Страница 1 из 2
Маршрутизация и запрет подсети
Добавлено: 03 дек 2021, 21:34
evgeniy.milovanov
Всем доброго времени.
Подскажите, как реализовать следующие:
Есть две сети 192.168.1.0/24 и 192.168.2.0/24 все обьеденино VPNом. ...1.0 это сеть из которой управляется все удаленное в vpn.
Как запретить пользователем VPN, это сеть ...2.0 видеть сеть 1.0. Правило форвардинга запрещает траффик в обе стороны. Запретить входящий из сети 2.0 не выходит, не реагирует на это правило.
В результате нужно получить доступ к всей сеть 2.0 из сети 1.0, а в обратную сторону скрыть все что есть, хосты не должны пинговатся даже. Желательно без маркировки траффика, правилами фаервола, это реально?
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 13:08
Inner
Вполне возможно. Но через
/ip route rule будет ловчее.
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 13:35
gmx
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 14:51
podarok66
Оно-то может и ловчее, только гибкость теряется напрочь. Всё же блокировку лучше проводить в фаерволе....
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 15:04
evgeniy.milovanov
Не подходит, каждый хост нужно отдельно указывать, 10 сетей, которые нужно мониторить, в них например по15 хостов, честно, лень это все отдельным правилом описывать...:)
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 15:11
evgeniy.milovanov
Не подходит, там дискуссия о VLANах и дробление сетей через адресс лист, я тот топик до создания своего пролистал, раве что пропустил нужный ответ.. Опять же IP нужных хостов могут менятся, все это каждый раз менять вручную, такая себе затея. Правило Forward блокурует траффик в обе стороны. Мне нужно что бы хосты из сети VPN не видели мою сеть, но при этом у меня должен быть доступ ко всему диапазону второй сети.
Мой вопрос сводится к тому, что бы правилами фаервола запретить доступ к моей сети из сетей VPN.
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 15:17
Inner
Так может тогда и ответ сводится к
Код: Выделить всё
add action=drop chain=forward dst-address-list=!VPN src-address-list=VPN
Или схема всё же сложнее?
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 20:03
evgeniy.milovanov
Inner писал(а): ↑04 дек 2021, 15:17
Так может тогда и ответ сводится к
Код: Выделить всё
add action=drop chain=forward dst-address-list=!VPN src-address-list=VPN
Или схема всё же сложнее?
При этом изолируется и входящий и исходящий траффик, я не вижу сети VPN
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 20:46
Inner
Так Поставьте выше правило, которое будет позволять определенным хостам видеть сеть VPN. Или настройте нат в VPN а из VPN без NAT (masquerade). Что-то в роде:
Код: Выделить всё
add action=masquerade chain=srcnat out-interface=eoip-tunnel-VPN
Или используйте всё же vlan.
Просто, если Вы отправляете пакет, то должны получить ответ на него. И если Firewall не пропустит запрос, то и отвечать будет не на что. Как и если он не пропустит ответ, то и запрашивать смысла не будет. Forward это обоюдно острый меч. Потому Вы либо маскируйте свои запросы под 1 ip, либо светите всю сеть в обоих направлениях, либо используйте vlan, либо поставьте выше правило, какие адреса могут смотреть в vpn и из него. Или даже используйте всё вместе, в зависимости от специфики настройки, которую Вы нам не показали.
Re: Маршрутизация и запрет подсети
Добавлено: 04 дек 2021, 21:06
evgeniy.milovanov
Inner писал(а): ↑04 дек 2021, 20:46
Так Поставьте выше правило, которое будет позволять определенным хостам видеть сеть VPN. Или настройте нат в VPN а из VPN без NAT (masquerade). Что-то в роде:
Код: Выделить всё
add action=masquerade chain=srcnat out-interface=eoip-tunnel-VPN
Или используйте всё же vlan.
Просто, если Вы отправляете пакет, то должны получить ответ на него. И если Firewall не пропустит запрос, то и отвечать будет не на что. Как и если он не пропустит ответ, то и запрашивать смысла не будет. Forward это обоюдно острый меч. Потому Вы либо маскируйте свои запросы под 1 ip, либо светите всю сеть в обоих направлениях, либо используйте vlan, либо поставьте выше правило, какие адреса могут смотреть в vpn и из него. Или даже используйте всё вместе, в зависимости от специфики настройки, которую Вы нам не показали.
Я понимаю как это работает, но все же а вдруг люди у которых больше опыта подскажут что-то интересное. Думал, может в дебрях routerOS есть такая фича) А настройки нет никакой, мне нечего показать, все прозрачное в обе стороны. Вариант разрешить определенным хостам и всем запретить пока что самый реальный. VLAN тоже не совсем то, мне их придется сгонять на сервера, тоесть, все равно в обе стороны VLAN будут видны друг другу... Ну что изолировать только одну сеть не получится я уже понял)