20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
1 | |
Запретить доступ в интернет VPN пользователям, но доступ на сервер оставить02.04.2022, 13:30. Показов 7403. Ответов 17
Метки нет (Все метки)
Здравствуйте! В общем цель запретить VPN-клиентам выходить в интернет через удаленный шлюз. Это сделать в принципе не сложно. примерно такое правило:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=!192.168.1.100 action=drop Вроде все счастливы. Интернет не доступен, сервер доступен. Но в интернет через своего провайдера то можно заходить, почему нельзя? Хорошо. Открываем свойства сети. Заходим в свойства VPN подключения и убираем галочку с "Использовать основной шлюз удаленной сети". Интернет Появляется.Но тогда пропадает Сервер. Подскажите как быть?
0
|
02.04.2022, 13:30 | |
Ответы с готовыми решениями:
17
Запретить доступ VPN пользователям в другую подсеть запретить доступ пользователям к USB сервера Запретить доступ к определённым каталогам и файлам пользователям Как запретить доступ к папке не зарегистрированным пользователям? Доступ VPN-пользователям DFL-800 в сеть за ISA 2006 |
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
02.04.2022, 14:06 | 2 |
У каждого vpn-клиента прописать маршрут до сервера через туннель в cmd от имени администратора:
Код
route add 192.168.1.100 mask 255.255.255.255 192.168.10.1 metric 1 -p
0
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
02.04.2022, 14:29 [ТС] | 3 |
Блин... а на микротике ничего сделать нельзя?)
И если мне вся подсеть нужна 192.168.1.0/24?
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
02.04.2022, 14:43 | 4 |
1. На микротике маршруты с vpn- сервера клиентам можно отдавать только через ovpn.
PPTP, L2TP, SSTP не умеют такого. 2. Код
route add 192.168.1.0 mask 255.255.255.0 192.168.10.1 metric 1 -p
0
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
14.04.2022, 19:30 [ТС] | 5 |
Не совсем корректно работает маршрут. И почему-то приходится постоянно прописывать маршрут при запуске ВПН (запускать bat файл). НЕ могу разобраться почему. Под некорректностью я понимаю то, что при прописывании маршрута ничего не происходит. Удаленная папка не открывается. Интернет работает. Но удаленная сеть нет. После нескольких запусков bat файла начинает работать удаленная сеть. Думал просто совпадение, возможно подождать нужно некоторое время. Ждал 20 минут - ничего. В чем может быть проблема маршрутизации?
0
|
4283 / 1620 / 325
Регистрация: 23.06.2009
Сообщений: 5,788
|
|
14.04.2022, 19:56 | 6 |
в сети 192.168.1.0/24 много устройств?
есть возможность изменить адресацию? тогда не придется как мучатся с ВПН клиентами.
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
14.04.2022, 20:17 | 7 |
Маршрут в windows можно прописать один раз, используя атрибут -р
0
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
14.04.2022, 20:36 [ТС] | 8 |
Так это вся сеть удаленной сети. 192.168.10.0/24 - это пул впн клиентов
Так и сделал
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
14.04.2022, 20:47 | 9 |
Туннельный адрес сервера какой?
0
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
14.04.2022, 20:51 [ТС] | 10 |
0
|
4283 / 1620 / 325
Регистрация: 23.06.2009
Сообщений: 5,788
|
|
15.04.2022, 06:14 | 11 |
так устройств много? есть возможность изменить адресацию? если измените адресацию в основной сети на сети из 10.0.0.0/8 или 172.16.0.0/16, то не придется каждому клиенту (виндовс клиенту) прописывать маршруты
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
15.04.2022, 11:05 | 12 |
Выложите конфиг роутера из new terminal командой:
Код
export hide-sensitive Код
route print
0
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
15.04.2022, 13:07 [ТС] | 13 |
Не хочу показаться невеждой, но каким образом это поможет? в чем разница этой сети от других?
/ip route add distance=1 dst-address=192.168.7.0/24 gateway=LAN Кликните здесь для просмотра всего текста
IPv4 таблица маршрута
=========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.88.1 192.168.88.24 20 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 171.33.244.132 255.255.255.255 192.168.88.1 192.168.88.24 11 192.168.7.0 255.255.255.0 192.168.7.1 192.168.7.235 36 192.168.7.235 255.255.255.255 On-link 192.168.7.235 291 192.168.88.0 255.255.255.0 On-link 192.168.88.24 266 192.168.88.24 255.255.255.255 On-link 192.168.88.24 266 192.168.88.255 255.255.255.255 On-link 192.168.88.24 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.88.24 266 224.0.0.0 240.0.0.0 On-link 192.168.7.235 291 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.88.24 266 255.255.255.255 255.255.255.255 On-link 192.168.7.235 291 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 192.168.1.0 255.255.255.0 192.168.7.1 1
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
15.04.2022, 13:56 | 14 |
Если у вас будет туннельный адрес вида 172.16.х.х, то автоматически будет создан маршрут в туннель до сети 172.16.0.0/16 Экспорт так и не показали
0
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
21.04.2022, 10:35 [ТС] | 15 |
Кликните здесь для просмотра всего текста
# apr/21/2022 14:32:01 by RouterOS 6.48
# software id = 3QMP-QT9G # # model = RouterBOARD 750G r3 # serial number = 6F3806A8C7D1 /interface bridge add admin-mac=6C:3B:6B:C2:3F:CF auto-mac=no fast-forward=no name=LAN /interface ethernet set [ find default-name=ether2 ] name=LAN1 speed=100Mbps set [ find default-name=ether3 ] name=LAN2 speed=100Mbps set [ find default-name=ether4 ] name=LAN3 speed=100Mbps set [ find default-name=ether5 ] name=LAN4 speed=100Mbps set [ find default-name=ether1 ] mac-address=EC:43:F6A:22:19 name=WAN speed=\ 100Mbps /interface list add name="INT LAN" add name="INT WAN" /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.248 add name=vpn-pool ranges=192.168.7.2-192.168.7.254 /ip dhcp-server add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no \ interface=LAN lease-time=10h10m name=dhcp1 /ppp profile add bridge=LAN change-tcp-mss=yes local-address=192.168.7.1 name=VPN only-one=\ no remote-address=vpn-pool use-compression=yes use-encryption=yes use-mpls=\ no use-upnp=no /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /user group set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\ ord,web,sniff,sensitive,api,romon,dude,tikapp" /interface bridge port add bridge=LAN interface=LAN1 add bridge=LAN interface=LAN2 add bridge=LAN interface=LAN3 add bridge=LAN interface=LAN4 add bridge=LAN interface="INT LAN" /interface l2tp-server server set default-profile=VPN enabled=yes use-ipsec=yes /interface list member add interface=LAN list="INT LAN" add interface=WAN list="INT WAN" /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=VPN enabled=yes /ip address add address=192.168.1.1/24 interface=LAN network=192.168.1.0 add address=10.10.24.1/24 interface=LAN network=10.10.24.0 /ip dhcp-client add disabled=no interface=WAN /ip dhcp-server lease add address=192.168.1.116 client-id=1:90:2b:34:34:22:13 comment=\ "\CC\E8\F5\E0\E8\EB \D1\E0\E2\E5\ED\EA\EE\E2" mac-address=90:2B:34:34:22:13 \ server=dhcp1 add address=192.168.1.139 client-id=1:28:92:4a:ae:92:20 comment=TONNY \ mac-address=28:92:4A:AE:92:20 server=dhcp1 add address=192.168.1.134 client-id=1:40:b0:34:d0:96:cd comment=DONNY \ mac-address=40:B0:340:96:CD server=dhcp1 add address=192.168.1.127 client-id=1:50:46:5d:57:bf:cc mac-address=\ 50:46:5D:57:BF:CC server=dhcp1 add address=192.168.1.126 client-id=1:18:c0:4d:9b:c5:a2 mac-address=\ 18:C0:4D:9B:C5:A2 server=dhcp1 add address=192.168.1.184 client-id=1:0:c:29:e1:a2:6e mac-address=\ 00:0C:29:E1:A2:6E server=dhcp1 /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 /ip firewall address-list add address=192.168.7.0/24 list=office-vpn /ip firewall filter add action=accept chain=input connection-state=established,related,untracked add action=accept