Jump to content
  • 0

Помогите с ACL


dexter
 Share

Question

Всем привет. Помогите разобраться с ACL.

Есть 2 сети 192.168.2.0/24 и удаленная 192.168.3.0/24. Между кинетиками проброшен IPIP/IPSec туннель 192.168.254.254/30 c security level private.

Туннель поднялся и работает(проверял через "no isolate-private").

Подскажите как мне прописать ACL.

Мне нужно прописать на каждом из  кинетиков 2 ACL на интерфейс "Home" вида:

Там где подсеть 192.168.2.0/24:

Первый ACL

(config)> access-list local-out

(config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24

(config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24

Второй ACL:

(config)> access-list remote-in

(config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24

(config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24

И привязать его к Home интерфейсу:

(config)> interface Home
(config-if)> ip access-group local-out out
(config-if)> ip access-group remote-in in

 Там где подсеть 192.168.3.0/24 зеркально:

Первый ACL

(config)> access-list local-out

(config-acl)>permit icmp 192.168.3.0/24 192.168.2.0/24

(config-acl)>permit ip 192.168.3.0/24 192.168.2.0/24

Второй ACL:

(config)> access-list remote-in

(config-acl)>permit icmp 192.168.2.0/24 192.168.3.0/24

(config-acl)>permit ip 192.168.2.0/24 192.168.3.0/24

И привязать его к Home интерфейсу:

(config)> interface Home
(config-if)> ip access-group local-out out
(config-if)> ip access-group remote-in in

Вчера я в веб интерфейсе правилами фаервола добился, что бы пинговалось, но сетевая шара не открылась. При "no isolate-private" открывается.

Edited by dexter
Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 0

Вы nat отключали? По умолчанию он же натит. А вы правила пишете для сетей за натом. Кроме того, даже если нат отключить, правила, по моему, вы не правильно пишете. На первом устройстве, к примеру, вы вешаете на интерфейс Home на out правило permit ip 192.168.2.0/24 192.168.3.0/24. Трафик с source ip из сети 192.168.2.0/24 для интерфейса Home - это in.

Я бы на вашем месте оставил на интерфейсе ipip на обоих роутерах security-level public, и вешал правила на интерфейс ipip на in, так будет легче для понимания, ведь из private в public все разрешено.

На устройстве с сетью 192.168.2.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.3.0/24 192.168.2.0/24 и permit ip 192.168.254.252/30 192.168.2.0/24 (Второе правило если включен nat). 

На устройстве с сетью 192.168.3.0/24, на интерфейс ipip с security-level public на in вешаем правила permit ip 192.168.2.0/24 192.168.3.0/24 и permit ip 192.168.254.252/30 192.168.3.0/24 (Второе правило если включен nat)

И все, этого должно быть достаточно для случая, когда на ipip стоит уровень public.

Edited by werldmgn
Link to comment
Share on other sites

  • 0

Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/

Хорошо, ход ваших мыслей понятен. Спасибо. Сегодня попробую.

А если туннельному интерфейсу оставить security level private?

От разработчиков может кто комментарий оставит или от пользователей.

Link to comment
Share on other sites

  • 0
29 минут назад, dexter сказал:

Нат не отключал, т.к. он не должен натить Home на IPIP. Home он натит на ISP/

Home он натит во все интерфейсы, в ipip в том числе. Можете убедиться изучив вывод show netfilter

29 минут назад, dexter сказал:

А если туннельному интерфейсу оставить security level private?

То понадобится правило, разрешающее forward между home и ipip, т.к. оба будут private. Т.е. кардинально ничего не измениться, просто придется больше правил вешать.

 

29 минут назад, dexter сказал:

От разработчиков может кто комментарий оставит или от пользователей.

Я поднимал ipip/ipsec и между кинетиками и между кинетиком и микротиком и вполне успешно. Но, конечно, можете подождать других пользователей и разработчиков.))

Edited by werldmgn
Link to comment
Share on other sites

  • 0

Блин, точно. Вспомнил, что в другом месте у меня четко прописано "ip static Home ISP", а где настраивал осталось по дефолту "ip nat Home".

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...