GRE туннель и FireWall

Обсуждение ПО и его настройки
Ответить
Dlmon
Сообщения: 9
Зарегистрирован: 03 апр 2017, 08:59

Народ, подскажите плз, настроил туннель между 2мя микротиками внешние адреса х.х.х.х и у.у.у.у, внутренние 192.168.1.0 и 192.168.2.0, туннель с адресами 10.10.10.1 и 10.10.10.2
в фаерволе сделал правило дропа всего входящего eth1/input/drop, винбокс только разрешил.
Как мне настроить правило, чтобы туннель работал, а остальное дропалось?
Все перепробовал, при включенном правиле дропа, ничего не видится в сетке, только пинги ходят. Ест-но созданные правила поднимал выше правила дропа. Все варианты что я создал разрешающих правил не работают


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1. Почитайте как работает GRE туннель!?
(подсказка: используется протокол 47, + нужны ряд портов из ТСР,
вот их явно разрешите.
1.1. (можно сделать правило логирования всего на порту1 и смотреть,
что там, да как)
2. Всё запрещать на порту1 тоже не совсем правильно, защита должна быть,
но на роутер могут приходить ответы/пакеты для Ваших сессий.
3. Между сетями сетевое окружение работать не будет, но трафик, и
всё остальное (при правильной настройке туннеля) должно работать.
4. Не забудьте ещё на компьютерах (с каждой стороны) проверить, чтобы
на них не блокировались пакеты их другой сети.

P.S.
при простых схемах, можно туннелям адресацию не ставить,
когда 2 микротика с обеих сторон, туннель работает и без
без адресации (я говорю об адресах 10.10.10.1 и 10.10.10.2)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить