Задачка по L2 Тоннелю

Обсуждение ПО и его настройки
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

какие то особые правила для фаэрфол нужны ?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Я же привел конфиг ))


Есть интересная задача и бюджет? http://mikrotik.site
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

спасибо все работает


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

да пожалуйста.
К стати думаю что к l2tp можно легко прикрутить IpSec (благо это упростили очень) и получить так многим желанный шифрованный L2 тоннель буквально в несколько кликов мышкой в винбоксе )))

Но енту мыслю не проверял )))


Есть интересная задача и бюджет? http://mikrotik.site
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

На 100 мегабитах работает??? Или только на гигабите???


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

работает конечно


Есть интересная задача и бюджет? http://mikrotik.site
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

с ipsec реально работает проверил
только правила нужно на сервере добавить
/ip firewall filter
add chain=input comment="L2TP VPN" dst-port=1701,500,4500 protocol=udp
add chain=input comment="Allow IPSec-esp" protocol=ipsec-esp
_________________________________________________________________
Что бы полный доступ был в локалку по сервисам нужно дававить
/interface l2tp-server server set enabled=yes mrru=1600


evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

Уважаемый vqd напишите плиз правила как отфильтровать трафик через тyннель ,чтобы из сети офиса не было доступа к компу подключенному к сети через туннель а с этого компа был доступ ко всей сети офиса.
[admin@MikroTik] /interface bridge settings> print
use-ip-firewall: no
use-ip-firewall-for-vlan: no
use-ip-firewall-for-pppoe: no
allow-fast-path: yes
bridge-fast-path-active: yes
bridge-fast-path-packets: 0
bridge-fast-path-bytes: 0


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Я же описывал где то уже
Если вы хотите что бы трафик в бридже попадал в фаервол то use-ip-firewall: yes
Ну и allow-fast-path: no и микрот в ребут


Есть интересная задача и бюджет? http://mikrotik.site
evgeniy7676
Сообщения: 41
Зарегистрирован: 29 апр 2014, 15:36

Помогите запутался 2 микрота соединены по вашей схеме,через тунель идет L2 подсеть 192,168,1,0.24,которая не относится к этим микротом вообще они работают как транспорт,каким образом организовать чтобы единственный адрес с этой подсети 192.168.1.1 с одной стороны тунеля работал со всеми сервисами сеть ,а с другой стороны тунеля все остальные адреса не имели доступ к этому устройству.


Ответить