Разрешить доступ только через туннель.

ikev2, ipsec, iptables, mikrotik, routing

0

1

Поднят туннель ipsec ikev2. В адрес листе указаны сайты и ip доступ к которым должен быть через туннель. Если туннель падает/зависает/отключает, то трафик идет напрямую через провайдера. Как этого избежать? При падении туннель нужно блокировать доступ через провайдера.

←	Конфликт настроек программ Debian 11 и Debian 12

при запуске os растет buff/cache

→

настроить правила в таблице forwarding на вкладке ip => firewall => filters

Turbid ★★★★★
(26.09.23 09:26:57 MSK)

Ответ на: комментарий от Turbid 26.09.23 09:26:57 MSK

Если так

chain=forward dst-address-list=list out-interfaces=WAN action=drop


То пакеты дропают и в туннель не попадают. Через туннель пакеты должны ходить, а через провайдера нет.

vladiks4
(26.09.23 12:17:10 MSK) автор топика

Из вариантов, либо закрыть фаерволом внешние адреса ресурсов, которые должны идти через тунель, либо реализовать failsafe через запуск прикладного ПО в сетевом неймспейсе без интернета, но с veth парой от vpn

GLaDOS ★
(26.09.23 14:14:32 MSK)

В iptables есть матчер policy, можете отбрасывать пакеты на необходимые вам IP-адреса без policy --pol ipsec.

   policy
       This module matches the policy used by IPsec for handling a packet.

       --dir {in|out}
              Used to select whether to match the policy used for decapsulation or the policy that will be used for encapsulation.  in is valid in the PREROUTING, INPUT and FORWARD chains, out is valid
              in the POSTROUTING, OUTPUT and FORWARD chains.

       --pol {none|ipsec}
              Matches if the packet is subject to IPsec processing. --pol none cannot be combined with --strict.

UPD: а, Mikrotik, тогда не подскажу.

ValdikSS ★★★★★
(28.09.23 22:58:37 MSK)
Последнее исправление: ValdikSS 28.09.23 22:59:15 MSK (всего исправлений: 1)

←	Конфликт настроек программ Debian 11 и Debian 12

General

при запуске os растет buff/cache

→

Похожие темы