+ Responder ao Tópico



  1. #1

    Padrão Mikrotik - Drop Input - VPN sobre PPP

    Boa tarde Pessoal, alguem consegue me ensinar como fazer drop input de tudo que entra pela internet com uma conexao vpn em cima de uma conexao ppp, toda vez que mando dar drop input no interface list wan o vpn cai e so fica funcionando o ppp

    /ip firewall filter
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=accept chain=input comment="defconf: accept established,related" \
    connection-mark=ipsec connection-state=established,related
    add action=add-src-to-address-list address-list="Drop - Input - Wan" \
    address-list-timeout=1d chain=input comment="Drop - Input - VPN" \
    in-interface=Wan
    add action=drop chain=input in-interface=Wan
    add action=fasttrack-connection chain=forward comment="FastTrack - Rede Predio" \
    connection-mark=!ipsec connection-state=established,related
    add action=drop chain=forward comment="drop VPN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface=VPN
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
    invalid
    add action=add-src-to-address-list address-list="Drop - Input - VPN" \
    address-list-timeout=none-dynamic chain=input comment="Drop - Input - PPP" \
    in-interface=all-ppp
    add action=drop chain=input in-interface=VPN
    /ip firewall mangle
    add action=mark-routing chain=prerouting comment="Rota para VPN" in-interface=\
    VPN-bridge new-routing-mark=Vpn passthrough=yes
    add action=mark-connection chain=prerouting comment="Mark Conection VPN" \
    in-interface=VPN new-connection-mark=ipsec passthrough=yes
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=VPN src-address=10.0.0.0/24
    add action=masquerade chain=srcnat out-interface=Predio src-address=10.1.1.0/24

    Clique na imagem para uma versão maior

Nome:	         Capturar.JPG
Visualizações:	9
Tamanho: 	99,9 KB
ID:      	69740Clique na imagem para uma versão maior

Nome:	         Capturar2.JPG
Visualizações:	9
Tamanho: 	59,9 KB
ID:      	69742Clique na imagem para uma versão maior

Nome:	         Capturar4.JPG
Visualizações:	9
Tamanho: 	54,1 KB
ID:      	69743Clique na imagem para uma versão maior

Nome:	         3.JPG
Visualizações:	8
Tamanho: 	43,4 KB
ID:      	69741

  2. #2

    Padrão Re: Mikrotik - Drop Input - VPN sobre PPP

    Bom dia,

    Não vi nenhuma interface-list WAN no seu cenário.

    Para fazer o DROP de tudo que vem pela VPN com direção a RB(INPUT)
    /ip firewall filter
    add chain=input in-interface=VPN action=drop

    O que reparei que os prints não batem com o export q vc colou.
    Os nomes das interfaces estão diferentes e parece que as posições também.
    Talvez até esse seja um dos problemas, pois pelo que pude ver, a regra que aceita as estabelecidas e relacionadas não está incrementando.
    Isso indica que a conexão da VPN não está partindo dessa RB, então acredito que essa RB seja o servidor da VPN.
    Partindo desse pensamento, outra coisa que percebi é que a última regra de drop input, dropa pacotes na porta 1 wan, e pode ser ela que esteja bloqueando a conexão da VPN.

    Se essa RB estiver como cliente VPN, as estabelecidas e relacionadas deveriam estar incrementando.
    Isso pode indicar um erro nessa regra, onde algum dos requisitos não esteja sendo preenchido.
    No export contém um requisito que é connection-mark=ipsec, porém como a conexão ainda não foi estabelecida por causa do drop de input da porta 1 wan, o mangle não adiciona nenhuma marcação no pacote.

    O que te recomendo é desativar as regras de drop, e ir ativando 1 por 1 até identificar qual delas está bloqueando a conexão da VPN.