Как настроить межсетевой экран в MikroTik, чтобы проходил трафик VPN?

Ответить в комментарии

Разрешить весь VPN-трафик через VPN-соединение
Надо учитывать, что некоторые виды подключения, например GRE не являются PPP.

/ip firewall filter
add chain=forward comment=»Permit all PPP» in-interface=all-ppp

Разрешить PPTP-подключение

/ip firewall filter
add chain=input dst-port=1723 protocol=tcp comment=»Permit PPTP»
add action=accept chain=input protocol=gre comment=»Permit GRE»

Разрешить L2TP-подключение

/ip firewall filter
add chain=input dst-port=1701 protocol=udp comment=»Permit L2TP»

Разрешить IPSec-подключение

/ip firewall filter
add chain=input port=500,4500 protocol=udp comment=»Permit IPSec ports 500 and 4500″
add chain=input protocol=ipsec-esp comment=»Permit IPSec protocol ipsec-esp»

Разрешить OpenVPN-подключение

/ip firewall filter
add action=accept chain=input dst-port=1194 protocol=tcp comment=»Permit OpenVPN»

Разрешить SSTP-подключение

/ip firewall filter
add action=accept chain=input dst-port=443 protocol=tcp comment=»Permit SSTP»

Разрешить GRE-подключение

/ip firewall filter
add action=accept chain=input protocol=gre comment=»Permit GRE»

Разрешить IPIP-подключение

/ip firewall filter
add action=accept chain=input protocol=ipip comment=»Permit IPIP»

Прохождение IPSec при использовании Fast Track

Fast Track это опция представленная в RouterOS 6.29. С помощью этой опции можно передавать пакеты в обход ядра Linux. За счет этого существенно повышается производительность маршрутизатора.

Включить Fast Track можно следующим образом:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

Это позволит пакетам у которых состояние «Established» или «Related» обходить ядро Linux и быть сразу перенаправленным к цели. Такие пакеты не будут проходить ни через одно правило файервола или другое правило обработки пакетов.

Of course – a connection gains the state of established or related once it went through the firewall so it will still be secure.

Как результат появляется недостаток: соединения IPsec так же не будут обработаны. Решить эту проблему можно следующим образом.

Вначале надо пометить соединения IPsec:

/ip firewall mangle
add action=mark-connection chain=forward comment=»Mark IPsec» ipsec-policy=out,ipsec new-connection-mark=ipsec

add action=mark-connection chain=forward comment=»Mark IPsec» ipsec-policy=in,ipsec new-connection-mark=ipsec

Далее изменить стандартное правило Fast Track так, что бы оно не обрабатывало пакеты IPsec. Изменения внесенные в стандартное правило выделены красным.

/ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrack connection-mark=!ipsec connection-state=established,related

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *