Nedávno jsem aktualizoval svůj Cloud Gateway Ultra na verzi 9.0.108 a přenesl pravidla svého firewallu na nový firewall založený na zónách. Všechno se zdálo fungovat správně, kromě pravidla firewallu pro VPN kill switch.
Mám VPN klienta (NordVPN) a provoz z jednoho zařízení je směrován přes VPN tunel. Pak mám pravidlo firewallu, které blokuje veškerý provoz z toho zařízení na internet, jak je uvedeno v těchto příspěvcích:
To pravidlo dříve blokovalo veškerý provoz z daného zařízení směrem k WAN1. Ale od přechodu na zónové pravidla se to změnilo.
S použitím zón firewallu jsem si všiml, že jak WAN1, tak rozhraní VPN klienta jsou ve stejné “External” zóně. A nyní mé pravidlo firewallu blokuje veškerý provoz z toho zařízení na internet (bez ohledu na to, jestli je připojeno přes WAN1 nebo VPN tunel).
Máte nějaký nápad, jak definovat pravidlo, které blokuje provoz na WAN1, ale stále umožňuje přístup k VPN tunelu?
Není to možné s novým Zone-Based Firewallem. Přidal jsem více informací v tomto příspěvku. Doporučuji otevřít případ u Ubiquiti, čím více lidí to udělá, tím větší je šance, že se to dostane na prioritu.
Zajímavé, jak máte své nastavení.
Já to mám trochu jinak a možná vám to pomůže.
Klient VPN běží na počítači, který ji potřebuje.
V Unifi vytvořte IP skupinu, která odpovídá VPN serveru/s, ke kterým se připojujete.
Pravidlo 1: Umožněte cílovému PC přístup k externí síti, pokud odpovídá IP skupině výše.
Pravidlo 2: Blokujte přístup cílového PC ke všem externím sítím.
Nemám čas dát to do hloubky, ale je to spojeno s tímto zjištěním tohoto člověka?
Díky za příspěvek, ušetřil jste mi spoustu problémů. Počkám, až to opraví, než přejdu na nový přístup založený na zónách.
Ví někdo, jestli už bylo toto opraveno?
Tohle je tak základní funkce, že je těžké uvěřit, že není standardem. Ubiquiti už poskytlo nějaké aktualizace, kdy to bude správně implementováno?
