VPN Firewall

[kidoro]

Добрый %время суток%

Настроил OVPN сервер. Все работает. Но. Для разрешения трафика по впн правило работает только если указаны интерфейсы. То есть простое правило from IP.Adresse.VPN.Network to IP. Adresse.Internal.Network не работают. Но один из интерфейсов, естественно, есть только в момент подключения. Железка rb2011uias-2hnd-in
Фрагменты правил:

Код: Выделить всё

add action=accept chain=forward dst-address=192.168.1.0 src-address=10.0.10.0
add action=accept chain=forward dst-address=10.0.10.0 src-address=192.168.1.0

10.0.10.0 - ВПН диапазон
192.168.1.0 - внутренняя сеть.

При этом правиле клиент не может пинговать сеть за Микротиком, и компьютера в сети не могут пинговать или войти по ссх на клиента(Речь идет о линуксовом клиенте, OpenSUSe leap 15)
Если же я включаю правило

Код: Выделить всё

add action=accept chain=forward in-interface=<ovpn-poiradar>
add action=accept chain=forward out-interface=<ovpn-poiradar>

То все ходит ок. Но как я и говорил, проблема в том, что ovpn-poiradar - это впн интерфейс, и в момент когда подключение теряется, он становится неактивным. Тогда в правиле в out-interface in-interface стоит "unknown". И когда впн-клиент подключается, снова нужно входить в правило и изменять unknown на ovpn-poiradar.

Может дело в том, что я конфигурирую через WinBox, а не через консоль? Но почему не работает правило на accept по IP адресам?

[Chupaka]

Хм... А выше информация точная? Если да - то у вас маска подсети умолчальная используется, /32. А надо что-то вроде dst-address=192.168.1.0/24 src-address=10.0.10.0/24.

Про интерфейс: если создать OVPN Server Binding и указать ему User: poiradar - то при подключении данного клиента он будет "подсовываться" под этот Binding, и уже Binding надо указывать в правилах файрвола.

[kidoro]

Спасибо, отец. Где-то недочитал. Действительно, с указанной сеткой заработало вроде. Не знал, что по умолчанию 32 сеть
С интерфейсом тоже поиграюсь, спасибо за подсказку.