Jump to content

Recommended Posts

Posted

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

Posted
В 03.10.2018 в 16:14, totoshka сказал:

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

Пока firewall для VPN-клиентов не работает.

Posted

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Posted

Да я собственно и купил то его как альтернативу асусу. 

Вот сижу думаю чего делать. 

Posted

И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.

Posted

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Posted
58 минут назад, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Posted
В 10.10.2018 в 16:58, Le ecureuil сказал:

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

  • 2 weeks later...
Posted
В 11.10.2018 в 20:22, totoshka сказал:

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

А вы там с направлением не намудрили?

Приложите-ка self-test.

  • 1 year later...
Posted

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Posted
В 10.10.2018 в 13:20, jappleseed89 сказал:

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Секунду. Если вы про site-to-site IPsec, то там firewall работает. Ответ касается только VPN-серверов на базе PPP.

Posted
В 10.10.2018 в 16:00, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Да, так можно.

Posted
В 24.01.2020 в 17:13, Андрэ Палыч сказал:

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

Posted
3 часа назад, Андрэ Палыч сказал:

VPN-сервер L2TP/IPsec

Все точно также, как и на 2.15 - пока это не реализовано.

  • 10 months later...
Posted

Для IPsec site-to-site в последней стабильной сейчас будет работать?

Posted
11 час назад, CBLoner сказал:

Для IPsec site-to-site в последней стабильной сейчас будет работать?

Да, почему нет?

  • 2 weeks later...
Posted

Создал WireGuard туннель между двумя роутерами Keenetic.

Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей?

Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.

  • 4 months later...
Posted

@Le ecureuil, проконсультируйте, пожалуйста.

Есть два keenetic, соединенные между собой IPIP+IPSec-туннелем. Чтобы соединить домашние сегменты этих двух роутеров настроена маршрутизация (в домашний сегмент "другого" keenetic слать трафик через "мой" интерфейс IPIP0) и в межсетевые экраны домашних сегментов добавлены правила (пропускать протокол IP от адресов "моей" домашней сети в направлении "другой" домашней сети). Это часть простая, все отлично работает.

На первом из keenetic подняты сервера VPN IPsec  XAuth и VPN IKEv2. На втором keenetic настроена маршрутизация (в подсети этих VPN ходить через "мой" интерфейс IPIP0) и в межсетевой экран домашнего сегмента добавлено правило (пропускать протокол IP от адресов "моей" домашней сети в направлении подсетей этих VPN). Эта часть тоже простая, из домашней сети второго keenetic пинг на клиентов VPN идет.

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Подскажите, как это правильно надо было сделать?

Posted
7 часов назад, Ranger сказал:

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Извините, а что вас смущает, работает же? Сделано верно. Более того, имхо в рамках возможностей прошивки, такой способ единственный в данной ситуации.

Posted

Вклинюсь в тему с вопросом. Есть небольшая сеть  из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

Posted
7 минут назад, SySOPik сказал:

Вклинюсь в тему с вопросом. Есть небольшая сеть  из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

Если кратко, то да, только аккуратнее с in/out направлением.

Posted (edited)

Вот потому и интересно, если правило, запретить исходящие tcp/udp запросы на 10.0.0.1/24 повесить на Wan, заблокируется только исходящие с клиента в главную подсеть? С главного можно будет полноценно работать с подсетью клиента (пинг, доступ к ПК, принтерам, видеонаблюдению и т.д.) ?  И наводящий вопрос, если на клиенте 2 Wan (Wan+ Wisp) то правила вешать на 2 интерфейса?

Edited by SySOPik
  • 4 months later...
Posted (edited)

Привет всем. Может кто подскажет вариант решения. Есть головной роутер 10.1.1.1/24  и много клиентских (10.1.2.1/24 и т.д.), поднят IP/Sec. Хочу фильтровать запросы: от головного в конечным нужно доступ, с конечных закрыть доступ в сеть 10.1.1.1/24.

Легче всего на Wan головного, в брандмауэре, запретить TCP/IP доступ с подсетей 10.1.хх.хх на сеть 10.1.1.1/24, но тогда пропадет и сам VPN и коннект. Можно было б запретить доступ с 10.1.хх.хх на адреса 10.1.1.2-254, но в файре нет выбора по диапазону айпишек. Какие еще идеи?

Edited by SySOPik
Posted

Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24

Posted
25 минут назад, stefbarinov сказал:

Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24

А разве запрещающие не имеют приоритет над разрешающими?

Posted
9 минут назад, SySOPik сказал:

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают по порядку...приоритетнее правило то, которое находится выше

  • Thanks 1
Posted (edited)
Цитата

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают сверху вниз!

Edited by stefbarinov
  • Thanks 1
  • Upvote 1

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.