[DrayOS5] Filtrowanie ruchu VPN Host-LAN

DrayOS5 to m.in. seria Vigor 2136.

Główne założenia przykładu:
– klient VPN otrzymuje IP 192.168.1.200
– klient VPN ma dostęp tylko do 192.168.1.10 w podsieci 192.168.1.0/24

VPN

Zapoznaj się z przykładami VPN Host-LAN DrayOS5

Przejdź do zakładki VPN / Teleworker VPN.
W profilu klient VPN wymuś przypisywanie statycznego IP.

Po zestawieniu połączenia przez klienta VPN przejdź do zakładki VPN / VPN Connection Status / Teleworkers VPN.

Obiekty

Przejdź do zakładki Configuration / Objects / IP Objects.
Utwórz obiekty IP.

Reguły Firewall

Przejdź do zakładki Security / Firewall Filters / IP Filters.
Kliknij Add, aby dodać nowy profil
Reguła przepuszczająca
– Wpisz nazwę reguły.
– Zaznacz Enabled.
– Jako kierunek wybierz LAN/VPN to LAN/VPN, aby reguła dotyczyła ruchu z VPN do LAN.
– W polu Source wybierz IP Object, następnie kliknij Add, aby jako źródło wskazać stworzony wcześniej obiekt IP zawierający adres IP klienta VPN 192.168.1.200.
– W polu Destination wybierz IP Object, następnie kliknij Add, aby jako przeznaczenie wskazać stworzony wcześniej obiekt IP zawierający adres IP urządzenia 192.168.1.10.
– W polu Protocol pozostaw Any, aby reguła dotyczyła dowolnej usługi.
– Wybierz akcję Pass, aby Vigor przepuszczał ruch z 192.168.1.200 do 192.168.1.10.

Reguła blokująca
– Wpisz nazwę reguły.
– Zaznacz Enabled.
– Jako kierunek wybierz LAN/VPN to LAN/VPN, aby reguła dotyczyła ruchu z VPN do LAN.
– W polu Source wybierz IP Object, następnie kliknij Add, aby jako źródło wskazać stworzony wcześniej obiekt IP zawierający adres IP klienta VPN 192.168.1.200.
– W polu Destination wybierz IP Object, następnie kliknij Add, aby jako przeznaczenie wskazać stworzony wcześniej obiekt IP zawierający adres IP podsieci 192.168.1.0/24.
– W polu Protocol pozostaw Any, aby reguła dotyczyła dowolnej usługi.
– Wybierz akcję Block, aby Vigor blokował pozostały ruch z 192.168.1.200 do podsieci 192.168.1.0/24.