Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Две сети через L2TP и vlan

pal

Asked by pal,

 Share

Question

pal Newbie

pal

Posted
Posted (edited)

Здравствуйте. 

Прошу помощи - не могу настроить так, чтобы пакеты из сети 192.168.0.0/24 шли через l2tp туннель в сеть 192.168.11.0/24 

Прикрепил схему,  с данными прописанными статическими маршрутами трафик ходит между кинетиками ( сети 192.168.10.0/24  и 192.168.0.0/24). Также  сеть работает из 192.168.11.0/24 в 192.168.0.0/24, а вот в обратном направлении нет.

В межсетвых экранах  обоих кинетиков прописал разрешение для IP "всё для всех" . 

Буду рад любым идеям ))) 

 

схема.png

Edited by pal

4 answers to this question

Recommended Posts

  • 0
pal Newbie

pal

Posted
  • Author
Posted
7 часов назад, werldmgn сказал:

 

Спасибо. Мне это помогло.

Если возможно, можете на пальцах объяснить какова суть работы ACL на out ?  

т.е. я на выход Bridge2 ( где vlan110) разрешаю трафик с 172.17.1.0 в сеть 192.168.11.0 , не могу понять логику.

  • 0
Werld Honored Flooder

Werld

Posted
Posted (edited)
6 часов назад, pal сказал:

Спасибо. Мне это помогло.

Если возможно, можете на пальцах объяснить какова суть работы ACL на out ?  

т.е. я на выход Bridge2 ( где vlan110) разрешаю трафик с 172.17.1.0 в сеть 192.168.11.0 , не могу понять логику.

TL; DR: Привязывание acl к интерфейсу на out, означает, что правила будут применяться для трафика, выходным интерфейсом (out-interface) которого будет этот интерфейс (к которому привязали acl).

Под капотом keenetic os - ядро linux, а значит и netfilter. Взаимодействовать с ним напрямую, с помощью например iptables, мы не можем (без opkg). Нам доступен некий уровень абстракции в виде наборов правил, которые мы сами конфигурируем и запихиваем в access-list'ы, которые, в свою очередь, можем привязывать к интерфейсам на in или out, т.е. на вход или на выход. Из коробки, keenetic os идет с набором предустановленных правил. Есть статья в базе знаний, которая должна пролить свет как эти правила работают, какие направления трафика, между интерфейсами с разным security-level, разрешены, а какие запрещены. 

В конкретном вашем случае, клиенты l2tp сервера имеют доступ в сегмент Home, благодаря настройке "Доступ к сети" в параметрах l2tp-серврера. То есть, наверное, как-то так:

image.png.fe5188d31aefd4264742f872652bfade.png

Доступ в другие сегменты впн-клиентам не разрешен.

Работая напрямую с ipetables, нам бы понадобилось добавить правило в цепочку Forward разрешающее трафик  с 172.17.1.0 в 192.168.11.0, входящим интерфейсом было бы что-то типа l2tp+, а исходящим интерфейсом bridge2. Но, используя инструменты доступные в keenetic os, мы в таком виде правило сделать не можем.Мы можем привязывать acl с правилами к интерфейсу на in - это будет аналогом -i (--in-interface) в iptables. И мы можем привязывать acl к интерфейсу на out - это будет аналогом -o (--out-interface).

В вашем конкретном случае можно было бы правила привязать на in к интерфейсу l2tp - обозначающему клиента впн-сервера, но в keenetic os привязывать acl к таким интерфейсам не дают. Собственно, остается только привязать нужные правила на out на интерфейс bridge2.  Таким образом, мы соорудили что-то типа вот такого в синтаксисе iptables:

-A FORWARD -o $bridge2 -s 172.17.1.0/24 -d 192.168.11.0/24 -j ACCEPT

 

Edited by werldmgn
  • Thanks 2

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...