Запрет доступа к ресурсам домашней сети клиентам VPN IKE2

[zhsa]

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

[GhostMaster]

7 часов назад, Сергей Железняков сказал:

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

Изменено 9 сентября, 2022 пользователем GhostMaster

[zhsa]

31 минуту назад, GhostMaster сказал:

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

[GhostMaster]

21 минуту назад, Сергей Железняков сказал:

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

Тут пытаться умничать не стану, так как VPN не пользуюсь от слова "совсем". Но, думаю, если есть такая возможность, тут подскажут. Люди тут опытные. Либо, подскажут другой вариант. Но запрет на "доступ к другим ресурсам локальных сетей роутера" прямо напомнило такой чекбокс в настройках гостевой сети

Изменено 9 сентября, 2022 пользователем GhostMaster

[stefbarinov]

12 часа назад, Сергей Железняков сказал:

Как это сделать?

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

Скрытый текст

 

[zhsa]

17 минут назад, stefbarinov сказал:

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

  Скрыть содержимое

 

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

[Monstr86]

3 часа назад, Сергей Железняков сказал:

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

[zhsa]

6 минут назад, Monstr86 сказал:

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

Скрытый текст

 

[Monstr86]

5 минут назад, Сергей Железняков сказал:

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

[zhsa]

3 минуты назад, Monstr86 сказал:

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

ОК, спасибо большое, проверю.

[zhsa]

20 минут назад, Monstr86 сказал:

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

Скрытый текст

 

[Monstr86]

14 минуты назад, Сергей Железняков сказал:

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

  Скрыть содержимое

 

Адрес назначения пробовали не указывать?

[zhsa]

3 минуты назад, Monstr86 сказал:

Адрес назначения пробовали не указывать?

Да, конечно. Я этот вариант прорабатывал еще до того, как сюда написать, однако я указывал в качестве источника не всю сеть IKE2 а только ip адрес клиента.

Сейчас же попробовал и с таким адресом источника 172.10.1.0/24  и адресом назначения "любой" - все равно доступ имеется ко всем локальным сетям.

[Monstr86]

ну тогда идей больше нет

[zhsa]

1 час назад, ANDYBOND сказал:

Сетевой экран блокирует входящие соединения, потому правила нужны на входяший трафик на интерфейс VPN.

https://help.keenetic.com/hc/ru/articles/360001429839

Спасибо. Кажется все работает. Сделал правило на WAN интерфейсе сервера IKE2, с условиями, как на скрине. В результате, с указанного ip адреса клиента IKE2 доступа в локальные сети больше нет, доступ в Интернет сохраняется.

Скрытый текст

 

[Евгений Дашут]

В 09.09.2022 в 16:45, zhsa сказал:

Спасибо. Кажется все работает. Сделал правило на WAN интерфейсе сервера IKE2, с условиями, как на скрине. В результате, с указанного ip адреса клиента IKE2 доступа в локальные сети больше нет, доступ в Интернет сохраняется.

  Показать контент

 

Правильно ли по вашему образцу я сделал сетевой экран? Та же задача: заблокировать канал VPN от доступа в локальную сеть, ну, хотя бы к двум адресам. Или надо было вместо конкретного IP-адреса указывать 192.168.1.1   ?

 

Спойлер

 

[Mike_11]

Ребята всем привет, а данная инструкция применима к подключению VPN по технологии PPTP?

[Mike_11]

Господа, всем привет. Решил всё же написать в данную тему, потому что задача на 99% близка к той, о которой говорит автор.

И так вводные: есть роутер Кинетик с фиксированным белым IP и компьютер находящийся в другом месте за роутером Кинетик по мобильной связи. Необходимо установить VPN соединение между ними. Сервером выбран Кинетик с фиксой, с удаленного компьютера удалось установить соединение VPN по протоколу PPTP, что меня в целом устраивает. Но удаленный компьютер видит всю локальную сеть, что плохо.

Далее я почитал все сообщения в данном посте и сделал, то что советовали, но результат оказался отрицательным. Другими словами удаленный компьютер видит всё в сети VPN какие бы настройки я в Межсетевом экране не устанавливал. Я пробовал и роутер с VPN перезагружать и переподключать VPN соединение и сервер VPN перезапускать, всё едино. Такое ощущение что либо межсетевой экран у меня не работает, либо настройки я задаю не верные. Сейчас у меня так:

Спойлер

Для меня осталось неясным куда же ставить запрет на доступ: в WAN интерфейс или в "Домашнюю сеть". Поэтому установил эти правила и там и там...

Спойлер

Но и это не возымело эффекта. Пробовал и конкретные ставить адреса, но тоже всё доступно.

Тогда я пошел дальше и наткнулся на статью в справке Keenetic https://support.keenetic.ru/peak/kn-2710/ru/14628.html#14628-сегменты-сети

о сегментах сети...  и там уже предлагали другое решение подобной проблемы. Если кратко, то добавить ещё одну "Виртуальную сеть", дополнительно к "Домашней" и "Гостевой" и в настройках подключения PPTP выбрать что подключаться надо именно к "Новой" сети. И это тоже заработало.

Спойлер

И всё было бы отлично, но мне нужно чтобы из Новой сети можно было связывать с определенным компьютером, который находится в домашней сети. Для этого в этой же инструкции приводятся примеры настройки Межсетевого экрана и после этого можно получить доступ. Но вот в чем проблема: инструкция пишет про настройку "Исходящих соединений", а не "входящих". При этом сверху указывается что GUI интерфейс Межсетевого экрана работает только для ВХОДЯЩИХ. А исходящие настраивать надо через CLI.

Спойлер

Вопрос, что я сделал не так и почему из Новой сети, я не могу достучаться в Домашнюю. И второй вопрос, что нужно сделать в Домашней сети, чтобы там не было доступа ко всем ПК, за исключением одно?

Изменено Среда в 09:34 пользователем Mike_11

[qmxocynjca]

Присоединяюсь к вопросу. Точно так же думал что создам отдельный сегмент со всеми VPN-юзерами, а правилами уже разрешу куда кому можно, но по факту это либо не работает, либо правила нужны какие-то не очевидные.

Я ещё не пробовал вариант с указанием диапазона адресов в sstp/oc сервере в той же сети что и сегмент. Это вроде как должно работать, и может даже правила тогда тоже заработают. Если у кого есть время и желание, попробуйте, пожалуйста.