Как писать правила файрвола mikrotik для site to site?

Question

[isour]

Есть два микротика, один в основном филиале, другой в удаленном.

Соединялись между собой по l2tp, в правилах было разрешены udp, tcp, icmp, т.и. я указывал нужные адреса в src.adress, dst. adress, так-же указывал in и out interface, в котором было моё l2tp подключение, все работало и все было безопасно(наверное).

Сети удаленная и основная работали через NAT.

Потребовалось убрать NAT и переделать это подключение в site to site(ipsec тунель), все тоже работает и проблем нет. Но в правилах файрвола в месте где я указывал lt2p подключение, я теперь должен указывать своё WAN подключение(конкретно моё PPoe подключение к провайдеру), и это получается вроде не очень то и безопасно.

Ну и собственно вопрос: как правильно настраивать файрвол в случае ipsec тунеля?

Comments

[Ezhyg]

что значит т.и.?

я теперь должен указывать своё WAN подключение(конкретно моё PPoe подключение к провайдеру), и это получается вроде не очень то и безопасно.

Почему ты так решил?

[isour]

Ezhyg, что ещё я там могу указать, если не WAN(pppoe)?

[isour]

Ezhyg, т.и. = так именно

[Ezhyg]

isour, вопрос звучал достаточно конкретно :( Прочитай его ещё раз.

[isour]

Ezhyg, я могу не указывать, но тогда вообще для всех интерфейсов будут мои правила работать

[Ezhyg]

isour,

вроде не очень то и безопасно

вот это, почему ты так решил?!

Answer 1

[Виктор Бельский]

Используйте IPsec policy matcher, на вкладке Advanced->IPsec policy, чтобы указать, что трафик проехал через туннель и попал под одну из политик шифрования