Jump to content
Калькуляторы

mikrotic routerOS VPN firewall Проблема в фильтрации VPN клиентов

Привет!

Есть задача - объединить пользователей через VPN с фильтрацией трафика между ними.

На данный момент экспериментирую с routerOS.

Создал сервер, юзера, профиль. В профиле указал входящую цепочку для фильтрации.

[admin@MikroTik] /ppp profile> print
1   name="vpn-default" local-address=10.10.10.1 remote-address=pool1 use-compression=default use-vj-compression=no 
     use-encryption=no only-one=no change-tcp-mss=default incoming-filter=ppp

создал необходимую цепочку и правила файрвола для проверки

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
0  ;;; Drop Invalid connections
     chain=input action=drop connection-state=invalid 

1  ;;; Allow Established connections
     chain=input action=accept connection-state=established 

2  ;;; PPP chains - in and out
     chain=forward action=jump jump-target=ppp 

3   chain=ppp action=drop protocol=icmp

 

Если в профиле не указывать incoming-filter, а сначала подключить пару пользователей, запустить пинг между ними а потом уже в профиле выставить incoming-filter=ppp, то все работает отлично - пинга между клиентами нет, все остальное работает.

вот лог подключения клиента на микротик:

19:01:49 pptp,info TCP connection established from 192.168.16.32 
19:01:49 pptp,ppp,info <pptp-0>: waiting for call... 
19:01:50 pptp,ppp,info <pptp-0>: authenticated 
19:01:51 pptp,ppp,info <pptp-0>: connected 
19:01:51 pptp,ppp,info,account vpn logged in, 10.10.1.255

НО если теперь одному из этих клиентов отключиться и попытаться подключиться заново, по профилю с уже установленным значением incoming-filter=ppp, то сразу после подключение соединение рвется и на микротике вылетает ошибка:

19:05:34 pptp,info TCP connection established from 192.168.16.32 
19:05:34 pptp,ppp,info <pptp-0>: waiting for call... 
19:05:34 pptp,ppp,info <pptp-0>: authenticated 
19:05:35 pptp,ppp,info <pptp-0>: connected 
19:05:35 pptp,ppp,info,account vpn logged in, 10.10.1.255 
19:05:35 pptp,ppp,error could not add filter: cannot jump to self (6) 
19:05:35 pptp,ppp,info,account vpn logged out, 1 94 86 7 8 
19:05:36 pptp,ppp,info <pptp-vpn>: terminating... - could not add filter: cannot jump to self (6) 
19:05:36 pptp,ppp,info <pptp-vpn>: disconnected

 

В чем проблема и как исправить ?

 

заранее спасибо.

 

 

Share this post


Link to post
Share on other sites

Короче разобрался.

В файрволе нужно указать правило

2 I;;; PPP chains - in and out
     chain=forward action=jump jump-target=ppp

а в профиле указать другое имя цепочки

 1   name="vpn-default" local-address=10.10.10.1 remote-address=pool1 use-compression=default use-vj-compression=no use-encryption=no only-one=no change-tcp-mss=default 
     incoming-filter=ppp-in

И сами правила фильтрации уже добавлять в цепочку ppp-in

 3   chain=ppp-in action=drop protocol=icmp

Тогда после подключения клиента будут динамически созданы правила на пересылку пакетов с цепочки ppp в цепочку ppp-in и все будет работать.

 

всем спасибо :)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this