Stránka 1 z 1
LTP + Firewall
Napsal: 11 Feb 2006 18:25
od michalko
Mam problem s firewallom pri L2TP spojeni. Ked vytvorim VPN spojenie vznikne docasny interface napr. 'l2tp-in1'. Tento interface pouzijem ako pravidlo vo FW. Ked ale VPN odpojim, nazov interfacu vo FW pravidlach sa zmeni na 'unknown' a pravidlo je po nasledpom vytvoreni VPN uz nefunkcne.
Potrebujem pustit do LAN vsetok traffic ktory prichadza z VPN (l2tp), pricom z WAN chcem vyuzit restriktivne pravidla.
Moc dik za radu.
Napsal: 11 Feb 2006 22:46
od Steebe
to same s shapovanim ... kdyz na mikrotiku je pptp server nekdo se pripoji vytvorim pravidla jakmile se odpoji tak ten samy problem mam i ja .
Napsal: 15 Nov 2007 19:47
od raulik
vyresili jste to nejak ? dela mi to taky, chci spojit vpn do bridge a jede, ale jen do vypadku.. pak take unknown..
Napsal: 15 Nov 2007 22:41
od sub_zero
raulik píše:vyresili jste to nejak ? dela mi to taky, chci spojit vpn do bridge a jede, ale jen do vypadku.. pak take unknown..
..zase nekdo, kdo zaklada zbytecnej topic, co?
http://forum.routeros.cz/viewtopic.php?t=2910
Napsal: 17 Nov 2007 20:34
od raulik
Hlavne je krasny jak to tam ty lidicky vyresili co ?
Ma nekdo nejakej napad ?
Napsal: 18 Nov 2007 10:11
od sub_zero
raulik píše:Hlavne je krasny jak to tam ty lidicky vyresili co ?
Ma nekdo nejakej napad ?
nevyresili, ale mohli ste pokracovat v diskuzi tam
podle me to ani vyresit nejde...protoze kazdy vpn je vlastne dynamicky pripojeni. I kdyz se da samozrejme vytvorit jako staticky a priradit k tomu profil usera, nicmene to funguje jen do prvniho pripojeni. Po odpojeni iface opet zcervena
Pokud treba chces pouzivat nejakej IP/MAC filter na vpn, je to nemozny...nemuze tu IP adresu ani smazat s ifacem, natoz tak s MAC. Tohle maj v Litve nedoreseny
Napsal: 18 Nov 2007 14:21
od raulik
Ono je to trochu slozitejsi, nebot kdyz dojde k odpojeni vpn clienta (na klientske strane) tak mi z nejakeho duvodu prehodi bridge (nevim proc, vzhledove se nic nezmeni (interface v bridge je unknown) ale pouzije do bridge jiny intarface, u me zrovna spoji do bridge wan(internet) a zbytek bridge, takze docela prdel.. jakmile se vpn odpoji, zapomene na veskerej nat a vse a zacne se chovat jako bridge i na verejnem rozhrani.. prdel co ..
Napsal: 18 Nov 2007 15:26
od sub_zero
raulik píše:Ono je to trochu slozitejsi, nebot kdyz dojde k odpojeni vpn clienta (na klientske strane) tak mi z nejakeho duvodu prehodi bridge (nevim proc, vzhledove se nic nezmeni (interface v bridge je unknown) ale pouzije do bridge jiny intarface, u me zrovna spoji do bridge wan(internet) a zbytek bridge, takze docela prdel.. jakmile se vpn odpoji, zapomene na veskerej nat a vse a zacne se chovat jako bridge i na verejnem rozhrani.. prdel co ..
to se mi zda jako hloupost, aby si Mikrotik hazel interface do bridge jak se mu zlibi...spis bych to videl na chybu nastaveni, popr zkus jinou verzi MT.
Napsal: 18 Nov 2007 19:41
od raulik
Mozna se ti to nezda, ale u me se to tak chova.. Dela me to rc10 mam tam asi 4 interface vcetne jednoho vpn klienta.. 1 je wan, 3 jsou v bridge eth, wifi a vpn (jeden eth je nepouzitej) a kdyz padne ta vpn, tak sem zkusil zjistovat co se deje (nebot mi prestane jit net i konekt na rb) a zjistil jsem ze se pak rb tvari na lokale pod wan adresou (kdyz nastavim na kompu rozsah stejnej jako na wan, tak hopingnu, jinak ani tuk.. neni tam de facto nic nastaveno, takze to vypada ze hodi wan do bridge vcetne jeho ip.. pres mac se stale na rb dostanu, ale pres ip ne.. Jo jinak, oznaceni inferface jako dynamicky se provede uz pri pripojeni vpn, takze kdyby byl prikaz pro zmenu interface na statisky, dal by se to prozatim co treba 10 sekund delat..