IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Аватара пользователя
Sweik
Сообщения: 74
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Sweik » 22 янв 2019, 15:25

Добрый день.
Стоит задача настроить IKEv2 Site-to-Site IPSec VPN между двумя Микротиками.
Сам канал настроен и работает (делал все по офицальной документации).
NAT правило для SA настроено (делал все по офицальной документации).
Настройки, чтобы не отвлекать народ, прикладывать не буду

Смущают правила FW, созданные для пользовательских нужд.

Код: Выделить всё

add action=accept chain=forward comment="VPN trafic" dst-address=\
192.168.90.0/24 log=yes log-prefix=vpn_trafic src-address=192.168.40.0/26
Вот скриншот срабатывания
Capture.JPG
Capture.JPG (21.95 КБ) 301 просмотр
Получается, что я разрешаю весь (пока, на стадии отладки) трафик между локальными сетями офисов, но не определяю для данного правила, что оно действительно только для VPN-канала. Что не совсем хорошо с точки зрения паранойи :)

Скажите, можно ли как-то изменить правило, настроив его таким образом, чтобы оно срабатывало только для трафика в шифрованном канале?

Заранее и с уважением.

P.S. Про то, что надо бы прописать в правиле входящий и исходящий интерфейс я знаю :)
С уважением

Аватара пользователя
Sweik
Сообщения: 74
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Sweik » 22 янв 2019, 15:38

Вроде бы, сам нашел :)
https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter
ipsec-policy (in | out, ipsec | none; Default: )
Matches the policy used by IpSec. Value is written in following format: direction, policy. Direction is Used to select whether to match the policy used for decapsulation or the policy that will be used for encapsulation.

in - valid in the PREROUTING, INPUT and FORWARD chains
out - valid in the POSTROUTING, OUTPUT and FORWARD chains

ipsec - matches if the packet is subject to IpSec processing;
none - matches packet that is not subject to IpSec processing (for example, IpSec transport packet).

For example, if router receives Ipsec encapsulated Gre packet, then rule ipsec-policy=in,ipsec will match Gre packet, but rule ipsec-policy=in,none will match ESP packet.
При таким настройках (IP-->FW-->Advanced) правило должно срабатывать только при наличии IPSEC-a
AdvancedTab.JPG
AdvancedTab.JPG (15.31 КБ) 298 просмотров
попробовал обратное, вместо IN указать OUT - трафик, будучи посленным через VPN, не прошел



Пожалуйста, подтвердите или опровергните мое предположение.

Заранее и с уважением
С уважением

Аватара пользователя
Chupaka
Сообщения: 1753
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Chupaka » 22 янв 2019, 20:13

Добрый.

Да, ipsec-policy - именно то, что надо.

Аватара пользователя
Sweik
Сообщения: 74
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Sweik » 23 янв 2019, 11:17

Добрый день
Большое спасибо!

С уважением
С уважением

Ответить