TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!
TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!
2019-04-14 16:36:00
Название темы: Блокировка протокола в правилах Access Control
Аппаратная версия устройства: TL-ER6120 v3.0 / 3.0.1 Build 20180724 Rel.80086
Тип подключения: Static IP
Описание проблемы: V3 Правило фаервола не блокирует выбранный протокол!
На версии 1.0 все было идеально и просто настраивалось.

На v3 все удалил и начал делать по мануалу:
https://www.tp-link.com/ru/support/faq/2026/

На v3 проблема: Правило фаервола не блокирует выбранный протокол!

Вариант 1:

ID Name Source Destination Policy Service Type Interface Effective Time Operation
1 RDP_IN RDP_Clients TS Allow RDP WAN1 Any
2 RDP_Block IPGROUP_ANY TS Block RDP WAN1 Any



Первое разрешает RDP с доверенных удаленных хостов на термсервер за роутером (проброс порта есть).
Последнее должно запрещать RDP с любых хостов, кроме разрешенных правилом 1, но этого не происходит!
Проброс RDP работает со всех хостов абсолютно не считаясь с правилом 2!

Вариант 2:

ID Name Source Destination Policy Service Type Interface Effective Time Operation
1 RDP_IN RDP_Clients TS Allow RDP WAN1 Any
2 RDP_Block IPGROUP_ANY TS Block ALL WAN1 Any



Если поменять RDP на ALL - соединения прерываются для всех хостов не зависимо от правила 1!

легенда:
RDP_Clients - список разрешенных к конекту wan ip (доверенных)
TS - wan ip роутера

Проверяю методом попытки соединения по RDP к TS (внешнему ip роутера - WAN1) - удаляя/добавляя IP удаленной машины в группу DRP_Clients

Где я ошибся, или как работает железо на V2 и V3? На V1 работает 13 точек с IPSecVPN и кучей пробросов - 7 лет проблем не знал, а тут купил V2 и V3 и ппц.


Что такое Me и !Me в выборе Дестенейшен? И зачем идет повторение всех груп с !####? Что это дает?



Раньше все правила писались: соединение/порт на > роутер > если есть разрешение > смотрим проброс > если есть проброс > пробрасываем
Нужно пробрасывать видео наблюдение на новых объектах - на V1 это 20 мин работы, на V2/V3 ничего не могу сделать уже второй день, или все от всех на что есть проброс или ничего совсем!



P.S. Ужасно неудобно стало писать правила для фаервола с вводом раздела груп ip адресов - это просто издевательство!
  0      
  0      
#1
Опции
7 Ответить
Re: TL-ER6120 V3 - IPGROUP_ANY Block в правилах Access Control не работает!
2019-04-15 14:30:18
Добавил скрины для наглядности.
  0  
  0  
#1
Опции
Re: TL-ER6120 V3 - IPGROUP_ANY Block в правилах Access Control не работает!
2019-04-15 17:43:51
[quote=VamaX post_id=71769 time=1555338618 user_id=39306] Добавил скрины для наглядности. [/quote] Приветствую,
Скриншотов к сожалению не видно, Попробуйте залить из на гугл диск например и пришлтите ссылку на них.
По поводу me, !me и дублирующие группы с !, как это работает - восклицательный знак указывает то что цель Все, кроме адресов из списка перед которым!, тоже самое с me(ваш адрес) и !me(все кроме вашего адреса)
  0  
  0  
#1
Опции
Re: TL-ER6120 V3 - IPGROUP_ANY Block в правилах Access Control не работает!
2019-04-15 18:22:10
[quote=sclll post_id=71776 time=1555350231 user_id=31369] [quote=VamaX post_id=71769 time=1555338618 user_id=39306] Добавил скрины для наглядности. [/quote] Приветствую,
Скриншотов к сожалению не видно, Попробуйте залить из на гугл диск например и пришлтите ссылку на них.
По поводу me, !me и дублирующие группы с !, как это работает - восклицательный знак указывает то что цель Все, кроме адресов из списка перед которым!, тоже самое с me(ваш адрес) и !me(все кроме вашего адреса) [/quote]




Странно, у меня показывает. Линк на Eng форум с той же темой, там скрины.


Не совсем понял по поводу групп с ! и без. Скачал полную документацию - читаю....
  0  
  0  
#1
Опции
Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!
2019-04-18 07:12:08
Ни у кого нет проблем с Access Control?
  0  
  0  
#1
Опции
Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!
2019-04-18 11:26:46
[quote=VamaX post_id=71808 time=1555571528 user_id=39306] Ни у кого нет проблем с Access Control? [/quote] Приветствую,
Какие адреса у вас входят в RDP_client?
Какой адрес является TS? На En вы указали что это WAN-IP, а в гайде, который вам рекомендовали явно указанно, что указывается локальный адрес сервера, до которого делается проброс
Создайте разрешающее правила для группы RDP_client, запрещающее для !RDP_client и проверьте работу
  0  
  0  
#1
Опции
Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!
2019-04-18 12:15:16
[quote=sclll post_id=71811 time=1555586806 user_id=31369] Приветствую,
Какие адреса у вас входят в RDP_client?
Какой адрес является TS? На En вы указали что это WAN-IP, а в гайде, который вам рекомендовали явно указанно, что указывается локальный адрес сервера, до которого делается проброс
Создайте разрешающее правила для группы RDP_client, запрещающее для !RDP_client и проверьте работу [/quote]
RDP_Clients - внешние постоянные WAN ip других офисов.
TS - группа из 2х адресов (внутренний TS-LAN на который идет проброс порта и внешний WAN1). Пробовал указывать и внутренний адрес TS сервера и внешний WAN1 адрес роутера (результат тот же) и оба одновременно.

Делал сброс к заводским и четко по инструкции.

Попробую ночью сделать запрещающее на !RDP_client - отпишу результат (хотя просто не понимаю зачем так все усложнили).

У меня больше 15 таких устройств в версии V1. Ну не нуб я в этих вопросах и чудес на свете не бывает. И микротики и д-линки, и циски парочка есть.

2 версию я пропустил, были в запасах 10 v1, а в v3 явно что-то поменялось в логике написания правила и как оно работает по сравнению с тем, как оно работало в v1. Или это глюк прошивки на моем устройстве. Взял другой TL-ER6120 V2 - на выходных попробую его настроить тем же способом, результат отпишу.
  0  
  0  
#1
Опции
Re: TL-ER6120 v3 - в правилах Access Control - IPGROUP_ANY Block Protocol - не работает!
2019-04-18 15:28:13
Как и предполагал - все дело в логике построении правила:



Начал перебирать по порядку все возможные варианты. И все вроде заработало корректно на выборе !Me.
Получается как раз !Me это для фаерволла адрес WAN1? В мануале об этом не словечка.

Кто то может объяснить в чем разница между Me и !Me?

Вот тут как то не понятно:
(По поводу me, !me и дублирующие группы с !, как это работает - восклицательный знак указывает то что цель Все, кроме адресов из списка перед которым!, тоже самое с me(ваш адрес) и !me(все кроме вашего адреса))
  0  
  0  
#1
Опции