Jump to content

Recommended Posts

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

Share this post


Link to post
Share on other sites
В 03.10.2018 в 16:14, totoshka сказал:

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

Пока firewall для VPN-клиентов не работает.

Share this post


Link to post
Share on other sites

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Share this post


Link to post
Share on other sites

Да я собственно и купил то его как альтернативу асусу. 

Вот сижу думаю чего делать. 

Share this post


Link to post
Share on other sites

И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.

Share this post


Link to post
Share on other sites

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Share this post


Link to post
Share on other sites
58 минут назад, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Share this post


Link to post
Share on other sites
В 10.10.2018 в 16:58, Le ecureuil сказал:

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

Share this post


Link to post
Share on other sites
В 11.10.2018 в 20:22, totoshka сказал:

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

А вы там с направлением не намудрили?

Приложите-ка self-test.

Share this post


Link to post
Share on other sites

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Share this post


Link to post
Share on other sites
В 10.10.2018 в 13:20, jappleseed89 сказал:

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Секунду. Если вы про site-to-site IPsec, то там firewall работает. Ответ касается только VPN-серверов на базе PPP.

Share this post


Link to post
Share on other sites
В 10.10.2018 в 16:00, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Да, так можно.

Share this post


Link to post
Share on other sites
В 24.01.2020 в 17:13, Андрэ Палыч сказал:

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

Share this post


Link to post
Share on other sites
46 минут назад, Le ecureuil сказал:

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

VPN-сервер L2TP/IPsec

Share this post


Link to post
Share on other sites
3 часа назад, Андрэ Палыч сказал:

VPN-сервер L2TP/IPsec

Все точно также, как и на 2.15 - пока это не реализовано.

Share this post


Link to post
Share on other sites

Для IPsec site-to-site в последней стабильной сейчас будет работать?

Share this post


Link to post
Share on other sites
11 час назад, CBLoner сказал:

Для IPsec site-to-site в последней стабильной сейчас будет работать?

Да, почему нет?

Share this post


Link to post
Share on other sites

Создал WireGuard туннель между двумя роутерами Keenetic.

Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей?

Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...