Страница 1 из 1
Vlan, VPN, Firewall
Добавлено: 07 апр 2021, 21:44
artm.anatolevich
Добрый день. Есть два микротика.
На одном поднят OpenVPN сервер и на 5 порт создан VLAN.
Так же для OpenVPN сделаны маршруты, что бы можно было подключаться с подсетей одного роутера к подсетям второго роутера через OpenVPN.
Вопрос можно ли сделать так, что бы сеть за Vlan`om была доступа первому микротику, но сети Vlan не была доступна сеть за первым микротиком? Односторонняя связь что бы была.
Re: Vlan, VPN, Firewall
Добавлено: 07 апр 2021, 22:01
xvo
Само собой, firewall в помощь.
Re: Vlan, VPN, Firewall
Добавлено: 07 апр 2021, 22:52
artm.anatolevich
Само собой, но увы я пока не понял как правило правильно сделать.
Если делаю дроп с указанием откуда куда, то соответвенно дроп идёт в обе стороны. Если делаю дроп через исходящий интерфейс все то же самое.
А мне надо что бы к примеру к компу за роутером с вланом и опен впн, я могу подключится по RDP, а тот комп не мог меня даже пингануть. И вот не могу сообразить как правило заделать :(
Re: Vlan, VPN, Firewall
Добавлено: 07 апр 2021, 23:11
xvo
Повесьте первым правилом accept connection-state=established,related и тогда дроп "оттуда - сюда" будет работать как вам надо.
Re: Vlan, VPN, Firewall
Добавлено: 08 апр 2021, 00:04
artm.anatolevich
Большое спасибо, вроде работает как надо. Осталось найти инфу и почитать почему так :) что бы понимать что именно было этим правилом сделанно :)
Re: Vlan, VPN, Firewall
Добавлено: 08 апр 2021, 01:55
xvo
В нужную сторону работает, потому что нет запрещающего правила, которое остановило бы первый пакет, а ответный пакет принимается первым правилом ещё до запрещающего.
А если в противоположную сторону, то первый пакет просто попадает на запрещающее правило.