Jump to content

Recommended Posts

Posted (edited)

Добрый день.

На роутере имеется два пользователя, которые подключаются к нему по SSTP. У роутера серый адрес, поэтому подключение происходит через облако Keenetic.

Мне необходимо только одному из пользователей запретить доступ ко всем адресам в локальной сети, что бы он мог только выходить в интернет через vpn соединение.

Я пробовал в "Межсетевом экране", на вкладке "Домашняя сеть" создать запрещающее правило для ip адреса который получает клиент sstp в локальную сеть 192.168.21.0/24. Но это ни на что не влияет, клиент всё равно видит адреса и устройства в локальной сети.

Подскажите пожалуйста, что я делаю не так?

И как можно ограничить доступ одному из клиентов SSTP к локальным ресурсам роутера.

Снимок.JPG

Edited by Arfus
Исправил ошибку в тексе и добавил тег
Posted
В 03.02.2023 в 22:31, Werld сказал:

Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же.

Спасибо за ваш ответ, он оказался очень полезным.

Подскажите, пожалуйста, вот ещё какой момент. Домашняя сеть у меня в диапазоне 192.168.21.0/24, адрес роутера 192.168.21.1, а адрес VPN клиента 172.16.3.34.

Через cli я сделал следующее:

access-list vpn2lan_block
deny ip 172.16.3.34/32 192.168.21.0/24
exit
interface Bridge0 ip access-group vpn2lan_block out
system configuration save

У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём.

А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было?

 

Posted (edited)
7 часов назад, Arfus сказал:

У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём.

А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было?

Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам.

Edited by Werld
  • Thanks 1
Posted
15 часов назад, Werld сказал:

Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам.

Так и сделал, благодарю вас за помощь.

  • 1 year later...
Posted

Добрый день! У меня задача практически как у топикстартера, но еще с дополнением. Тоже SSTP. Скрыть домашнюю сетку от определенного впн-клиента получилось, с помощью техподдержки. Теперь задача скрыть от него же остальных впн-клиентов (сейчас он видит их всех), кроме одного. Поддержка пока затрудняется с ответом..

Прошу помощи, может быть можно что-то придумать?

  • 5 weeks later...
Posted

Чем дело кончилось?  У меня отчасти похожая проблема. Только нужно чтобы один vpn-клиент (IKEv2) видел лишь один комп в локалке.

permit ip 172.20.8.166 255.255.255.255 192.168.3.116 255.255.255.255

deny ip 172.20.8.166 255.255.255.255 192.168.3.0 255.255.255.255

И блочится вся подсеть. Если поставить блок на какой-то один комп, этот блок не работает и все видится.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.