Как ограничить пользователей VPN (pptp,l2tp) на mikrotik RB2011?

Question

[RomanMRB]

На mikrotik поднято 2-сети, предположим 2 подсеть и 6 подсеть. Настроен VPN PPTP, адрес при подключении по VPN пользователь получает с 6 подсети, как настроить привила чтобы пользователь который подключается по VPN не имел доступ ( не видел) 6-ю подсеть, кроме своего ip,и к 2-й подсети, кроме одного адреса из этой подсети. Т.е. машина на которую они должны подключаться и больше никуда ,находиться 2-й подсети, а они сами из 6-й. Если можно ссылку на статьи. Спасибо.

Answer 1

[etoosamoe]

Предположим, что пользователь подключившийся по vpn получил адрес 10.1.6.15, другие пользователи так же получают адреса из 10.1.6.0\24.
Попробуйте сделать правило в цепочке

forward, action=drop, src-address=10.1.6.0/24, dst-address=10.1.6.0/24

Чуть выше него поставить правило

forward, action=accept, src-address=10.1.6.0/24, dst-address=10.1.6.1

(где 10.1.6.1 это адрес шлюза для пользователей).
Таким образом мы будет резать весь трафик из шестой подсети в шестую подсеть, кроме трафика из шестой к шлюзу.

Если нужно ограничить еще дополнительно все остальные кроме второй, тогда

chain=forward, action=drop, src-address=10.1.6.0/24, dst-address=!10.1.2.0/24

Честно, я не пробовал так делать, но в теории должно сработать. Может знатоки packet flow diagram меня поправят

Answer 2

[d-stream]

Может раздавать клиентам псевдоподсети /32 ?

Comments

[Drno]

кстати, не в тему, но у меня такая задача нарисовалась. ПОдскажите как это на микрике провернуть)

[d-stream]

Drno, ну "в лоб" так и раздавать из нужного пула, но netmask - 255.255.255.255
Тогда по идее любые обращения к "соседям" - будут лететь через шлюз - где уже можно рулить

[etoosamoe]

d-stream, хорошая идея. но учитывая, что это vpn-щики, теоретически, трафик итак будет лететь через шлюз и его можно фаерволлить. Но с 32 маской идея хорошая.