Межсетевой экран и VPN

totoshka · 3 октября, 2018

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

Le ecureuil · 5 октября, 2018

В 03.10.2018 в 16:14, totoshka сказал:

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

Пока firewall для VPN-клиентов не работает.

totoshka · 5 октября, 2018

О как!!!! Неожиданно.....

А когда появится?

jappleseed89 · 10 октября, 2018

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

totoshka · 10 октября, 2018

Да я собственно и купил то его как альтернативу асусу.

Вот сижу думаю чего делать.

jappleseed89 · 10 октября, 2018

И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.

jappleseed89 · 10 октября, 2018

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Le ecureuil · 10 октября, 2018

58 минут назад, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

totoshka · 11 октября, 2018

В 10.10.2018 в 16:58, Le ecureuil сказал:

Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

пинги идут на все адреса сетки 172.16.3.0

Le ecureuil · 23 октября, 2018

В 11.10.2018 в 20:22, totoshka сказал:

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

пинги идут на все адреса сетки 172.16.3.0

А вы там с направлением не намудрили?

Приложите-ка self-test.

Андрэ Палыч · 24 января, 2020

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Le ecureuil · 27 января, 2020

В 10.10.2018 в 13:20, jappleseed89 сказал:

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Секунду. Если вы про site-to-site IPsec, то там firewall работает. Ответ касается только VPN-серверов на базе PPP.

Le ecureuil · 27 января, 2020

В 10.10.2018 в 16:00, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Да, так можно.

Le ecureuil · 27 января, 2020

В 24.01.2020 в 17:13, Андрэ Палыч сказал:

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

Андрэ Палыч · 27 января, 2020

46 минут назад, Le ecureuil сказал:

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

VPN-сервер L2TP/IPsec

Le ecureuil · 27 января, 2020

3 часа назад, Андрэ Палыч сказал:

VPN-сервер L2TP/IPsec

Все точно также, как и на 2.15 - пока это не реализовано.

CBLoner · 13 декабря, 2020

Для IPsec site-to-site в последней стабильной сейчас будет работать?

Le ecureuil · 13 декабря, 2020

11 час назад, CBLoner сказал:

Для IPsec site-to-site в последней стабильной сейчас будет работать?

Да, почему нет?

jappleseed89 · 24 декабря, 2020

Создал WireGuard туннель между двумя роутерами Keenetic.

Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей?

Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.

Le ecureuil · 24 декабря, 2020

Сделайте туннели не-public, и пропишите явный роутинг.

Ranger · 18 мая, 2021

@Le ecureuil, проконсультируйте, пожалуйста.

Есть два keenetic, соединенные между собой IPIP+IPSec-туннелем. Чтобы соединить домашние сегменты этих двух роутеров настроена маршрутизация (в домашний сегмент "другого" keenetic слать трафик через "мой" интерфейс IPIP0) и в межсетевые экраны домашних сегментов добавлены правила (пропускать протокол IP от адресов "моей" домашней сети в направлении "другой" домашней сети). Это часть простая, все отлично работает.

На первом из keenetic подняты сервера VPN IPsec XAuth и VPN IKEv2. На втором keenetic настроена маршрутизация (в подсети этих VPN ходить через "мой" интерфейс IPIP0) и в межсетевой экран домашнего сегмента добавлено правило (пропускать протокол IP от адресов "моей" домашней сети в направлении подсетей этих VPN). Эта часть тоже простая, из домашней сети второго keenetic пинг на клиентов VPN идет.

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Подскажите, как это правильно надо было сделать?

Werld · 18 мая, 2021

7 часов назад, Ranger сказал:

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Извините, а что вас смущает, работает же? Сделано верно. Более того, имхо в рамках возможностей прошивки, такой способ единственный в данной ситуации.

SySOPik · 26 мая, 2021

Вклинюсь в тему с вопросом. Есть небольшая сеть из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

Le ecureuil · 26 мая, 2021

7 минут назад, SySOPik сказал:

Вклинюсь в тему с вопросом. Есть небольшая сеть из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

Если кратко, то да, только аккуратнее с in/out направлением.

SySOPik · 26 мая, 2021

Вот потому и интересно, если правило, запретить исходящие tcp/udp запросы на 10.0.0.1/24 повесить на Wan, заблокируется только исходящие с клиента в главную подсеть? С главного можно будет полноценно работать с подсетью клиента (пинг, доступ к ПК, принтерам, видеонаблюдению и т.д.) ? И наводящий вопрос, если на клиенте 2 Wan (Wan+ Wisp) то правила вешать на 2 интерфейса?

Изменено 26 мая, 2021 пользователем SySOPik

SySOPik · 5 октября, 2021

Привет всем. Может кто подскажет вариант решения. Есть головной роутер 10.1.1.1/24 и много клиентских (10.1.2.1/24 и т.д.), поднят IP/Sec. Хочу фильтровать запросы: от головного в конечным нужно доступ, с конечных закрыть доступ в сеть 10.1.1.1/24.

Легче всего на Wan головного, в брандмауэре, запретить TCP/IP доступ с подсетей 10.1.хх.хх на сеть 10.1.1.1/24, но тогда пропадет и сам VPN и коннект. Можно было б запретить доступ с 10.1.хх.хх на адреса 10.1.1.2-254, но в файре нет выбора по диапазону айпишек. Какие еще идеи?

Изменено 5 октября, 2021 пользователем SySOPik

stefbarinov · 5 октября, 2021

Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24

SySOPik · 5 октября, 2021

25 минут назад, stefbarinov сказал:

Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24

А разве запрещающие не имеют приоритет над разрешающими?

MDP · 5 октября, 2021

9 минут назад, SySOPik сказал:

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают по порядку...приоритетнее правило то, которое находится выше

stefbarinov · 5 октября, 2021

Цитата

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают сверху вниз!

Изменено 5 октября, 2021 пользователем stefbarinov

Войти

Межсетевой экран и VPN

Рекомендуемые сообщения

totoshka

Le ecureuil

totoshka

jappleseed89

totoshka

jappleseed89

jappleseed89

Le ecureuil

totoshka

Le ecureuil

Андрэ Палыч

Le ecureuil

Le ecureuil

Le ecureuil

Андрэ Палыч

Le ecureuil

CBLoner

Le ecureuil

jappleseed89

Le ecureuil

Ranger

Werld

SySOPik

Le ecureuil

SySOPik

SySOPik

stefbarinov

SySOPik

MDP

stefbarinov

Присоединяйтесь к обсуждению

Последние посетители 0 пользователей онлайн

Обзор

Активность

Магазин

My Details

Важная информация