Arfus Posted February 3, 2023 Share Posted February 3, 2023 (edited) Добрый день. На роутере имеется два пользователя, которые подключаются к нему по SSTP. У роутера серый адрес, поэтому подключение происходит через облако Keenetic. Мне необходимо только одному из пользователей запретить доступ ко всем адресам в локальной сети, что бы он мог только выходить в интернет через vpn соединение. Я пробовал в "Межсетевом экране", на вкладке "Домашняя сеть" создать запрещающее правило для ip адреса который получает клиент sstp в локальную сеть 192.168.21.0/24. Но это ни на что не влияет, клиент всё равно видит адреса и устройства в локальной сети. Подскажите пожалуйста, что я делаю не так? И как можно ограничить доступ одному из клиентов SSTP к локальным ресурсам роутера. Edited February 3, 2023 by Arfus Исправил ошибку в тексе и добавил тег Quote Link to comment Share on other sites More sharing options...
Werld Posted February 3, 2023 Share Posted February 3, 2023 Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же. 1 Quote Link to comment Share on other sites More sharing options...
Arfus Posted February 6, 2023 Author Share Posted February 6, 2023 В 03.02.2023 в 22:31, Werld сказал: Посмотрите здесь. Там хоть речь не о sstp, но действия потребуются абсолютно такие же. Спасибо за ваш ответ, он оказался очень полезным. Подскажите, пожалуйста, вот ещё какой момент. Домашняя сеть у меня в диапазоне 192.168.21.0/24, адрес роутера 192.168.21.1, а адрес VPN клиента 172.16.3.34. Через cli я сделал следующее: access-list vpn2lan_block deny ip 172.16.3.34/32 192.168.21.0/24 exit interface Bridge0 ip access-group vpn2lan_block out system configuration save У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём. А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было? Quote Link to comment Share on other sites More sharing options...
Werld Posted February 6, 2023 Share Posted February 6, 2023 (edited) 7 часов назад, Arfus сказал: У VPN клиента действительно пропал доступ ко всем устройствам в домашней сети, кроме самого роутера, его веб-интерфейса и smb шары на нём. А можно как-то сделать так, чтобы и на адрес 192.168.21.1 тоже доступа не было? Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам. Edited February 6, 2023 by Werld 1 Quote Link to comment Share on other sites More sharing options...
Arfus Posted February 7, 2023 Author Share Posted February 7, 2023 15 часов назад, Werld сказал: Такое правило нужно было бы добавлять на in для интерфейса впн-клиента. Но, к сожалению, применять правила для интерфейсов впн-клиентов в текущей реализации keenetic os невозможно. Поэтому ограничить доступ именно к ресурсам самого роутера, для впн клиента средствами межсетевого экрана нельзя. Используйте отдельную учетку для впн-клиентов и не сообщайте им учетки для доступа к к шарам роутера и другим сервисам. Так и сделал, благодарю вас за помощь. Quote Link to comment Share on other sites More sharing options...
zmn Posted October 8 Share Posted October 8 Добрый день! У меня задача практически как у топикстартера, но еще с дополнением. Тоже SSTP. Скрыть домашнюю сетку от определенного впн-клиента получилось, с помощью техподдержки. Теперь задача скрыть от него же остальных впн-клиентов (сейчас он видит их всех), кроме одного. Поддержка пока затрудняется с ответом.. Прошу помощи, может быть можно что-то придумать? Quote Link to comment Share on other sites More sharing options...
sas_72 Posted Thursday at 08:09 AM Share Posted Thursday at 08:09 AM Чем дело кончилось? У меня отчасти похожая проблема. Только нужно чтобы один vpn-клиент (IKEv2) видел лишь один комп в локалке. permit ip 172.20.8.166 255.255.255.255 192.168.3.116 255.255.255.255 deny ip 172.20.8.166 255.255.255.255 192.168.3.0 255.255.255.255 И блочится вся подсеть. Если поставить блок на какой-то один комп, этот блок не работает и все видится. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.