Ограничение функции Access Control

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.

Ограничение функции Access Control

Эта ветка закрыта для дальнейших ответов. Вы можете создать новую тему, чтобы поделиться своими идеями или задать вопросы.
Ограничение функции Access Control
Ограничение функции Access Control
2014-04-15 04:26:32
Аппаратная версия устройства: R600VPN v2 00000000
Версия прошивки: 1.2.1 Build 130831 Rel.63039n
Ваша страна: Россия
Делюсь наблюдением.
Имеем LAN 10.67.0.0, клиенты подключаются через PPTP VPN Server, на улицу ходим через 10.67.0.x1.
Имеется статический маршрут в локальную cеть 192.168.x.0 через шлюз 10.67.0.x2, заданный в Advanced Routing.
При отключенной функции Access Control клиенты VPN имеют доступ к адресам сети 192.168.x.0, при включенной - нет, независимо от прописываемых правил, которые действуют, как выяснилось, только на целевые адреса, маршрутизируемые через интерфейс 10.67.0.x1 с хостов только одной LAN 10.67.0.0. Использование для "таргетированиия" не IP-, а MAC- адресов, также не снимает ограничений.
При этом - с самого роутера ping на адреса сети 192.168.x.0 исполняется, независимо от состояния функции Access Control.
  0      
  0      
#1
Опции
9 Ответить
Re: Ограничение функции Access Control
2014-04-15 05:29:40
Не совсем понятна полная схема вашей сети. 2-й шлюз с адресом 10.67.0.x2 подключен в LAN-порта роутера TL-R600VPN? Каким образом локальная cеть 192.168.x.0 подключена к вашей сети?
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-15 05:53:19
через маршрутизатор 10.67.0.x2/192.168.x.y2
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-15 05:59:53
[quote="V057"]через маршрутизатор 10.67.0.x2/192.168.x.y2[/quote] Он подключен в LAN-порт роутера TL-R600VPN?
Сеть 192.168.x.y2 подключена напрямую через маршрутизатор без VPN/NAT?

Между LAN-портами роутера TL-R600VPN функция Access Control не действует.
Функция Access Control действует только для локальных хостов на выход в инет.
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-15 06:27:26
При чем тут порты-то ? функция не порты контролирует, а адреса. Таким образом, я не могу использовать эту функцию для контроля доступа в интернетр хостов из сети 192.168.x.0, хотя все это со стороны внутреннего интерфейса. В том и ограничение. Я могу либо разрешить все, либо запретить все - никакие правила не отрабатываются для подобной конфигурации.
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-15 06:28:53
[quote="V057"]При чем тут порты-то ? функция не порты контролирует, а адреса.[/quote] Я просто интересуюсь как физически подключен маршрутизатор к вашему роутеру.
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-15 06:33:12
[quote="V057"]Имеем LAN 10.67.0.0, клиенты подключаются через PPTP VPN Server, на улицу ходим через 10.67.0.x1.[/quote] Какой диапазон адресов выделен для PPTP-клиентов?
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-15 06:45:59
[quote="V057"]При чем тут порты-то ? функция не порты контролирует, а адреса. Таким образом, я не могу использовать эту функцию для контроля доступа в интернетр хостов из сети 192.168.x.0, хотя все это со стороны внутреннего интерфейса. В том и ограничение. Я могу либо разрешить все, либо запретить все - никакие правила не отрабатываются для подобной конфигурации.[/quote] Да, вам нужна другая модель роутера для таких целей, я с этим тоже столкнулся, когда пользовался 600-м. Для подобных решений подойдут модели роутеров TL-ER6020, TL-R480T+, TL-R470T+, TL-ER604W - это из тех, которые не нужно ставить в стойку.
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-16 03:32:17
- TL-ER6020- дороже примерно в 2 раза, и не факт, что там "правильно реализовано";
- TL-R480T+, TL-R470T+ нет VPN тоннелей;
- TL-ER604W - недостаточно VPN тоннелей.
проще правила прописать на Linux-маршрутизаторе 10.67.0.2. На девайсе TL-R600VPN
можно прописать маршруты для отдельных хостов, а Асcеss Сontrol не трогать.
  0  
  0  
#1
Опции
Re: Ограничение функции Access Control
2014-04-16 05:33:00
[quote="V057"]- TL-ER6020- дороже примерно в 2 раза, и не факт, что там "правильно реализовано";[/quote] Смотря что вы хотите "реализовать", на TL-ER6020 полноценный файрволл в отличии от TL-R600VPN, а также статичные маршруты в Static Route прописываются с указанием конкретного интерфейса (WAN1, WAN2, LAN, DMZ, etc). А вот чего не реализовано на моделях TP-LINK "бизнес-класса", так это функции VPN-концентратора и функции DNS-сервера, хотя бы с возможностями настройки значений "Address/PTR Record" и "Domain Zone Forwarder".

[quote="V057"]На девайсе TL-R600VPN можно прописать маршруты для отдельных хостов, а Асcеss Сontrol не трогать.[/quote] Если вы имеете ввиду клиентов вашей локальной сети, то такие маршруты он выдать не может, для этого нужен полноценный DHCP-сервер с поддержкой "option static route".
  0  
  0  
#1
Опции

Информация

Поблагодарили: 0

Просмотры: 3008

Ответы: 9

Статьи по теме