dexter Posted August 18, 2021 Posted August 18, 2021 (edited) Всем привет. Помогите разобраться с ACL. Есть 2 сети 192.168.2.0/24 и удаленная 192.168.3.0/24. Между кинетиками проброшен IPIP/IPSec туннель 192.168.254.254/30 c security level private. Туннель поднялся и работает(проверял через "no isolate-private"). Подскажите как мне прописать ACL. Мне нужно прописать на каждом из кинетиков 2 ACL на интерфейс "Home" вида: Там где подсеть 192.168.2.0/24: Первый ACL (config)> access-list local-out (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24 (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24 Второй ACL: (config)> access-list remote-in (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24 (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24 И привязать его к Home интерфейсу: (config)> interface Home (config-if)> ip access-group local-out out (config-if)> ip access-group remote-in in Там где подсеть 192.168.3.0/24 зеркально: Первый ACL (config)> access-list local-out (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24 (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24 Второй ACL: (config)> access-list remote-in (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24 (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24 И привязать его к Home интерфейсу: (config)> interface Home (config-if)> ip access-group local-out out (config-if)> ip access-group remote-in in Вчера я в веб интерфейсе правилами фаервола добился, что бы пинговалось, но сетевая шара не открылась. При "no isolate-private" открывается. Edited August 18, 2021 by dexter Quote
0 Werld Posted August 18, 2021 Posted August 18, 2021 (edited) Вы nat отключали? По умолчанию он же натит. А вы правила пишете для сетей за натом. Кроме того, даже если нат отключить, правила, по моему, вы не правильно пишете. На первом устройстве, к примеру, вы вешаете на интерфейс Home на out правило permit ip 192.168.2.0/24 192.168.3.0/24. Трафик с source ip из сети 192.168.2.0/24 для интерфейса Home - это in. Я бы на вашем месте оставил на интерфейсе ipip на обоих роутерах security-level public, и вешал правила на интерфейс ipip на in, так будет легче для понимания, ведь из private в public все разрешено. На устройстве с сетью 192.168.2.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.3.0/24 192.168.2.0/24 и permit ip 192.168.254.252/30 192.168.2.0/24 (Второе правило если включен nat). На устройстве с сетью 192.168.3.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.2.0/24 192.168.3.0/24 и permit ip 192.168.254.252/30 192.168.3.0/24 (Второе правило если включен nat) И все, этого должно быть достаточно для случая, когда на ipip стоит уровень public. Edited August 18, 2021 by werldmgn Quote
0 dexter Posted August 18, 2021 Author Posted August 18, 2021 Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/ Хорошо, ход ваших мыслей понятен. Спасибо. Сегодня попробую. А если туннельному интерфейсу оставить security level private? От разработчиков может кто комментарий оставит или от пользователей. Quote
0 Werld Posted August 18, 2021 Posted August 18, 2021 (edited) 29 минут назад, dexter сказал: Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/ Home он натит во все интерфейсы, в ipip в том числе. Можете убедиться изучив вывод show netfilter 29 минут назад, dexter сказал: А если туннельному интерфейсу оставить security level private? То понадобится правило, разрешающее forward между home и ipip, т.к. оба будут private. Т.е. кардинально ничего не измениться, просто придется больше правил вешать. 29 минут назад, dexter сказал: От разработчиков может кто комментарий оставит или от пользователей. Я поднимал ipip/ipsec и между кинетиками и между кинетиком и микротиком и вполне успешно. Но, конечно, можете подождать других пользователей и разработчиков.)) Edited August 18, 2021 by werldmgn Quote
0 dexter Posted August 18, 2021 Author Posted August 18, 2021 Блин, точно. Вспомнил, что в другом месте у меня четко прописано "ip static Home ISP", а где настраивал осталось по дефолту "ip nat Home". Quote
Question
dexter
Всем привет. Помогите разобраться с ACL.
Есть 2 сети 192.168.2.0/24 и удаленная 192.168.3.0/24. Между кинетиками проброшен IPIP/IPSec туннель 192.168.254.254/30 c security level private.
Туннель поднялся и работает(проверял через "no isolate-private").
Подскажите как мне прописать ACL.
Мне нужно прописать на каждом из кинетиков 2 ACL на интерфейс "Home" вида:
Там где подсеть 192.168.2.0/24:
Первый ACL
(config)> access-list local-out (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24 (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24
Второй ACL:
(config)> access-list remote-in (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24 (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24
И привязать его к Home интерфейсу:
(config)> interface Home (config-if)> ip access-group local-out out (config-if)> ip access-group remote-in in
Там где подсеть 192.168.3.0/24 зеркально:
Первый ACL
(config)> access-list local-out (config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24 (config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24
Второй ACL:
(config)> access-list remote-in (config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24 (config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24
И привязать его к Home интерфейсу:
(config)> interface Home (config-if)> ip access-group local-out out (config-if)> ip access-group remote-in in
Вчера я в веб интерфейсе правилами фаервола добился, что бы пинговалось, но сетевая шара не открылась. При "no isolate-private" открывается.
Edited by dexter4 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.