Mikrotik - dynamický interface in firewall

Mikrotik - dynamický interface in firewall
« kdy: 17. 07. 2022, 11:26:22 »
Dobrý den,

nevíte někdo jak vyřešit problém, když v RouterOS Firewall je u pravidla použit dynamický interface do tunelu?
Pokud se tunel rozpojí, tak zmizí dynamický interface.
Pak při obnovení tunelu je třeba ručně opravit nastavení pravidla na dynamický opětovně vytvořený interface.

Díky


Re:Mikrotik - dynamický interface in firewall
« Odpověď #1 kdy: 17. 07. 2022, 12:21:33 »
kdyz vyrabis if tak ho muzes dat do interface listu, fw pak delas nad listem.

Re:Mikrotik - dynamický interface in firewall
« Odpověď #2 kdy: 17. 07. 2022, 13:23:39 »
Díky,

ale jak udělat nový list jen s jedním konkrétním dynamickým interface?
Nabízí se mi jen všechny dynamické do listu, ale já jich mám celkem cca 10 dynamických (CAPs) a potřebuji v listu jen ten jeden konkrétní interface?



Re:Mikrotik - dynamický interface in firewall
« Odpověď #3 kdy: 17. 07. 2022, 15:59:14 »
CAPs neznam.
Znam dynamice if u VPN -> PPP profiles muzes dat interface a address list. prvni si udelas prazdnej a pri pripojeni klienta se ti tam automaticky priradi. u ipsec jde udelat connection mark.
mozna existuje jina cesta jak udelat co chces - zkus se rozepsat (a nekdy cloveku pomuze i jen to ze si sesumiruje otazku k "publikaci").

Re:Mikrotik - dynamický interface in firewall
« Odpověď #4 kdy: 17. 07. 2022, 21:55:37 »
Díky,

v PPP to také správně nešlo, ale vyřešel jsem to nastavením "all ppp" ve Firewallu. Asi to není optimální, ale funguje to správně.
Díky za radu, nakopla mě správným směrem.



M_D

  • ***
  • 243
    • Zobrazit profil
    • E-mail
Re:Mikrotik - dynamický interface in firewall
« Odpověď #5 kdy: 17. 07. 2022, 22:47:04 »
V PPP profilu přímo určuji in/out filtr chain, který pro dané připojení platí. Takže pro to, co potřebuji specilně filtrovat, si udělám spešl profil, ten nasměruji na připravený filtr řetězec a je to. Když se tunel nahodí, tak se přidá dynamické pravidlo pro daný dynamický interface dělající jump na to sadu zadanou v profilu. Pravidlo se dynamicky přidá do ppp chainu, takže je třeba mít aktivní obecný jump v input/forward filteru na chain ppp, do něj dynimicky se vloží jump pro daný iface na předdefinovaný chain profilu.
Nebo jde obdobně dynamicky přidat do address nebo interface listu.
Je zmíněn tunel od CAPs, takže tunel z APčka na CAPsMAN. Tam to jde udělat přes interface list, pro dané APčko je třeba definovat datapath, v ní uvedu interface list do kterého se dynamicky přiřadí ten tunel, když je aktivní a firewall si udělám na daný intefacelist.

Re:Mikrotik - dynamický interface in firewall
« Odpověď #6 kdy: 18. 07. 2022, 08:23:06 »
Moc díky,  na doma mi stačí nastavení Firewall na "all PPP", mám tam stejně obvykle jen jedno rozhraní.
Vyřešeno.