Ограничение доступа в LAN для определённого клиента SSTP

[Arfus]

Добрый день.

На роутере имеется два пользователя, которые подключаются к нему по SSTP. У роутера серый адрес, поэтому подключение происходит через облако Keenetic.

Мне необходимо только одному из пользователей запретить доступ ко всем адресам в локальной сети, что бы он мог только выходить в интернет через vpn соединение.

Я пробовал в "Межсетевом экране", на вкладке "Домашняя сеть" создать запрещающее правило для ip адреса который получает клиент sstp в локальную сеть 192.168.21.0/24. Но это ни на что не влияет, клиент всё равно видит адреса и устройства в локальной сети.

Подскажите пожалуйста, что я делаю не так?

И как можно ограничить доступ одному из клиентов SSTP к локальным ресурсам роутера.

Изменено 3 февраля, 2023 пользователем Arfus
Исправил ошибку в тексе и добавил тег

[Werld]

Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же.

[Arfus]

В 03.02.2023 в 22:31, Werld сказал:

Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же.

Спасибо за ваш ответ, он оказался очень полезным.

Подскажите, пожалуйста, вот ещё какой момент. Домашняя сеть у меня в диапазоне 192.168.21.0/24, адрес роутера 192.168.21.1, а адрес VPN клиента 172.16.3.34.

Через cli я сделал следующее:

access-list vpn2lan_block
deny ip 172.16.3.34/32 192.168.21.0/24
exit
interface Bridge0 ip access-group vpn2lan_block out
system configuration save

У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём.

А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было?

 

[Werld]

7 часов назад, Arfus сказал:

У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём.

А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было?

Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам.

Изменено 6 февраля, 2023 пользователем Werld

[Arfus]

15 часов назад, Werld сказал:

Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам.

Так и сделал, благодарю вас за помощь.

[zmn]

Добрый день! У меня задача практически как у топикстартера, но еще с дополнением. Тоже SSTP. Скрыть домашнюю сетку от определенного впн-клиента получилось, с помощью техподдержки. Теперь задача скрыть от него же остальных впн-клиентов (сейчас он видит их всех), кроме одного. Поддержка пока затрудняется с ответом..

Прошу помощи, может быть можно что-то придумать?

[sas_72]

Чем дело кончилось?  У меня отчасти похожая проблема. Только нужно чтобы один vpn-клиент (IKEv2) видел лишь один комп в локалке.

permit ip 172.20.8.166 255.255.255.255 192.168.3.116 255.255.255.255

deny ip 172.20.8.166 255.255.255.255 192.168.3.0 255.255.255.255

И блочится вся подсеть. Если поставить блок на какой-то один комп, этот блок не работает и все видится.