Jump to content

Запрет доступа к ресурсам домашней сети клиентам VPN IKE2


Recommended Posts

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

Link to comment
Share on other sites

7 часов назад, Сергей Железняков сказал:

Здравствуйте.

Возможно, уже кто-то интересовался подобным вопросом, однако, мне не удалось найти ответа в списке тем.

Нужно дать клиенту VPN IKE2 только доступ в Интернет через локального провайдера, при этом клиент не должен получать доступ к другим ресурсам локальных сетей роутера. Как это сделать? Буду очень благодарен за помощь.

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

Edited by GhostMaster
Link to comment
Share on other sites

31 минуту назад, GhostMaster сказал:

Доброго дня!

Я может и глупость сейчас сморожу... Держать этого клиента в гостевой сети, запретив доступ из неё куда-либо, кроме интернета, не вариант?

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

Link to comment
Share on other sites

21 минуту назад, Сергей Железняков сказал:

В таком случае возникает вопрос: как клиента IKE2 VPN отнести к пользователям гостевой сети?

Тут пытаться умничать не стану, так как VPN не пользуюсь от слова "совсем". Но, думаю, если есть такая возможность, тут подскажут. Люди тут опытные. Либо, подскажут другой вариант. Но запрет на "доступ к другим ресурсам локальных сетей роутера" прямо напомнило такой чекбокс в настройках гостевой сети :-)

Edited by GhostMaster
Link to comment
Share on other sites

12 часа назад, Сергей Железняков сказал:

Как это сделать?

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

Скрытый текст

Screenshot_10.jpg.50e65ed386955abdcceddbf04720feff.jpg

 

Link to comment
Share on other sites

17 минут назад, stefbarinov сказал:

В "Пользователи и доступ" ограничить доступ к тому, к чему не нужно

  Скрыть содержимое

Screenshot_10.jpg.50e65ed386955abdcceddbf04720feff.jpg

 

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

Link to comment
Share on other sites

3 часа назад, Сергей Железняков сказал:

Вопрос был о том, как запретить доступ в Домашнюю сеть и дать доступ только в Интернет через местного провайдера.

То, что Вы предложили на скрине, я уже сделал, однако доступ к VPN-серверу... подразумевает доступ в локальную сеть.

Полагаю, что настройки должны быть на уровне межсетевого экрана, но я, к сожалению, плохо в этом ориентируюсь. Поэтому и обратился за помощью к профессионалам.

image.png.922c76c03232c891213acb74ab9faa57.png

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

Link to comment
Share on other sites

6 минут назад, Monstr86 сказал:

image.png.922c76c03232c891213acb74ab9faa57.png

Создайте сеть отдельную и укажите ее в доступе к сети и будет вам счастье.

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

Скрытый текст

image.thumb.png.bf4f7af392b67138acb3b82ae31fe11e.png

 

Link to comment
Share on other sites

5 минут назад, Сергей Железняков сказал:

Речь не идет о L2TP/IPSec типе VPN. В IKE2 типе, о котором я спрашивал, все иначе.

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

Link to comment
Share on other sites

3 минуты назад, Monstr86 сказал:

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

ОК, спасибо большое, проверю.

Link to comment
Share on other sites

20 минут назад, Monstr86 сказал:

image.png.d7606d7c1dbed16b2b88857d0181261c.png

Прописать правило для домашней сети, блокировать пул ikev2, указав ее в адресе источника, в протоколе ставите IP.

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

Скрытый текст

image.thumb.png.2070fdfa4eea9a3ffae7dc03c09afd8e.png

 

Link to comment
Share on other sites

14 минуты назад, Сергей Железняков сказал:

К сожалению, не работает. Все равно есть доступ ко всем участникам локальных сетей (объединенных VPN Wireguard). Пул адресов IKE2 VPN 10, начиная с 1.

  Скрыть содержимое

image.thumb.png.2070fdfa4eea9a3ffae7dc03c09afd8e.png

 

Адрес назначения пробовали не указывать?

Link to comment
Share on other sites

3 минуты назад, Monstr86 сказал:

Адрес назначения пробовали не указывать?

Да, конечно. Я этот вариант прорабатывал еще до того, как сюда написать, однако я указывал в качестве источника не всю сеть IKE2 а только ip адрес клиента.

Сейчас же попробовал и с таким адресом источника 172.10.1.0/24  и адресом назначения "любой" - все равно доступ имеется ко всем локальным сетям.

Link to comment
Share on other sites

6 минут назад, Сергей Железняков сказал:

Сейчас же попробовал и с таким адресом источника 172.10.1.0/24  и адресом назначения "любой" - все равно доступ имеется ко всем локальным сетям.

Сетевой экран блокирует входящие соединения, потому правила нужны на входяший трафик на интерфейс VPN.

https://help.keenetic.com/hc/ru/articles/360001429839

  • Thanks 1
Link to comment
Share on other sites

1 час назад, ANDYBOND сказал:

Сетевой экран блокирует входящие соединения, потому правила нужны на входяший трафик на интерфейс VPN.

https://help.keenetic.com/hc/ru/articles/360001429839

Спасибо. Кажется все работает. Сделал правило на WAN интерфейсе сервера IKE2, с условиями, как на скрине. В результате, с указанного ip адреса клиента IKE2 доступа в локальные сети больше нет, доступ в Интернет сохраняется.

Скрытый текст

image.thumb.png.8954c5ad777d0b019f3234ab59fe7d3b.png

 

  • Upvote 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...