Фильрация при VPN подключении

Базовая функциональность RouterOS
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Фильрация при VPN подключении

Сообщение drongo »

Добрый день. Есть белый ip. Стоит задача организовать vpn доступ к компу в локальной сети. Создал профиль, дал пул адресов 192.168.13.0-192.16.13.20 (отличный от локальной сети), в PPP - Profiles настроил профиль где указал Local и Remote адрес брать из пула 192.168.13.0. настроил пользователей. Создал правило на порты 500, 1701, 4500
По части подключения к сети все работает нормально. При подключении на вкладке РРP - Active Connections я вижу IP адрес клиента (Caller ID) и адрес из пула 192.168.3.10 к примеру.Теперь необходимо сделать так, чтобы подключившиеся пользователи видели только один комп в сети.
Как закрыть компы локалки? В логах правила файервола вижу, что соединение с интернетовского адреса клиента по порту 1701 идет на мой белый ip адрес на порт 1701.
Что-то еще надо настроить? Подскажите. Спасибо
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Добрый.
drongo писал(а): 03 авг 2021, 10:56 настроил профиль где указал Local и Remote адрес брать из пула 192.168.13.0.
В Local лучше указать любой адрес статикой, чтобы не расходовать из пула по два адреса на одно подключение
drongo писал(а): 03 авг 2021, 10:56 Теперь необходимо сделать так, чтобы подключившиеся пользователи видели только один комп в сети.
Как закрыть компы локалки?
Ну, самое красивое - это, видимо, в профиле им указать incoming-filter - и в этой цепочке в файрволе разрешить пакеты к этому одному компу и дропнуть всё остальное
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

а подробнее можно?
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

в Incoming Filter выбрать надо input, forward, output. И как потом правило создать? Может есть пример "на пальцах"?
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

В общем что сделал. В профилях создал incoming-filter "Test_filter"
В файерволе создал правило, где в chain вписал "Test_filter", dst-addr вбил адрес компа в локалке. Action - Accept
Второе правило в chain вписал "Test_filter", dst-addr вбил подсеть локалки. Action - drop. Никаких изменений.
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Во втором правиле не надо указывать dst-address совсем.

Никаких изменений по сравнению с чем? Клиент переподключился? В счётчиках правил что-нибудь меняется?
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Клиент нормально подключается, но правила эти не отрабатывают. счетчики не меняются. Логи пустые. И вроде как даже до этих правил дело не доходит. На общем правиле доступа по портам 500, 1701, 4500 в логах я вижу что клиент со своим адресом например 1.1.1.1 по порту 1701, приконнектился на мой белый ip 2.2.2.2 по порту 1701. Если я это правило выключу, то клиент отваливается. Не переходит он на цепочrу с incoming filter
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Ага, всё понятно. Правила для перехода в цепочку incoming filter создаются в цепочке ppp :)

Поэтому надо ещё добавить в forward (и, опционально, input/output) правило

/ip fi fi add chain=forward action=jump jump-target=ppp
drongo
Сообщения: 45
Зарегистрирован: 27 ноя 2020, 12:33

Re: Фильрация при VPN подключении

Сообщение drongo »

Спасибо. Но до конца не разобрался. Сделал правило

Код: Выделить всё

chain=forward action=jump jump-target=ppp
и все пакеты, которые ходят в микротике все заворачиваются по этому правилу. Количество пакетов растет с геометрической прогрессией. Дальше добавляю правила

Код: Выделить всё

chain=Test dst-addr IP_адрес_компа_в_локалке action=accept
chain=Test dst-addr подсеть_в_локалке action=drop
При таких правилах все работает, но начинает выкидывать из winbox'а и отваливается интернет

Изменил первое правило

Код: Выделить всё

chain=forward In.Interface = l2tp-in1 action=jump jump-target=ppp
Предварительно забиндил интерфейс. И теперь все заработало как надо. Интернет не отваливается, доступом рулить могу как хочу.
Но биндится интерфейс на пользователя, которого я создал PPP-Secrets. Как быть если пользователей 10 штук к примеру?
Аватара пользователя
Chupaka
Сообщения: 3260
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Фильрация при VPN подключении

Сообщение Chupaka »

Что-то непонятное у вас творится там. У меня правило в цепочке ppp для перехода в Test уже содержит в себе in-interface=l2tp-in1, без всякого забиндживания...

Смотрите все правила, что у вас там получаются в итоге, потому что гадать по фотографии маленького куска - такое себе занятие...