Добрый день, коллеги!
Столкнулся с проблемой. Микротик с ROS 7.10.1 с PPtP сервером
Локальная сеть 192.168.0.0/24
VPN сеть 192.168.10.0/24 local адрес 192.168.10.1. Клиентам отдается 192.168.10.2-192.168.10.10
Необходимо ограничить доступ клиентов PPtP ко внутренней сети, кроме одного сервера 192.168.0.2
В фаерволе стандартный набор правил. Клиенты к сети подключаются, но им доступны все ресурсы сети. И они могут его и друг друга пинговать.
Добавил в фаервол запрещающее правило:
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.2/32 src-address=192.168.10.0/24 - запрещаю доступ VPN клиентов к внутренней сети кроме 192.168.0.2
Но это правило не работает, как был полный доступ к локальной сети, так и остался. Что я упускаю?
Или теперь придется метить VPN трафик через mangle и через роут рулз дропать?
Спасибо!
Избирательная блокировка внутренних ресурсов сети для клиентов VPN
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ищите, что выше этого правила тот же трафик разрешает.
Telegram: @thexvo
-
isp55
- Сообщения: 28
- Зарегистрирован: 17 сен 2021, 20:44
Не понимаю... Изменил цепочку с forward на input и всё стало блокироваться
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Input - это то, предназначается самому роутеру.
Так что странное что-то у вас происходит.
Так что странное что-то у вас происходит.
Telegram: @thexvo
-
isp55
- Сообщения: 28
- Зарегистрирован: 17 сен 2021, 20:44
Принцип работы цепочек я понимаю. Я не понимаю почему при изменение цепочки с forward на input правила начинают работать. Для дропа трафика из одной сети в другую везде используется forward.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Ну так приложите весь firewall, вместе с NAT'ом.
И посмотрим.
И посмотрим.
Telegram: @thexvo
-
isp55
- Сообщения: 28
- Зарегистрирован: 17 сен 2021, 20:44
/ip firewall address-list
add address=192.168.10.0/24 list=VPNs
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward dst-address=!192.168.0.2 src-address-list=VPNs
add action=accept chain=input comment=PPtP dst-port=1723 in-interface=pppoe_internet protocol=tcp
add action=accept chain=input comment=WinBox dst-port=8888 in-interface=pppoe_internet protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=pppoe_internet
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe_internet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=pppoe_internet
Подключаюсь например с Windows 10. Пинги как были до (например) 192.168.0.1, так и до соседей по VPN есть пинг по 192.168.10.2(3)(4)и т.д.
add address=192.168.10.0/24 list=VPNs
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward dst-address=!192.168.0.2 src-address-list=VPNs
add action=accept chain=input comment=PPtP dst-port=1723 in-interface=pppoe_internet protocol=tcp
add action=accept chain=input comment=WinBox dst-port=8888 in-interface=pppoe_internet protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=pppoe_internet
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe_internet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=pppoe_internet
Подключаюсь например с Windows 10. Пинги как были до (например) 192.168.0.1, так и до соседей по VPN есть пинг по 192.168.10.2(3)(4)и т.д.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Счетчик на этом правиле срабатывает?
Если запустить пинг, найти его в списке соединений - посмотреть какие там адреса?
Если запустить пинг, найти его в списке соединений - посмотреть какие там адреса?
Telegram: @thexvo
-
isp55
- Сообщения: 28
- Зарегистрирован: 17 сен 2021, 20:44
Сделал специально дроп 192.168.0.1 (это роутер сам)
Пинги идут, счетчик по 0.
Пинги идут, счетчик по 0.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Потрудитесь приложить картинку напрямую к посту.
Telegram: @thexvo