totoshka Posted October 3, 2018 Posted October 3, 2018 Коллеги, пытаюсь написать несколько правил, но что-то не работает. 1. есть сетка VPN и Домашняя сетка. 2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут 3. пробую вешать правило запрета на Домашнюю сетку тоже ходит. недопонимаю логику работы. цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP Quote
Le ecureuil Posted October 5, 2018 Posted October 5, 2018 В 03.10.2018 в 16:14, totoshka сказал: Коллеги, пытаюсь написать несколько правил, но что-то не работает. 1. есть сетка VPN и Домашняя сетка. 2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут 3. пробую вешать правило запрета на Домашнюю сетку тоже ходит. недопонимаю логику работы. цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP Пока firewall для VPN-клиентов не работает. Quote
totoshka Posted October 5, 2018 Author Posted October 5, 2018 О как!!!! Неожиданно..... А когда появится? Quote
jappleseed89 Posted October 10, 2018 Posted October 10, 2018 А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist) Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать. Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе. Quote
totoshka Posted October 10, 2018 Author Posted October 10, 2018 Да я собственно и купил то его как альтернативу асусу. Вот сижу думаю чего делать. Quote
jappleseed89 Posted October 10, 2018 Posted October 10, 2018 И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей. Quote
jappleseed89 Posted October 10, 2018 Posted October 10, 2018 Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится. Quote
Le ecureuil Posted October 10, 2018 Posted October 10, 2018 58 минут назад, jappleseed89 сказал: Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится. Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик. Quote
totoshka Posted October 11, 2018 Author Posted October 11, 2018 В 10.10.2018 в 16:58, Le ecureuil сказал: Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик. Вешал. не отрабатало. access-list _WEBADMIN_PPPoE0 permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255 deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0 пинги идут на все адреса сетки 172.16.3.0 Quote
Le ecureuil Posted October 23, 2018 Posted October 23, 2018 В 11.10.2018 в 20:22, totoshka сказал: Вешал. не отрабатало. access-list _WEBADMIN_PPPoE0 permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255 deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0 пинги идут на все адреса сетки 172.16.3.0 А вы там с направлением не намудрили? Приложите-ка self-test. Quote
Андрэ Палыч Posted January 24, 2020 Posted January 24, 2020 в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки Quote
Le ecureuil Posted January 27, 2020 Posted January 27, 2020 В 10.10.2018 в 13:20, jappleseed89 сказал: А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist) Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать. Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе. Секунду. Если вы про site-to-site IPsec, то там firewall работает. Ответ касается только VPN-серверов на базе PPP. Quote
Le ecureuil Posted January 27, 2020 Posted January 27, 2020 В 10.10.2018 в 16:00, jappleseed89 сказал: Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится. Да, так можно. Quote
Le ecureuil Posted January 27, 2020 Posted January 27, 2020 В 24.01.2020 в 17:13, Андрэ Палыч сказал: в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP. Quote
Андрэ Палыч Posted January 27, 2020 Posted January 27, 2020 46 минут назад, Le ecureuil сказал: Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP. VPN-сервер L2TP/IPsec Quote
Le ecureuil Posted January 27, 2020 Posted January 27, 2020 3 часа назад, Андрэ Палыч сказал: VPN-сервер L2TP/IPsec Все точно также, как и на 2.15 - пока это не реализовано. Quote
CBLoner Posted December 13, 2020 Posted December 13, 2020 Для IPsec site-to-site в последней стабильной сейчас будет работать? Quote
Le ecureuil Posted December 13, 2020 Posted December 13, 2020 11 час назад, CBLoner сказал: Для IPsec site-to-site в последней стабильной сейчас будет работать? Да, почему нет? Quote
