Vlan только в интернет
-
есть vlan2 на lan
wan - static ip mask \29
как пропустить трафик из vlan2 в интернеты? что должно быть в качестве назначения? wan address не работает wan net тоже не работает. Пока стоит правило
IPv4 * * * (dest)! LAN net * * none
в качестве destination **!**Lan но это как то не тру.
outbound nat автоматическийчто должно быть в качестве назначения?
Any ? -
any разрешит трафик из vlan2 to lan.
А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернеты -
any разрешит трафик из vlan2 to lan.
А между тем vlan2 должна быть изолирована. Это сеть для гостей из которой нужно разрешить только интернетыПочему-же тогда !Lan не тру, если он описывает именно Ваши требования?
-
потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
Понимаю решение рядом, но найти не могу -
помнится, destination wan addresses отлично справлялся с этой задачей
Бред.
WAN Addresses (?) это адрес (-а) вашего внешнего интерфейса, а не весь Инет.
-
потому как **!**lan позволит пойти трафику и в ipsec и в pptp_vpn и в другие сетевые (opt) интерфейсы. Нужно как-то кратко описать путь в интернет.
При pppoe на wan порту, помнится, destination wan addresses отлично справлялся с этой задачей
Понимаю решение рядом, но найти не могуУ Вас в ipSec/pptp серые подсети? Вот их и баньте для VLAN2. Лучше создать алиас.
-
1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
3. последним правилом разрешить destination=!lan
таким образом получится отрезать все внутренние сетки
при добавлении новых тонелей нужно обновлять алиасыКак то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще
-
1. нужно собрать в alias=localnet все серые подсети из тонелей и т.д.
2. запретить на вкладке vlan2 все destination=localnet (куда нельзя).
3. последним правилом разрешить destination=!lan
таким образом получится отрезать все внутренние сетки
при добавлении новых тонелей нужно обновлять алиасыКак то это все неестественно что-ли. Таким образом можно прийти к alias=internet. должен быть способ проще
Если VLAN2 нужно только в интернет и никуда более, то
1. Все серые подсети IPv4 умещаются в 3 строчки http://ru.wikipedia.org/wiki/%D0%A7%D0%B0%D1%81%D1%82%D0%BD%D1%8B%D0%B9_IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81
2. Создать на вкладке vlan2 разрешающее правило с dest=!Alias
3. Не плодим не нужные сущности.
При добавлении тоннелей все они автоматом попадают в серые подсети из Алиаса. -
Другого способа нет?
-
Другого способа нет?
А зачем?
Желаете создавать себе трудности , а потом их героически преодолевать ? -
Другого способа нет?
Другой способ - в 2 правила
1. Запретить на любые серые сети
2. Разрешить везде.Тот-же вид, только сбоку.
