Межсетевой экран и VPN

[totoshka]

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

[Le ecureuil]

В 03.10.2018 в 16:14, totoshka сказал:

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

Пока firewall для VPN-клиентов не работает.

[totoshka]

О как!!!! Неожиданно.....

А когда появится?

[jappleseed89]

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

[totoshka]

Да я собственно и купил то его как альтернативу асусу. 

Вот сижу думаю чего делать. 

[jappleseed89]

И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.

[jappleseed89]

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

[Le ecureuil]

58 минут назад, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

[totoshka]

В 10.10.2018 в 16:58, Le ecureuil сказал:

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

[Le ecureuil]

В 11.10.2018 в 20:22, totoshka сказал:

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

А вы там с направлением не намудрили?

Приложите-ка self-test.

[Андрэ Палыч]

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

[Le ecureuil]

В 10.10.2018 в 13:20, jappleseed89 сказал:

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Секунду. Если вы про site-to-site IPsec, то там firewall работает. Ответ касается только VPN-серверов на базе PPP.

[Le ecureuil]

В 10.10.2018 в 16:00, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Да, так можно.

[Le ecureuil]

В 24.01.2020 в 17:13, Андрэ Палыч сказал:

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

[Андрэ Палыч]

46 минут назад, Le ecureuil сказал:

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

VPN-сервер L2TP/IPsec

[Le ecureuil]

3 часа назад, Андрэ Палыч сказал:

VPN-сервер L2TP/IPsec

Все точно также, как и на 2.15 - пока это не реализовано.

[CBLoner]

Для IPsec site-to-site в последней стабильной сейчас будет работать?

[Le ecureuil]

11 час назад, CBLoner сказал:

Для IPsec site-to-site в последней стабильной сейчас будет работать?

Да, почему нет?

[jappleseed89]

Создал WireGuard туннель между двумя роутерами Keenetic.

Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей?

Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.

[Le ecureuil]

Сделайте туннели не-public, и пропишите явный роутинг.

[Ranger]

@Le ecureuil, проконсультируйте, пожалуйста.

Есть два keenetic, соединенные между собой IPIP+IPSec-туннелем. Чтобы соединить домашние сегменты этих двух роутеров настроена маршрутизация (в домашний сегмент "другого" keenetic слать трафик через "мой" интерфейс IPIP0) и в межсетевые экраны домашних сегментов добавлены правила (пропускать протокол IP от адресов "моей" домашней сети в направлении "другой" домашней сети). Это часть простая, все отлично работает.

На первом из keenetic подняты сервера VPN IPsec  XAuth и VPN IKEv2. На втором keenetic настроена маршрутизация (в подсети этих VPN ходить через "мой" интерфейс IPIP0) и в межсетевой экран домашнего сегмента добавлено правило (пропускать протокол IP от адресов "моей" домашней сети в направлении подсетей этих VPN). Эта часть тоже простая, из домашней сети второго keenetic пинг на клиентов VPN идет.

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Подскажите, как это правильно надо было сделать?

[Werld]

7 часов назад, Ranger сказал:

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Извините, а что вас смущает, работает же? Сделано верно. Более того, имхо в рамках возможностей прошивки, такой способ единственный в данной ситуации.

[SySOPik]

Вклинюсь в тему с вопросом. Есть небольшая сеть  из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

[Le ecureuil]

7 минут назад, SySOPik сказал:

Вклинюсь в тему с вопросом. Есть небольшая сеть  из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

Если кратко, то да, только аккуратнее с in/out направлением.

[SySOPik]

Вот потому и интересно, если правило, запретить исходящие tcp/udp запросы на 10.0.0.1/24 повесить на Wan, заблокируется только исходящие с клиента в главную подсеть? С главного можно будет полноценно работать с подсетью клиента (пинг, доступ к ПК, принтерам, видеонаблюдению и т.д.) ?  И наводящий вопрос, если на клиенте 2 Wan (Wan+ Wisp) то правила вешать на 2 интерфейса?

Edited May 26, 2021 by SySOPik

[SySOPik]

Привет всем. Может кто подскажет вариант решения. Есть головной роутер 10.1.1.1/24  и много клиентских (10.1.2.1/24 и т.д.), поднят IP/Sec. Хочу фильтровать запросы: от головного в конечным нужно доступ, с конечных закрыть доступ в сеть 10.1.1.1/24.

Легче всего на Wan головного, в брандмауэре, запретить TCP/IP доступ с подсетей 10.1.хх.хх на сеть 10.1.1.1/24, но тогда пропадет и сам VPN и коннект. Можно было б запретить доступ с 10.1.хх.хх на адреса 10.1.1.2-254, но в файре нет выбора по диапазону айпишек. Какие еще идеи?

Edited October 5, 2021 by SySOPik

[stefbarinov]

Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24

[SySOPik]

25 минут назад, stefbarinov сказал:

Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24

А разве запрещающие не имеют приоритет над разрешающими?

[MDP]

9 минут назад, SySOPik сказал:

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают по порядку...приоритетнее правило то, которое находится выше

[stefbarinov]

Цитата

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают сверху вниз!

Edited October 5, 2021 by stefbarinov