jappleseed89 Posted December 24, 2020 Posted December 24, 2020 Создал WireGuard туннель между двумя роутерами Keenetic. Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей? Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик. Quote
Le ecureuil Posted December 24, 2020 Posted December 24, 2020 Сделайте туннели не-public, и пропишите явный роутинг. Quote
Ranger Posted May 18, 2021 Posted May 18, 2021 @Le ecureuil, проконсультируйте, пожалуйста. Есть два keenetic, соединенные между собой IPIP+IPSec-туннелем. Чтобы соединить домашние сегменты этих двух роутеров настроена маршрутизация (в домашний сегмент "другого" keenetic слать трафик через "мой" интерфейс IPIP0) и в межсетевые экраны домашних сегментов добавлены правила (пропускать протокол IP от адресов "моей" домашней сети в направлении "другой" домашней сети). Это часть простая, все отлично работает. На первом из keenetic подняты сервера VPN IPsec XAuth и VPN IKEv2. На втором keenetic настроена маршрутизация (в подсети этих VPN ходить через "мой" интерфейс IPIP0) и в межсетевой экран домашнего сегмента добавлено правило (пропускать протокол IP от адресов "моей" домашней сети в направлении подсетей этих VPN). Эта часть тоже простая, из домашней сети второго keenetic пинг на клиентов VPN идет. Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво. Подскажите, как это правильно надо было сделать? Quote
Werld Posted May 18, 2021 Posted May 18, 2021 7 часов назад, Ranger сказал: Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво. Извините, а что вас смущает, работает же? Сделано верно. Более того, имхо в рамках возможностей прошивки, такой способ единственный в данной ситуации. Quote
SySOPik Posted May 26, 2021 Posted May 26, 2021 Вклинюсь в тему с вопросом. Есть небольшая сеть из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)? Quote
Le ecureuil Posted May 26, 2021 Posted May 26, 2021 7 минут назад, SySOPik сказал: Вклинюсь в тему с вопросом. Есть небольшая сеть из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)? Если кратко, то да, только аккуратнее с in/out направлением. Quote
SySOPik Posted May 26, 2021 Posted May 26, 2021 (edited) Вот потому и интересно, если правило, запретить исходящие tcp/udp запросы на 10.0.0.1/24 повесить на Wan, заблокируется только исходящие с клиента в главную подсеть? С главного можно будет полноценно работать с подсетью клиента (пинг, доступ к ПК, принтерам, видеонаблюдению и т.д.) ? И наводящий вопрос, если на клиенте 2 Wan (Wan+ Wisp) то правила вешать на 2 интерфейса? Edited May 26, 2021 by SySOPik Quote
SySOPik Posted October 5, 2021 Posted October 5, 2021 (edited) Привет всем. Может кто подскажет вариант решения. Есть головной роутер 10.1.1.1/24 и много клиентских (10.1.2.1/24 и т.д.), поднят IP/Sec. Хочу фильтровать запросы: от головного в конечным нужно доступ, с конечных закрыть доступ в сеть 10.1.1.1/24. Легче всего на Wan головного, в брандмауэре, запретить TCP/IP доступ с подсетей 10.1.хх.хх на сеть 10.1.1.1/24, но тогда пропадет и сам VPN и коннект. Можно было б запретить доступ с 10.1.хх.хх на адреса 10.1.1.2-254, но в файре нет выбора по диапазону айпишек. Какие еще идеи? Edited October 5, 2021 by SySOPik Quote
stefbarinov Posted October 5, 2021 Posted October 5, 2021 Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24 Quote
SySOPik Posted October 5, 2021 Posted October 5, 2021 25 минут назад, stefbarinov сказал: Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24 А разве запрещающие не имеют приоритет над разрешающими? Quote
MDP Posted October 5, 2021 Posted October 5, 2021 9 минут назад, SySOPik сказал: А разве запрещающие не имеют приоритет над разрешающими? Правила работают по порядку...приоритетнее правило то, которое находится выше 1 Quote
stefbarinov Posted October 5, 2021 Posted October 5, 2021 (edited) Цитата А разве запрещающие не имеют приоритет над разрешающими? Правила работают сверху вниз! Edited October 5, 2021 by stefbarinov 1 1 Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.