Маршрутизация ipsec. Как запретить утечку трафика?

Question

[latigisu]

Трафик в туннель направляется не весь, а только тот что указан в адрес листе. Заметил если падает туннель, то трафик начинает идти через дефолтный маршрут, т. е. через провайдера. Как запретить утечку трафика?

Answer 1

[Maksim Herasim]

создайте правило в firewall
Forward
Drop
To adr.list (ListName)
Out interface (wan)
Будет дропать все пакеты от адрес листа на интерфейс ether1

Comments

[latigisu]

Дропает. В туннель пакеты тоже не идут. Надо чтобы через туннель шли, а через провайдера нет.

[Maksim Herasim]

latigisu, странно, но я не вижу полного конфига, поэтому работаем вслепую.
Тогда по другому. Нужно маркировать трафик, который должен идти через тоннель. Маркированному трафику разрешить доступ только до интерфейса туннеля. Остальное дропать

Answer 2

[Артем Кайбагоров]

Создать пустой бридж и добавить маршрут к нужной сети через него с distance=2

Comments

[latigisu]

Как добавить маршрут для адрес листа? Например, есть адрес лист следующего содержания

mail.com
google.com
1.1.1.1
2.2.2.2

трафик к ip из адрес листа должен идти только через туннель. При падении/отключении туннеля трафик нужно блокировать и не пускать через провайдера.

Answer 3

[CityCat4]

Либо Вы что-то недоговариваете, либо что-то не то. у IPSec нет маршрутизации. Просто потому что ее нет. У него есть политики. И туннель там не падает - он сам тут же перезапускается. Наверное, это все же какая-то шляпа типа GRE + IPSec, L2TP + IPSec etc.

Comments

[latigisu]

Возможно не правильно формулирую то, чего хочу. Настроен ipsec ikev2, в адрес листе указаны ip, трафик к ним должен идти только через туннель. Если туннель упал/завис/отключен - трафик к ip из листа нужно блокировать и не пускать в сеть провайдера.

[CityCat4]

latigisu, Обработка трафика IPSеc идет политиками - а политика не зависает, не падает и может быть отключена только вручную. Пошифрован и преобразован пакет будет вне зависимости от состояния туннеля (и уже потом он будет либо передан, либо не передан в него).
Похоже что у Вас все таки не чистый IPSec

[latigisu]

IPSec чистый.
Вот политики.

> ip ipsec policy pr
Flags: T - template, B - backup, 
X - disabled, D - dynamic, I - invalid, A - active, * - default 
 #      P TUN SRC-ADDRESS                                           
 0 T    ;;; IpsecVPN
              0.0.0.0/0                                             
 1   DA  P yes 10.99.7.27/32

На счет "не зависает, не падает". Попробуйте в настройках пира изменить ip или просто отключить его. Трафик прекрасно пойдёт по дефолту, т.е. через основного провайдера, а мне это не нужно.

[CityCat4]

latigisu, транспортный или туннельный режим?

[latigisu]

Туннельный.

Answer 4

[korsar182]

/ip firewall filter
add action=drop chain=forward dst-address-list=MY_ADDESS_LISt ipsec-policy=out,non

Answer 5

[Юрий MikroTik]

1. Создать lo интерфейс
2. Сделать на него маршрут

Больше утечек не будет