@Pontius71

Передача ip устройства через vpn mikrotik?

Имеется 3 маршрутизатора mikrotik связанные через vpn
m1 - Локальная подсеть 192.168.0.0/24. ip l2tp клиента 192.168.7.2/32
m2 - Локальная подсеть 192.168.1.0/24. ip l2tp клиента 192.168.7.3/32
m3 - Локальная подсеть 192.168.2.0/24. ip l2tp сервера 192.168.7.1/32

на m1 есть маршрут до 192.1168.1.0/24 и 192.168.2.0/24 через интерфейс l2tp

Хочу запретить доступ из 0.0/24 в 1.0/24 определенному узлу в сети, например узлу 192.168.0.150 к узлу 192.168.1.150
Что делаю. На l2tp сервере 192.168.2.1 (192.168.7.1) создаю правило forward src adress 192.168.0.150 dst 192.168.1.150 action drop
Но правило не работает. Подозреваю причина в том, что m2 распознает всю подсеть 0.0/24, как узел 192.168.7.2

Подскажите как заставить его "подставлять" адрес отправителя узел за микротиком?
Подозреваю, что мне напортачил с маскарадингом. На данный момент маскарадинг влюкчен на всех микротах без указания интерфейсов.

Схему описал примерную, т.к. фактически микротиков и подсетей на порядок больше.
Если нужны логи, все предоставлю, только укажите какие, спасибо.
  • Вопрос задан
  • 53 просмотра
Решения вопроса 1
@Tabletko
Системный администратор
Подозреваю, что мне напортачил с маскарадингом. На данный момент маскарадинг влюкчен на всех микротах без указания интерфейсов.
В этом и проблема - к тому времени, когда пакет попадает на forward, маскарадингом ему уже заменили адрес источника. Уберите маскарад на l2tp и сделайте нормальную маршрутизацию.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@dronmaxman
VoIP Administrator
Хорошая практика - правила настраивать на ближайшем firewall, что бы не гонять заблокированный трафик через интернет и не утилизировать канал зря.
То есть, что бы запретить доступ от 0.150 до 1.150 правило необходимо прописать на m1 и правило должно быть выше чем другие разрешающее правило 0.0/24 в 1.0/24.

Так же если у вас есть правило established related, то необходимо сбросить уже установленный сесии между клиентами.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы