Функционал, описанный в инструкции, НЕ предназначен и НЕ должен использоваться для:

Обхода установленных на территории Российской Федерации ограничений доступа к информационным ресурсам
Доступа к сайтам, внесённым в Единый реестр запрещённой информации

Ответственность за использование технологии в соответствии с действующим законодательством РФ лежит на лицах, осуществляющих её настройку и эксплуатацию.

Данная техническая инструкция предназначена исключительно для целей организации защищённого доступа к внутренним (приватным) сетевым ресурсам.

Настройка должна производиться только администраторами корпоративных сетей для служебных нужд компании с использованием выделенных для этих целей VPN-сервисов.

Цель инструкции

В данной инструкции рассмотрен кейс настройки безопасного подключения из домашней или удаленной сети к внутренним ресурсам корпоративной сети. Например, к локальному файловому серверу, системе учета или IP-телефонии.

Мы создадим защищенный туннель (на примере WireGuard) между маршрутизатором и офисным сервером. Затем настроим правила так, чтобы трафик к внутренним служебным адресам офиса шел через этот туннель. Весь остальной интернет-трафик будет идти через основное соединение, не нагружая офисный канал/туннель и сохраняя скорость.

В зависимости от необходимости реализации (основной LAN-сегмент или дополнительный LAN-сегмент "Гостевая сеть"), можно назначить политики как для основной сети LAN, так и для дополнительной "Гостевой сети".

Ход настройки

Шаг 1: Настройка VPN-туннеля (WireGuard)

1. Перейдите в меню "Сервисы" → "WireGuard" WEB-интерфейса роутера.

2. Загрузите конфигурацию из файла используя форму или нажмите "Добавить", чтобы настроить интерфейс вручную.

Присвойте интерфейсу любое понятное имя, например "WireGuard_1".

Документация > Маршрутизация трафика в VPN-интерфейс > WG.png

Внимание! В настройках пира (Peer) найдите галочку: «Маршрутизировать разрешенные IP-адреса в туннель» и убедитесь, что она включена.

Документация > Маршрутизация трафика в VPN-интерфейс > peer.png

Оставшиеся поля заполните в соответствии с вашей конфигурацией, нажмите "Применить". Статус туннеля должен быть "Включен/Подключен".

Документация > Маршрутизация трафика в VPN-интерфейс > wg-status.png

Шаг 2: Создание отдельной таблицы маршрутов для VPN

1. Перейдите в меню "Сеть" → "Таблицы маршрутизации" WEB-интерфейса роутера.

2. В разделе "Таблицы маршрутизации" нажмите "Добавить" и укажите:

- Имя - "Office_WG"
- Номер таблицы - "200"

3. В разделе "Маршрутизация интерфейсов":

- Найдите созданный интерфейс "WireGuard_1" и через редактирование присвойте ему таблицу "Office_WG", созданную ранее:
- Найдите интерфейс LAN и через редактирование присвойте ему таблицу "Office_WG", созданную ранее:
- Итоговый статус присвоения таблиц маршрутизации к интерфейсам можно увидеть в общей таблице:

Шаг 3: Создание списка адресов для VPN

Это и есть список внутренних ресурсов, трафик до которых будет направлен через VPN.

1. Перейдите в раздел "Сеть" → "Списки адресов" WEB-интерфейса роутера

2. Нажатием кнопки "Добавить" создайте новый список:

- Имя - введите любое понятное вам имя. Например - "Office_address_list"
- Добавьте нужные адреса в блоке "Содержимое списка". Каждый адрес вписывайте с новой строки.
  Можно добавлять домены (site.com), IP-адреса (192.168.5.10) или целые сети (10.0.0.0/8)

Примените изменения.

Документация > Маршрутизация трафика в VPN-интерфейс > image2025-12-23_17-49-13.png

Шаг 4: Создание правила для маршрутизации "Все из списка - маршрутизировать в интерфейс"

1. Перейдите в меню "Межсетевой экран" → "Правила для трафика", и создайте новое правило:

- Включите правило
- Название - "Office_WG"
- Адрес назначения - выберите ранее созданный список адресов - "Office_address-list"
- Действие - выберите "Маркировать в таблицу"
- В опции "Таблица маршрутизации" выберите "Office_WG (200)"

Примените изменения.

Документация > Маршрутизация трафика в VPN-интерфейс > image2025-12-23_17-51-4.png

После проделанных действий, весь трафик направленный к адресам, указанным в адресных списках, будет перенаправлен в интерфейс WireGuard_1.