Доброй ночи! Народ честно нет времени поиском воспользоваться, так что кому не тяжело ткните носом.
Ситуация:
Два микротика, между ними L2tp тонель.
Офис X сеть (192.168.0.0/24) IP тонеля (172.0.0.1)
Офис Y сеть (192.168.1.0/24) IP тонеля (172.0.0.2)
Между L2tp тонель (172.0.0.0/24)
Устанавливается соединение L2tp, картина такая по IP тонеля все пингуется, по IP сети нет. На микротике офиса Y добавляю маршрут 192.168.0.0/24 gateway OffceX(Имя L2tp клиента), пингую с микротика 192.168.0.3 все ок, пингую с любого компа за этим микротиком тот же IP пинга нет. Далее на микротике офиса X добавляю маршрут 192.168.1.0/24 gateway OffceY(Имя L2tp клиента) и тут пинги идут как надо в обе стороны казалось бы все хорошо. Но тут задача стоит не тривиальная мне надо чтобы офис X не видел подсеть офиса Y. А в обратную сторону все было нормально.
Маршрутизация
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Рискну предположить, что никак. Если дропать все в одну сторону, то ответных пакетов на ваши запросы не прилетит... Разве что создавать address-list на основе dst-address, чтобы можно было в течении некоторого времени (пары секунд) пропускать пакеты обратно от конкретного адреса.
Но проверять эту схему самому лень.
Возможно не прав...
Но проверять эту схему самому лень.
Возможно не прав...
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
В фаерволе создаете дроп на новые соединения из X в Y
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 417
- Зарегистрирован: 26 сен 2012, 16:17
- Контактная информация:
Ну вот. Про connection state я как то и не подуамал. Кажется есть повод переделать парочку собственных правил.