chain=forward dst-address=10.10.24.0/24 src-address-list=\ office-vpn add action=drop chain=forward dst-address=!192.168.1.0/24 src-address-list=\ office-vpn add action=accept chain=input dst-port=8291 in-interface=WAN protocol=tcp add action=accept chain=input protocol=gre add action=accept chain=input dst-port=1723 protocol=tcp add action=accept chain=input dst-address=5.189.199.89 in-interface=WAN \ protocol=icmp add action=accept chain=input src-address=171.33.244.132 add action=drop chain=input connection-state=invalid add action=accept chain=input dst-address=127.0.0.1 add action=drop chain=input comment="drop all not coming from LAN" \ in-interface-list="!INT LAN" add action=accept chain=forward ipsec-policy=in,ipsec add action=accept chain=forward ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=" fasttrack" \ connection-state=established,related add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new \ in-interface-list="INT WAN" /ip firewall nat /ip proxy access add action=deny comment="block telnet & spam e-mail relaying" add action=deny comment=\ "allow CONNECT only to SSL ports 443 [https] and 563 [snews]" method=\ CONNECT /ip proxy cache add action=deny comment="don't cache dynamic http pages" path=":\\\?" add action=deny comment="don't cache dynamic http pages" path=":\\.php" /ip route add distance=1 dst-address=192.168.7.0/24 gateway=LAN /ip service set telnet address=5.189.199.89/32 set ftp disabled=yes set www address=5.189.199.89/32 set ssh disabled=yes set api disabled=yes set winbox address=5.189.199.89/32,192.168.7.0/24 set api-ssl disabled=yes /ip smb shares set [ find default=yes ] directory=/pub /ip socks set enabled=yes port=4153 /ip socks access add action=deny src-address=!95.154.216.128/25 add action=deny src-address=!95.154.216.128/25 /ppp secret /system clock set time-zone-autodetect=no time-zone-name=Asia/Krasnoyarsk /system resource irq rps set WAN disabled=no set LAN1 disabled=no set LAN2 disabled=no set LAN3 disabled=no set LAN4 disabled=no /system scheduler add interval=30s name=schedule4_ on-event=script4_ policy=\ ftp,reboot,read,write,policy,test,password,sensitive start-time=startup
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
21.04.2022, 11:39 | 16 |
в итоге вы какой способ хотите реализовать?
0
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
03.05.2022, 11:40 [ТС] | 17 |
Извиняюсь за долгий ответ. Так вы мне предлагаете только один способ: Изменить основную сеть. При чем на Микротике уже есть адресная подсеть 10.10.24.... Но мне крайне не хотелось бы менять общую подсеть, хотя это не особо "болезненно" будет.
0
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
03.05.2022, 14:23 | 18 |
В итоге способов 7:
- статический маршрут у клиента - динамический маршрут у клиента, требует включения протокола динамической маршрутизации RIP, в тч на клиентской стороне - динамический маршрут у клиента, требует изменить пул для vpn и адресацию локальной сети (о чем выше рассказал) - без маршрута (на самом деле динамически будет создан маршрут по классовой маске), пул для vpn клиентов должен быть вырезан из локальной подсети, на локальном интерфейсе включить arp-proxy - использовать маршрут по умолчанию в туннель, дефолтный шлюз в удалённой подсети (чекбокс в свойствах клиентского vpn, включён по дефолту) - использовать ovpn с настройкой push route в конфиге сервера, требует у клиента установки стороннего клиентского ПО, + сертификаты - использовать IKEv2 с настройкой split-include на сервере, + сертификаты
0
|
03.05.2022, 14:23 | |
03.05.2022, 14:23 | |
Помогаю со студенческими работами здесь
18
Как запретить всем пользователям доступ к папке (включая систему ) ? как запретить всем кроме одного пользователям доступ к компу Доступ пользователям в интернет ваши предложения? Apache 2.4.41 запретить доступ к localhost, оставить только к проекту Запретить доступ VPN подключений к хостам сети Как на локальный почтовый сервер открыть доступ пользователям? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |