Доступ в веб-интерфейс USB-модема за VPN-клиентом Wireguard-туннеля

Рассмотрим вариант настройки доступа в веб-интерфейс 3G/4G USB-модема, который подключен к роутеру VPN-клиенту, и имеет собственный интерфейс управления по адресу 192.168.8.1. Нужно обеспечить доступ к интерфейсу управления USB-модема со стороны локальной сети Keenetic "сервер", через VPN-туннель.

wg.png

Возьмем за пример Wireguard-подключение из инструкции "Настройка WireGuard VPN между двумя роутерами Keenetic". Выполнив эти настройки будет организовано объединение удаленных сетей с помощью Wireguard VPN и реализован доступ к хостам на обоих сторонах туннеля. Но по умолчанию доступ к интерфейсу 3G/4G USB-модема будет отсутствовать, т.к. IP-адрес модема принадлежит собственной сети (192.168.8.0). Необходимо будет выполнить дополнительные настройки для доступа к подсети модема и соответственно к адресу 192.168.8.1.

Подключитесь к интерфейсу командной строки (CLI) роутера Keenetic "клиент", к которому подключен USB-модем.

С помощью правил межсетевого экрана создайте группу фильтрации пакетов для-интерфейса модема (в нашем примере используется USB-модем c типом подключения CdcEthernet):

(config)> access-list modem
Network::Acl: "modem" access list created.
(config-acl)> permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
Network::Acl: Rule accepted.
(config-acl)> exit
Core::Configurator: Done.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...


Разрешите правило для направления OUT (для исходящих пакетов) на интерфейсе модема (в нашем примере это CdcEthernet0) и с помощью команды ip static добавьте статическое правило переадресации запросов из сети VPN-туннеля до сети USB-модема (до шлюза, адресом которого является WAN IP-адрес CdcEthernet0-интерфейса на роутере):

(config)> interface CdcEthernet0 ip access-group modem out
Network::Acl: Output "modem" access list added to "CdcEthernet0".
(config)> ip static 172.16.82.0 255.255.255.0 192.168.8.100
Network::StaticNat: Static NAT rule has been added.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...


где
172.16.x.0  cеть VPN-туннеля, из которой будут идти запросы до модема, и 192.168.8.100  WAN IP-адрес CdcEthernet0-интерфейса на роутере (на 3G/4G USB-модеме включен собственный DHCP-сервер и он назначил этот IP-адрес роутеру); данный адрес является шлюзом до сети USB-модема.

Правило ip static будет делать подмену IP-адреса источника (Source IP) при обращении на USB-модем, так как адрес источника будет неизвестен для самого модема и он в свою очередь должен будет ответить по дефолтному маршруту.

Теперь в веб-конфигураторе этого роутера в меню "Переадресация" создайте правило для трансляции адресов:

cdc-pf.png

На стороне Wireguard-сервера добавляем сеть 3G/4G USB-модема 192.168.8.0/24 в "Разрешенные подсети"(Allowed IPs):

wg-s-modem-01.png

На стороне Wireguard-сервера указываем маршрут 192.168.8.0/24 до сети 3G/4G USB-модема:

wg-s-modem-02.png

После проверяем доступ, например со стороны Wireguard-сервера в разделе "Диагностика" отправляем ICMP-запросы до адреса USB-модема:

wg-s-modem-03.png

Теперь через VPN-туннель станет доступен интерфейс управления USB-модема.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 11 из 11

Еще есть вопросы? Отправить запрос