TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Гигабитный VPN маршрутизатор на базе технологии SafeStream™ с поддержкой нескольких WAN
Ответить
VamaX
Сообщения: 8
Зарегистрирован: 16 июн 2016, 17:37
Страна: Украина

TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Сообщение VamaX » 14 апр 2019, 19:36

Название темы: Блокировка протокола в правилах Access Control
Аппаратная версия устройства: TL-ER6120 v3.0 / 3.0.1 Build 20180724 Rel.80086
Тип подключения: Static IP
Описание проблемы: V3 Правило фаервола не блокирует выбранный протокол!
На версии 1.0 все было идеально и просто настраивалось.

На v3 все удалил и начал делать по мануалу:
https://www.tp-link.com/ru/support/faq/2026/

На v3 проблема: Правило фаервола не блокирует выбранный протокол!

Вариант 1:

ID Name Source Destination Policy Service Type Interface Effective Time Operation
1 RDP_IN RDP_Clients TS Allow RDP WAN1 Any
2 RDP_Block IPGROUP_ANY TS Block RDP WAN1 Any

Изображение

Первое разрешает RDP с доверенных удаленных хостов на термсервер за роутером (проброс порта есть).
Последнее должно запрещать RDP с любых хостов, кроме разрешенных правилом 1, но этого не происходит!
Проброс RDP работает со всех хостов абсолютно не считаясь с правилом 2!

Вариант 2:

ID Name Source Destination Policy Service Type Interface Effective Time Operation
1 RDP_IN RDP_Clients TS Allow RDP WAN1 Any
2 RDP_Block IPGROUP_ANY TS Block ALL WAN1 Any

Изображение

Если поменять RDP на ALL - соединения прерываются для всех хостов не зависимо от правила 1!

легенда:
RDP_Clients - список разрешенных к конекту wan ip (доверенных)
TS - wan ip роутера

Проверяю методом попытки соединения по RDP к TS (внешнему ip роутера - WAN1) - удаляя/добавляя IP удаленной машины в группу DRP_Clients

Где я ошибся, или как работает железо на V2 и V3? На V1 работает 13 точек с IPSecVPN и кучей пробросов - 7 лет проблем не знал, а тут купил V2 и V3 и ппц.


Что такое Me и !Me в выборе Дестенейшен? И зачем идет повторение всех груп с !####? Что это дает?

Изображение

Раньше все правила писались: соединение/порт на > роутер > если есть разрешение > смотрим проброс > если есть проброс > пробрасываем
Нужно пробрасывать видео наблюдение на новых объектах - на V1 это 20 мин работы, на V2/V3 ничего не могу сделать уже второй день, или все от всех на что есть проброс или ничего совсем!



P.S. Ужасно неудобно стало писать правила для фаервола с вводом раздела груп ip адресов - это просто издевательство!
Последний раз редактировалось VamaX 15 апр 2019, 18:57, всего редактировалось 3 раза.

VamaX
Сообщения: 8
Зарегистрирован: 16 июн 2016, 17:37
Страна: Украина

Re: TL-ER6120 V3 - IPGROUP_ANY Block в правилах Access Control не работает!

Сообщение VamaX » 15 апр 2019, 17:30

Добавил скрины для наглядности.
UNITED THE RELIGION!

sclll
Модератор
Модератор
Сообщения: 197
Зарегистрирован: 19 май 2015, 11:26
Страна: Россия

Re: TL-ER6120 V3 - IPGROUP_ANY Block в правилах Access Control не работает!

Сообщение sclll » 15 апр 2019, 20:43

VamaX писал(а):
15 апр 2019, 17:30
Добавил скрины для наглядности.
Приветствую,
Скриншотов к сожалению не видно, Попробуйте залить из на гугл диск например и пришлтите ссылку на них.
По поводу me, !me и дублирующие группы с !, как это работает - восклицательный знак указывает то что цель Все, кроме адресов из списка перед которым!, тоже самое с me(ваш адрес) и !me(все кроме вашего адреса)

VamaX
Сообщения: 8
Зарегистрирован: 16 июн 2016, 17:37
Страна: Украина

Re: TL-ER6120 V3 - IPGROUP_ANY Block в правилах Access Control не работает!

Сообщение VamaX » 15 апр 2019, 21:22

sclll писал(а):
15 апр 2019, 20:43
VamaX писал(а):
15 апр 2019, 17:30
Добавил скрины для наглядности.
Приветствую,
Скриншотов к сожалению не видно, Попробуйте залить из на гугл диск например и пришлтите ссылку на них.
По поводу me, !me и дублирующие группы с !, как это работает - восклицательный знак указывает то что цель Все, кроме адресов из списка перед которым!, тоже самое с me(ваш адрес) и !me(все кроме вашего адреса)
https://static-community.tp-link.com/ot ... a0d592.gif
https://static-community.tp-link.com/ot ... 4d0e14.gif
https://static-community.tp-link.com/ot ... 5c3214.jpg

Странно, у меня показывает. Линк на Eng форум с той же темой, там скрины.
https://community.tp-link.com/en/busine ... 963?page=1

Не совсем понял по поводу групп с ! и без. Скачал полную документацию - читаю....
UNITED THE RELIGION!

VamaX
Сообщения: 8
Зарегистрирован: 16 июн 2016, 17:37
Страна: Украина

Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Сообщение VamaX » 18 апр 2019, 10:12

Ни у кого нет проблем с Access Control?
UNITED THE RELIGION!

sclll
Модератор
Модератор
Сообщения: 197
Зарегистрирован: 19 май 2015, 11:26
Страна: Россия

Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Сообщение sclll » 18 апр 2019, 14:26

VamaX писал(а):
18 апр 2019, 10:12
Ни у кого нет проблем с Access Control?
Приветствую,
Какие адреса у вас входят в RDP_client?
Какой адрес является TS? На En вы указали что это WAN-IP, а в гайде, который вам рекомендовали явно указанно, что указывается локальный адрес сервера, до которого делается проброс
Создайте разрешающее правила для группы RDP_client, запрещающее для !RDP_client и проверьте работу

VamaX
Сообщения: 8
Зарегистрирован: 16 июн 2016, 17:37
Страна: Украина

Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Сообщение VamaX » 18 апр 2019, 15:15

sclll писал(а):
18 апр 2019, 14:26
Приветствую,
Какие адреса у вас входят в RDP_client?
Какой адрес является TS? На En вы указали что это WAN-IP, а в гайде, который вам рекомендовали явно указанно, что указывается локальный адрес сервера, до которого делается проброс
Создайте разрешающее правила для группы RDP_client, запрещающее для !RDP_client и проверьте работу
RDP_Clients - внешние постоянные WAN ip других офисов.
TS - группа из 2х адресов (внутренний TS-LAN на который идет проброс порта и внешний WAN1). Пробовал указывать и внутренний адрес TS сервера и внешний WAN1 адрес роутера (результат тот же) и оба одновременно.

Делал сброс к заводским и четко по инструкции.

Попробую ночью сделать запрещающее на !RDP_client - отпишу результат (хотя просто не понимаю зачем так все усложнили).

У меня больше 15 таких устройств в версии V1. Ну не нуб я в этих вопросах и чудес на свете не бывает. И микротики и д-линки, и циски парочка есть.

2 версию я пропустил, были в запасах 10 v1, а в v3 явно что-то поменялось в логике написания правила и как оно работает по сравнению с тем, как оно работало в v1. Или это глюк прошивки на моем устройстве. Взял другой TL-ER6120 V2 - на выходных попробую его настроить тем же способом, результат отпишу.
UNITED THE RELIGION!

VamaX
Сообщения: 8
Зарегистрирован: 16 июн 2016, 17:37
Страна: Украина

Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Сообщение VamaX » 18 апр 2019, 18:28

Как и предполагал - все дело в логике построении правила:
https://static-community.tp-link.com/ot ... 02e61c.gif
Изображение

Начал перебирать по порядку все возможные варианты. И все вроде заработало корректно на выборе !Me.
Получается как раз !Me это для фаерволла адрес WAN1? В мануале об этом не словечка.

Кто то может объяснить в чем разница между Me и !Me?

Вот тут как то не понятно:
(По поводу me, !me и дублирующие группы с !, как это работает - восклицательный знак указывает то что цель Все, кроме адресов из списка перед которым!, тоже самое с me(ваш адрес) и !me(все кроме вашего адреса))
UNITED THE RELIGION!

Ответить

Вернуться в «TL-ER6120»