Jump to content

Межсетевой экран и VPN


Recommended Posts

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

Link to comment
Share on other sites

В 03.10.2018 в 16:14, totoshka сказал:

Коллеги,

пытаюсь написать несколько правил, но что-то не работает.

1. есть сетка VPN и Домашняя сетка.

2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

недопонимаю логику работы.

 

цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

 

 

Пока firewall для VPN-клиентов не работает.

Link to comment
Share on other sites

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Link to comment
Share on other sites

И я тоже. Меня на этом форуме отговорили от покупки Zyxel ZyWall/USG, типа это старая хрень, зато вот Keenetic...! А хотя теперь понимаю, что зря, наверное, повелся и уже оплатил 3 Гиги для объединения подсетей.

Link to comment
Share on other sites

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Link to comment
Share on other sites

58 минут назад, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Link to comment
Share on other sites

В 10.10.2018 в 16:58, Le ecureuil сказал:

 Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

Link to comment
Share on other sites

  • 2 weeks later...
В 11.10.2018 в 20:22, totoshka сказал:

Вешал. не отрабатало.

access-list _WEBADMIN_PPPoE0
    permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
    deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

 

пинги идут на все адреса сетки 172.16.3.0

 

А вы там с направлением не намудрили?

Приложите-ка self-test.

Link to comment
Share on other sites

  • 1 year later...

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Link to comment
Share on other sites

В 10.10.2018 в 13:20, jappleseed89 сказал:

А это подстава. Если уж Keenetic отделился от Zyxel и хочет взять хотя бы сегмент малого бизнеса - это просто срочная функция (#1 в wishlist)

Каким же тогда способом можно ограничить доступ из другой подсети, которая за IPsec VPN? (сети объединены) Хотелось прописать конкретно, какому IP и куда можно ходить. Остальным всё обрезать.

Никакие правила межсетевого экрана не сработали ни на одном, ни на другом маршрутизаторе.

Секунду. Если вы про site-to-site IPsec, то там firewall работает. Ответ касается только VPN-серверов на базе PPP.

Link to comment
Share on other sites

В 10.10.2018 в 16:00, jappleseed89 сказал:

Хотя, я возможно, поспешил с выводами. Вроде как на интерфейсе "Провайдер" правила межсетевого экрана срабатывают при site-to-site IPSec VPN. Таким образом, должно получиться разрешить доступ из удаленной подсети только конкретным удалённым IP и только к конкретным локальным IP? Отредактирую свои сообщения, если подтвердится.

Да, так можно.

Link to comment
Share on other sites

В 24.01.2020 в 17:13, Андрэ Палыч сказал:

в 3.3.2 версии все так же печально или что-то поменялось? сейчас 2.15.с.5.0.0. стоит обновляться? а то наступил на точно такие-же грабли. надо дать впн-клиенту доступ только на один узел внутри локалки

Уточните про какой именно VPN вы говорите. IPsec site-to-site в этом плане отличается от PPP.

Link to comment
Share on other sites

  • 10 months later...
  • 2 weeks later...

Создал WireGuard туннель между двумя роутерами Keenetic.

Как настроить правила межсетевого экрана, чтобы разрешить в туннеле трафик только между конкретными IP адресами из разных локальной и удаленных подсетей?

Пишу правила в интерфейсах WG, но они не срабатывают. Чтобы связь по туннелю WG заработала нужно разрешить доступ с внутреннего IP-адреса туннеля противоположенной стороны, но тогда он пропускает весь трафик.

Link to comment
Share on other sites

  • 4 months later...

@Le ecureuil, проконсультируйте, пожалуйста.

Есть два keenetic, соединенные между собой IPIP+IPSec-туннелем. Чтобы соединить домашние сегменты этих двух роутеров настроена маршрутизация (в домашний сегмент "другого" keenetic слать трафик через "мой" интерфейс IPIP0) и в межсетевые экраны домашних сегментов добавлены правила (пропускать протокол IP от адресов "моей" домашней сети в направлении "другой" домашней сети). Это часть простая, все отлично работает.

