Две сети через L2TP и vlan

[pal]

Здравствуйте. 

Прошу помощи - не могу настроить так, чтобы пакеты из сети 192.168.0.0/24 шли через l2tp туннель в сеть 192.168.11.0/24 

Прикрепил схему,  с данными прописанными статическими маршрутами трафик ходит между кинетиками ( сети 192.168.10.0/24  и 192.168.0.0/24). Также  сеть работает из 192.168.11.0/24 в 192.168.0.0/24, а вот в обратном направлении нет.

В межсетвых экранах  обоих кинетиков прописал разрешение для IP "всё для всех" . 

Буду рад любым идеям ))) 

 

Edited August 23, 2022 by pal

[Werld]

 

[pal]

7 часов назад, werldmgn сказал:

 

Спасибо. Мне это помогло.

Если возможно, можете на пальцах объяснить какова суть работы ACL на out ?  

т.е. я на выход Bridge2 ( где vlan110) разрешаю трафик с 172.17.1.0 в сеть 192.168.11.0 , не могу понять логику.

[Werld]

6 часов назад, pal сказал:

Спасибо. Мне это помогло.

Если возможно, можете на пальцах объяснить какова суть работы ACL на out ?  

т.е. я на выход Bridge2 ( где vlan110) разрешаю трафик с 172.17.1.0 в сеть 192.168.11.0 , не могу понять логику.

TL; DR: Привязывание acl к интерфейсу на out, означает, что правила будут применяться для трафика, выходным интерфейсом (out-interface) которого будет этот интерфейс (к которому привязали acl).

Под капотом keenetic os - ядро linux, а значит и netfilter. Взаимодействовать с ним напрямую, с помощью например iptables, мы не можем (без opkg). Нам доступен некий уровень абстракции в виде наборов правил, которые мы сами конфигурируем и запихиваем в access-list'ы, которые, в свою очередь, можем привязывать к интерфейсам на in или out, т.е. на вход или на выход. Из коробки, keenetic os идет с набором предустановленных правил. Есть статья в базе знаний, которая должна пролить свет как эти правила работают, какие направления трафика, между интерфейсами с разным security-level, разрешены, а какие запрещены. 

В конкретном вашем случае, клиенты l2tp сервера имеют доступ в сегмент Home, благодаря настройке "Доступ к сети" в параметрах l2tp-серврера. То есть, наверное, как-то так:

Доступ в другие сегменты впн-клиентам не разрешен.

Работая напрямую с ipetables, нам бы понадобилось добавить правило в цепочку Forward разрешающее трафик  с 172.17.1.0 в 192.168.11.0, входящим интерфейсом было бы что-то типа l2tp+, а исходящим интерфейсом bridge2. Но, используя инструменты доступные в keenetic os, мы в таком виде правило сделать не можем.Мы можем привязывать acl с правилами к интерфейсу на in - это будет аналогом -i (--in-interface) в iptables. И мы можем привязывать acl к интерфейсу на out - это будет аналогом -o (--out-interface).

В вашем конкретном случае можно было бы правила привязать на in к интерфейсу l2tp - обозначающему клиента впн-сервера, но в keenetic os привязывать acl к таким интерфейсам не дают. Собственно, остается только привязать нужные правила на out на интерфейс bridge2.  Таким образом, мы соорудили что-то типа вот такого в синтаксисе iptables:

-A FORWARD -o $bridge2 -s 172.17.1.0/24 -d 192.168.11.0/24 -j ACCEPT

 

Edited August 24, 2022 by werldmgn

[pal]

Еще раз Спасибо за подробный ответ !!!