Jump to content
  • 0

Две сети через L2TP и vlan


pal
 Share

Question

Здравствуйте. 

Прошу помощи - не могу настроить так, чтобы пакеты из сети 192.168.0.0/24 шли через l2tp туннель в сеть 192.168.11.0/24 

Прикрепил схему,  с данными прописанными статическими маршрутами трафик ходит между кинетиками ( сети 192.168.10.0/24  и 192.168.0.0/24). Также  сеть работает из 192.168.11.0/24 в 192.168.0.0/24, а вот в обратном направлении нет.

В межсетвых экранах  обоих кинетиков прописал разрешение для IP "всё для всех" . 

Буду рад любым идеям ))) 

 

схема.png

Edited by pal
Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 0
7 часов назад, werldmgn сказал:

 

Спасибо. Мне это помогло.

Если возможно, можете на пальцах объяснить какова суть работы ACL на out ?  

т.е. я на выход Bridge2 ( где vlan110) разрешаю трафик с 172.17.1.0 в сеть 192.168.11.0 , не могу понять логику.

Link to comment
Share on other sites

  • 0
6 часов назад, pal сказал:

Спасибо. Мне это помогло.

Если возможно, можете на пальцах объяснить какова суть работы ACL на out ?  

т.е. я на выход Bridge2 ( где vlan110) разрешаю трафик с 172.17.1.0 в сеть 192.168.11.0 , не могу понять логику.

TL; DR: Привязывание acl к интерфейсу на out, означает, что правила будут применяться для трафика, выходным интерфейсом (out-interface) которого будет этот интерфейс (к которому привязали acl).

Под капотом keenetic os - ядро linux, а значит и netfilter. Взаимодействовать с ним напрямую, с помощью например iptables, мы не можем (без opkg). Нам доступен некий уровень абстракции в виде наборов правил, которые мы сами конфигурируем и запихиваем в access-list'ы, которые, в свою очередь, можем привязывать к интерфейсам на in или out, т.е. на вход или на выход. Из коробки, keenetic os идет с набором предустановленных правил. Есть статья в базе знаний, которая должна пролить свет как эти правила работают, какие направления трафика, между интерфейсами с разным security-level, разрешены, а какие запрещены. 

В конкретном вашем случае, клиенты l2tp сервера имеют доступ в сегмент Home, благодаря настройке "Доступ к сети" в параметрах l2tp-серврера. То есть, наверное, как-то так:

image.png.fe5188d31aefd4264742f872652bfade.png

Доступ в другие сегменты впн-клиентам не разрешен.

Работая напрямую с ipetables, нам бы понадобилось добавить правило в цепочку Forward разрешающее трафик  с 172.17.1.0 в 192.168.11.0, входящим интерфейсом было бы что-то типа l2tp+, а исходящим интерфейсом bridge2. Но, используя инструменты доступные в keenetic os, мы в таком виде правило сделать не можем.Мы можем привязывать acl с правилами к интерфейсу на in - это будет аналогом -i (--in-interface) в iptables. И мы можем привязывать acl к интерфейсу на out - это будет аналогом -o (--out-interface).

В вашем конкретном случае можно было бы правила привязать на in к интерфейсу l2tp - обозначающему клиента впн-сервера, но в keenetic os привязывать acl к таким интерфейсам не дают. Собственно, остается только привязать нужные правила на out на интерфейс bridge2.  Таким образом, мы соорудили что-то типа вот такого в синтаксисе iptables:

-A FORWARD -o $bridge2 -s 172.17.1.0/24 -d 192.168.11.0/24 -j ACCEPT

 

Edited by werldmgn
  • Thanks 2
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...