Страница 1 из 2
Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 09 июл 2023, 10:08
isp55
Добрый день, коллеги!
Столкнулся с проблемой. Микротик с ROS 7.10.1 с PPtP сервером
Локальная сеть 192.168.0.0/24
VPN сеть 192.168.10.0/24 local адрес 192.168.10.1. Клиентам отдается 192.168.10.2-192.168.10.10
Необходимо ограничить доступ клиентов PPtP ко внутренней сети, кроме одного сервера 192.168.0.2
В фаерволе стандартный набор правил. Клиенты к сети подключаются, но им доступны все ресурсы сети. И они могут его и друг друга пинговать.
Добавил в фаервол запрещающее правило:
/ip firewall filter
add action=drop chain=forward dst-address=!192.168.0.2/32 src-address=192.168.10.0/24 - запрещаю доступ VPN клиентов к внутренней сети кроме 192.168.0.2
Но это правило не работает, как был полный доступ к локальной сети, так и остался. Что я упускаю?
Или теперь придется метить VPN трафик через mangle и через роут рулз дропать?
Спасибо!
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 09 июл 2023, 16:33
xvo
Ищите, что выше этого правила тот же трафик разрешает.
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 09 июл 2023, 17:21
isp55
Не понимаю... Изменил цепочку с forward на input и всё стало блокироваться
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 09 июл 2023, 21:18
xvo
Input - это то, предназначается самому роутеру.
Так что странное что-то у вас происходит.
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 10 июл 2023, 09:43
isp55
Принцип работы цепочек я понимаю. Я не понимаю почему при изменение цепочки с forward на input правила начинают работать. Для дропа трафика из одной сети в другую везде используется forward.
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 10 июл 2023, 10:55
xvo
Ну так приложите весь firewall, вместе с NAT'ом.
И посмотрим.
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 10 июл 2023, 13:29
isp55
/ip firewall address-list
add address=192.168.10.0/24 list=VPNs
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward dst-address=!192.168.0.2 src-address-list=VPNs
add action=accept chain=input comment=PPtP dst-port=1723 in-interface=pppoe_internet protocol=tcp
add action=accept chain=input comment=WinBox dst-port=8888 in-interface=pppoe_internet protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface=pppoe_internet
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=pppoe_internet
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface=pppoe_internet
Подключаюсь например с Windows 10. Пинги как были до (например) 192.168.0.1, так и до соседей по VPN есть пинг по 192.168.10.2(3)(4)и т.д.
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 10 июл 2023, 14:30
xvo
Счетчик на этом правиле срабатывает?
Если запустить пинг, найти его в списке соединений - посмотреть какие там адреса?
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 10 июл 2023, 16:08
isp55
Сделал специально дроп 192.168.0.1 (это роутер сам)
Пинги идут, счетчик по 0.
Re: Избирательная блокировка внутренних ресурсов сети для клиентов VPN
Добавлено: 10 июл 2023, 17:04
xvo
Потрудитесь приложить картинку напрямую к посту.
