|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
| 1 | |
Запретить доступ в интернет VPN пользователям, но доступ на сервер оставить02.04.2022, 13:30. Показов 7403. Ответов 17
Метки нет (Все метки)
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=!192.168.1.100 action=drop Вроде все счастливы. Интернет не доступен, сервер доступен. Но в интернет через своего провайдера то можно заходить, почему нельзя? Хорошо. Открываем свойства сети. Заходим в свойства VPN подключения и убираем галочку с "Использовать основной шлюз удаленной сети". Интернет Появляется.Но тогда пропадает Сервер. Подскажите как быть?
0
|
|
(| 02.04.2022, 13:30 | |
|
Ответы с готовыми решениями:
17
запретить доступ пользователям к USB сервера Запретить доступ к определённым каталогам и файлам пользователям Как запретить доступ к папке не зарегистрированным пользователям? Доступ VPN-пользователям DFL-800 в сеть за ISA 2006 |
|
Модератор
 11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
| 02.04.2022, 14:43 | 4 |
|
1. На микротике маршруты с vpn- сервера клиентам можно отдавать только через ovpn.
PPTP, L2TP, SSTP не умеют такого. 2. Код
route add 192.168.1.0 mask 255.255.255.0 192.168.10.1 metric 1 -p
0
|
|
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
| 14.04.2022, 19:30 [ТС] | 5 |
Сообщение от insect_87
0
|
|
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
| 15.04.2022, 13:07 [ТС] | 13 |
|
Сообщение от .None
Сообщение от insect_87
add distance=1 dst-address=192.168.7.0/24 gateway=LAN
Сообщение от insect_87
Кликните здесь для просмотра всего текста
IPv4 таблица маршрута
=========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.88.1 192.168.88.24 20 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 171.33.244.132 255.255.255.255 192.168.88.1 192.168.88.24 11 192.168.7.0 255.255.255.0 192.168.7.1 192.168.7.235 36 192.168.7.235 255.255.255.255 On-link 192.168.7.235 291 192.168.88.0 255.255.255.0 On-link 192.168.88.24 266 192.168.88.24 255.255.255.255 On-link 192.168.88.24 266 192.168.88.255 255.255.255.255 On-link 192.168.88.24 266 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 192.168.88.24 266 224.0.0.0 240.0.0.0 On-link 192.168.7.235 291 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 192.168.88.24 266 255.255.255.255 255.255.255.255 On-link 192.168.7.235 291 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 192.168.1.0 255.255.255.0 192.168.7.1 1
0
|
|
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
| 15.04.2022, 13:56 | 14 |
|
Если у вас будет туннельный адрес вида 172.16.х.х, то автоматически будет создан маршрут в туннель до сети 172.16.0.0/16 Экспорт так и не показали
0
|
|
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
| 21.04.2022, 10:35 [ТС] | 15 |
|
Сообщение от insect_87
Кликните здесь для просмотра всего текста
# apr/21/2022 14:32:01 by RouterOS 6.48
# software id = 3QMP-QT9G # # model = RouterBOARD 750G r3 # serial number = 6F3806A8C7D1 /interface bridge add admin-mac=6C:3B:6B:C2:3F:CF auto-mac=no fast-forward=no name=LAN /interface ethernet set [ find default-name=ether2 ] name=LAN1 speed=100Mbps set [ find default-name=ether3 ] name=LAN2 speed=100Mbps set [ find default-name=ether4 ] name=LAN3 speed=100Mbps set [ find default-name=ether5 ] name=LAN4 speed=100Mbps set [ find default-name=ether1 ] mac-address=EC:43:F6  A:22:19 name=WAN speed=\100Mbps /interface list add name="INT LAN" add name="INT WAN" /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip pool add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.248 add name=vpn-pool ranges=192.168.7.2-192.168.7.254 /ip dhcp-server add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no \ interface=LAN lease-time=10h10m name=dhcp1 /ppp profile add bridge=LAN change-tcp-mss=yes local-address=192.168.7.1 name=VPN only-one=\ no remote-address=vpn-pool use-compression=yes use-encryption=yes use-mpls=\ no use-upnp=no /snmp community set [ find default=yes ] addresses=0.0.0.0/0 /user group set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\ ord,web,sniff,sensitive,api,romon,dude,tikapp" /interface bridge port add bridge=LAN interface=LAN1 add bridge=LAN interface=LAN2 add bridge=LAN interface=LAN3 add bridge=LAN interface=LAN4 add bridge=LAN interface="INT LAN" /interface l2tp-server server set default-profile=VPN enabled=yes use-ipsec=yes /interface list member add interface=LAN list="INT LAN" add interface=WAN list="INT WAN" /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=VPN enabled=yes /ip address add address=192.168.1.1/24 interface=LAN network=192.168.1.0 add address=10.10.24.1/24 interface=LAN network=10.10.24.0 /ip dhcp-client add disabled=no interface=WAN /ip dhcp-server lease add address=192.168.1.116 client-id=1:90:2b:34:34:22:13 comment=\ "\CC\E8\F5\E0\E8\EB \D1\E0\E2\E5\ED\EA\EE\E2" mac-address=90:2B:34:34:22:13 \ server=dhcp1 add address=192.168.1.139 client-id=1:28:92:4a:ae:92:20 comment=TONNY \ mac-address=28:92:4A:AE:92:20 server=dhcp1 add address=192.168.1.134 client-id=1:40:b0:34:d0:96:cd comment=DONNY \ mac-address=40:B0:34 0:96:CD server=dhcp1add address=192.168.1.127 client-id=1:50:46:5d:57:bf:cc mac-address=\ 50:46:5D:57:BF:CC server=dhcp1 add address=192.168.1.126 client-id=1:18:c0:4d:9b:c5:a2 mac-address=\ 18:C0:4D:9B:C5:A2 server=dhcp1 add address=192.168.1.184 client-id=1:0:c:29:e1:a2:6e mac-address=\ 00:0C:29:E1:A2:6E server=dhcp1 /ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1 /ip firewall address-list add address=192.168.7.0/24 list=office-vpn /ip firewall filter add action=accept chain=input connection-state=established,related,untracked add action=accept chain=forward dst-address=10.10.24.0/24 src-address-list=\ office-vpn add action=drop chain=forward dst-address=!192.168.1.0/24 src-address-list=\ office-vpn add action=accept chain=input dst-port=8291 in-interface=WAN protocol=tcp add action=accept chain=input protocol=gre add action=accept chain=input dst-port=1723 protocol=tcp add action=accept chain=input dst-address=5.189.199.89 in-interface=WAN \ protocol=icmp add action=accept chain=input src-address=171.33.244.132 add action=drop chain=input connection-state=invalid add action=accept chain=input dst-address=127.0.0.1 add action=drop chain=input comment="drop all not coming from LAN" \ in-interface-list="!INT LAN" add action=accept chain=forward ipsec-policy=in,ipsec add action=accept chain=forward ipsec-policy=out,ipsec add action=fasttrack-connection chain=forward comment=" fasttrack" \ connection-state=established,related add action=drop chain=forward connection-state=invalid add action=drop chain=forward connection-nat-state=!dstnat connection-state=new \ in-interface-list="INT WAN" /ip firewall nat /ip proxy access add action=deny comment="block telnet & spam e-mail relaying" add action=deny comment=\ "allow CONNECT only to SSL ports 443 [https] and 563 [snews]" method=\ CONNECT /ip proxy cache add action=deny comment="don't cache dynamic http pages" path=":\\\?" add action=deny comment="don't cache dynamic http pages" path=":\\.php" /ip route add distance=1 dst-address=192.168.7.0/24 gateway=LAN /ip service set telnet address=5.189.199.89/32 set ftp disabled=yes set www address=5.189.199.89/32 set ssh disabled=yes set api disabled=yes set winbox address=5.189.199.89/32,192.168.7.0/24 set api-ssl disabled=yes /ip smb shares set [ find default=yes ] directory=/pub /ip socks set enabled=yes port=4153 /ip socks access add action=deny src-address=!95.154.216.128/25 add action=deny src-address=!95.154.216.128/25 /ppp secret /system clock set time-zone-autodetect=no time-zone-name=Asia/Krasnoyarsk /system resource irq rps set WAN disabled=no set LAN1 disabled=no set LAN2 disabled=no set LAN3 disabled=no set LAN4 disabled=no /system scheduler add interval=30s name=schedule4_ on-event=script4_ policy=\ ftp,reboot,read,write,policy,test,password,sensitive start-time=startup
0
|
|
|
20 / 19 / 8
Регистрация: 06.04.2013
Сообщений: 553
|
|
| 03.05.2022, 11:40 [ТС] | 17 |
|
Сообщение от insect_87
0
|
|
|
Модератор
11427 / 6996 / 1903
Регистрация: 25.12.2012
Сообщений: 29,398
|
|
| 03.05.2022, 14:23 | 18 |
|
В итоге способов 7:
- статический маршрут у клиента - динамический маршрут у клиента, требует включения протокола динамической маршрутизации RIP, в тч на клиентской стороне - динамический маршрут у клиента, требует изменить пул для vpn и адресацию локальной сети (о чем выше рассказал) - без маршрута (на самом деле динамически будет создан маршрут по классовой маске), пул для vpn клиентов должен быть вырезан из локальной подсети, на локальном интерфейсе включить arp-proxy - использовать маршрут по умолчанию в туннель, дефолтный шлюз в удалённой подсети (чекбокс в свойствах клиентского vpn, включён по дефолту) - использовать ovpn с настройкой push route в конфиге сервера, требует у клиента установки стороннего клиентского ПО, + сертификаты - использовать IKEv2 с настройкой split-include на сервере, + сертификаты
0
|
|
| 03.05.2022, 14:23 | |
| 03.05.2022, 14:23 | |
|
Помогаю со студенческими работами здесь
18
как запретить всем кроме одного пользователям доступ к компу Доступ пользователям в интернет ваши предложения?
Запретить доступ VPN подключений к хостам сети Как на локальный почтовый сервер открыть доступ пользователям? Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
|
Наверх