Рассмотрим вариант настройки доступа в веб-интерфейс 3G/4G USB-модема, который подключен к роутеру VPN-клиенту, и имеет собственный интерфейс управления по адресу 192.168.8.1. Нужно обеспечить доступ к интерфейсу управления USB-модема со стороны локальной сети Keenetic "сервер", через VPN-туннель.
Возьмем за пример Wireguard-подключение из инструкции "Настройка WireGuard VPN между двумя роутерами Keenetic". Выполнив эти настройки будет организовано объединение удаленных сетей с помощью Wireguard VPN и реализован доступ к хостам на обоих сторонах туннеля. Но по умолчанию доступ к интерфейсу 3G/4G USB-модема будет отсутствовать, т.к. IP-адрес модема принадлежит собственной сети (192.168.8.0). Необходимо будет выполнить дополнительные настройки для доступа к подсети модема и соответственно к адресу 192.168.8.1.
Подключитесь к интерфейсу командной строки (CLI) роутера Keenetic "клиент", к которому подключен USB-модем.
С помощью правил межсетевого экрана создайте группу фильтрации пакетов для-интерфейса модема (в нашем примере используется USB-модем c типом подключения CdcEthernet):
(config)> access-list modem
Network::Acl: "modem" access list created.
(config-acl)> permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
Network::Acl: Rule accepted.
(config-acl)> exit
Core::Configurator: Done.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...
Разрешите правило для направления OUT (для исходящих пакетов) на интерфейсе модема (в нашем примере это CdcEthernet0) и с помощью команды ip static добавьте статическое правило переадресации запросов из сети VPN-туннеля до сети USB-модема (до шлюза, адресом которого является WAN IP-адрес CdcEthernet0-интерфейса на роутере):
(config)> interface CdcEthernet0 ip access-group modem out
Network::Acl: Output "modem" access list added to "CdcEthernet0".
(config)> ip static 172.16.82.0 255.255.255.0 192.168.8.100
Network::StaticNat: Static NAT rule has been added.
(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...
где 172.16.x.0 — cеть VPN-туннеля, из которой будут идти запросы до модема, и 192.168.8.100 — WAN IP-адрес CdcEthernet0-интерфейса на роутере (на 3G/4G USB-модеме включен собственный DHCP-сервер и он назначил этот IP-адрес роутеру); данный адрес является шлюзом до сети USB-модема.
Правило переадресации ip static будет делать подмену IP-адреса источника (Source IP) при обращении на USB-модем, так как адрес источника будет неизвестен для самого модема и он в свою очередь должен будет ответить по дефолтному маршруту.
Указанное выше правило ip static можно создать в веб-конфигураторе этого роутера в меню "Переадресация":
На стороне Wireguard-сервера добавляем сеть 3G/4G USB-модема 192.168.8.0/24 в "Разрешенные подсети"(Allowed IPs):
На стороне Wireguard-сервера указываем маршрут 192.168.8.0/24 до сети 3G/4G USB-модема:
После проверяем доступ, например со стороны Wireguard-сервера в разделе "Диагностика" отправляем ICMP-запросы до адреса USB-модема:
Теперь через VPN-туннель станет доступен интерфейс управления USB-модема.