IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

RIP, OSFP, BGP, MPLS/VPLS
Аватара пользователя
Sweik
Сообщения: 77
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Sweik »

Добрый день.
Стоит задача настроить IKEv2 Site-to-Site IPSec VPN между двумя Микротиками.
Сам канал настроен и работает (делал все по офицальной документации).
NAT правило для SA настроено (делал все по офицальной документации).
Настройки, чтобы не отвлекать народ, прикладывать не буду

Смущают правила FW, созданные для пользовательских нужд.

Код: Выделить всё

add action=accept chain=forward comment="VPN trafic" dst-address=\
192.168.90.0/24 log=yes log-prefix=vpn_trafic src-address=192.168.40.0/26
Вот скриншот срабатывания
Capture.JPG
Получается, что я разрешаю весь (пока, на стадии отладки) трафик между локальными сетями офисов, но не определяю для данного правила, что оно действительно только для VPN-канала. Что не совсем хорошо с точки зрения паранойи :)

Скажите, можно ли как-то изменить правило, настроив его таким образом, чтобы оно срабатывало только для трафика в шифрованном канале?

Заранее и с уважением.

P.S. Про то, что надо бы прописать в правиле входящий и исходящий интерфейс я знаю :)
У вас нет необходимых прав для просмотра вложений в этом сообщении.
С уважением
Вернуться к началу
Аватара пользователя
Sweik
Сообщения: 77
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Sweik »

Вроде бы, сам нашел :)
https://wiki.mikrotik.com/wiki/Manual:I ... all/Filter
ipsec-policy (in | out, ipsec | none; Default: )
Matches the policy used by IpSec. Value is written in following format: direction, policy. Direction is Used to select whether to match the policy used for decapsulation or the policy that will be used for encapsulation.

in - valid in the PREROUTING, INPUT and FORWARD chains
out - valid in the POSTROUTING, OUTPUT and FORWARD chains

ipsec - matches if the packet is subject to IpSec processing;
none - matches packet that is not subject to IpSec processing (for example, IpSec transport packet).

For example, if router receives Ipsec encapsulated Gre packet, then rule ipsec-policy=in,ipsec will match Gre packet, but rule ipsec-policy=in,none will match ESP packet.
При таким настройках (IP-->FW-->Advanced) правило должно срабатывать только при наличии IPSEC-a
AdvancedTab.JPG
попробовал обратное, вместо IN указать OUT - трафик, будучи посленным через VPN, не прошел



Пожалуйста, подтвердите или опровергните мое предположение.

Заранее и с уважением
У вас нет необходимых прав для просмотра вложений в этом сообщении.
С уважением
Вернуться к началу
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Chupaka »

Добрый.

Да, ipsec-policy - именно то, что надо.
Вернуться к началу
Аватара пользователя
Sweik
Сообщения: 77
Зарегистрирован: 14 июн 2018, 11:05
Откуда: Оттуда

Re: IKEv2 Site-to-Site IPSec VPN + правильная настройка правил FW

Сообщение Sweik »

Добрый день
Большое спасибо!

С уважением
С уважением
Вернуться к началу

Вернуться в «Маршрутизация, коммутация»