Не работают правила firewall с активным VPN
Добавлено: 16 ноя 2020, 06:01
Всем привет!
Дано: Mikrotik RB3011UiAS прошивка v6.47.7 (stable) + Wireguard-сервер на DigitalOcean.
Задача:
1. Настроить firewall на микротике таким образом, чтобы пользователи без активного VPN не имели доступ в интернет средствами браузеров.
2. Закрыть доступ, силами микротика, к некоторым стриминговым платформам(twitch, youtube, rutube).
Реальность: Доступ в интернет закрыл простым правилом:
То есть, у всех кто сидит без VPN, будут дропнуты попытки захода на сайты по tcp.
Далее. Из-за того, что VPN-сервер находится не на микротике, все правила firewall не распространяются на клиентские машины с активным VPN. По идее, если бы не было VPN, можно было бы ограничиться к примеру правилами типа:
но как вы уже поняли, эти правила не работают.
Вопрос: как заставить VPN следовать правилам firewall на микротике? Может быть эту задачу можно решить другими способами? Буду рад любой помощи
Дано: Mikrotik RB3011UiAS прошивка v6.47.7 (stable) + Wireguard-сервер на DigitalOcean.
Задача:
1. Настроить firewall на микротике таким образом, чтобы пользователи без активного VPN не имели доступ в интернет средствами браузеров.
2. Закрыть доступ, силами микротика, к некоторым стриминговым платформам(twitch, youtube, rutube).
Реальность: Доступ в интернет закрыл простым правилом:
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward protocol=tcp reject-with=tcp-reset
Далее. Из-за того, что VPN-сервер находится не на микротике, все правила firewall не распространяются на клиентские машины с активным VPN. По идее, если бы не было VPN, можно было бы ограничиться к примеру правилами типа:
Код: Выделить всё
/ip firewall filter
add action=reject chain=forward content=youtube.com protocol=tcp \
reject-with=tcp-reset
Вопрос: как заставить VPN следовать правилам firewall на микротике? Может быть эту задачу можно решить другими способами? Буду рад любой помощи