На первом из keenetic подняты сервера VPN IPsec  XAuth и VPN IKEv2. На втором keenetic настроена маршрутизация (в подсети этих VPN ходить через "мой" интерфейс IPIP0) и в межсетевой экран домашнего сегмента добавлено правило (пропускать протокол IP от адресов "моей" домашней сети в направлении подсетей этих VPN). Эта часть тоже простая, из домашней сети второго keenetic пинг на клиентов VPN идет.

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Подскажите, как это правильно надо было сделать?

Link to comment
Share on other sites

7 часов назад, Ranger сказал:

Чтобы с клиентов VPN получить доступ к домашней сети второго keenetic сделал так: на первом keenetic в интерфейс IPIP0 добавил таблицу исходящих правил межсетевого экрана с разрешением протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic; на втором keenetic в межсетевой экран интерфейса IPIP0 добавил разрешение (входящих) протокола IP от адресов подсетей VPN в направлении домашней сети второго keenetic. В результате все вроде заработало, но меня терзают смутные сомнения, что как-то это криво, асимметрично, некрасиво.

Извините, а что вас смущает, работает же? Сделано верно. Более того, имхо в рамках возможностей прошивки, такой способ единственный в данной ситуации.

Link to comment
Share on other sites

Вклинюсь в тему с вопросом. Есть небольшая сеть  из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

Link to comment
Share on other sites

7 минут назад, SySOPik сказал:

Вклинюсь в тему с вопросом. Есть небольшая сеть  из нескольких кинетиков с поднятым IpSec site-to-site. Вопрос в том, как грамотней создать решение, чтоб с подсети главного роутера (а-ля 10.0.0.1/24) можно получить доступ в сеть клиентов (10.0.0.х/24), а с клиентской сети заблокировать доступ в подсеть главного роутера? Нужно в файре клиентов, на Wan блочить доступ в подсеть (10.0.0.1/24)?

Если кратко, то да, только аккуратнее с in/out направлением.

Link to comment
Share on other sites

Posted (edited)

Вот потому и интересно, если правило, запретить исходящие tcp/udp запросы на 10.0.0.1/24 повесить на Wan, заблокируется только исходящие с клиента в главную подсеть? С главного можно будет полноценно работать с подсетью клиента (пинг, доступ к ПК, принтерам, видеонаблюдению и т.д.) ?  И наводящий вопрос, если на клиенте 2 Wan (Wan+ Wisp) то правила вешать на 2 интерфейса?

Edited by SySOPik
Link to comment
Share on other sites

  • 4 months later...

Привет всем. Может кто подскажет вариант решения. Есть головной роутер 10.1.1.1/24  и много клиентских (10.1.2.1/24 и т.д.), поднят IP/Sec. Хочу фильтровать запросы: от головного в конечным нужно доступ, с конечных закрыть доступ в сеть 10.1.1.1/24.

Легче всего на Wan головного, в брандмауэре, запретить TCP/IP доступ с подсетей 10.1.хх.хх на сеть 10.1.1.1/24, но тогда пропадет и сам VPN и коннект. Можно было б запретить доступ с 10.1.хх.хх на адреса 10.1.1.2-254, но в файре нет выбора по диапазону айпишек. Какие еще идеи?

Edited by SySOPik
Link to comment
Share on other sites

25 минут назад, stefbarinov сказал:

Первым правилом разрешите доступ к 10.1.1.1/32, а вторым запретите доступ к 10.1.1.0/24

А разве запрещающие не имеют приоритет над разрешающими?

Link to comment
Share on other sites

9 минут назад, SySOPik сказал:

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают по порядку...приоритетнее правило то, которое находится выше

  • Thanks 1
Link to comment
Share on other sites

Цитата

А разве запрещающие не имеют приоритет над разрешающими?

Правила работают сверху вниз!

Edited by stefbarinov
  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...