Всем доброго времени.
Подскажите, как реализовать следующие:
Есть две сети 192.168.1.0/24 и 192.168.2.0/24 все обьеденино VPNом. ...1.0 это сеть из которой управляется все удаленное в vpn.
Как запретить пользователем VPN, это сеть ...2.0 видеть сеть 1.0. Правило форвардинга запрещает траффик в обе стороны. Запретить входящий из сети 2.0 не выходит, не реагирует на это правило.
В результате нужно получить доступ к всей сеть 2.0 из сети 1.0, а в обратную сторону скрыть все что есть, хосты не должны пинговатся даже. Желательно без маркировки траффика, правилами фаервола, это реально?
Маршрутизация и запрет подсети
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
-
- Модератор
- Сообщения: 3290
- Зарегистрирован: 01 окт 2012, 14:48
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Оно-то может и ловчее, только гибкость теряется напрочь. Всё же блокировку лучше проводить в фаерволе....
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 32
- Зарегистрирован: 01 ноя 2020, 15:41
Не подходит, каждый хост нужно отдельно указывать, 10 сетей, которые нужно мониторить, в них например по15 хостов, честно, лень это все отдельным правилом описывать...:)
-
- Сообщения: 32
- Зарегистрирован: 01 ноя 2020, 15:41
Не подходит, там дискуссия о VLANах и дробление сетей через адресс лист, я тот топик до создания своего пролистал, раве что пропустил нужный ответ.. Опять же IP нужных хостов могут менятся, все это каждый раз менять вручную, такая себе затея. Правило Forward блокурует траффик в обе стороны. Мне нужно что бы хосты из сети VPN не видели мою сеть, но при этом у меня должен быть доступ ко всему диапазону второй сети.
Мой вопрос сводится к тому, что бы правилами фаервола запретить доступ к моей сети из сетей VPN.
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Так может тогда и ответ сводится к
Или схема всё же сложнее?
Код: Выделить всё
add action=drop chain=forward dst-address-list=!VPN src-address-list=VPN
-
- Сообщения: 32
- Зарегистрирован: 01 ноя 2020, 15:41
При этом изолируется и входящий и исходящий траффик, я не вижу сети VPNInner писал(а): ↑04 дек 2021, 15:17 Так может тогда и ответ сводится кИли схема всё же сложнее?Код: Выделить всё
add action=drop chain=forward dst-address-list=!VPN src-address-list=VPN
-
- Сообщения: 248
- Зарегистрирован: 01 июл 2020, 16:02
Так Поставьте выше правило, которое будет позволять определенным хостам видеть сеть VPN. Или настройте нат в VPN а из VPN без NAT (masquerade). Что-то в роде:
Или используйте всё же vlan.
Просто, если Вы отправляете пакет, то должны получить ответ на него. И если Firewall не пропустит запрос, то и отвечать будет не на что. Как и если он не пропустит ответ, то и запрашивать смысла не будет. Forward это обоюдно острый меч. Потому Вы либо маскируйте свои запросы под 1 ip, либо светите всю сеть в обоих направлениях, либо используйте vlan, либо поставьте выше правило, какие адреса могут смотреть в vpn и из него. Или даже используйте всё вместе, в зависимости от специфики настройки, которую Вы нам не показали.
Код: Выделить всё
add action=masquerade chain=srcnat out-interface=eoip-tunnel-VPN
Просто, если Вы отправляете пакет, то должны получить ответ на него. И если Firewall не пропустит запрос, то и отвечать будет не на что. Как и если он не пропустит ответ, то и запрашивать смысла не будет. Forward это обоюдно острый меч. Потому Вы либо маскируйте свои запросы под 1 ip, либо светите всю сеть в обоих направлениях, либо используйте vlan, либо поставьте выше правило, какие адреса могут смотреть в vpn и из него. Или даже используйте всё вместе, в зависимости от специфики настройки, которую Вы нам не показали.
-
- Сообщения: 32
- Зарегистрирован: 01 ноя 2020, 15:41
Я понимаю как это работает, но все же а вдруг люди у которых больше опыта подскажут что-то интересное. Думал, может в дебрях routerOS есть такая фича) А настройки нет никакой, мне нечего показать, все прозрачное в обе стороны. Вариант разрешить определенным хостам и всем запретить пока что самый реальный. VLAN тоже не совсем то, мне их придется сгонять на сервера, тоесть, все равно в обе стороны VLAN будут видны друг другу... Ну что изолировать только одну сеть не получится я уже понял)Inner писал(а): ↑04 дек 2021, 20:46 Так Поставьте выше правило, которое будет позволять определенным хостам видеть сеть VPN. Или настройте нат в VPN а из VPN без NAT (masquerade). Что-то в роде:Или используйте всё же vlan.Код: Выделить всё
add action=masquerade chain=srcnat out-interface=eoip-tunnel-VPN
Просто, если Вы отправляете пакет, то должны получить ответ на него. И если Firewall не пропустит запрос, то и отвечать будет не на что. Как и если он не пропустит ответ, то и запрашивать смысла не будет. Forward это обоюдно острый меч. Потому Вы либо маскируйте свои запросы под 1 ip, либо светите всю сеть в обоих направлениях, либо используйте vlan, либо поставьте выше правило, какие адреса могут смотреть в vpn и из него. Или даже используйте всё вместе, в зависимости от специфики настройки, которую Вы нам не показали.