Открытие портов Mikrotik только для VPN соединений из внешней сети?

Специалисты Mikrotik, подскажите, как открыть входящие порты для VPN трафика, если работают одновременно 2 клиента?
1) OpenVPN как отдельный интерфейс
2) IPSec/IKE2 как внутренняя политика маршрутизации.
У нас есть внешний VPN сервер в Европе с IP 161.112.156.202, внутренняя VPN подсеть 10.100.0.0/24 где пространство 10.100.0.2-10.100.0.49 выделено для OpenVPN, а 10.100.0.51-10.100.0.100 доля IPSec.
Есть микротик с внутренней сетью 192.168.0.0/24 на котором работают 2 клиента VPN.
Есть в сети микротика NAS c адресом 192.168.0.15 к которому надо дать доступ извне ТОЛЬКО клиентам VPN через порт 445 и 137-139 (Samba).
Я могу легко открыть порты и дать доступ всем входящим соединениям на указанные порты, и это работает, но надо ограничить доступ только клиентами VPN сети. Что прописать в правилах NAT для этого?
Спасибо за идеи.
  • Вопрос задан
  • 254 просмотра
Решения вопроса 1
@alexvdem Автор вопроса
Короче, с OpenVPN я разобрался, в настройке правила NAT на проброс порта просто достаточно указать входящий интерфейс (In. Interface), на котором висит OpenVPN клиент. Теперь осталось сделать правило для IPSec, т.к. у него нет интерфейса, то надо действовать иначе.
PS: Разобрался окончательно. Для того, чтобы запустить трафик в локальную сеть Mikrotik только через IPSec клиента, настроенного на роутере, надо в правиле NAT для входящих соединений написать:
Chain - dstnat
Protocol - tcp (в моем случае для Samba)
Dst. port - 137-139 (в моем случае для Samba)
Advanced - IPSecPolicy - in - ipsec
Action - netmap
To addresses - 192.168.15 (докальный ip присвоенный NAS роутером)
To port 137-139 (в моем случае для Samba)

Ну и не забыть передвинуть правило в очереди повыше.
При этой настройке никакие входящие соединения через Samba порты из интернета не проходят, кроме тех, что идут через VPN IPSec
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
poisons
@poisons
ip firewall filter вам чем не угодил? Оперировать можете хоть подсетями, хоть интерфейсами.
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
Если я чешу в затылке - не беда!
Что надо - то и прописать. Скачать схему прохождения пакетов netfilter, где показан путь IPSec, где он шифруется, где расшифровыввается и посмотреть, где, в каком месте удобнее фильтровать.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы