Jump to content

totoshka

Forum Members
  • Content Count

    6
  • Joined

  • Last visited

Posts posted by totoshka

  1. В 10.10.2018 в 16:58, Le ecureuil сказал:

     Для site-to-site IPsec правила на WAN-интерфейс нужно вешать, они могут фильтровать как шифрованный, так и нешифрованный трафик.

    Вешал. не отрабатало.

    access-list _WEBADMIN_PPPoE0
        permit ip 10.8.0.50 255.255.255.255 172.16.3.120 255.255.255.255
        deny ip 10.8.0.0 255.255.255.0 172.16.3.0 255.255.255.0

     

    пинги идут на все адреса сетки 172.16.3.0

     

  2. Коллеги,

    пытаюсь написать несколько правил, но что-то не работает.

    1. есть сетка VPN и Домашняя сетка.

    2. пробую вешать правило запрета на сетку VPN ходить клиенту 10.8.0.50(адрес источника) на узел 172.16.3.120(адрес назначения) Пробовал все протоколы IP, TCP, UDP - пинги идут

    3. пробую вешать правило запрета на Домашнюю сетку тоже ходит.

    недопонимаю логику работы.

     

    цель - нужно разрешить клиенту ВПН ходить в домашнюю сетку только на единственный IP

     

     

  3. Умер старый добрый асус n56u  и выбор пал на кинетик 1010.

    сделать смог все на 1010 как было на асусе с прошивкой от @Padavan, кроме изолированной сетки.

    Суть:

    1. Локалка на 172.16.0.1 в ней юзеры и сервак с виртуалками.

    2. на одной виртуалке на одном интерфейсе живут два  IP (172.16.0.10 и 10.8.0.10)   10.8.0.10 - сетка VPN и на эту машинку может ходить только один юзер издалека  и никуда более.

    3. на асусе просто поднимал VPN сервак у которого поднималась своя сетка 10.8.0.0  и далее юзерам из нее присваивались IP  - все было прекрасно и все работало виртуалка эту сеть тоже видела.

     

    на кинетике не могу понять как вообще организовать эту сетку.

    если делать сегмент 10.8.0.0 то с виртуалки он не пингуется (на асусе все было ок).

    Подключенный клиент нормально заходит в этот VPN сегмент, но естественно не видит  сервака в этой сети.

    Как подобное организуется на  этом  девайсе?

    я конечно могу прописать с виртуалки роут до 10.8.0.1 через 172 сеть, но мне не хотелось бы сетки пересекать.

     

    По идее меня устроит и 172 сетка если клиенту можно запретить шариться по сети кроме этого сервака. 

     

     

     

×
×
  • Create New...