Объединение двух офисов через канал L2

Обсуждение ПО и его настройки
Ответить
Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Всем доброго дня!
Прощу почтенную публику о помощи, так как недавно столкнулся с Микротиком.

Есть два офиса. Между ними провайдер предоставляет тунель L2.
Первый офис с подсетью 192.168.229.0/24, второй с 192.168.239.0/24
Вот конфиг одного из роутеров на котором надо разрешить только подключение тонкого клиента 1с, остальное запретить

/ip address

add address=192.168.239.2/24 interface=ether2 network=192.168.239.0
add address=192.168.242.52/24 interface=ether3 network=192.168.242.0

Маршутизацию между офисами настроил. Не могу разобраться только с файроволлом.

На одном из роутеров (подсеть 239) разрешаю минимальные правила для работы тонго клиента 1с 8.3

/ip firewall filter

add action=accept chain=input protocol=udp
add action=accept chain=forward protocol=udp
add action=accept chain=forward dst-address=192.168.229.0/24 protocol=tcp \
src-address=192.168.239.0/24 src-port=80,443
add action=accept chain=forward dst-address=192.168.239.0/24 dst-port=\
80,443 protocol=tcp src-address=192.168.229.0/24

Включаю нижнее заприщающее правило и связь пропадает

/ip firewall filter add chain=forward action=drop 


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Все просто, тонкие клиенты 1с не используют порты 80 и 443 - это порты для интернет протоколов.

Там что-то вроде 1540-1549 ну или около того, порты можно менять и настраивать под себя на сервере 1с.
Иными словами, читайте документацию к 1с.

И еще один момент, не добавляйте в фаервол правила, которые вы не понимаете, лучше вообще без них, чем лишние.


Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Благодарю за ответ. Сорри, имел ввиду веб-клиента 1с.
А не могли бы Вы указать на ошибки в правилах?


Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Как я понимаю, я третьим правилом в списке разрешаю трафик из 239 подсети в 229 подсеть по 80, 443 протоколу. А четвертым отзеркаливаю третье правило, разрешая ответный трафик. Буду благодарен, если укажите на ошибку.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Не зная полной картины советовать очень трудно.
Я лишь догадываюсь, что у вас там может быть. Есть подозрение, что веб клиент 1с использует другие порты.


Общий принцип: если правило (особенно разрешающее) фаерволла написано правильно, то при выполнении нужных действий (в вашем случае: подключение к 1с из другой подсети) счетчик в правиле должен расти. Если счетчик не увеличивается, то это значит, что правило написано неверно.
Временно, попробуйте без портов вообще, счетчики будут увеличиваться??? Да и Scr и Dst - это по отношению к микротику, а не по отношению к компьютерам.
И еще, не пишите эти правила сразу на обеих микротиках. Сначала все на одном, а уже потом, если потребуется, на другом, хотя в простейшем случае будет достаточно написать на одном.

А может быть будет проще, чтобы не нагружать канал, ограничить трафик не портам, а например по доступу. То есть из удаленной сети разрешить полный доступ к серверу 1с, а все остальное запретить? Ведь завтра захочется иметь еще и общую папку для обеих подсетей, возможно FTP на сервере, общий DNS и так далее.
Более подробно это описано здесь viewtopic.php?f=15&t=6572


Я прочитал ваше личное сообщение. Поймите правильно, чтобы реально помочь, нужно представлять схему вашей сети, настройки сервера 1с и так далее. Я разбираться буду сутки, а может и больше. Наскоком с микротиком не прокатит. А у меня сейчас инет 256 кбит в секунду. Я в зоне неуверенного приема. Да и вообще, по опыту могу сказать, что разбираться с фаерволлом удаленно очень трудно, очень много нюансов, о которых знаете только вы, но при этом мне их никто не сообщит, так как вам они кажутся не существенными.

Разбираться нужно вам самим. И опыт, сын ошибок трудных...


Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Благодарю. Да я пытаюсь, конечно разбираться, только получается редко это делать, поэтому и зашел на форум. Связь то между офисами есть, просто надо разрешить трафик по определенным портам, а все остальное запретить - а с эти проблема.
Счетчики трафик крутят, и во вкладке connection видно, что подключение идет по 80 порту. Но только включаю нижнее дропающее правило
/ip firewall filter add chain=forward action=drop которое должно все запрещать, кроме того, что разрешено полностью связь между офисами пропадает.
Попробую с вашего позволения более подробно схему подключения описать. В центрально офисе (далее ЦО) с подсетью 192.168.229.0/24 установлен микротик. Порту ether2 назначен ip из этой подсети 229.2, а порту ether3 назначен произвольный ip 192.168.242.51 - он смотрит в туннель L2 между офисами, который предоставил провайдер.
В дополнительном офисе (ДО) сеть 192.168.239.0/24. Порту ether2 назначен ip из этой подсети 239.2, а порту ether3, который также смотрит в туннель, назначен ip 192.168.242.52. Маршрутизация между офисами настроена. Соответственно пингуются взаимно и микротики и оборудование за ними. На одном микротике в ДО офисе стоит задача разрешить трафик только для определенных портов, а все остальное запретить. Вот тут како-то недопонимание и появляется :).


Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Уважаемый gmx могли бы вы еще дать совет в свете более подробной информации? Заранее извините за навязчивость ..


kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Давайте разберемся

/ip firewall filter
add action=accept chain=input protocol=udp - здесь вы разрешили входящий udp трафик на интерфейсы Mikrotik. Зачем не понятно но к тонкому клиенту это не относится.

add action=accept chain=forward protocol=udp - здесь вы разрешили транзит udp трафика через интерфейсы Mikrotik. Зачем не понятно но к тонкому клиенту это тоже не относится.

add action=accept chain=forward dst-address=192.168.229.0/24 protocol=tcp src-address=192.168.239.0/24 src-port=80,443 - здесь вы разрешили доступ в подсеть 192.168.229.0/24 по dest портам 80 и 443. Это подсеть и порты вашего тонкого клиента.

add action=accept chain=forward dst-address=192.168.239.0/24 dst-port=80,443 protocol=tcp src-address=192.168.229.0/24 - а это типа обратный трафик от тонкого клиента. Только в этом правиле направление портов указали неправильно, так как этот трафик возвращается обратно с 80 или 443 порта, то по отношению к пользователям порты будут src. Перепишите правило вот так "add action=accept chain=forward dst-address=192.168.239.0/24 src-port=80,443 protocol=tcp src-address=192.168.229.0/24"


Gror
Сообщения: 15
Зарегистрирован: 20 окт 2017, 16:16

Благодарю. Согласен UDP трафик тут совершенно не к месту. Просто скопировал часть конфига прихватив и это правило. Сделаю так ка вы советуете. Посмотрю. Позже отпишусь о результате.
Не могли бы вы подсказать мануал, статью, где доходчиво бы объяснялись тонкости настройки фаерволла? Может даже на этом форуме. Хотя понимаю, что практику ничем не заменить :-):


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

"Включаю нижнее заприщающее правило и связь пропадает
/ip firewall filter add chain=forward action=drop"

Чтобы дальше проваливалось нужно добавлять jump


Обладатель Mikrotik RB2011UAS-2HnD-IN
Ответить