Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Запрет доступа к ресурсам домашней сети клиентам VPN IKE2

zhsa
 Поделиться

Рекомендуемые сообщения

zhsa Продвинутый пользователь

zhsa

Опубликовано
Опубликовано

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

GhostMaster Пользователь

GhostMaster

Опубликовано
Опубликовано (изменено)
7 часов назад, Сергей Железняков сказал:

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

Изменено пользователем GhostMaster
zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
31 минуту назад, GhostMaster сказал:

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

GhostMaster Пользователь

GhostMaster

Опубликовано
Опубликовано (изменено)
21 минуту назад, Сергей Железняков сказал:

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

Тут пытаться умничать не стану, так как VPN не пользуюсь от слова "совсем". Но, думаю, если есть такая возможность, тут подскажут. Люди тут опытные. Либо, подскажут другой вариант. Но запрет на "доступ к другим ресурсам локальных сетей роутера" прямо напомнило такой чекбокс в настройках гостевой сети :-)

Изменено пользователем GhostMaster
stefbarinov Старожил

stefbarinov

Опубликовано
Опубликовано
12 часа назад, Сергей Железняков сказал:

Как это сделать?

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

Скрытый текст

Screenshot_10.jpg.50e65ed386955abdcceddbf04720feff.jpg

 

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
17 минут назад, stefbarinov сказал:

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

  Скрыть содержимое

Screenshot_10.jpg.50e65ed386955abdcceddbf04720feff.jpg

 

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

Monstr86 Поставщик контента

Monstr86

Опубликовано
Опубликовано
3 часа назад, Сергей Железняков сказал:

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

image.png.922c76c03232c891213acb74ab9faa57.png

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
6 минут назад, Monstr86 сказал:

image.png.922c76c03232c891213acb74ab9faa57.png

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

Скрытый текст

image.thumb.png.bf4f7af392b67138acb3b82ae31fe11e.png

 

Monstr86 Поставщик контента

Monstr86

Опубликовано
Опубликовано
5 минут назад, Сергей Железняков сказал:

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Monstr86 сказал:

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

ОК, спасибо большое, проверю.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
20 минут назад, Monstr86 сказал:

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

Скрытый текст

image.thumb.png.2070fdfa4eea9a3ffae7dc03c09afd8e.png

 

Monstr86 Поставщик контента

Monstr86

Опубликовано
Опубликовано
14 минуты назад, Сергей Железняков сказал:

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

  Скрыть содержимое

image.thumb.png.2070fdfa4eea9a3ffae7dc03c09afd8e.png

 

Адрес назначения пробовали не указывать?

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Monstr86 сказал:

Адрес назначения пробовали не указывать?

Да, конечно. Я этот вариант прорабатывал еще до того, как сюда написать, однако я указывал в качестве источника не всю сеть IKE2 а только ip адрес клиента.

Сейчас же попробовал и с таким адресом источника 172.10.1.0/24  и адресом назначения "любой" - все равно доступ имеется ко всем локальным сетям.

zhsa Продвинутый пользователь

zhsa

Опубликовано
  • Автор
Опубликовано
1 час назад, ANDYBOND сказал:

Сетевой экран блокирует входящие соединения, потому правила нужны на входяший трафик на интерфейс VPN.

https://help.keenetic.com/hc/ru/articles/360001429839

Спасибо. Кажется все работает. Сделал правило на WAN интерфейсе сервера IKE2, с условиями, как на скрине. В результате, с указанного ip адреса клиента IKE2 доступа в локальные сети больше нет, доступ в Интернет сохраняется.

Скрытый текст

image.thumb.png.8954c5ad777d0b019f3234ab59fe7d3b.png

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю