Разрешения межсетевого экрана для OpenVPN клиент

[AlexZ]

Организовал связь с объектом (там стоит СПК110) через OpenVPN. При этом СПК110 является modbus TCP slave. Связь заработала только когда выставил в СПК110 Сеть->межсетевой экран-> wan=>REJECT все вкладки принимать. Но так получается доступ любым приложениям. А как сделать, чтобы доступ был только через vpn туннель? И второй вопрос: не совсем понятно в данном контексте wan=>REJECT

[Евгений Кислов]

Организовал связь с объектом (там стоит СПК110) через OpenVPN. При этом СПК110 является modbus TCP slave. Связь заработала только когда выставил в СПК110 Сеть->межсетевой экран-> wan=>REJECT все вкладки принимать. Но так получается доступ любым приложениям. А как сделать, чтобы доступ был только через vpn туннель? И второй вопрос: не совсем понятно в данном контексте wan=>REJECT

У вас на СПК запущен OpenVPN-клиент?
Или СПК подключена к роутеру с OpenVPN-сервером, к которому вы подключаетесь OpenVPN-клиентом?

[AlexZ]

У меня на СПК запущен OpenVPN-клиент. Настройки делал через web-configurator

[Евгений Кислов]

У меня на СПК запущен OpenVPN-клиент. Настройки делал через web-configurator

Я завтра проверю у себя ваш сценарий и отпишусь.
Насколько помню - для работы по Modbus TCP через VPN никаких доп. настроек не требуется.
WAN на СПК по умолчанию не включен, так что если вы не включали его специально - то настройки межсетевого экрана вообще никак не должны влиять на происходящее (по умолчанию правила межсетевого экрана действуют только на зону WAN).

[keysansa]

Организовал связь с объектом (там стоит СПК110) через OpenVPN. При этом СПК110 является modbus TCP slave. Связь заработала только когда выставил в СПК110 Сеть->межсетевой экран-> wan=>REJECT все вкладки принимать. Но так получается доступ любым приложениям. А как сделать, чтобы доступ был только через vpn туннель? И второй вопрос: не совсем понятно в данном контексте wan=>REJECT

WAN - REJECT - это общая политика. Она мало влияет на соединение VPN.
Вы должны были в Firewall - Trafic Rules разрешить обмен по порту VPN.
Кстати, какой он у вас?

[Евгений Кислов]

Проверил еще раз у себя - Modbus TCP по OpenVPN работает из коробки, без необходимости каких-то манипуляций в настройках межсетевого экрана.

2022-03-25_9-18-52.png 2022-03-25_9-15-39.png 2022-03-25_9-18-21.png

[keysansa]

Проверил еще раз у себя - Modbus TCP по OpenVPN работает из коробки, без необходимости каких-то манипуляций в настройках межсетевого экрана.

2022-03-25_9-18-52.png 2022-03-25_9-15-39.png 2022-03-25_9-18-21.png

Евгений, я так понимаю, в новых версиях панелей встроена LUCI. Покажите пожалуйста страницы:
* Network-Firewall-General (У вас это Сеть-Межсетевой-Основные, как я понимаю)
* Network-Firewall-TraficRules

[Евгений Кислов]

Евгений, я так понимаю, в новых версиях панелей встроена LUCI. Покажите пожалуйста страницы:
* Network-Firewall-General (У вас это Сеть-Межсетевой-Основные, как я понимаю)
* Network-Firewall-TraficRules

Настройки по умолчанию:

2022-03-28_12-35-46.png 2022-03-28_12-36-04.png 2022-03-28_12-36-16.png 2022-03-28_12-36-25.png

[keysansa]

Настройки по умолчанию:

Спасибо большое, но интерфейса vpn100 у вас нет в скриншотах файервола.

ЗЫ. В сообщении до моей просьбы - у вас 3 интерфейса (lan, usb0 и open_vpn).
В вашем ответе на мою просьбу - вижу 2 зоны firewall (lan и wan). Допустим, USB0 - это wan, через 4G. Но для OpenVPN - нет зоны и правил.
Хотелось бы увидеть данные страницы при работающем VPN.

[Евгений Кислов]

Спасибо большое, но интерфейса vpn100 у вас нет в скриншотах файервола.

Более того - на скриншотах вообще нет интерфейсов.
Потому что на уровне межсетевого экрана настраиваются зоны, а уже в настройках интерфейсов для каждого интерфейса можно выбрать нужную ему зону.