[DrayOS5] Filtrowanie ruchu VPN LAN-LAN

Routery DrayTek z systemem DrayOS5 to m.in. Vigor C410ax, Vigor C510ax, seria Vigor 2136.

Główne założenia przykładu:
– tunel VPN pomiędzy podsieciami 192.168.1.0/24 <-> 192.168.2.0/24
– urządzenia z podsieci 192.168.2.x mają dostęp tylko do 192.168.1.10 w podsieci 192.168.1.x.

VPN

Zapoznaj się z przykładami VPN LAN-LAN DrayOS5

Przejdź do zakładki VPN / Site-to-Site VPN.
Utwórz tunel VPN.

Przejdź do zakładki VPN / VPN Connection Status / Site-to-Site VPN, aby sprawdzić status połączeń VPN.

Obiekty

Przejdź do zakładki Configuration / Objects / IP Object.
Kliknij Add, aby dodać nowy profil.

Reguły Firewall

Przejdź do zakładki Security / Firewall Filters / IP Filters.
Kliknij Add, aby dodać nowy profil.
Reguła przepuszczająca
– Wpisz nazwę reguły.
– Zaznacz Enabled.
– Jako kierunek wybierz LAN/VPN to LAN/VPN, aby reguła dotyczyła ruchu z VPN do LAN.
– W polu Source wybierz IP Object, następnie kliknij Add, aby jako źródło wskazać stworzony wcześniej obiekt IP zawierający adres IP podsieci 192.168.2.0/24.
– W polu Destination wybierz IP Object, następnie kliknij Add, aby jako przeznaczenie wskazać stworzony wcześniej obiekt IP zawierający adres IP urządzenia 192.168.1.10.
– W polu Protocol pozostaw Any, aby reguła dotyczyła dowolnej usługi.
– Wybierz akcję Pass, aby Vigor przepuszczał ruch z 192.168.2.0/24 do 192.168.1.10.

Reguła blokująca
– Wpisz nazwę reguły.
– Zaznacz Enabled.
– Jako kierunek wybierz LAN/VPN to LAN/VPN, aby reguła dotyczyła ruchu z VPN do LAN.
– W polu Source wybierz IP Object, następnie kliknij Add, aby jako źródło wskazać stworzony wcześniej obiekt IP zawierający adres IP podsieci 192.168.2.0/24.
– W polu Destination wybierz IP Object, następnie kliknij Add, aby jako przeznaczenie wskazać stworzony wcześniej obiekt IP zawierający adres IP podsieci 192.168.1.0/24.
– W polu Protocol pozostaw Any, aby reguła dotyczyła dowolnej usługi.
– Wybierz akcję Block, aby Vigor blokował pozostały ruch z podsieci 192.168.2.0/24 do podsieci 192.168.1.0/24.