Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

отработка firewall на тоннельных интерфейсах после обновления с 2.12.C.1.0-3 до 2.13.C.0.0-3

kersantinov

Asked by kersantinov,

 Share

Question

kersantinov Member

kersantinov

Posted
Posted

Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3
Изменилось поведение firewall.

Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec
ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта.

С давних времени времен есть проброс портов с ограничением по IP
В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2
В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2

В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP.
В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса.

(1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP.
(2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса.

При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786

После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec.

Это баг или фича?
Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно? 

5 answers to this question

Recommended Posts

  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
2 часа назад, kersantinov сказал:

Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3
Изменилось поведение firewall.

Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec
ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта.

С давних времени времен есть проброс портов с ограничением по IP
В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2
В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2

В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP.
В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса.

(1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP.
(2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса.

При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786

После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec.

Это баг или фича?
Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно? 

2.13 все. Ничего там исправляться не будет.

Проверяйте на 2.14 или (еще лучше) на 2.15.

  • 0
kersantinov Member

kersantinov

Posted
  • Author
Posted

т.е. описанное мной поведение - не стандартное? Ок, принято.

Проверю на 14, 15 боязно ставить - железка далеко физически :)

  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
19 минут назад, kersantinov сказал:

т.е. описанное мной поведение - не стандартное? Ок, принято.

Проверю на 14, 15 боязно ставить - железка далеко физически :)

Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем :) Потому лучше сразу это решить на актуальном ПО.

Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.

  • Thanks 1
  • 0
kersantinov Member

kersantinov

Posted
  • Author
Posted (edited)
В 07.12.2018 в 14:35, Le ecureuil сказал:

Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем :) Потому лучше сразу это решить на актуальном ПО.

Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.

Доброго дня. Хочу вернуться к своим баранам)

Поведение все то-же и на 2.15.C.5.0-0

2019-08-28_11-15-25.thumb.png.e105f7ac9c3aa8f46cc28f7ccee410fa.png

Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет.

Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec.

Баг\фича?   

 

Edited by kersantinov
  • 0
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
В 28.08.2019 в 09:21, kersantinov сказал:

Доброго дня. Хочу вернуться к своим баранам)

Поведение все то-же и на 2.15.C.5.0-0

2019-08-28_11-15-25.thumb.png.e105f7ac9c3aa8f46cc28f7ccee410fa.png

Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет.

Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec.

Баг\фича?   

 

Скорее фича.

Поскольку у IPsec нет интерфейсов, то его фильтрация возможна только в таком виде (

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...