Страница 2 из 2
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 17:30
urupubika
Да, при работающем. Правило выключаю трафик идёт. Счетчик бежит.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 17:38
xvo
А как вообще выглядит policy при успешном подключении?
Там просто пара адресов внешних?
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 17:46
urupubika
Код: Выделить всё
> ip ipsec policy pr
Flags: T - template, B - backup,
X - disabled, D - dynamic, I - invalid, A - active, * - default
# P TUN SRC-ADDRESS
0 T ;;; IpsecVPN
0.0.0.0/0
1 DA P yes 10.99.7.27/32
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 18:39
xvo
Ясно-понятно.
Получается так, что трафик надо перехватывать уже после динамического src-nat правила, которое создает mode-config, иначе это будет влиять на существующий туннель.
Но цепочка src-nat по сути последняя, и в ней нет сброса.
Ок. Тогда идея такая - сделать копию политики но с action=discard и поместить ниже.
Возможно и NAT правило тогда надо тоже копию сделать будет, если оно присутствует только при поднятом туннеле.
Или не копию, а в другой адрес, и политику тогда тоже для другого адреса.
В общем куда-то в эту сторону думать.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 18:50
xvo
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 26 сен 2023, 19:03
xvo
В общем на офф форуме целая тема:
https://forum.mikrotik.com/viewtopic.php?t=169273
И там и как доделать вариант с маршрутом описано - отправлять в loopback-интерфейс (пустой бридж).
И ещё один вариант с nat'ом (просто не давать помеченным пакетам маскарадиться обычным образом).
Хотя я так и не понял, насколько варианты с NATом полностью исключают, что что-то не утечет в сторону провайдера, пусть и в таком виде, что провайдер это все равно сбросит.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 27 сен 2023, 18:14
urupubika
В общем как-то так
Код: Выделить всё
/interface bridge add name=vpn-blackhole protocol-mode=none
/ip route add gateway=vpn-blackhole routing-mark=vpn
/ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark=vpn passthrough=yes src-address-list=IP_OUT dst-address-list=TO_VPN
Спасибо за помощь.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 27 сен 2023, 18:28
xvo
И в таком виде оно работает, как хотелось?
Супер.
Как и многое другое, что в случае с маршрутизируемыми туннелями делается простым и очевидным образом, в случае с "голым" IPSec'ом, требует каких-то нестандартных подходов.
Полезная информация.
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 29 сен 2023, 06:32
urupubika
xvo писал(а): ↑27 сен 2023, 18:28
И в таком виде оно работает, как хотелось?
Да, вроде все работает как надо. При активном пире трафик идёт в туннель, при неактивном дропается. "Голый" IPSec требует мыслить абстрактно, но не всегда это сходу получается. Более того, отсутствие явного интерфейса, порой ввергает в ступор.
Возник ещё один вопрос, дабы не плодить темы, спрошу здесь. У микротика есть свой dns сервер и запросы он шлёт через основного провайдера, а как их завернуть в туннель?
Re: ipsec ikev2 запреть утечку трафика.
Добавлено: 29 сен 2023, 07:47
xvo
Во-первых, отключить провайдерские DNS, и вбить свои.
А во-вторых, тоже помечать этот трафик в mangle, только раз он исходит от самого роутера - то в цепочке output.