Russian Users MikroTik | Форум пользователей MikroTik

Форум поддержи и обмена опытом пользователей оборудования RouterBOARD и операционной системы RouterOS Латвийского производителя MikroTik
https://forummikrotik.ru/

VPN доступ к терминальному серверу

https://forummikrotik.ru/viewtopic.php?t=7028

Страница 1 из 1

VPN доступ к терминальному серверу

Добавлено: 05 окт 2016, 01:10
kavboy84
Здравствуйте,
на входе в офисную сеть стоит Mikrotik hap.
Несколько пользователей подключаются к офисной сети по VPN PPTP (на микротике поднят PPTP сервер, в фаерволе открыт 1723 порт и gre протокол, proxy-arp на бридже в ЛВС офиса), а затем подключаются к терминальному серверу.
Т.к. PPTP считается не совсем безопасным, хотелось бы чтобы VPN клиенты не видели всю сеть офиса, а были допущены только к rdp (3389) порту одного сервера с IP 192.168.137.1, как им запретить все остальное?
Адреса у VPN клиентов из подсети 192.168.135.0/24.

Re: VPN доступ к терминальному серверу

Добавлено: 05 окт 2016, 02:11
kavboy84
Вроде получилось эту задумку реализовать добавив 2 правила в фаервол-фильтр:

add action=accept chain=forward dst-address=192.168.137.1 dst-port=3389 protocol=tcp src-address=192.168.135.0/24
add action=drop chain=forward dst-address=192.168.137.0/24 src-address=192.168.135.0/24

Re: VPN доступ к терминальному серверу

Добавлено: 05 окт 2016, 08:01
KARaS'b
Если vpn клиенты при подключении не используют интернет через vpn, то можно обойтись всего одним правилом.

Код: Выделить всё

add action=drop chain=forward dst-address=!192.168.137.1 src-address=192.168.135.0/24
Часовой пояс: UTC+03:00
Страница 1 из 1

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB