Добрый день. Есть 3 здания, между ними связь VPN Mikrotik. На центральном здании настроен firewall по принципу запрещено всё, кроме того, что разрешено. VPN траффик ессесно тоже через эти правила идёт. Как правильно прописать правила firewall, чтобы VPN траффик шёл мимо разрешающих-запрещающих правил?
Есть мысли сделать jump для VPN траффик, там ему разрешить всё? Или лучше по другому сделать?
VPN соединения мимо firewall
-
yury.manulik
- Сообщения: 22
- Зарегистрирован: 15 янв 2017, 21:35
- Откуда: Молодечно
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: VPN соединения мимо firewall
Не совсем понятно, что вы называете VPN-трафиком. Но в целом не нужен jump, сразу accept 
-
yury.manulik
- Сообщения: 22
- Зарегистрирован: 15 янв 2017, 21:35
- Откуда: Молодечно
Re: VPN соединения мимо firewall
VPN траффик - имел ввиду траффик между офисами )) Если сделать accept для in-interface=pptp1 out-interface-bridge1 то получится оно обработается и дальнше не пойдёт. А если поверх VPN поднять EoIP?
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: VPN соединения мимо firewall
Что такое pptp1? Что такое bridge1? Куда дальше не пойдёт? Это хорошо, что не пойдёт, или плохо?
Если в офисах все адреса из 192.168.x.y, например, то можно просто сделать - вуаля, трафик от локалки в локалку ходит беспрепятственно
Если в офисах все адреса из 192.168.x.y, например, то можно просто сделать
Код: Выделить всё
/ip fi fi add chain=forward src-address=192.168.0.0/16 dst-address=192.168.0.0/16 action=accept place-before=0-
yury.manulik
- Сообщения: 22
- Зарегистрирован: 15 янв 2017, 21:35
- Откуда: Молодечно
Re: VPN соединения мимо firewall
Звиняюсь)) pptp1 - vpn соединение, есть pptp2, bridge1 - мост сетевых интерфейсов, смотрящих в локалку и EoIP, смотрящих на другие офисы. Дальше не пойдёт имел в виду нижние правила firewall'a.
Да, в 3-х офисах сейчас адреса из подсети 20.1.1.0/24. Получается пропишу правило, указанное Вами, и траффик в этой локалке пойдёт без фильтрации?
Да, в 3-х офисах сейчас адреса из подсети 20.1.1.0/24. Получается пропишу правило, указанное Вами, и траффик в этой локалке пойдёт без фильтрации?
-
Chupaka
- Сообщения: 4086
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: VPN соединения мимо firewall
Это я по названию понял. Соединение чего с чем, если на другие офисы смотрит EoIP?
Да, /ip fi fi add chain=forward src-address=20.1.1.0/24 dst-address=20.1.1.0/24 action=accept place-before=0yury.manulik писал(а): ↑23 мар 2017, 09:03 Дальше не пойдёт имел в виду нижние правила firewall'a.
Да, в 3-х офисах сейчас адреса из подсети 20.1.1.0/24. Получается пропишу правило, указанное Вами, и траффик в этой локалке пойдёт без фильтрации?
Но если у вас EoIP в бридже с локалкой - то без дополнительных настроек по сравнению с дефолтными трафик в бридже не должен ограничиваться фильтрами файрвола, так что ещё расскажите, что вы сделали, чтобы у вас трафик начал ходить с фильтрацией %)
-
yury.manulik
- Сообщения: 22
- Зарегистрирован: 15 янв 2017, 21:35
- Откуда: Молодечно
Re: VPN соединения мимо firewall
/ip fi fi add chain=forward src-address=20.1.1.0/24 dst-address=20.1.1.0/24 action=accept place-before=0
Спасибо! Команда подошла, только я её чуть поменял для пропуска одного VPN соединения.
И, честно, тупанул, EoIP действительно не проходит по правилам firewall'a - просто проверку делал на компе, который был не в EoIP туннеле ))
Спасибо! Команда подошла, только я её чуть поменял для пропуска одного VPN соединения.
И, честно, тупанул, EoIP действительно не проходит по правилам firewall'a - просто проверку делал на компе, который был не в EoIP туннеле ))