0 Список сравнения
0 Избранные товары
0
Страницы: 1
Настройка файервола для IPSec
 
Здравствуйте.
Настраиваю IPSec туннель, пока на стенде. Роутеры (RB951Ui-2HnD  OS 6.28) соединены патчкордом.
Все адреса статические, шлюзы по умолчанию роутеров указывают на внешние интерфейсы друг друга.
За роутерами компьютеры, шлюзы указывают на внутренние интерфейсы роутеров.
На обоих роутерах NAT, введено правило обхода NATа трафиком между компами.

В общем, в окне IPsec на закладке RemotePeers появляется соединение Established.
Если пинговать с одного компьютера другой, то на закладке InstalledSA тоже появляются две записи,
их счетчик работает и компы успешно пингуются.
Вроде все ОК. Но, когда по Wiki на RouterOs настраиваешь файерол, то вся эта схема не работает.
RemotePeers появляются, статус Established. Но компы не пингуются,
Настройка файервола такая, многие записи из мастера настроек создались:

/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established,related
add chain=input comment="IpSec IKE" dst-port=500 protocol=udp
add chain=input comment="IpSec ESP" protocol=ipsec-esp
add chain=input protocol=ipsec-ah
add chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established,related
add action=drop chain=forward comment="default configuration"  connection-state=invalid
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new in-interface=ether1-gateway

Опытным путем установил, что если добавить правило:
add chain=forward comment=ALL
то туннель работает.

Подскажите, что не так. Могу полную конфигурацию закинуть.
 
/ip firewall filter
add chain=input comment="VPN L2TP" dst-port=500,1701,4500 protocol=udp

наверно, когда-то, взял отсюда http://nixman.info/?p=2308

или отсюда http://voxlink.ru/kb/voip-devices-configuration/mikrotik-l2tp-ipsec/
    Настройки файрвола
    Сервер должен принимать:
    UDP:1701 - L2TP, но только по IPsec
    UDP:500 - IPsec, установление соединения
    UDP:4500 - IPsec, для обхода NAT
    IP протокол 50 - IPsec ESP
 
Цитата
Опытным путем установил, что если добавить правило:
add chain=forward comment=ALL
то туннель работает.

У вас должно быть правило разрешающее форвард трафика, которого нет в приведённом конфиге выше, поэтому при добавлении правила начинает работать.
 
Цитата

У вас должно быть правило разрешающее форвард трафика, которого нет в приведённом конфиге выше, поэтому при добавлении правила начинает работать.
Подскажите, как правильно сконфигурировать это правило. В примерах не нашел.
 
Код
/ip firewall filter
add chain=forward comment=tariff_inet_allow dst-address-list=list_inet_allow action=accept
add chain=forward src-address-list=list_inet_allow action=accept



Тут в адрес лист list_inet_allow прописываете адреса или диапазоны кому разрешен интернет. Или без указания адрес листа или диапазона адресов

Код
/ip firewall filter
add chain=forward comment=tariff_inet_allow action=accept

 
Да, заработало   ::smile24.gif::

Получается, что сначала срабатывает правило input, затем IPsec расшифровывает
пакеты, и затем уже срабатывает правило forward

Поясните еще пожалуйста, вот такое правило
/ip firewall filter add chain=forward comment=tariff_inet_allow action=accept
не означает фактически отключение файервола ?
 
Цитата
Получается, что сначала срабатывает правило input, затем IPsec расшифровывает
пакеты, и затем уже срабатывает правило forward
Input это подключение к самому микротику и с форвардом ни чего общего не имеет.

Цитата
Поясните еще пожалуйста, вот такое правило
/ip firewall filter add chain=forward comment=tariff_inet_allow action=accept
не означает фактически отключение файервола ?

Это правило разрешает прохождение трафика через микротик всем компьютерам подключенным к микротику.
Страницы: 1