LTP + Firewall

michalko · Příspěvekod **michalko** » 19 years ago

Mam problem s firewallom pri L2TP spojeni. Ked vytvorim VPN spojenie vznikne docasny interface napr. 'l2tp-in1'. Tento interface pouzijem ako pravidlo vo FW. Ked ale VPN odpojim, nazov interfacu vo FW pravidlach sa zmeni na 'unknown' a pravidlo je po nasledpom vytvoreni VPN uz nefunkcne.

Potrebujem pustit do LAN vsetok traffic ktory prichadza z VPN (l2tp), pricom z WAN chcem vyuzit restriktivne pravidla.

Moc dik za radu.

Steebe · Příspěvekod **Steebe** » 19 years ago

to same s shapovanim ... kdyz na mikrotiku je pptp server nekdo se pripoji vytvorim pravidla jakmile se odpoji tak ten samy problem mam i ja .

raulik · Příspěvekod **raulik** » 17 years ago

vyresili jste to nejak ? dela mi to taky, chci spojit vpn do bridge a jede, ale jen do vypadku.. pak take unknown..

sub_zero · Příspěvekod **sub_zero** » 17 years ago

raulik píše:vyresili jste to nejak ? dela mi to taky, chci spojit vpn do bridge a jede, ale jen do vypadku.. pak take unknown..

..zase nekdo, kdo zaklada zbytecnej topic, co?
http://forum.routeros.cz/viewtopic.php?t=2910

raulik · Příspěvekod **raulik** » 17 years ago

Hlavne je krasny jak to tam ty lidicky vyresili co ?

Ma nekdo nejakej napad ?

sub_zero · Příspěvekod **sub_zero** » 17 years ago

raulik píše:Hlavne je krasny jak to tam ty lidicky vyresili co ?

Ma nekdo nejakej napad ?

nevyresili, ale mohli ste pokracovat v diskuzi tam

podle me to ani vyresit nejde...protoze kazdy vpn je vlastne dynamicky pripojeni. I kdyz se da samozrejme vytvorit jako staticky a priradit k tomu profil usera, nicmene to funguje jen do prvniho pripojeni. Po odpojeni iface opet zcervena

Pokud treba chces pouzivat nejakej IP/MAC filter na vpn, je to nemozny...nemuze tu IP adresu ani smazat s ifacem, natoz tak s MAC. Tohle maj v Litve nedoreseny

raulik · Příspěvekod **raulik** » 17 years ago

Ono je to trochu slozitejsi, nebot kdyz dojde k odpojeni vpn clienta (na klientske strane) tak mi z nejakeho duvodu prehodi bridge (nevim proc, vzhledove se nic nezmeni (interface v bridge je unknown) ale pouzije do bridge jiny intarface, u me zrovna spoji do bridge wan(internet) a zbytek bridge, takze docela prdel.. jakmile se vpn odpoji, zapomene na veskerej nat a vse a zacne se chovat jako bridge i na verejnem rozhrani.. prdel co ..

sub_zero · Příspěvekod **sub_zero** » 17 years ago

raulik píše:Ono je to trochu slozitejsi, nebot kdyz dojde k odpojeni vpn clienta (na klientske strane) tak mi z nejakeho duvodu prehodi bridge (nevim proc, vzhledove se nic nezmeni (interface v bridge je unknown) ale pouzije do bridge jiny intarface, u me zrovna spoji do bridge wan(internet) a zbytek bridge, takze docela prdel.. jakmile se vpn odpoji, zapomene na veskerej nat a vse a zacne se chovat jako bridge i na verejnem rozhrani.. prdel co ..

to se mi zda jako hloupost, aby si Mikrotik hazel interface do bridge jak se mu zlibi...spis bych to videl na chybu nastaveni, popr zkus jinou verzi MT.

raulik · Příspěvekod **raulik** » 17 years ago

Mozna se ti to nezda, ale u me se to tak chova.. Dela me to rc10 mam tam asi 4 interface vcetne jednoho vpn klienta.. 1 je wan, 3 jsou v bridge eth, wifi a vpn (jeden eth je nepouzitej) a kdyz padne ta vpn, tak sem zkusil zjistovat co se deje (nebot mi prestane jit net i konekt na rb) a zjistil jsem ze se pak rb tvari na lokale pod wan adresou (kdyz nastavim na kompu rozsah stejnej jako na wan, tak hopingnu, jinak ani tuk.. neni tam de facto nic nastaveno, takze to vypada ze hodi wan do bridge vcetne jeho ip.. pres mac se stale na rb dostanu, ale pres ip ne.. Jo jinak, oznaceni inferface jako dynamicky se provede uz pri pripojeni vpn, takze kdyby byl prikaz pro zmenu interface na statisky, dal by se to prozatim co treba 10 sekund delat..