Когда клиент в внутренней зоне заблокирован от доступа к внешней, то teleport клиенты не могут подключиться к этому клиенту, в то время как клиенты, использующие wireguard, _могут_ получить к нему доступ.
Шаги для воспроизведения:
Для клиента во внутренней зоне создайте правило, блокирующее все исходящие подключения к внешней сети. Убедитесь, что соединение между VPN и внутренней сетью установлено как "allow all" в вашем ZBF.
Включите teleport и настройте teleport клиента.
Включите wireguard и настройте wireguard клиента.
Используйте wireguard для подключения к вашему сайту: Результат – вы можете получить доступ к клиенту, который был заблокирован от доступа к внешней зоне.
Используйте teleport для подключения к вашему сайту: Результат – вы НЕ можете получить доступ к клиенту, который был заблокирован от доступа к внешней зоне, через teleport, вы все равно можете получить доступ ко всем остальным клиентам во внутренней сети.
Что я пробовал:
Отключение правила, которое блокирует внутренний клиент от доступа к внешней зоне, мгновенно позволяет teleport клиенту подключиться к этому клиенту.
Я также пытался создать правила, которые разрешают этому клиенту с блокирующим правилом получать доступ к конкретному teleport клиенту (по IP), я также пробовал то же самое для всего teleport подсети, но безрезультатно.
UDM SE 4.1.13
Network 9.0.108
Шаги для воспроизведения:
Для клиента во внутренней зоне создайте правило, блокирующее все исходящие подключения к внешней сети. Убедитесь, что соединение между VPN и внутренней сетью установлено как "allow all" в вашем ZBF.
Включите teleport и настройте teleport клиента.
Включите wireguard и настройте wireguard клиента.
Используйте wireguard для подключения к вашему сайту: Результат – вы можете получить доступ к клиенту, который был заблокирован от доступа к внешней зоне.
Используйте teleport для подключения к вашему сайту: Результат – вы НЕ можете получить доступ к клиенту, который был заблокирован от доступа к внешней зоне, через teleport, вы все равно можете получить доступ ко всем остальным клиентам во внутренней сети.
Что я пробовал:
Отключение правила, которое блокирует внутренний клиент от доступа к внешней зоне, мгновенно позволяет teleport клиенту подключиться к этому клиенту.
Я также пытался создать правила, которые разрешают этому клиенту с блокирующим правилом получать доступ к конкретному teleport клиенту (по IP), я также пробовал то же самое для всего teleport подсети, но безрезультатно.
UDM SE 4.1.13
Network 9.0.108