Маршрутизация и запрет подсети

Обсуждение ПО и его настройки
evgeniy.milovanov
Сообщения: 32
Зарегистрирован: 01 ноя 2020, 15:41

Всем доброго времени.
Подскажите, как реализовать следующие:
Есть две сети 192.168.1.0/24 и 192.168.2.0/24 все обьеденино VPNом. ...1.0 это сеть из которой управляется все удаленное в vpn.
Как запретить пользователем VPN, это сеть ...2.0 видеть сеть 1.0. Правило форвардинга запрещает траффик в обе стороны. Запретить входящий из сети 2.0 не выходит, не реагирует на это правило.

В результате нужно получить доступ к всей сеть 2.0 из сети 1.0, а в обратную сторону скрыть все что есть, хосты не должны пинговатся даже. Желательно без маркировки траффика, правилами фаервола, это реально?


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Вполне возможно. Но через /ip route rule будет ловчее.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48



Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Inner писал(а): 04 дек 2021, 13:08 Вполне возможно. Но через /ip route rule будет ловчее.
Оно-то может и ловчее, только гибкость теряется напрочь. Всё же блокировку лучше проводить в фаерволе....


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
evgeniy.milovanov
Сообщения: 32
Зарегистрирован: 01 ноя 2020, 15:41

Inner писал(а): 04 дек 2021, 13:08 Вполне возможно. Но через /ip route rule будет ловчее.
Не подходит, каждый хост нужно отдельно указывать, 10 сетей, которые нужно мониторить, в них например по15 хостов, честно, лень это все отдельным правилом описывать...:)


evgeniy.milovanov
Сообщения: 32
Зарегистрирован: 01 ноя 2020, 15:41

gmx писал(а): 04 дек 2021, 13:35 viewtopic.php?f=15&t=6572
Не подходит, там дискуссия о VLANах и дробление сетей через адресс лист, я тот топик до создания своего пролистал, раве что пропустил нужный ответ.. Опять же IP нужных хостов могут менятся, все это каждый раз менять вручную, такая себе затея. Правило Forward блокурует траффик в обе стороны. Мне нужно что бы хосты из сети VPN не видели мою сеть, но при этом у меня должен быть доступ ко всему диапазону второй сети.

Мой вопрос сводится к тому, что бы правилами фаервола запретить доступ к моей сети из сетей VPN.


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Так может тогда и ответ сводится к

Код: Выделить всё

add action=drop chain=forward dst-address-list=!VPN src-address-list=VPN
Или схема всё же сложнее?


evgeniy.milovanov
Сообщения: 32
Зарегистрирован: 01 ноя 2020, 15:41

Inner писал(а): 04 дек 2021, 15:17 Так может тогда и ответ сводится к

Код: Выделить всё

add action=drop chain=forward dst-address-list=!VPN src-address-list=VPN
Или схема всё же сложнее?
При этом изолируется и входящий и исходящий траффик, я не вижу сети VPN


Inner
Сообщения: 248
Зарегистрирован: 01 июл 2020, 16:02

Так Поставьте выше правило, которое будет позволять определенным хостам видеть сеть VPN. Или настройте нат в VPN а из VPN без NAT (masquerade). Что-то в роде:

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=eoip-tunnel-VPN
Или используйте всё же vlan.
Просто, если Вы отправляете пакет, то должны получить ответ на него. И если Firewall не пропустит запрос, то и отвечать будет не на что. Как и если он не пропустит ответ, то и запрашивать смысла не будет. Forward это обоюдно острый меч. Потому Вы либо маскируйте свои запросы под 1 ip, либо светите всю сеть в обоих направлениях, либо используйте vlan, либо поставьте выше правило, какие адреса могут смотреть в vpn и из него. Или даже используйте всё вместе, в зависимости от специфики настройки, которую Вы нам не показали.


evgeniy.milovanov
Сообщения: 32
Зарегистрирован: 01 ноя 2020, 15:41

Inner писал(а): 04 дек 2021, 20:46 Так Поставьте выше правило, которое будет позволять определенным хостам видеть сеть VPN. Или настройте нат в VPN а из VPN без NAT (masquerade). Что-то в роде:

Код: Выделить всё

add action=masquerade chain=srcnat out-interface=eoip-tunnel-VPN
Или используйте всё же vlan.
Просто, если Вы отправляете пакет, то должны получить ответ на него. И если Firewall не пропустит запрос, то и отвечать будет не на что. Как и если он не пропустит ответ, то и запрашивать смысла не будет. Forward это обоюдно острый меч. Потому Вы либо маскируйте свои запросы под 1 ip, либо светите всю сеть в обоих направлениях, либо используйте vlan, либо поставьте выше правило, какие адреса могут смотреть в vpn и из него. Или даже используйте всё вместе, в зависимости от специфики настройки, которую Вы нам не показали.
Я понимаю как это работает, но все же а вдруг люди у которых больше опыта подскажут что-то интересное. Думал, может в дебрях routerOS есть такая фича) А настройки нет никакой, мне нечего показать, все прозрачное в обе стороны. Вариант разрешить определенным хостам и всем запретить пока что самый реальный. VLAN тоже не совсем то, мне их придется сгонять на сервера, тоесть, все равно в обе стороны VLAN будут видны друг другу... Ну что изолировать только одну сеть не получится я уже понял)


Ответить