Перейти к основному содержимому

Маршрутизация к отдельным ресурсам через VPN

осторожно

Функционал, описанный в инструкции, НЕ предназначен и НЕ должен использоваться для:

Обхода установленных на территории Российской Федерации ограничений доступа к информационным ресурсам Доступа к сайтам, внесённым в Единый реестр запрещённой информации Ответственность за использование технологии в соответствии с действующим законодательством РФ лежит на лицах, осуществляющих её настройку и эксплуатацию.

Нажмите здесь, чтобы раскрыть подробности

Данная техническая инструкция предназначена исключительно для целей организации защищённого доступа к внутренним (приватным) сетевым ресурсам. Настройка должна производиться только администраторами корпоративных сетей для служебных нужд компании с использованием выделенных для этих целей VPN-сервисов.

Цель инструкции

В данной инструкции рассмотрен кейс настройки безопасного подключения из домашней или удаленной сети к внутренним ресурсам корпоративной сети. Например, к локальному файловому серверу, системе учета или IP-телефонии.

Мы создадим защищенный туннель (на примере WireGuard) между маршрутизатором и офисным сервером. Затем настроим правила так, чтобы трафик к внутренним служебным адресам офиса шел через этот туннель. Весь остальной интернет-трафик будет идти через основное соединение, не нагружая офисный канал/туннель и сохраняя скорость.

Ход настройки

Шаг 1: Настройка VPN-туннеля (Wireguard)

  1. Перейдите в меню "Сервисы" -> "Wireguard" WEB-интерфейса роутера.
  2. Загрузите конфигурацию из файла используя форму или нажмите "Добавить", чтобы настроить интерфейс вручную. Присвойте интерфейсу любое понятное имя, например "Wireguard_1". Создание интерфейса WG/AWG для PBR
к сведению

В настройках пира (Peer) найдите галочку: "Маршрутизировать разрешенные IP-адреса в туннель" и убедитесь, что она включена.

Настройка пира WG/AWG для PBR 3. Оставшиеся поля заполните в соответствие с вашей конфигурацией, нажмите "Применить". Статус туннеля должен быть "Включен/Подключен". Туннель и пир активны

Шаг 2: Создание отдельной таблицы маршрутов для VPN

  1. Перейдите в меню "Сеть" -> "Таблицы маршрутизации" WEB-интерфейса роутера.
  2. В разделе "Таблицы маршрутизации" нажмите "Добавить" и укажите:
  • Имя - "Office_WG"
  • Номер таблицы - "200" Создание таблицы маршрутизации
  1. В разделе "Маршрутизация интерфейсов":
  • Найдите созданный интерфейс "Wireguard_1" и через редактирование присвойте ему таблицу "Office_WG" созданную ранее: Привязка интерфейса WG к кастомной таблице маршрутизации
  • Найдите интерфейс LAN и через редактирование присвойте ему таблицу "Office_WG", созданную ранее: Привязка интерфейса LAN к кастомной таблице маршрутизации
  • Итоговый статус присвоения таблиц маршрутизации к интерфейсам можно увидеть в общей таблице: Таблица интерфейсов и таблиц

Шаг 3: Создание списка адресов для VPN

Это и есть список внутренних ресурсов, трафик до которых будет направлен через VPN.

  1. Перейдите в раздел "Сеть" → "Списки адресов" WEB-интерфейса роутера.
  2. Нажатием кнопки "Добавить" создайте новый список:
  • Имя - введите любое понятное вам имя. Например - "Office_address_list"
  • Добавьте нужные адреса в блоке "Содержимое списка". Каждый адрес вписывайте с новой строки. Можно добавлять домены (site.com), IP-адреса (192.168.5.10) или целые сети (10.0.0.0/8).
  1. Примените изменения. Создание списка адресов для CPE

Шаг 4: Создание правил для маршрутизации "Все из списка - маршрутизировать в интерфейс"

  1. Перейдите в меню "Межсетевой экран" -> "Правила для трафика", и создайте новое правило:
  • Включите правило
  • Введите название - "Office_WG"
  • Адрес назначения - выберите ранее созданный список адресов - "Office_address-list"
  • Действие - выберите "Маршрутизировать в таблицу"
  • Таблица маршрутизации - выберите "Office_WG (200)"
  1. Примените изменения. Создание правила маршрутизации трафика в VPN

После проделанных действий, весь трафик направленный к адресам, указанным в адресных списках, будет перенаправлен в интерфейс WireGuard_1.