Страница 1 из 1

Re: Переключение активного провайдера

Добавлено: 05 мар 2019, 15:38
Chupaka
mrWayer писал(а): 05 мар 2019, 13:15 Попробовал отдельный пул для VPN, но при выключенном параметре (который выше), клиенты не могут влезть в 192.168.2.0/24, оно и понятно, сидят то они на 192.168.3.0/24 (VPN pool).
Поэтому более правильный вариант - выбрать нормальные подсети, например 172.16.2.0/24 для локалки и 172.16.3.0/24 для VPN, или 10.0.2.0/24 и 10.0.3.0/24; в этому случае будут добавляться маршруты на бОльшие подсети: viewtopic.php?f=2&t=2639
mrWayer писал(а): 05 мар 2019, 13:15 Я так думаю, если оставить общий пул, решение из серии:
1) Запретить доступ ко всем ресурсам
2) Разрешить доступ ко всем ресурсам интерфейсам ether3 - wlan2
3) Разрешить доступ к ресурсам 192.168.2.0/24 всем
Можно в PPP-профиле указать Address List (после этого адреса подключенных клиентов окажутся в данном адрес-листе), и потом всем из этого листа запретить chain=forward out-interface=WAN.
mrWayer писал(а): 05 мар 2019, 13:15 К тому же, если выключить из ether1 соединение с сетью (на момент когда подключены оба и используется ether1), то с ether2 есть только доступ к коробке провайдера, а дальше пусто, как будто таблица маршрутов подвисла на первом маршруте. В Routes, маршрут 0.0.0.0/0 gateway_2 при этом reachable на ether2, на ether1 unreachable. Может нужно как-то релоаднуть таблицу маршрутов?
Покажите хотя бы скриншот или /ip route print detail, когда ether1 выключен. Там ещё важно, какие маршруты Active.

Re: Переключение активного провайдера

Добавлено: 05 мар 2019, 16:57
mrWayer
Chupaka писал(а): 05 мар 2019, 15:38 Можно в PPP-профиле указать Address List (после этого адреса подключенных клиентов окажутся в данном адрес-листе), и потом всем из этого листа запретить chain=forward out-interface=WAN.
А разве, в таком случае, я не запрещу всем доступ к WAN? Просто в графе Address в Firewall -> Address List мне же нужно по умолчанию что-то поставить.

Re: Переключение активного провайдера

Добавлено: 05 мар 2019, 17:44
Chupaka
Не всем, а только тем, чьи адреса в данном адрес-листе. Т.е. указываем, например, в Profile, что Address List = "VPN_users", потом в Firewall -> Filter добавляем правило chain=forward, src-address-list=VPN_users, out-interface=WAN, action=reject

Re: Переключение активного провайдера

Добавлено: 06 мар 2019, 10:18
mrWayer
Chupaka писал(а): 05 мар 2019, 17:44 Не всем, а только тем, чьи адреса в данном адрес-листе. Т.е. указываем, например, в Profile, что Address List = "VPN_users", потом в Firewall -> Filter добавляем правило chain=forward, src-address-list=VPN_users, out-interface=WAN, action=reject
А, понял, а я решил, по глупости, что нужно создать лист, а он оказывается Dynamic.)