Bolt

в продолжении темы нашел доках (странно, что ни кто ранее не ткнул туда) также в веб морде : Диагностика - Активные соединения если правила разрешены - то можно найти это подключение. если правило отключить - соединения в перечне пропадает. получается кинетик не контролирует то, что отключил. странно это. Ты видишь суслика? И я нет . А он, говорят, есть ! всё-таки это дырка в безопасности. ведь определяется подключение, почему нельзя его прихлопнуть? а потом отключить правила? вроде iptables можно использовать...

настройка IPsec-подключение сеть-сеть в окне задания параметров при установленной галочке "Ждать подключения удалённого пира" если в поле "Идентификатор удалённого шлюза" указать IP-адрес , то в основном окне буде отображаться "Любой"

@keenet07 @Leksey118 @Le ecureuil @MDP сделал как советовали... правило в новой вкладке в межсетевом экране ни на что не влияет. всё по прежнему - если есть подключение по rdp - выключение правил для создания этого подключения не работает для открытого подключения lт.е. подключился по rdp - прервать сессию админом- только перезагрузка всего роутера 😄 отключение подключения ipsec сделали (по крайней мере -декларировали ) или так же как и отключение коннекта?

меняю местами эти две строчки ip access-group _WEBADMIN_ISP in ip access-group _WEBADMIN_L2TP0 in и все правила из _WEBADMIN_ISP исчезают из основного интерфейса , вместо их появляются правила из _WEBADMIN_L2TP0 т.е. вторая строка игнорируется, поэтому и не работают нужные правила

обязательно для начала мне нужно подключиться из инета к компу. чтоб проверить как потом отключение срабатывает

подключение из внешнего инета к машине с 192.168.5.3

сделал такое к этому и ещё но подключиться по rdp не получается

это всё уже автоматизировано, и работает 😀. (с D-Link) в веб морде это для начала , для проверки обрубания коннекта

я не только прочитал, но и проверил- правило создается , но в этом правиле требует ip сервера. и соответственно без указания сервера ничего не подключается , что и индицируется на вкладке "системный монитор" на вкладке "межсетевой экран" во вкладке (созданной для vpn) создаются правила для конкретного типа vpn.

совсем нет - создается вкладка конкретно для vpn. при "создании" вкладки создается интерфейс для конкретного vpn. создать вкладку не зависимую от интерфейса нельзя (?)

сделал как показано, но там как подключатьVPN а мне надо просто rdp (как вставить в сообщение имя участника форума)

пример в командах cli можно?

можно ссылку где это есть?

а вот отправлять на сервер или клиенту это не надо, только управление роутером

со стороны админа - однозначно вмешательство и есть цель.

эту блокирующую запись можно отключить/удалить? если да, то после отключения правил {перевода в "запрещено") удалит и жту запись. в моем случае интерес представляет соединение rdp, т.е. есть только один источник и только один приемник. поэтому других легитимных нет.

я не нашёл в мануалах output ISP, можно пример?

дак это как вариант вполне подходящий ага...

ну как не дырка, если нет возможности прекратить не нужное соединение - самая настоящая дыра.

при работающем подключении создал запрещающее правило - не помогло

может и поможет, но это повлияет на все подключения для всех клиентов....

что делает "запрещающая запись" - обрывает соединение, сессию? если так, то после выключения правила в переадресации портов и (или) в сетевом экране надо удалить эту запись. какие? ведь правило создается для конкретного соединения

ту дело не в понимании, а в том что должно быть для безопасности. и как пример - D-link DFL-260E отключаем правило - обрывается коннект.

после обновления до 4.3.0 не создаются подключения по ipsec. при откате не 4 бету подключения восстанавливаются без проблем

это повторение , первоначальное было тут я новенький, и не знаю как ускорить реализацию закрытия дырки. прошу не ругать