VPN Firewall
Добавлено: 05 ноя 2018, 14:27
Добрый %время суток%
Настроил OVPN сервер. Все работает. Но. Для разрешения трафика по впн правило работает только если указаны интерфейсы. То есть простое правило from IP.Adresse.VPN.Network to IP. Adresse.Internal.Network не работают. Но один из интерфейсов, естественно, есть только в момент подключения. Железка rb2011uias-2hnd-in
Фрагменты правил:
10.0.10.0 - ВПН диапазон
192.168.1.0 - внутренняя сеть.
При этом правиле клиент не может пинговать сеть за Микротиком, и компьютера в сети не могут пинговать или войти по ссх на клиента(Речь идет о линуксовом клиенте, OpenSUSe leap 15)
Если же я включаю правило
То все ходит ок. Но как я и говорил, проблема в том, что ovpn-poiradar - это впн интерфейс, и в момент когда подключение теряется, он становится неактивным. Тогда в правиле в out-interface in-interface стоит "unknown". И когда впн-клиент подключается, снова нужно входить в правило и изменять unknown на ovpn-poiradar.
Может дело в том, что я конфигурирую через WinBox, а не через консоль? Но почему не работает правило на accept по IP адресам?
Настроил OVPN сервер. Все работает. Но. Для разрешения трафика по впн правило работает только если указаны интерфейсы. То есть простое правило from IP.Adresse.VPN.Network to IP. Adresse.Internal.Network не работают. Но один из интерфейсов, естественно, есть только в момент подключения. Железка rb2011uias-2hnd-in
Фрагменты правил:
Код: Выделить всё
add action=accept chain=forward dst-address=192.168.1.0 src-address=10.0.10.0
add action=accept chain=forward dst-address=10.0.10.0 src-address=192.168.1.0
192.168.1.0 - внутренняя сеть.
При этом правиле клиент не может пинговать сеть за Микротиком, и компьютера в сети не могут пинговать или войти по ссх на клиента(Речь идет о линуксовом клиенте, OpenSUSe leap 15)
Если же я включаю правило
Код: Выделить всё
add action=accept chain=forward in-interface=<ovpn-poiradar>
add action=accept chain=forward out-interface=<ovpn-poiradar>
Может дело в том, что я конфигурирую через WinBox, а не через консоль? Но почему не работает правило на accept по IP адресам?