Susanin Опубликовано 3 февраля, 2010 · Жалоба Привет! Есть задача - объединить пользователей через VPN с фильтрацией трафика между ними. На данный момент экспериментирую с routerOS. Создал сервер, юзера, профиль. В профиле указал входящую цепочку для фильтрации. [admin@MikroTik] /ppp profile> print 1 name="vpn-default" local-address=10.10.10.1 remote-address=pool1 use-compression=default use-vj-compression=no use-encryption=no only-one=no change-tcp-mss=default incoming-filter=ppp создал необходимую цепочку и правила файрвола для проверки [admin@MikroTik] /ip firewall filter> print Flags: X - disabled, I - invalid, D - dynamic 0 ;;; Drop Invalid connections chain=input action=drop connection-state=invalid 1 ;;; Allow Established connections chain=input action=accept connection-state=established 2 ;;; PPP chains - in and out chain=forward action=jump jump-target=ppp 3 chain=ppp action=drop protocol=icmp Если в профиле не указывать incoming-filter, а сначала подключить пару пользователей, запустить пинг между ними а потом уже в профиле выставить incoming-filter=ppp, то все работает отлично - пинга между клиентами нет, все остальное работает. вот лог подключения клиента на микротик: 19:01:49 pptp,info TCP connection established from 192.168.16.32 19:01:49 pptp,ppp,info <pptp-0>: waiting for call... 19:01:50 pptp,ppp,info <pptp-0>: authenticated 19:01:51 pptp,ppp,info <pptp-0>: connected 19:01:51 pptp,ppp,info,account vpn logged in, 10.10.1.255 НО если теперь одному из этих клиентов отключиться и попытаться подключиться заново, по профилю с уже установленным значением incoming-filter=ppp, то сразу после подключение соединение рвется и на микротике вылетает ошибка: 19:05:34 pptp,info TCP connection established from 192.168.16.32 19:05:34 pptp,ppp,info <pptp-0>: waiting for call... 19:05:34 pptp,ppp,info <pptp-0>: authenticated 19:05:35 pptp,ppp,info <pptp-0>: connected 19:05:35 pptp,ppp,info,account vpn logged in, 10.10.1.255 19:05:35 pptp,ppp,error could not add filter: cannot jump to self (6) 19:05:35 pptp,ppp,info,account vpn logged out, 1 94 86 7 8 19:05:36 pptp,ppp,info <pptp-vpn>: terminating... - could not add filter: cannot jump to self (6) 19:05:36 pptp,ppp,info <pptp-vpn>: disconnected В чем проблема и как исправить ? заранее спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Susanin Опубликовано 4 февраля, 2010 · Жалоба Короче разобрался. В файрволе нужно указать правило 2 I;;; PPP chains - in and out chain=forward action=jump jump-target=ppp а в профиле указать другое имя цепочки 1 name="vpn-default" local-address=10.10.10.1 remote-address=pool1 use-compression=default use-vj-compression=no use-encryption=no only-one=no change-tcp-mss=default incoming-filter=ppp-in И сами правила фильтрации уже добавлять в цепочку ppp-in 3 chain=ppp-in action=drop protocol=icmp Тогда после подключения клиента будут динамически созданы правила на пересылку пакетов с цепочки ppp в цепочку ppp-in и все будет работать. всем спасибо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
