Yuich
-
Posts
5 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by Yuich
-
-
16 часов назад, loginella сказал:
Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.
11 час назад, loginella сказал:Добавил правила для сегментов "Домашняя сеть" и "Изолированная сеть":
И правила для подключения "vpn":
Подключившись к VPN серверу кинетика за нужного пользователя (которому выдается 192.168.3.202) на 2ip мне дает мой домашний IP а не впновый.
-
2 часа назад, SySOPik сказал:
Создайте новый профиль доступа в интернет, в нем отметьте только нужный интерфейс ВПН и туда в него перенесите нужное устройство.
Создал таким образом профиль "VPN профиль" и еще сегмент сети "Изолированная сеть", где в поле "Профиль доступа для незарегистрированных устройств" указал этот профиль, включил DHCP, NAT и изоляцию клиентов в этом сегменте.
1) Мне нужно назначить профиль не устройству, а определенному IP адресу (который назначает VPN сервер когда я подключаюсь за одного из пользователей). В списке устройств ничего похожего нет.
2) Если в настройках VPN сервера в поле "Доступ к сети" выбрать новый сегмент, похоже что оно влияет только на видимость, а не на принадлежность. Через CLI тут можно задать любой интерфейс, хотя WEB интерфейс дает на выбор только сегменты:
Судя по всему при подключении к VPN серверу в кинетике, соединения на этих адресах считаются известными и подчиняются "Основному профилю". Ставить VPN подключение наверх в основной политике - не то что я хочу т.к. в таком случае весь трафик обоих пользователей будет идти через VPN подключение, что для admin не нужно.
3 часа назад, loginella сказал:Верно. Перенаправление портов - это совсем не то. А вот разрешение доступа только конкретным клиентам - то, что Вы и хотите. Вот и укажите, что в конкретную сеть могут идти только конкретные клиенты, а не все в принципе. Остальным, соответственно, оформите запрет. Разрешающее правило должно быть выше запрещающих.
Межсетевой экран как я понимаю разрешает либо запрещает обращаться из одного сегмента в другой. Я же не знаю как сделать чтобы весь трафик с одного локального IP адреса шел через конкретный интерфейс. За это должен отвечать PBR, но в WEB интерфейсе нет настройки для IP адресов, только для известных устройств.
-
1 час назад, loginella сказал:
Как вариант, можно, раз адреса клиентов и шлюзов фиксированные, настроить в сетевом экране правила, которыми одного клиента отправить через один шлюз, а другого - через другой шлюз (шлюз VPN). Иными словами, все запросы с конкретного адреса клиента отправляем через конкретный шлюз интересующего соединения.
В межсетевом экране я могу установить только разрешающие и запрещающие правила. Или как-то можно добавить правило перенаправления?
Попробовал добавить правило переадресации (vpn - нужный интерфейс из группы "Подключения"), не помогло:
-
Доброго времени суток.
Имеется Keenetic Giga (KN-1010 версия KeeneticOS 3.7.4) с двумя подключениями ISP ("белый" IP) и VPN (добавлен как Другие подключения -> PPPTP VPN с галочкой в "Использовать для выхода в интернет"). Так же на нем работает VPN-сервер L2TP/IPsec, который используется для доступа к локальной сети. Есть два пользователя (admin и work), которым доступно подключаться к этому VPN и им назначены постоянные адреса (192.168.3.201 и 192.168.3.202 соответственно).
Помогите пожалуйста реализовать следующую схему:
1) Для пользователя admin перенаправлять только обращения в подсеть 10.10.1.0/24 через VPN;
2) Для пользователя work перенаправлять весь трафик через VPN.Пункт 1 я решил добавив правило маршрутизации 10.10.1.0/24 -> VPN, но таким образом любое устройство в сети имеет доступ в эту подсеть.
Как настроить маршрутизацию пользователя VPN на другое подключение?
in Обсуждение IPsec, OpenVPN и других туннелей
Posted
Почитав статью, вывел команду:
ip rule add from 192.168.3.202 table 42Которая делает все что мне нужно. Таблица 42 как я понимаю это таблица назначенная приоритету подключения созданному для VPN.
Судя по всему работает оно до перезагрузки. Какой есть самый простой способ автоматизировать выполнение при запуске?