Arfus Posted February 3 Share Posted February 3 (edited) Добрый день. На роутере имеется два пользователя, которые подключаются к нему по SSTP. У роутера серый адрес, поэтому подключение происходит через облако Keenetic. Мне необходимо только одному из пользователей запретить доступ ко всем адресам в локальной сети, что бы он мог только выходить в интернет через vpn соединение. Я пробовал в "Межсетевом экране", на вкладке "Домашняя сеть" создать запрещающее правило для ip адреса который получает клиент sstp в локальную сеть 192.168.21.0/24. Но это ни на что не влияет, клиент всё равно видит адреса и устройства в локальной сети. Подскажите пожалуйста, что я делаю не так? И как можно ограничить доступ одному из клиентов SSTP к локальным ресурсам роутера. Edited February 3 by Arfus Исправил ошибку в тексе и добавил тег Quote Link to comment Share on other sites More sharing options...
Werld Posted February 3 Share Posted February 3 Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же. 1 Quote Link to comment Share on other sites More sharing options...
Arfus Posted February 6 Author Share Posted February 6 В 03.02.2023 в 22:31, Werld сказал: Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же. Спасибо за ваш ответ, он оказался очень полезным. Подскажите, пожалуйста, вот ещё какой момент. Домашняя сеть у меня в диапазоне 192.168.21.0/24, адрес роутера 192.168.21.1, а адрес VPN клиента 172.16.3.34. Через cli я сделал следующее: access-list vpn2lan_block deny ip 172.16.3.34/32 192.168.21.0/24 exit interface Bridge0 ip access-group vpn2lan_block out system configuration save У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём. А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было? Quote Link to comment Share on other sites More sharing options...
Werld Posted February 6 Share Posted February 6 (edited) 7 часов назад, Arfus сказал: У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём. А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было? Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам. Edited February 6 by Werld 1 Quote Link to comment Share on other sites More sharing options...
Arfus Posted February 7 Author Share Posted February 7 15 часов назад, Werld сказал: Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам. Так и сделал, благодарю вас за помощь. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.