Доступ до вебінтерфейсу USB-модема через VPN-з'єднання WireGuard
Розглянемо варіант налаштування доступу до вебінтерфейсу 5G/4G/3G USB-модема, який має власний інтерфейс керування за адресою 192.168.8.1 та підключений до маршрутизатора, який служить VPN-клієнтом. Потрібно надати доступ до інтерфейсу керування USB-модемом з локальної мережі «сервера» через VPN-тунель.
Візьмемо для прикладу з'єднання WireGuard зі статті Налаштування WireGuard VPN між двома маршрутизаторами Keenetic. Після виконання цих налаштувань віддалені мережі будуть з'єднані за допомогою WireGuard VPN, і буде реалізовано доступ до хостів по обидва боки тунелю. Однак за замовчуванням доступу до інтерфейсу 5G/4G/3G USB-модема не буде, оскільки IP-адреса модема належить його власній мережі (192.168.8.0). Будуть потрібні додаткові налаштування для доступу до підмережі модема і, отже, до адреси 192.168.8.1.
Підключіться до інтерфейсу командного рядка (CLI) маршрутизатора-«клієнта», до якого підключений USB-модем.
За допомогою правил міжмережевого екрана створіть групу фільтрації пакетів для інтерфейсу модема (у нашому прикладі ми використовуємо USB-модем з типом підключення CdcEthernet):
(config)>access-list modemNetwork::Acl: "modem" access list created. (config-acl)>permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0Network::Acl: Rule accepted. (config-acl)>exitCore::Configurator: Done. (config)>system configuration saveCore::ConfigurationSaver: Saving configuration...
Увімкніть правило для напрямку OUT (для вихідних пакетів) на інтерфейсі модема (у нашому прикладі це CdcEthernet0) та за допомогою команди ip static додайте статичне правило для перенаправлення запитів з мережі VPN-тунелю до мережі USB-модема (на шлюз, адресою якого є WAN IP-адреса інтерфейсу CdcEthernet0 на маршрутизаторі):
(config)>interface CdcEthernet0 ip access-group modem outNetwork::Acl: Output "modem" access list added to "CdcEthernet0". (config)>ip static 172.16.82.0 255.255.255.0 192.168.8.100Network::StaticNat: Static NAT rule has been added. (config)>system configuration saveCore::ConfigurationSaver: Saving configuration...
де 172.16.x.0 — це мережа VPN-тунелю, з якої надходитимуть запити на модем, а 192.168.8.100 — це WAN IP-адреса інтерфейсу CdcEthernet0 на маршрутизаторі (5G/4G/3G USB-модем має увімкнений власний DHCP-сервер і призначив цю IP-адресу маршрутизатору); ця адреса є шлюзом до мережі USB-модема.
Правило перенаправлення ip static замінить IP-адресу джерела під час доступу до USB-модема, оскільки адреса джерела буде невідомою для самого модема, і він повинен буде відповідати через маршрут за замовчуванням.
Вищезазначене правило ip static можна створити у вебінтерфейсі цього маршрутизатора на сторінці Переадресація портів:
На стороні сервера Wireguard додайте мережу 5G/4G/3G USB-модема 192.168.8.0/24 до Дозволені IP-адреси v4:
На стороні сервера WireGuard вкажіть маршрут 192.168.8.0/24 до мережі 5G/4G/3G USB-модема:
Потім перевірте доступ, наприклад, з сервера WireGuard на сторінці Діагностика, надішліть ICMP-запити на адресу USB-модема:
Тепер інтерфейс керування USB-модемом буде доступний через VPN-тунель.