Как подружить FastTrack и IPsec в Mikrotik RouterOS?

26 июль 2017 512 0

В одной из предыдущих публикаций я описывал способ маркировки нужного трафика и его последующую отправку в VPN. Одной из негативных сторон описанного метода является необходимость отключения FastTrack.

FastTrack был добавлен начиная с версии RouterOS 6.29, функция очень полезная, если кратко, она позволяет пересылать пакеты без обработки ядром (Linux Kernel), как результат вы получаете существенное повышение производительности.

Включение FastTrack происходит при помощи команды:

/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related

Данное правило позволяет пересылать пакеты со статусом «Established» и «Related» напрямую получателю, минуя ядро и правила файрволла (брандмауэр). Таким образом, соединение, получившее статус Established/Related далее будет пересылать пакеты напрямую, без необходимости в дополнительной обработки или фильтрации при помощи Firewall.

Разумеется, соединение получает статус Established/Related только после прохождение файрволла, поэтому в дальнейшем соединение остается защищенным

И всё было бы хорошо, если бы некоторые нюансы, в частности, одновременная работа FastTrack и IPsec.

Начиная с версии RouterOS 6.30, разработчики добавили возможность маркировки соединений и пакетов, что позволяет видоизменить правило FastTrack, исключив из него ненужное.

Для того, чтобы промаркировать пакеты IPsec, нам необходимо прибегнуть к помощи Mangle из подменю Firewall.

/ip firewall mangle add action=mark-connection chain=output comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsec

/ip firewall mangle add action=mark-connection chain=input comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsec
mark-ipsec.rsc [240 b] (cкачиваний: 11)

При помощи данного правила, мы выполняем пометку (маркировку) всего входящего и исходящего трафика IPsec.

Теперь осталось только внести изменения в правило FastTrack, добавив в него connection-mark:

/ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrack connection-mark=!ipsec connection-state=established,related

Наличие восклицательного знака перед меткой, означает, что правило будет исключать все пакеты и соединения с пометкой «ipsec». На этом собственно всё.

Источник Интернет-магазин ntools.com.ua

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Mikrotik представит обновление RouterOS 6.40 уже в ближайшие дни

Представители компании Mikrotik подтвердили намерение выпустить обновление RouterOS 6.40 уже в ближайшие дни. Начиная с версии RouterOS v6.40rc36,...

Обход блокировки сайтов со стороны провайдера на Mikrotik (RouterOS) при помощи

В рамках данной публикации мне хотелось бы поговорить об одном из методов обхода блокировки сайтов со стороны провайдера на маршрутизаторах Mikrotik...

Denial Of Service: уязвимость RouterOS 6.38.5 позволяет вызвать отказ сети

Не успели Mikrotik закрыть уязвимости, выявленные с публикацией Wikileaks Vault 7, как 28-го марта была опубликована новая уязвимость CVE-2017-7285,...

Выход обновления RouterOS 6.38: доработка IPSec, поддержка IKEv2, STP, LLDP,

Накануне Нового года, 30-го декабря компания Mikrotik выпустила обновление RouterOS 6.38. Чуть ранее мы уже говорили об особенностях и изменениях в...

Не работает Simple Queue в RouterOS на оборудовании Mikrotik? Есть решение!

На днях ко мне приехал новенький Mikrotik hAP, предназначенный для установки на одном из филиалов. Установка предполагается в торговой точке,...

Mikrotik выпустил обновление RouterOS 6.35: исправления, оптимизации, новые

Компания Mikrotik сегодня представила обновление операционной системы RouterOS до версии 6.35. Обновление ROS уже доступно на официальном сайте, а...


авторизация на сайте

Войти при помощи Вконтакте Войти при помощи Facebook Войти при помощи Google+ Войти при помощи Яндекс
Забыли пароль?