Организовал связь с объектом (там стоит СПК110) через OpenVPN. При этом СПК110 является modbus TCP slave. Связь заработала только когда выставил в СПК110 Сеть->межсетевой экран-> wan=>REJECT все вкладки принимать. Но так получается доступ любым приложениям. А как сделать, чтобы доступ был только через vpn туннель? И второй вопрос: не совсем понятно в данном контексте wan=>REJECT

Организовал связь с объектом (там стоит СПК110) через OpenVPN. При этом СПК110 является modbus TCP slave. Связь заработала только когда выставил в СПК110 Сеть->межсетевой экран-> wan=>REJECT все вкладки принимать. Но так получается доступ любым приложениям. А как сделать, чтобы доступ был только через vpn туннель? И второй вопрос: не совсем понятно в данном контексте wan=>REJECT

У вас на СПК запущен OpenVPN-клиент?
Или СПК подключена к роутеру с OpenVPN-сервером, к которому вы подключаетесь OpenVPN-клиентом?

У меня на СПК запущен OpenVPN-клиент. Настройки делал через web-configurator

У меня на СПК запущен OpenVPN-клиент. Настройки делал через web-configurator

Я завтра проверю у себя ваш сценарий и отпишусь.
Насколько помню - для работы по Modbus TCP через VPN никаких доп. настроек не требуется.
WAN на СПК по умолчанию не включен, так что если вы не включали его специально - то настройки межсетевого экрана вообще никак не должны влиять на происходящее (по умолчанию правила межсетевого экрана действуют только на зону WAN).

Организовал связь с объектом (там стоит СПК110) через OpenVPN. При этом СПК110 является modbus TCP slave. Связь заработала только когда выставил в СПК110 Сеть->межсетевой экран-> wan=>REJECT все вкладки принимать. Но так получается доступ любым приложениям. А как сделать, чтобы доступ был только через vpn туннель? И второй вопрос: не совсем понятно в данном контексте wan=>REJECT

WAN - REJECT - это общая политика. Она мало влияет на соединение VPN.
Вы должны были в Firewall - Trafic Rules разрешить обмен по порту VPN.
Кстати, какой он у вас?

Проверил еще раз у себя - Modbus TCP по OpenVPN работает из коробки, без необходимости каких-то манипуляций в настройках межсетевого экрана.

59876 59877 59878

Проверил еще раз у себя - Modbus TCP по OpenVPN работает из коробки, без необходимости каких-то манипуляций в настройках межсетевого экрана.

59876 59877 59878

Евгений, я так понимаю, в новых версиях панелей встроена LUCI. Покажите пожалуйста страницы:
* Network-Firewall-General (У вас это Сеть-Межсетевой-Основные, как я понимаю)
* Network-Firewall-TraficRules

Евгений, я так понимаю, в новых версиях панелей встроена LUCI. Покажите пожалуйста страницы:
* Network-Firewall-General (У вас это Сеть-Межсетевой-Основные, как я понимаю)
* Network-Firewall-TraficRules

Настройки по умолчанию:

59958 59959 59960 59961

Настройки по умолчанию:



Спасибо большое, но интерфейса vpn100 у вас нет в скриншотах файервола.

ЗЫ. В сообщении до моей просьбы - у вас 3 интерфейса (lan, usb0 и open_vpn).
В вашем ответе на мою просьбу - вижу 2 зоны firewall (lan и wan). Допустим, USB0 - это wan, через 4G. Но для OpenVPN - нет зоны и правил.
Хотелось бы увидеть данные страницы при работающем VPN.

Спасибо большое, но интерфейса vpn100 у вас нет в скриншотах файервола.

Более того - на скриншотах вообще нет интерфейсов.
Потому что на уровне межсетевого экрана настраиваются зоны, а уже в настройках интерфейсов для каждого интерфейса можно выбрать нужную ему зону.

Более того - на скриншотах вообще нет интерфейсов.
Потому что на уровне межсетевого экрана настраиваются зоны, а уже в настройках интерфейсов для каждого интерфейса можно выбрать нужную ему зону.

59962

Тут у вас 3 интерфейса.

Зоны firewall настраиваются для зон, соответственно. Чаще всего - по интерфейсам, так как они определяют "физические зоны". Если интерфейс не определен в зоне firewall, весь обмен по данному устройству должен быть отвергнут.

59962

Тут у вас 3 интерфейса.

Зоны firewall настраиваются для зон, соответственно. Чаще всего - по интерфейсам, так как они определяют "физические зоны". Если интерфейс не определен в зоне firewall, весь обмен по данному устройству должен быть отвергнут.

Вы ошибаетесь.
https://openwrt.org/docs/guide-user/firewall/firewall_configuration



The defaults section declares global firewall settings which do not belong to specific zones:

config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'REJECT'
option custom_chains '1'
option drop_invalid '1'
option synflood_protect '1'
option synflood_rate '25/s'
option synflood_burst '50'
option tcp_ecn '1'
option tcp_syncookies '1'
option tcp_window_scaling '1'

Вы ошибаетесь.
https://openwrt.org/docs/guide-user/firewall/firewall_configuration


Я думаю, вы ошибаетесь.
Правила Default действуют на зоны по умолчанию. Если интерфейс не включен в зону, для него вообще правила не действуют, и он не участвует в обмене. Иначе, любой хакер может создать интерфейс, которому плевать на правила firewall

Я думаю, вы ошибаетесь.
Правила Default действуют на зоны по умолчанию. Если интерфейс не включен в зону, для него вообще правила не действуют, и он не участвует в обмене. Иначе, любой хакер может создать интерфейс, которому плевать на правила firewall

https://youtu.be/HFc6Md65ptc
Посмотрите внимательно видео. Можно заметить, что интерфейс OpenVPN не включен ни в какую зону, но при этом через него удается пинговать ПЛК и загружать в него проект CODESYS.
Если вы не доверяете видео - можете повторить этот эксперимент сами.
У вас же есть наш ПЛК, верно? Уверен, что такой квалифицированный специалист как вы не стал бы попусту бросаться словами об оборудовании, с которым ему не приходилось работать.


Иначе, любой хакер может создать интерфейс, которому плевать на правила firewall

Так и есть. Но чтобы создать интерфейс - хакеру нужно получить доступ к устройству, а если он его получил - создание интерфейса, скажем так, не самая опасная операция из тех, что он может совершить.