Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Как разрешить доступ к Web-интерфейсу роутера через L2TP VPN?

sonny362

Ответ от sonny362,

 Поделиться

Вопрос

sonny362 Новичок

sonny362

Опубликовано
Опубликовано

Добрый день!

Пытаюсь правилами на файерволле организовать доступ к web-интерфейсу (порт 65080) следующим образом:

1. Разрешаем доступ из интернета (на роутере "белый" IP) адресам х.х.х.х и y.y.y.y

2. Разрешаем доступ через P2TP VPN сервер (выдаёт адреса 172.16.1.31-172.16.1.39). "Домашняя сеть" прописана 172.16.1.0.

3. Запрещаем доступ со всех других адресов через интерфейс Ethernet.
Правила прописаны:

permit tcp x.x.x.x 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp y.y.y.y 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 65080
deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080

Первые два и последнее (запрещающее) работают корректно.

Но доступа с VPN к Web-интерфейсу роутера нет. Пробовал по-разному написать это правило, но не сработало. И новую подсеть создавал для VPN, и адрес впрямую указывал...

При этом, если отключить запрещающее четвёртое правило, доступ через VPN появляется.

 

Может кто помочь?

5 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Илья Картавенко Старожил

Илья Картавенко

Опубликовано
Опубликовано (изменено)
10 минут назад, sonny362 сказал:

Добрый день!

Пытаюсь правилами на файерволле организовать доступ к web-интерфейсу (порт 65080) следующим образом:

1. Разрешаем доступ из интернета (на роутере "белый" IP) адресам х.х.х.х и y.y.y.y

2. Разрешаем доступ через P2TP VPN сервер (выдаёт адреса 172.16.1.31-172.16.1.39). "Домашняя сеть" прописана 172.16.1.0.

3. Запрещаем доступ со всех других адресов через интерфейс Ethernet.
Правила прописаны:

permit tcp x.x.x.x 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp y.y.y.y 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 65080
deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080

Первые два и последнее (запрещающее) работают корректно.

Но доступа с VPN к Web-интерфейсу роутера нет. Пробовал по-разному написать это правило, но не сработало. И новую подсеть создавал для VPN, и адрес впрямую указывал...

При этом, если отключить запрещающее четвёртое правило, доступ через VPN появляется.

 

Может кто помочь?

Сделайте проще. Запретите доступ из интернета, но оставьте доступ из локалки. Для vpn сервера выдайте ip из домашней сети, тогда вы будете получать для vpn соединения ip адрес из вашей домашней сети и спокойно сможете зайти на роутер.

Изменено пользователем Илья Картавенко
  • 0
sonny362 Новичок

sonny362

Опубликовано
  • Автор
Опубликовано
1 минуту назад, Илья Картавенко сказал:

Сделайте проще. Запретите доступ из интернета, но оставьте доступ из локалки. Для vpn сервера выдайти ip из домашней сети, тогда вы будете получать для vpn соединения ip адрес из вашей домашней сети и спокойно сможете зайти на роутер.

У меня же именно так и сделано: запрещён доступ из интернета (на "Подключение Ethernet) и разрешён из домашней сети.
Но правило deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080 закрывает доступ для VPN-сервера.

  • 0
Илья Картавенко Старожил

Илья Картавенко

Опубликовано
Опубликовано
6 минут назад, sonny362 сказал:

У меня же именно так и сделано: запрещён доступ из интернета (на "Подключение Ethernet) и разрешён из домашней сети.
Но правило deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080 закрывает доступ для VPN-сервера.

Правило вам в таком случае вам не нужно. Доступ из интернета закрывается, если убрать  соответствующую галочку внастройках роутера. Вам нужно сделать чтобы серверу выдавался ip адрес 192.168.1.*, тогда при подключении по vpn вы будете получать адрес 192.168.1.*, как для устройств локальной сети и заходить по 192.168.1.1. Просто в настройках vpn сервера пропишите ему адрес из 192.168.1.* вместо 172.*.*.*

  • 0
sonny362 Новичок

sonny362

Опубликовано
  • Автор
Опубликовано
6 минут назад, Илья Картавенко сказал:

Правило вам в таком случае вам не нужно. Доступ из интернета закрывается, если убрать  соответствующую галочку внастройках роутера. Вам нужно сделать чтобы серверу выдавался ip адрес 192.168.1.*, тогда при подключении по vpn вы будете получать адрес 192.168.1.*, как для устройств локальной сети и заходить по 192.168.1.1. Просто в настройках vpn сервера пропишите ему адрес из 192.168.1.* вместо 172.*.*.*

Я писал, что домашняя сеть у меня прописана 172.16.1.0 :)
Вариант полного запрета доступа мне не очень подходит, поскольку у меня как-то нестабильно работает L2TP сервер: временами нет к нему доступа по неизвестной причине. Именно поэтому я хочу разрешить постоянный доступ с двух адресов.

  • 0
Илья Картавенко Старожил

Илья Картавенко

Опубликовано
Опубликовано

Вот тут написано, 

 

Цитата

Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

Может из-за этого все же. Но у меня в такой же конфигурации, как у вас, все работало.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю