IPsec-policy matcher

Базовая функциональность RouterOS
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

IPsec-policy matcher

Сообщение ns88ns »

Приветствую.

В RouterOS есть IPSec-policy matcher, который проверяет, попадает ли пакет под какую-то активную политику IPSec. В 6.47 (возможно, и раньше) его, похоже, поломали:

Код: Выделить всё

/ip firewall filter add chain=input ipsec-policy=in,none action=log log-prefix="ipsec-policy matched test"
вот в это правило (когда оно первое в цепочке) попадает весь входящий трафик без разбору, даже если никаких ipsec политик не определено. Хотя не должно же, вроде? ipsec-policy=in,ipsec работает как описано (и как ожидается). Кто-то может проверить/подтвердить?

С уважением.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec-policy matcher

Сообщение Chupaka »

Доброго дня.

Судя по документации, так и должно работать:
ipsec - matches if the packet is subject to IpSec processing;
none - matches packet that is not subject to IpSec processing (for example, IpSec transport packet).
Т.е. в none попадает либо тот трафик, который не участвует в шифровании, либо тот, внутри которого зашифрованы пакеты. А сами зашифрованные пакеты уже идут как ipsec.
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: IPsec-policy matcher

Сообщение ns88ns »

Благодарю за ответ.


По документации, я понял, что ipsec должен матчить уже расшифрованный трафик (тот, что внутри AH и ESP), соответствующий настроенным ipsec-policy - и это так и работает. А none должен матчить шифрованный, но именно ipsec трафик, сответствующий политикам, а не весь - т.е. AH, ESP пакеты.

Почему спрашиваю: если none матчит таки весь трафик, то какой смысл вложен в none - ведь он просто ничего не делает? Есть ли хоть один реальный кейс, когда использование none необходимо и без него просто никак?

С уважением.
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IPsec-policy matcher

Сообщение Chupaka »

Так ведь none - это отрицание ipsec, по сути. Т.е. чтобы маскарадить только трафик, который гуляет в Интернете - надо использовать /ip firewall nat add chain=srcnat action=masquerade ipsec-policy=out,none, чтобы маскарад не задевал трафик внутри тоннеля IPSec.
ns88ns
Сообщения: 54
Зарегистрирован: 16 дек 2019, 13:40

Re: IPsec-policy matcher

Сообщение ns88ns »

Собрался пазл. Спасибо за разьяснение.