Remote Access и правила FW. Логический тупик.

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 12 июл 2018, 19:02

По сути, вопрос можен считаться закрытым.
1) VPN-трафик оказывается видимым на внешнем интерфейсе - это нормально.
2) в настройках FW нет опции, которая применяла бы то или иное правило FW только для VPN-community
3) описанная мною в первом сообщении проблема решается либо перемещением BOGON-правил ниже апликационных правил для Remote Access, либо более тонкой настройкой этих правил (использовать Source Address List / Destination Address List)
3a) Как вариант - подумать за использование VLAN-a, но я пока даже не представляю, удастся ли инициировать Remote Access на интерфейсе eth1-WAN (внешний интерфейс), а потом перенаправлять трафик в VLAN.

Спасибо за помощь!
С уважением

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 12 июл 2018, 19:09

Sweik писал(а):
12 июл 2018, 19:02
1) VPN-трафик оказывается видимым на внешнем интерфейсе - это нормально.
В случае с IPSec - да, оно так работает
Sweik писал(а):
12 июл 2018, 19:02
2) в настройках FW нет опции, которая применяла бы то или иное правило FW только для VPN-community
Не совсем понимаю, что за community имеется в виду, но в целом - я же написал, как отделить vpn от не-vpn: viewtopic.php?p=4435#p4435
Sweik писал(а):
12 июл 2018, 19:02
3a) Как вариант - подумать за использование VLAN-a, но я пока даже не представляю, удастся ли инициировать Remote Access на интерфейсе eth1-WAN (внешний интерфейс), а потом перенаправлять трафик в VLAN.
Опять же, не совсем понятно, что в данном случае понимается под VLAN'ом. VLAN 802.1q - это лишь способ пометить пакеты тегами, отправляя их по сети. Внутри устройства работают немного другие сущности: на втором уровне, например - bridge, на третьем - VRF...
Sweik писал(а):
12 июл 2018, 19:02
Спасибо за помощь!
Всегда пожалуйста =)

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 12 июл 2018, 19:23

VPN-community - это со мной пришло от Checkpoint-a :)
там отдельно описывается некое "сообщество" - тип соединение (сервер-сервер или клиент - сервер), алгоримы шифрования, длина ключа и прочее. Очень похоже на то, что в Микротике расположено в IP --> IPSec --> Policies, похоже, но не то :)
А далее при конфигурации правил можно указать, оно будет общее (т.е. применяется для всех) или срабатывает только для определенного комьюнити.
Это, если вкратце :)

По VLAN-aм сразу признаюсь, что не являюсь сетевиком :) Так, немного сбоку.
Идеология была такая (пока мысли, без обкатки):
- развернуть VLAN-интерфейс. Разместить его на физическом вот тут затык - то ли на внешнем размещать (а можно ли???)), то ли на тех, что смотрят в LAN)
- дать этому VLAN-у тот же пул адресов, что у vpn_range
- после того, как пользватели установят удаленное подключение, перебрасывать их (как???) в этот VLAN
- дальше доступ можно будет спокойно регулировать правилами FW

Но это пока лишь сухая теория. :) В Wiki Mirotik-a ничего похожего не нашел. Возможно, идея утопическая.

С уважением.
С уважением

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 12 июл 2018, 19:35

Да, насчёт "сервер-сервер или клиент-сервер" - это в IPSec Policies, видимо.

Считайте VLAN таким же интерфейсом, как и Ethernet. А VLAN, который не терминируется с другой стороны провода - интерфейсом Ethernet, к которому ничего не подключено. Ничем они вам не помогут :)

Так что проще всего всё же доступ спокойно регулировать правилами FW, как я и написал выше.

Аватара пользователя
Sweik
Сообщения: 26
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: Remote Access и правила FW. Логический тупик.

Сообщение Sweik » 13 июл 2018, 10:27

А еще нужно иметь в виду, что в тестах использовалась цепочка input.
В реальной среде жеудаленным пользователям (речь идет про бизнес-часть компании) на самом рутере делать нечего. Их надо будет пробросить внутрь локальной сети. Следовательно, цепочка будет forward.
С уважением

Аватара пользователя
Chupaka
Сообщения: 965
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Remote Access и правила FW. Логический тупик.

Сообщение Chupaka » 13 июл 2018, 10:49

Именно так. Но ничего принципиально не поменяется: трафик, приходящий из IPSec, всё так же будет ловить ipsec-policy=in,ipsec, а уходящий в IPSec - параметр ipsec-policy=out,ipsec.

Ответить