Страница 1 из 2
ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 08:03
urupubika
Приветствую. Настроен ipsec ikev2 туннель, в адрес листе указаны сайты доступ к которым должен быть через туннель. Все работает нормально, трафик идет, но если туннель падает/зависает, то трафик идет напрямую через провайдера. Как этого избежать? Нужно чтобы доступ к ресурсам из адрес листа был только через тунель, а напрямую через провайдера блокировался.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 10:07
xvo
Мне видится, что проще всего в mangle заворачивать трафик на эти хосты в отдельную таблицу, а в неё пихнуть дефолтный маршрут типа blackhole.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 13:02
urupubika
В mangle есть правило
Код: Выделить всё
chain=prerouting action=mark-connection new-connection-mark=IPSecVPN
passthrough=no src-address-list=IP_OUT dst-address-list=TO_VPN
log=no log-prefix=""
Трафик с ip из листа IP_OUT на ip из листа TO_VPN заварачивается в туннель. Но если туннель упал/завис или просто отключить пира в ipsec -> peer, то трафик не блокируется, а идёт по дефолту через провайдера, что ни есть хорошо. Какое правило добавить чтобы при зависании/отключении туннеля трафик не шёл через провайдера.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 13:34
xvo
Можно продублировать это правило, но с action=mark-routing.
Дальше, как я сказал - в таблицу, куда оно будет отравлять дефолтный маршрут в blackhole.
А на этом правиле passthrough=yes сделать.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 14:12
urupubika
Код: Выделить всё
chain=prerouting action=mark-connection new-connection-mark=IPSecVPN
passthrough=yes src-address-list=IP_OUT dst-address-list=TO_VPN
log=no log-prefix=""
chain=prerouting action=mark-routing new-routing-mark=vpn
passthrough=no src-address-list=IP_OUT dst-address-list=TO_VPN
connection-mark=IPSecVPN log=no log-prefix=""
distance=2 routing-mark=vpn type=blackhole
Трафик перестал идти через туннель
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 16:23
xvo
Ок, кажется понимаю в чем проблема.
А если условие во второе правило добавить ipsec-policy=out,none?
Но вообще, если сработает, тогда логичнее просто в filter в цепочке forward сбрасывать c теми же условиями (принадлежность по двум спискам и отсутствие ipsec-policy), чем что-то мудрить с mangle и отдельной таблицей.
Еще вариант, попробовать заменить blackhole на какой-то нормальный маршрут, который будет активным, но при этом по факту не настоящим.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 17:12
urupubika
А если условие во второе правило добавить ipsec-policy=out,none?
Код: Выделить всё
Couldn't change Mangle Rule <> - ipsec-policy in policy not possible in prerouting and local-in chains (6)
Попробовал in,none. Трафик через vpn не идёт.
Но вообще, если сработает, тогда логичнее просто в filter в цепочке forward сбрасывать c теми же условиями (принадлежность по двум спискам и отсутствие ipsec-policy), чем что-то мудрить с mangle и отдельной таблицей.
В forward ipsec-policy=out,none добавляется, но результат тот же. Трафик через vpn не идёт.
Еще вариант, попробовать заменить blackhole на какой-то нормальный маршрут, который будет активным, но при этом по факту не настоящим.
Результат аналогичный предыдущим.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 17:18
xvo
urupubika писал(а): ↑26 сен 2023, 17:12
В forward ipsec-policy=out,none добавляется, но результат тот же. Трафик через vpn не идёт.
Это сейчас речь mangle forward?
А если попробовать делать drop в filter forward:
Код: Выделить всё
/ip firewall filter add chain=forward action=drop src-address-list=IP_OUT dst-address-list=TO_VPN ipsec-policy=out,none
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 17:24
urupubika
Это сейчас речь mangle forward?
filter forward
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 17:26
xvo
И это правило срабатывает даже при работающем туннеле?
Счетчик растет?