Шпаргалка по фаерволу Mikrotik, пропускаем VPN соединения1. Разрешить весь VPN-трафик через VPN-соединения:Надо учитывать, что некоторые виды подключения, например GRE не являются PPP./ip firewall filteradd chain=forward comment="Permit all PPP" in-interface=all-ppp2. Разрешить PPTP-подключение/ip firewall filteradd chain=input dst-port=1723 protocol=tcp comment="Permit PPTP"add action=accept chain=input protocol=gre comment="Permit GRE"3. Разрешить L2TP-подключение/ip firewall filteradd chain=input dst-port=1701 protocol=udp comment="Permit L2TP"4. Разрешить IPSec-подключение/ip firewall filteradd chain=input port=500,4500 protocol=udp comment="Permit IPSec ports 500 and 4500"add chain=input protocol=ipsec-esp comment="Permit IPSec protocol ipsec-esp"5. Разрешить OpenVPN-подключение/ip firewall filteradd action=accept chain=input dst-port=1194 protocol=tcp comment="Permit OpenVPN"6. Разрешить SSTP-подключение/ip firewall filteradd action=accept chain=input dst-port=443 protocol=tcp comment="Permit SSTP"7. Разрешить GRE-подключение/ip firewall filteradd action=accept chain=input protocol=gre comment="Permit GRE"8. Разрешить IPIP-подключение/ip firewall filteradd action=accept chain=input protocol=ipip comment="Permit IPIP"9. Прохождение IPSec при использовании Fast TrackFast Track это опция представленная в RouterOS 6.29. С помощью этой опции можно передавать пакеты в обход ядра Linux. За счет этого существенно повышается производительность маршрутизатора.Включить Fast Track можно следующим образом:/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,relatedЭто позволит пакетам у которых состояние «Established» или «Related» обходить ядро Linux и быть сразу перенаправленным к цели. Такие пакеты не будут проходить ни через одно правило файервола или другое правило обработки пакетов. Конечно, соединение получает состояние «установлено» или «связано» после того, как оно прошло через брандмауэр, поэтому оно по-прежнему будет безопасным.Как результат появляется недостаток: соединения IPsec так же не будут обработаны. Решить эту проблему можно следующим образом.Вначале надо пометить соединения IPsec:/ip firewall mangleadd action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=out,ipsec new-connection-mark=ipsecadd action=mark-connection chain=forward comment="Mark IPsec" ipsec-policy=in,ipsec new-connection-mark=ipsecДалее изменить стандартное правило Fast Track так, что бы оно не обрабатывало пакеты IPsec. Изменения внесенные в стандартное правило выделены красным./ip firewall filter add action=fasttrack-connection chain=forward comment=FastTrackconnection-mark=!ipsec connection-state=established,related👉 @i_odmin
