Как влияет режим конфигурации IPsec с разделением "include" на маркировку трафика?

Question

Dylan

mikrotik

Как влияет режим конфигурации IPsec с разделением "include" на маркировку трафика?

Сайт ту сайт туннель. <br/> На роутере Alice настроена маркировка трафика для определенного набора подсетей и хостов в открытом интернете. <br/> Этот маркированный трафик помещается в туннель, и на дальнем роутере Bob происходит маскарадинг для выхода в интернет. <br/> Все работает корректно. <br/> <br/> Я настроил IKEv2 клиент (strongSwan) на Android для подключения к роутеру Alice. Туннель установлен, и маскарадинг на дальнем роутере также функционирует. <br/> Сплит инклуд оставил пустым, что означает, что весь трафик с Android идет через Alice, а Alice уже направляет его: либо в интернет, либо через туннель к Bob (если трафик маркированный). <br/> Однако внести все маркируемые подсети и хосты в настройку сплит инклуд невозможно из-за их большого количества. <br/> Как еще можно указать Android, что только определенные назначения должны проходить через туннель, а остальной трафик должен осуществляться через обычный интерфейс?

20 декабря 2024 г. 14:53

Ответы на вопрос 2

Похожие вопросы

Answer 1

Для решения вашей задачи с динамическим разделением трафика в настройках IPsec с использованием режима конфигурации "include" на устройстве Android с IKEv2 клиентом (например, strongSwan) можно рассмотреть несколько подходов.

1. **Использование маршрутов (routing)**:
   Вы можете создать статические маршруты на вашем Android-устройстве, которые нацелены на конкретные подсети или IP-адреса, которые должны проходить через туннель. Более того, если ваш клиент поддерживает использование правил маршрутизации, вы можете явно указать, какие IP-адреса или подсети направлять в туннель.

2. **Масштабируемые настройки сплит-туннелирования**:
   Если у вас есть определенные группы подсетей, вы можете попробовать использовать более обобщенные CIDR-нотации для ваших маршрутов, чтобы уменьшить количество точек, которые нужно указать в конфигурации. Например, если у вас есть множество подсетей, позволяющих их объединить в более широкую диапазонную запись, это может сработать.

3. **Скрипты для динамического обновления конфигурации**:
   На сервере можно автоматизировать процесс обновления конфигурации серверной части strongSwan, чтобы регулярно отправлять актуальные маршруты или предназначения на Android-клиент. Это будет особенно актуально, если подсети часто меняются.

4. **Пользовательские политики (policy-based routing)**:
   Если ваше устройство и клиент VPN поддерживают это, настройте пользовательскую политику маршрутизации на Android для указания, какие IP-адреса должны использовать VPN. Это позволит увеличить гибкость управления трафиком.

5. **Использование Dns-шлюза**:
   Вы можете настроить DNS на вашем роутере Alice так, чтобы разрешать определённые домены или подсети на использование туннеля, а остальные - чтобы шли напрямую. Это может помочь минимизировать количество настроек, необходимых для сплит-туннелирования.

6. **Здесь и на клиенте**:
   В конечном счёте, необходимо проверить, поддается ли ваш клиент IKEv2 на Android поддержке дополнительных параметров конфигурации для управления сплит-туннелем и добавления необходимых параметров в конфигурацию. Возможно, вам придется рассмотреть альтернативные клиенты, если текущий клиент ограничен.

Эти методы могут помочь вам более эффективно управлять трафиком, проходящим через VPN-туннель, без необходимости ручного указания каждой маркируемой подсети.

Answer 2

Только через софт для андроид, где можно выбрать приложения которые идут в туннель. 
 
 Например SSTP Max, если используется sstp. 
 
 Для удобства - клон приложения или отдельный браузер с доступом через туннель.