ls819011

Мне не нужно закрывать доступ к корпоративным адресам через основное подключение к Интернету, к чему приведёт access-list на интерфейсе Home. Мне не нужно фильтровать ВЕСЬ трафик по источнику на бридже. Зачем мне нагружать такой задачей маршрутизатор? Мне нужно фильтровать только тот трафик, который будет уходить в корпоративную сеть. Поэтому я настаиваю на том, что фильтровать источники трафика в корпоративную сеть нужно на L2TP0. Ну ведь есть же кусок вывода show running config, подтверждающий описку в начальном посте темы.

Везде, где 0.0.0.0/32 - описка. Читать 0.0.0.0/0. Вот так это выглядело в выводе show running config: access-list _CORPORATE_OUT permit ip 192.168.0.20 255.255.255.255 0.0.0.0 0.0.0.0 permit ip 192.168.0.4 255.255.255.255 0.0.0.0 0.0.0.0 permit ip 192.168.0.6 255.255.255.255 0.0.0.0 0.0.0.0 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 Не нужно. Маршруты в корпоративную сеть через интерфейс L2TP0 выдаёт VPN-сервер при подключении. Естественно, у этих маршрутов приоритет выше, чем у default route. Кроме маршрутов в корпоративную сеть через интерфейс L2TP0 при подключении к VPN в таблице маршрутизации появится маршрут к VPN-серверу с приоритетом ещё бОльшим, чем маршруты в корпоративную сеть. А при чём здесь интерфейс Home? Интерфейс Home вообще не увидит, с какого адреса идёт пакет, т.к. в соответствии с таблицей маршрутизации пакет в корпоративную сеть сначала попадёт на интерфейс L2TP0, которым он будет зашифрован и инкапсулирован в пакет с адресом назначения равным адресу VPN-сервера и адресом источника равным локальному адресу маршрутизатора. Поэтому единственный вариант ограничения доступа в корпоративную сеть из локальной домашней сети - применение access-list'а для исходящего трафика на L2TP0. Вариант с конфигурацией из веб-интерфейса не подходит. В Firewall нельзя прописать правила для исходящего трафика. "Любой" адрес назначения в записи access-list'а означает лишь одно - адрес назначения не нужно проверять. Если адрес назначения не нужно проверять, это уменьшает количество проверок, снижает задержку пакета на маршрутизаторе и увеличивает пропускную способность. По-моему, так. Спасибо, но речь идёт не о том, как сделать, а о баге в firmware.

Возникла задача сконфигурировать VPN-подключение по протоколу IPSec/L2TP к корпоративной сети, при этом разрешив доступ к корпоративной сети только с тех устройств домашней сети, которые находятся под моим управлением. Делаю так: access-list _SOME_ACL_NAME permit ip 192.168.0.20/32 0.0.0.0/32 permit ip 192.168.0.4/32 0.0.0.0/32 permit ip 192.168.0.6/32 0.0.0.0/32 deny ip 0.0.0.0/0 0.0.0.0/0 interface L2TP0 ip access-group _SOME_ACL_NAME out При такой конфигурации трафик от всех хостов локальной сети, включая разрешенные, в нужную сеть идёт в обход ВПН. Если из access-list убрать последнюю строку, то в ВПН уходит трафик от всех хостов локальной сети, независимо от того, разрешено им явно или нет. Запись убиралась так: interface L2TP0 no ip access-group _SOME_ACL_NAME out no access-list _SOME_ACL_NAME access-list _SOME_ACL_NAME permit ip 192.168.0.20/32 0.0.0.0/32 permit ip 192.168.0.4/32 0.0.0.0/32 permit ip 192.168.0.6/32 0.0.0.0/32 interface L2TP0 ip access-group _SOME_ACL_NAME out system configuration save При просмотре access-list'а при первом совпадении ip-адреса, протокола и порта (if any) обработка должна заканчиваться и к пакету должно применяться правило (permit или deny). Получается, что этого не происходит, а если в последней записи стоит deny для всех источников, то пакет уходит по маршруту по умолчанию.