Mikrotik L2TP VPN zakazani vseho krome SMB

[eventai]

Zdravím, potřeboval bych poradit mám na RB600 nakonfigurovanou L2TP VPN a potřebuji určitým uživatelům kteří by měli také přístup k VPN (mohu je rozlišovat podle ip přes kterou se připojí), povolit komunikaci pouze na udržení spojení VPN + port 445 na NAS s ip 192.168.0.5 (vše ostatní zakázat). Napadlo mě to nějak řesit přes IPsec pro jednotlivé účty (pokud lze) nebo přes firewall. Bohužel přes firewall mi nejde žádná z těchto možností:

Kód: Vybrat vše

add chain=input action=drop protocol=tcp src-address=ipuzivatele dst-address=!192.168.0.5 dst-port=!445 (nezachytí žádný paket)

add chain=output action=drop protocol=tcp src-address=!192.168.0.5 dst-address=ipuzivatele src-port=!445 (nezachytí žádný paket)

add chain=input action=drop src-address=ipuzivatele dst-address=!192.168.0.5 (dropne vše)

add chain=output action=drop src-address=!192.168.0.5 dst-address=ipuzivatele (dropne vše)

add chain=input action=accept protocol=tcp src-address=ipuzivatele dst-address=192.168.0.5 dst-port=445 (společne s pravidlem na dropnutí všeho ostatního také nefunkční)

add chain=output action=accept protocol=tcp src-address=192.168.0.5 dst-address=ipuzivatele src-port=445 (společne s pravidlem na dropnutí všeho ostatního také nefunkční)

Děkuji za každou radu.

[barneby]

Jak máš nastaveny NAT na tom VPN serveru?

[eventai]

VPN server je mikrotik. V NATu mám pouze maškarádu.

Kód: Vybrat vše

add chain=srcnat action=masquerade

[barneby]

VPN server je mikrotik. V NATu mám pouze maškarádu.

Kód: Vybrat vše

add chain=srcnat action=masquerade

Nastav si tam out interface. Takhle ti to natne adresu s tím firewallem už prochází natovana.

[eventai]

Mám eth2 jako WAN a eth1, eth3 do brigde, mezi bridgem a eth2 mám vytvořenou routu. Když u maškarády nastavím out. interface na brigde tak na klienském pc s připojenou VPN dojde k odpojení internetu (adaptér píše bez internetu, v prohlížeči DNS error, nefunguje tehdy ani kdyz nastavim staticky např: na google DNS). Jak tedy nastavit maškarádu? Díky

[barneby]

Mám eth2 jako WAN a eth1, eth3 do brigde, mezi bridgem a eth2 mám vytvořenou routu. Když u maškarády nastavím out. interface na brigde tak na klienském pc s připojenou VPN dojde k odpojení internetu (adaptér píše bez internetu, v prohlížeči DNS error, nefunguje tehdy ani kdyz nastavim staticky např: na google DNS). Jak tedy nastavit maškarádu? Díky

Nastav si src adress na tvůj lokální rozsah a out interface dej ten WAN eth2

[eventai]

Tak maškarádu jsem nastavil podle tebe to už funguje ale žádné z mých pravidel v prvním příspěvku stále nefunguje. Mohl by jsi ještě poradit jakou konfiguraci v tomto případě použít?

[barneby]

Tak maškarádu jsem nastavil podle tebe to už funguje ale žádné z mých pravidel v prvním příspěvku stále nefunguje. Mohl by jsi ještě poradit jakou konfiguraci v tomto případě použít?

Jaký je IP rozsah co přiděluješ těm VPN klientům?

[eventai]

Local address pro VPN je 192.168.0.121 a pool pro remote address mám 192.168.0.122-192.168.0.126.