="Remote client #1" interface=\
    wireguard1 public-key="XXXXXXXXXXX"

/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=172.16.1.1/24 interface=wireguard1 network=172.16.1.0

/ip firewall mangle
add action=mark-routing chain=prerouting disabled=yes new-routing-mark=vpn \
    src-address=172.16.1.2
	
/ip firewall nat
add action=masquerade chain=srcnat comment=HAIRPIN dst-address=192.168.1.0/24 \
    src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=ByFly/VPNs out-interface-list=VPN

/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=l2tp-out1 pref-src=\
    0.0.0.0 routing-table=vpn scope=30 suppress-hw-offload=no target-scope=\
    10
	
/ip firewall filter
add action=accept chain=input comment="WireGuard allow establish connection" \
    dst-port=XXXXX protocol=udp
add action=accept chain=input comment="WireGuard services" \
    in-interface=wireguard1 src-address=172.16.1.0/24
	
/interface list member
add interface=l2tp-out1 list=VPN
add interface=pppoe-out1 list=VPN

Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoe + WireGuard + L2TP цепочка

Сообщение Chupaka »

Здравствуйте.

Т.е. вы удивлены тем, что если направляете весь трафик в L2TP - то клиент WG не может попасть в LAN, а его трафик вместо этого уходит в L2TP?.. :)

Просто добавьте выше в firewall mangle правило, которое не будет метить трафик к LAN:
/ip fi fi man action=accept dst-address=192.168.1.0/24 comment="Route LAN traffic locally"
mrin
Сообщения: 4
Зарегистрирован: 12 авг 2022, 21:46

Re: PPPoe + WireGuard + L2TP цепочка

Сообщение mrin »

С локальным трафиком разобрался, не получается отправить wg клиентов в L2TP. Lan клиенты ходят норм.
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoe + WireGuard + L2TP цепочка

Сообщение Chupaka »

Что делаете и что показывает трассировка от wg-клиента в l2tp?
mrin
Сообщения: 4
Зарегистрирован: 12 авг 2022, 21:46

Re: PPPoe + WireGuard + L2TP цепочка

Сообщение mrin »

Если LAN устройство, то 2 hops:
- 172.16.1.1
- 192.168.1.1
Если адрес в интернет - то затык после 172.16.1.1

Правило mangle:
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address=\
!192.168.1.0/24 new-routing-mark=vpn passthrough=yes src-address=172.16.100.2

Прописан route:
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=l2tp-out1 pref-src=\
0.0.0.0 routing-table=vpn scope=30 suppress-hw-offload=no target-scope=\
10

Аналогично прописано правило mangle для LAN клиентов, которые пробрасываются через l2tp успешно.
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes src-address=192.168.1.30
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoe + WireGuard + L2TP цепочка

Сообщение Chupaka »

М-м-м... И в Firewall Filter Forward правил нет? А то "chain=input comment="WireGuard services"" какое-то подозрительное...
mrin
Сообщения: 4
Зарегистрирован: 12 авг 2022, 21:46

Re: PPPoe + WireGuard + L2TP цепочка

Сообщение mrin »

Не было возможности ответить, проблема проброса wg клиентов через l2tp решилась - основная загвоздка была в том, что DNS запросы падали на wg интерфейс 172.16.1.1 и помечались mangle для отправки в l2tp - т.е. решение либо не помечать эти запросы, либо пробросить их через l2tp c заменой, к примеру на 8.8.8.8 (dstnat/dstnat).
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: PPPoe + WireGuard + L2TP цепочка

Сообщение Chupaka »

Странно, что трассировка не выявила проблему с доступом к LAN через DNS-имя :)
Ответить