@lazix

Может ли VPN-клиент взять адрес не из указанного в Микротике для VPN пула?

Сделал впн-сервер на микротике для client-to-site. Чтобы клиенты могли видеть сервер за микротиком, пришлось разделить дать им адреса из локальной подсети, "разделив" ее попалам - для локальных устройств и для подключающихся по впн. Прошел семь кругов ада до выявления опции proxy-arp, чтобы сервер наконец стал видиться)

А сейчас подумал - клиент ведь может в винде явно указать адрес для впн-соединения и таким образом попасть под действия локальных правил фаервола, получить доступ к локалке. Или нет?

Как защититься от такого?
  • Вопрос задан
  • 110 просмотров
Решения вопроса 1
poisons
@poisons
1. Создаем профиль
ppp profile add name=remote interface-list=remote remote-address=1.1.1.1 local-address=1.1.1.1
1.1.1.1 заменяем на свои адреса/пулы
2. ip firewall filter позволяет оперировать interface-list. Т.е. не суть важно какие адреса себе там понавешает клиент, можно будет однозначно разрешить/запретить любой трафик от него/к нему на основании интерфейса.
При подключении будет создаваться динамический интерфейс для каждого vpn клиента и автоматически помещаться в interface-list согласно профилю.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Drno
А нельзя было просто сделать отдельную адресацию для впн? И дальше или маршрут/ проброс порта или прокси арп, если вся локалка нужна
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы