Jump to content
  • 0

IPSec VPN + Запретить доступ в интернет + правила firewall


kirilloff

Question

Добрый день,

помогите пожалуйста с такой ситуацией:

есть два keenetic dsl на прошивке 2.11.D.4.0-0

согласно статье настроена связь через ipsec между подсетями двух кинетиков

все - ок, есть пинги как с кинетиков в обе стороны, так и устройств в подсетях

 

но мне нужно чтобы было только связь между подсетями, а интернета ни у кого не было - поэтому ставлю галку "Запретить доступ в интернет незарегистрированным устройствам" после чего ничего не пингуется даже при активном туннеле,

 

настраиваю правила межсетевого экрана

для сервера разрешаю для интерфейса home все входящие с подсети 192.168.2.0/24  в подсеть 192.168.1.0/24  по протоколу IP

для клиента разрешаю для интерфейса home все входящие с подсети 192.168.1.0/24  в подсеть 192.168.2.0/24  по протоколу IP

теперь я могу пинговать и заходить в веб интерфейс с одного роутера на другой в любом направлении, но устройства из подсетей за роутерами друга друга не видят

(с компьютеров в подсетях вижу только "свой" ближайший роутер, который прописан как шлюз и ничего за ним)

файрволы устройств в подсетях клиента и сервера отключены \ настроены на прием всего с соотв.  подсетей

 

подскажите что нужно еще настроить чтобы при включенной настройке "Запретить доступ в интернет незарегистрированным устройствам" подсети видели друг друга или как по другому решить проблему с закрытием доступа в интернет?

заранее спасибо

 

 

Edited by kirilloff
Link to comment
Share on other sites

1 answer to this question

Recommended Posts

  • 0

решил вопрос благодаря службе поддержки -

необходимо было настроить разрешающие исходящие правила на интерфейсах с интернетом через CLI

для сервера что то типа

access-list MY_VPN_LIST permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
interface ISP ip access-group MY_VPN_LIST out
system configuration save

для клиента соотв.

access-list MY_VPN_LIST permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
interface ISP ip access-group MY_VPN_LIST out
system configuration save

интерфейсы и подсети подставить по необходимости

может кому пригодится

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...