Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Как разрешить доступ к Web-интерфейсу роутера через L2TP VPN?

sonny362

Asked by sonny362,

 Share

Question

sonny362 Newbie

sonny362

Posted
Posted

Добрый день!

Пытаюсь правилами на файерволле организовать доступ к web-интерфейсу (порт 65080) следующим образом:

1. Разрешаем доступ из интернета (на роутере "белый" IP) адресам х.х.х.х и y.y.y.y

2. Разрешаем доступ через P2TP VPN сервер (выдаёт адреса 172.16.1.31-172.16.1.39). "Домашняя сеть" прописана 172.16.1.0.

3. Запрещаем доступ со всех других адресов через интерфейс Ethernet.
Правила прописаны:

permit tcp x.x.x.x 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp y.y.y.y 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 65080
deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080

Первые два и последнее (запрещающее) работают корректно.

Но доступа с VPN к Web-интерфейсу роутера нет. Пробовал по-разному написать это правило, но не сработало. И новую подсеть создавал для VPN, и адрес впрямую указывал...

При этом, если отключить запрещающее четвёртое правило, доступ через VPN появляется.

 

Может кто помочь?

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

  • 0
Илья Картавенко Honored Flooder

Илья Картавенко

Posted
Posted (edited)
10 минут назад, sonny362 сказал:

Добрый день!

Пытаюсь правилами на файерволле организовать доступ к web-интерфейсу (порт 65080) следующим образом:

1. Разрешаем доступ из интернета (на роутере "белый" IP) адресам х.х.х.х и y.y.y.y

2. Разрешаем доступ через P2TP VPN сервер (выдаёт адреса 172.16.1.31-172.16.1.39). "Домашняя сеть" прописана 172.16.1.0.

3. Запрещаем доступ со всех других адресов через интерфейс Ethernet.
Правила прописаны:

permit tcp x.x.x.x 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp y.y.y.y 255.255.255.255 0.0.0.0 0.0.0.0 port eq 65080
permit tcp 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0 port eq 65080
deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080

Первые два и последнее (запрещающее) работают корректно.

Но доступа с VPN к Web-интерфейсу роутера нет. Пробовал по-разному написать это правило, но не сработало. И новую подсеть создавал для VPN, и адрес впрямую указывал...

При этом, если отключить запрещающее четвёртое правило, доступ через VPN появляется.

 

Может кто помочь?

Сделайте проще. Запретите доступ из интернета, но оставьте доступ из локалки. Для vpn сервера выдайте ip из домашней сети, тогда вы будете получать для vpn соединения ip адрес из вашей домашней сети и спокойно сможете зайти на роутер.

Edited by Илья Картавенко
Link to comment
Share on other sites
  • 0
sonny362 Newbie

sonny362

Posted
  • Author
Posted
1 минуту назад, Илья Картавенко сказал:

Сделайте проще. Запретите доступ из интернета, но оставьте доступ из локалки. Для vpn сервера выдайти ip из домашней сети, тогда вы будете получать для vpn соединения ip адрес из вашей домашней сети и спокойно сможете зайти на роутер.

У меня же именно так и сделано: запрещён доступ из интернета (на "Подключение Ethernet) и разрешён из домашней сети.
Но правило deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080 закрывает доступ для VPN-сервера.

Link to comment
Share on other sites
  • 0
Илья Картавенко Honored Flooder

Илья Картавенко

Posted
Posted
6 минут назад, sonny362 сказал:

У меня же именно так и сделано: запрещён доступ из интернета (на "Подключение Ethernet) и разрешён из домашней сети.
Но правило deny tcp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 port eq 65080 закрывает доступ для VPN-сервера.

Правило вам в таком случае вам не нужно. Доступ из интернета закрывается, если убрать  соответствующую галочку внастройках роутера. Вам нужно сделать чтобы серверу выдавался ip адрес 192.168.1.*, тогда при подключении по vpn вы будете получать адрес 192.168.1.*, как для устройств локальной сети и заходить по 192.168.1.1. Просто в настройках vpn сервера пропишите ему адрес из 192.168.1.* вместо 172.*.*.*

Link to comment
Share on other sites
  • 0
sonny362 Newbie

sonny362

Posted
  • Author
Posted
6 минут назад, Илья Картавенко сказал:

Правило вам в таком случае вам не нужно. Доступ из интернета закрывается, если убрать  соответствующую галочку внастройках роутера. Вам нужно сделать чтобы серверу выдавался ip адрес 192.168.1.*, тогда при подключении по vpn вы будете получать адрес 192.168.1.*, как для устройств локальной сети и заходить по 192.168.1.1. Просто в настройках vpn сервера пропишите ему адрес из 192.168.1.* вместо 172.*.*.*

Я писал, что домашняя сеть у меня прописана 172.16.1.0 :)
Вариант полного запрета доступа мне не очень подходит, поскольку у меня как-то нестабильно работает L2TP сервер: временами нет к нему доступа по неизвестной причине. Именно поэтому я хочу разрешить постоянный доступ с двух адресов.

Link to comment
Share on other sites
  • 0
Илья Картавенко Honored Flooder

Илья Картавенко

Posted
Posted

Вот тут написано, 

 

Цитата

Указываемая подсеть IP-адресов не должна совпадать или пересекаться с IP-адресами других интерфейсов интернет-центра Keenetic, так как это может привести к конфликту адресов.

Может из-за этого все же. Но у меня в такой же конфигурации, как у вас, все работало.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...