Клиент по VPN внутри сети должен видеть только 1 ip адрес, как?

Question

[rukipalki]

Добрый день!

Имеется такое решение, через windows 2008 по VPN клиент попадает в сеть, ему всегда назначается статический адрес 192.168.1.170, надо чтобы он внутри сети видел только 1 ресурс 192.168.1.195. Сеть построена на микротике. Как это можно реализовать?

Спасибо!

Answer 1

[Александр Романов]

Если тупо в лоб - то так:

/ip firewall filter add chain=forward src-address=192.168.1.170 dst-address=!192.168.1.195 action drop comment="Block for VPN client"

Данным правилом вы запрещате клиенту доступ ко всему, кроме адреса этого ресурса. Если клиент -- винда, то в инет она тоже в этот момент ходить не сможет, ибо прописывает для себя впн шлюзом по умолчанию. Тогда ещё можно в правило дописать out-interface=!ether1-wan, это должно помочь. Не забудтье поменять имя интерфейса на актуальное для Вашего роутера.

Comments

[rukipalki]

Попробовал данное решение, но клиент все равно видит другие внутренние ресурсы

[Александр Романов]

rukipalki: А у данного правила счётчики тикают? А то может быть Вы его низко опустили?

Answer 2

[Виктор Бельский]

ip firewall filter
add chain=forward src-address="192.168.1.170" dst-address="192.168.1.195" action=accept
add chain=forward src-address="192.168.1.170" action=drop