Remote Access и правила FW. Логический тупик.

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 11 июл 2018, 11:01

Так, стоп, а VPN какой используется? А то я всегда работал только с тоннелями, а тут вдруг вспомнил про IPSec... Может, в правило достаточно какой "ipsec-policy=!in,ipsec" добавить?.. Ну, и по аналогии.

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 11 июл 2018, 14:22

Используется client-server (Remote Access) топология IPSec / IKEv2
Нужен ли экспорт?

Код: Выделить всё

Может, в правило достаточно какой "ipsec-policy=!in,ipsec" добавить?
не совсем понимаю, в какое поле надо добавлять?
С уважением

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 11 июл 2018, 14:53

В поле IPSec Policy на вкладке Advanced в rule_01 же :)

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 11 июл 2018, 15:04

Блин, там отрицания в этом параметре нет... Значит, надо, например, добавить выше правило, которое будет ipsec-policy=in,ipsec Accept'ить...

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 11 июл 2018, 16:34

Так, я писал именно о том, что в правиле нет отрицания и даже прикладывал скриншот :)
Стер за ненадобностью.

Сейчас у меня на FW правила выглядят так:

Код: Выделить всё

add action=drop chain=input comment="Router: Drop connections from BOGON networks" \
    in-interface=eth1-WAN log=yes log-prefix="rule_01: drop from_bogon" src-address-list=BOGON
	
add action=drop chain=forward comment="Drop invalid outgoing" \
    dst-address-list=FALSE_INTERNAL log=yes log-prefix=\
    "rule_02: drop from_false_internal" out-interface=eth1-WAN
	
add action=accept chain=input comment="Allow establish Remote Access" in-interface=\
    eth1-WAN log=yes log-prefix="rule_03: ipsec sys" port=500,1701,4500 protocol=udp
	
add action=accept chain=input comment="Allow establish Remote Access" in-interface=\
eth1-WAN log=yes log-prefix="rule_04: ipsec sys" protocol=ipsec-esp
	
add action=accept chain=input in-interface=eth1-WAN log=yes \
    comment="Allow Use Remote Accesss" log-prefix="rule_05: ipsec ping" protocol=icmp
	
add action=accept chain=input comment="Router: Allow incoming PING - WAN" \
    in-interface=eth1-WAN limit=50/5s,2:packet log=yes log-prefix=\
    "rule_06: allow ping" protocol=icmp

add action=drop chain=input comment=\
    "Router: Drop any new incoming from WAN " connection-state=new \
    in-interface=eth1-WAN log=yes log-prefix="rule_07 drop new_incoming"
правильно ли я понимаю Вашу рекомендацию:
- правило rule_05 перенести на самый верх (это правило моделирует полезную нагрузку в VPN-канале)
- правило rule_05 модернизировать, указав там ipsec-policy=in,ipsec
???

Но при всем при этом, VPN трафик все равно окажется на интерфейсе eth1-WAN, т.е. там, где ему быть не надо....
С уважением

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 11 июл 2018, 16:46

Проверить смогу после 18:00 по восточно-европейскому времени.
С уважением

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 11 июл 2018, 16:48

Sweik писал(а):
11 июл 2018, 16:34
правильно ли я понимаю Вашу рекомендацию:
- правило rule_05 перенести на самый верх (это правило моделирует полезную нагрузку в VPN-канале)
- правило rule_05 модернизировать, указав там ipsec-policy=in,ipsec
???

Но при всем при этом, VPN трафик все равно окажется на интерфейсе eth1-WAN, т.е. там, где ему быть не надо....
Да, что-то вроде того. В зависимости от поставленных целей :) Если нужна дополнительная обработка с разной логикой - добро пожаловать в кастомные очереди, например:

Код: Выделить всё

/ip firewall filter
add chain=input in-interface=eth1-WAN ipsec-policy=in,ipsec action=jump jump-target=ipsec-input
add chain=ipsec-input protocol=icmp comment="allow icmp from VPN"
add chain=ipsec-input action=drop comment="drop everything else from VPN"

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 11 июл 2018, 17:30

Выполнил следующее:

Код: Выделить всё

- правило rule_05 перенести на самый верх (это правило моделирует полезную нагрузку в VPN-канале)
пинг сразу же пошел. Что, в принципе, логично - правило, запрещающее BOGON, оказалось ниже. Правда, трафик, по прежнему, определялся на интерфейсе eth1-WAN, чего быть не должно

далее, сделал так:

Код: Выделить всё

- правило rule_05 модернизировать, указав там ipsec-policy=in,ipsec 
но не изменилось ничего.
С уважением

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 11 июл 2018, 17:44

Sweik писал(а):
11 июл 2018, 17:30
Правда, трафик, по прежнему, определялся на интерфейсе eth1-WAN, чего быть не должно
Увы, должно. Добро пожаловать в IPSec. Отдельных тоннельных интерфейсов для него (пока?) не реализовали.
Sweik писал(а):
11 июл 2018, 17:30
далее, сделал так:

Код: Выделить всё

- правило rule_05 модернизировать, указав там ipsec-policy=in,ipsec 
но не изменилось ничего.
А что должно было измениться? Пинг не должен был пропасть. Теперь пинг это правило разрешает, а всё остальное (попытки подключиться Telnet, WinBox, etc) должно дропаться BOGON-правилом.

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 11 июл 2018, 18:49

Нужно взять паузу на подумать :)
С уважением

Ответить