ipsec ikev2 запреть утечку трафика.

[urupubika]

Да, при работающем. Правило выключаю трафик идёт. Счетчик бежит.

[xvo]

А как вообще выглядит policy при успешном подключении?
Там просто пара адресов внешних?

[urupubika]

Код: Выделить всё

> ip ipsec policy pr
Flags: T - template, B - backup, 
X - disabled, D - dynamic, I - invalid, A - active, * - default 
 #      P TUN SRC-ADDRESS                                           
 0 T    ;;; IpsecVPN
              0.0.0.0/0                                             
 1   DA  P yes 10.99.7.27/32

[xvo]

Ясно-понятно.
Получается так, что трафик надо перехватывать уже после динамического src-nat правила, которое создает mode-config, иначе это будет влиять на существующий туннель.
Но цепочка src-nat по сути последняя, и в ней нет сброса.

Ок. Тогда идея такая - сделать копию политики но с action=discard и поместить ниже.

Возможно и NAT правило тогда надо тоже копию сделать будет, если оно присутствует только при поднятом туннеле.
Или не копию, а в другой адрес, и политику тогда тоже для другого адреса.

В общем куда-то в эту сторону думать.

[xvo]

Вот такая ещё идея на офф форуме:

https://forum.mikrotik.com/viewtopic.ph ... 33#p755857

[xvo]

В общем на офф форуме целая тема:

https://forum.mikrotik.com/viewtopic.php?t=169273

И там и как доделать вариант с маршрутом описано - отправлять в loopback-интерфейс (пустой бридж).
И ещё один вариант с nat'ом (просто не давать помеченным пакетам маскарадиться обычным образом).
Хотя я так и не понял, насколько варианты с NATом полностью исключают, что что-то не утечет в сторону провайдера, пусть и в таком виде, что провайдер это все равно сбросит.

[urupubika]

В общем как-то так

Код: Выделить всё

/interface bridge add name=vpn-blackhole protocol-mode=none
/ip route add gateway=vpn-blackhole routing-mark=vpn
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=vpn passthrough=yes src-address-list=IP_OUT dst-address-list=TO_VPN 

Спасибо за помощь.

[xvo]

И в таком виде оно работает, как хотелось?

Супер.
Как и многое другое, что в случае с маршрутизируемыми туннелями делается простым и очевидным образом, в случае с "голым" IPSec'ом, требует каких-то нестандартных подходов.
Полезная информация.

[urupubika]

И в таком виде оно работает, как хотелось?

Да, вроде все работает как надо. При активном пире трафик идёт в туннель, при неактивном дропается. "Голый" IPSec требует мыслить абстрактно, но не всегда это сходу получается. Более того, отсутствие явного интерфейса, порой ввергает в ступор.
Возник ещё один вопрос, дабы не плодить темы, спрошу здесь. У микротика есть свой dns сервер и запросы он шлёт через основного провайдера, а как их завернуть в туннель?

[xvo]

Во-первых, отключить провайдерские DNS, и вбить свои.
А во-вторых, тоже помечать этот трафик в mangle, только раз он исходит от самого роутера - то в цепочке output.