Jump to content

Recommended Posts

Posted

Добрый день!
Товарищи, прошу помощи. Скажу сразу, сам этот вопрос не осилил.
Попытался нарисовать схему текущей ситуации.
На словах, коротко: на роутере несколько сегментов. Сегмент Home имеет маршруты к сегментам Видеонаблюдение и NAS. Гостевой Wi-Fi только в интернет.
В интернет устройства сети ходят по привычным путям, но до некоторых ресурсов проложены маршруты через Европу.
Когда я со своего телефона по мобильной связи подключаюсь к VPN серверу IKEv2, поднятому на роутере, то получаю статический IP, доступ к сегменту Home, через него в другие сегменты, а так же доступ в интернет с возможностью открывать все нужные ресурсы.

Была задача дать доступ условным друзьям через мой роутер в интернет, но запретить им доступ в локальные сегменты.
Долго искал как... обратился в поддержку и они прислали вот такой вариант (через CLI):

Цитата

access-list vpn
permit ip 172.20.8.1 255.255.255.255 0.0.0.0 0.0.0.0
deny ip 172.20.8.0  255.255.255.0 0.0.0.0 0.0.0.0
interface Bridge0 ip access-group vpn out
interface Bridge2 ip access-group vpn out
interface Bridge3 ip access-group vpn out
interface Bridge4 ip access-group vpn out
system configuration save

Опыта особого не имею, сел разбираться, чтобы понимать, что я делаю.
Понял, что я даю разрешение "ходить везде" устройству с адресом 172.20.8.1 (мой телефон) и запрещаю всем остальным в данной подсети ходить на интерфейсы Bridge0, 2, 3, 4.
Далее этот список правил назначаем нужным интерфейсам в нужном направлении.
И вот тут я застрял наглухо. Вероятно, я не понимаю каких то принципиальных вещей.
Что за интерфейсы Bridge0, 2, 3 ,4 и почему направление out? Каждый Bridge это один из локальных сегментов?
Перекопал интернет, спрашивал в телеге... увы, не смог разобраться.
Может быть кто-то сможет меня наставить на путь истинный?
Заранее большое спасибо.

PS картинку старался рисовать максимально понятно, насколько хватает моих бытовых знаний сетей.

Снимок экрана 2024-12-10 210652.png

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.