Помогите с ACL

[dexter]

Всем привет. Помогите разобраться с ACL.

Есть 2 сети 192.168.2.0/24 и удаленная 192.168.3.0/24. Между кинетиками проброшен IPIP/IPSec туннель 192.168.254.254/30 c security level private.

Туннель поднялся и работает(проверял через "no isolate-private").

Подскажите как мне прописать ACL.

Мне нужно прописать на каждом из  кинетиков 2 ACL на интерфейс "Home" вида:

Там где подсеть 192.168.2.0/24:

Первый ACL

(config)> access-list local-out

(config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24

(config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24

Второй ACL:

(config)> access-list remote-in

(config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24

(config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24

И привязать его к Home интерфейсу:

(config)> interface Home
(config-if)> ip access-group local-out out
(config-if)> ip access-group remote-in in

 Там где подсеть 192.168.3.0/24 зеркально:

Первый ACL

(config)> access-list local-out

(config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24

(config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24

Второй ACL:

(config)> access-list remote-in

(config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24

(config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24

И привязать его к Home интерфейсу:

(config)> interface Home
(config-if)> ip access-group local-out out
(config-if)> ip access-group remote-in in

Вчера я в веб интерфейсе правилами фаервола добился, что бы пинговалось, но сетевая шара не открылась. При "no isolate-private" открывается.

Изменено 18 августа, 2021 пользователем dexter

[Werld]

Вы nat отключали? По умолчанию он же натит. А вы правила пишете для сетей за натом. Кроме того, даже если нат отключить, правила, по моему, вы не правильно пишете. На первом устройстве, к примеру, вы вешаете на интерфейс Home на out правило permit ip 192.168.2.0/24 192.168.3.0/24. Трафик с source ip из сети 192.168.2.0/24 для интерфейса Home - это in.

Я бы на вашем месте оставил на интерфейсе ipip на обоих роутерах security-level public, и вешал правила на интерфейс ipip на in, так будет легче для понимания, ведь из private в public все разрешено.

На устройстве с сетью 192.168.2.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.3.0/24 192.168.2.0/24 и permit ip 192.168.254.252/30 192.168.2.0/24 (Второе правило если включен nat). 

На устройстве с сетью 192.168.3.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.2.0/24 192.168.3.0/24 и permit ip 192.168.254.252/30 192.168.3.0/24 (Второе правило если включен nat)

И все, этого должно быть достаточно для случая, когда на ipip стоит уровень public.

Изменено 18 августа, 2021 пользователем werldmgn

[dexter]

Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/

Хорошо, ход ваших мыслей понятен. Спасибо. Сегодня попробую.

А если туннельному интерфейсу оставить security level private?

От разработчиков может кто комментарий оставит или от пользователей.

[Werld]

29 минут назад, dexter сказал:

Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/

Home он натит во все интерфейсы, в ipip в том числе. Можете убедиться изучив вывод show netfilter

29 минут назад, dexter сказал:

А если туннельному интерфейсу оставить security level private?

То понадобится правило, разрешающее forward между home и ipip, т.к. оба будут private. Т.е. кардинально ничего не измениться, просто придется больше правил вешать.

 

29 минут назад, dexter сказал:

От разработчиков может кто комментарий оставит или от пользователей.

Я поднимал ipip/ipsec и между кинетиками и между кинетиком и микротиком и вполне успешно. Но, конечно, можете подождать других пользователей и разработчиков.))

Изменено 18 августа, 2021 пользователем werldmgn

[dexter]

Блин, точно. Вспомнил, что в другом месте у меня четко прописано "ip static Home ISP", а где настраивал осталось по дефолту "ip nat Home".