Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Запрет доступа к ресурсам домашней сети клиентам VPN IKE2

zhsa
 Поделиться

Рекомендуемые сообщения

zhsa Продвинутый пользователь

zhsa

Опубликовано
Опубликовано

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

GhostMaster Пользователь

GhostMaster

Опубликовано
Опубликовано (изменено)
  В 08.09.2022 в 19:35, Сергей Железняков сказал:

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

Показать  

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

Изменено пользователем GhostMaster
zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
  В 09.09.2022 в 03:23, GhostMaster сказал:

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

Показать  

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

GhostMaster Пользователь

GhostMaster

Опубликовано
Опубликовано (изменено)
  В 09.09.2022 в 03:56, Сергей Железняков сказал:

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

Показать  

Тут пытаться умничать не стану, так как VPN не пользуюсь от слова "совсем". Но, думаю, если есть такая возможность, тут подскажут. Люди тут опытные. Либо, подскажут другой вариант. Но запрет на "доступ к другим ресурсам локальных сетей роутера" прямо напомнило такой чекбокс в настройках гостевой сети :-)

Изменено пользователем GhostMaster
stefbarinov Старожил

stefbarinov

Опубликовано
Опубликовано
  В 08.09.2022 в 19:35, Сергей Железняков сказал:

Как это сделать?

Показать  

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

  Показать контент

 

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
  В 09.09.2022 в 07:37, stefbarinov сказал:

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

  Показать контент

 

Показать  

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

Monstr86 Поставщик контента

Monstr86

Опубликовано
Опубликовано
  В 09.09.2022 в 07:59, Сергей Железняков сказал:

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

Показать  

image.png.922c76c03232c891213acb74ab9faa57.png

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
  В 09.09.2022 в 11:22, Monstr86 сказал:

image.png.922c76c03232c891213acb74ab9faa57.png

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

Показать  

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

  Показать контент

 

Monstr86 Поставщик контента

Monstr86

Опубликовано
Опубликовано
  В 09.09.2022 в 11:33, Сергей Железняков сказал:

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

Показать  

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
  В 09.09.2022 в 11:44, Monstr86 сказал:

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

Показать  

ОК, спасибо большое, проверю.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
  В 09.09.2022 в 11:44, Monstr86 сказал:

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

Показать  

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

  Показать контент

 

Monstr86 Поставщик контента

Monstr86

Опубликовано
Опубликовано
  В 09.09.2022 в 12:09, Сергей Железняков сказал:

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

  Показать контент

 

Показать  

Адрес назначения пробовали не указывать?

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
  В 09.09.2022 в 12:24, Monstr86 сказал:

Адрес назначения пробовали не указывать?

Показать  

Да, конечно. Я этот вариант прорабатывал еще до того, как сюда написать, однако я указывал в качестве источника не всю сеть IKE2 а только ip адрес клиента.

Сейчас же попробовал и с таким адресом источника 172.10.1.0/24  и адресом назначения "любой" - все равно доступ имеется ко всем локальным сетям.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
  В 09.09.2022 в 12:38, ANDYBOND сказал:

Сетевой экран блокирует входящие соединения, потому правила нужны на входяший трафик на интерфейс VPN.

https://help.keenetic.com/hc/ru/articles/360001429839

Показать  

Спасибо. Кажется все работает. Сделал правило на WAN интерфейсе сервера IKE2, с условиями, как на скрине. В результате, с указанного ip адреса клиента IKE2 доступа в локальные сети больше нет, доступ в Интернет сохраняется.

  Показать контент

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю